Ransomware jest jednym z kilku tematów IT, które regularnie przenikają ze sfery prasy branżowej do popularnej. Dziennikarze lubią przedstawiać cyberprzestępców jako genialnych “komputerowców”. W zaciszu swoich piwnic włamują się na rządowe serwery i kradną bądź niszczą dane. Od “Komputer Świata” po “Przyjaciółkę” wszyscy lamentują, że komputery są niebezpieczne a największe nawet firmy narażone.
Kilka dni temu media obiegła wiadomość, że hakerzy zaatakowali serwery znanego producenta sportowych zegarków, firmy Garmin. Z przecieków dowiedzieliśmy się, że sama infekcja przebiegała w sposób wręcz modelowy. Jeden z pracowników otrzymał arkusz kalkulacyjny, którego otwarcie spowodowało rozpoczęcie ataku. Użytkownicy produktów firmy stracili dostęp do swoich danych a tym samym urządzenia stały się nieużywalne. Przestępcy zażądali od firmy 10 milionów dolarów. Baza danych została już odblokowana. Nie wiadomo jednak, czy firma ugięła się i zapłaciła okup, czy też znalazła sposób na obejście złośliwego oprogramowania.
Początki ransomware
Mogłoby się wydawać, że żądanie okupu za odblokowanie danych jest stosunkowo nową formą działalności cyberprzestępców. Nic bardziej mylnego. Pierwszy tego typu atak przeprowadzono w roku 1989 w Stanach Zjednoczonych. Ze względu na małą popularność internetu w tamtych czasach, przeprowadzono go offline.
Do jego przygotowanie zostały użyte… dyskietki. Autor pierwszego ataku randsomware rozesłał je do uczestników konferencji dotyczącej zagadnień wirusa HIV i AIDS. Zawierała ona ankietę dotyczącą rozprzestrzeniania się tej choroby i trafiła do 20 000 naukowców i instytucji. Po otwarciu znajdujących się na niej plików, “robak” przejmował komputer użytkownika, szyfrował oraz ukrywał dane i drukował żądanie okupu. Opiewało ono na 189 dolarów, które miały być wpłacone na konto bankowe w Panamie.
Atak ransomware – jak to działa?
A czym dokładniej jest ransomware i jak przebiega atak? Oprogramowanie szantażujące to rodzaj konia trojańskiego, który dystrybuowany jest przez pobrane pliki lub luki w usługach sieciowych. Po uruchomieniu przez użytkownika, w zależności od stopnia zaawansowania ataku, aplikacja ogranicza lub całkowicie blokuje dostęp do systemu aż do momentu, kiedy zapłacimy okup (zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows lub nawet modyfikację głównego rekordu rozruchowego i/lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego).
Czasami ransomware przyjmuje formę tzw. scareware, znaczy to tyle że oprogramowanie podszywa się pod instytucje zaufania publicznego takie jak policja czy znane firmy typu Microsoft. W przesłanych wiadomościach przekonują, że na naszym komputerze znaleźli nielegalne oprogramowanie lub materiały pornograficzne i jeśli chcemy pozbyć się problemu musimy zapłacić za odstąpienie od postępowania.
Trzecią, najniebezpieczniejszą opcją, jest zaszyfrowanie dysku za pomocą algorytmu, który jest praktycznie niemożliwy do złamania. Przypomina to sytuację, w której ktoś przychodzi do naszego domu, zmienia kombinację w sejfie i proponuje nam jej zakup.
Dane, danym nierówne
Każda utrata danych jest dla ich właściciela ciężkim przeżyciem. Nieważne, czy chodzi o pracę magisterską, zdjęcia z wakacji, czy save’y z ulubionej gry. Na szczęście ataki na prywatne osoby zdarzają się stosunkowo rzadko a jeśli nawet, przyjmują one raczej formę scareware rozsyłanego np. w mailach. Bazuje na połączeniu niewielkiej wiedzy użytkowników z ich drobnymi grzeszkami. Jednym z najpopularniejszych połączeń jest telefon i internetowe porno.
Większość z nas słyszała, że można zhackować kamerkę w telefonie, większość z nas miała też styczność z filmami dla dorosłych, bardzo często właśnie w smartphonie. Brzmi jak przepis na niezły szantażyk. Tego typu atak przygotowuje się zwykle na masową skalę i rozsyła do kilku milionów użytkowników, ponieważ większość go zignoruje. Kilkudziesięciu ze strachu przed “materiałami”, które zostaną przekazane jego rodzinie czy pracodawcy, zdecydują się zapłacić. Dla przestępcy to czysty zysk, szczególnie, że same przygotowania nie kosztują go nic.
Firmy muszą uważać
Jak pokazaliśmy, użytkownik prywatny może stracić kilka euro (czy bitcoinów) i nieco nerwów. Zupełnie inaczej sytuacja przedstawia się w przypadku przedsiębiorstw. Zaszyfrowane dane są na wagę złota, a do tego ich ujawnienie może spowodować złamanie restrykcyjnych zasad dostępu do danych wrażliwych. Jeśli jest to np. “goła” lista klientów (bez danych identyfikacyjnych) strata jest niewielka, gorzej gdy tej liście przyporządkowane są cechy lub charakterystyki, a całość używana jest do profilowania konsumentów.
Cyberprzestępcy atakują również miasta, szpitale, uniwersytety – słowem, wszystkie placówki, w których dane stanowią podstawę działania. Strategie rozwiązywania tego typu kryzysów są dwie – z jednej strony zapłacenie żądanej kwoty, z drugiej wyłożenie pieniędzy na odszyfrowanie danych. Dla przykładu, miasto Atlanta otrzymało żądanie na 50 tys. dolarów. Jednak władze nie ugięły się i zapłaciły 2,6 mln za przywrócenie działania swoich systemów.
Nieoczekiwanym sprzymierzeńcem przestępców stosujących ataki ransomware stało się upowszechnienie tzw. kryptowalut. Waluta przelewana za pomocą ciągów znaków na anonimowe i trudne do wyśledzenia konta to idealny środek do przekazywania okupów.
Warto wrócić tutaj na chwilę do sprawy Garmina. Jeżeli producent sportowych zegarków zapłacił okup, może mieć duży problem. Atakująca grupa, jest poszukiwana międzynarodowym listem gończym. Jej korzenie sięgają Europy Wschodniej. Jeśli rzeczywiście mamy do czynienia z okupem, firma zostanie oskarżona o finansowanie organizacji przestępczych. Kara za to może być nawet wyższa niż pieniądze zapłacone przestępcom.
Jak bronić się przed ransomware?
Odpowiedź nie jest jednoznaczna, bowiem większość ataków typu ransomware jest możliwa dzięki nieostrożności użytkowników. Jak już wspominaliśmy, infekcja w Garminie rozpoczęła się od excelowskiego pliku pochodzącego z nieznanego źródła. Prawda jest taka, że jako użytkownicy zawsze jesteśmy o krok za przestępcami, którzy stosują coraz bardziej wyrafinowane metody, łącząc różne formy blokowania sprzętu i oprogramowania ze straszeniem użytkowników ujawnieniem informacji.
Zacznijmy od czterech prostych porad, które może zastosować każdy z nas nie tylko na komputerze firmowym, ale również w domu:
- Zaktualizuj system – Im nowsza jego wersja, tym wyższe bezpieczeństwo. Producenci systemów na bieżąco łatają w nich dziury, które mogliby wykorzystać przestępcy.
- Zwracaj uwagę na rozszerzenia plików – Cyberprzestępcy bardzo często maskują pliki wykonywalne (.exe) licząc na to, że w ferworze pracy nie patrzymy na ich rozszerzenia Szczególnie chętnie używa się plików PDF, np. PDF.exe.
- Wyłącz zdalny dostęp do swojego komputera – Złośliwe oprogramowanie często atakuje komputery z aktywnym protokołem RDP (Remote Desktop Protocol). Jeśli musisz z niego korzystać, rób to przez bezpieczny VPN (Virtual Private Network – wirtualny tunel sieciowy pomiędzy dwoma urządzeniami, którym przesyłane są dane).
- Nie otwieraj plików od nieznanych osób – Porównywalne z punktem drugim ale szkodliwe oprogramowanie znajdziesz nie tylko w plikach wykonywalnych
Oprócz tego warto zainwestować w program antywirusowy. Oczywiście tego typu aplikacje nie potrafią wykrywać i neutralizować 100% takich ataków (do tego służą specjalne antywirusy samouczące się, oparte o AI), ale pomogą nam w wykrywaniu podejrzanych plików.
Ostatnią, chociaż wcale nie najmniej ważną ochroną jest regularne robienie backupów oraz punktów przywracania systemu (snapshotów). Więcej na ten temat dowiesz się z naszego artykułu. Warto też stosować kopie rozproszone pod względem geograficznym, które zmniejszają ryzyko ich zablokowania razem z systemem.
Rosnące zagrożenie ze strony cyberprzestępców powoduje, że coraz większa liczba użytkowników zarówno instytucjonalnych jak i prywatnych odczuwa strach przed utratą danych. Jak pokazaliśmy, najważniejszą rzeczą, która chroni nas przed zaszyfrowaniem i utratą danych bądź wysokim okupem, jest nasz rozsądek.
