Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Pięć trudnych lat z ransomware. Jak przechytrzyć cybergangi?

05 wrzesień 2022

Pięć trudnych lat z ransomware. Jak przechytrzyć cybergangi?
Bartosz Adamczak

Bartosz Adamczak

Złośliwe oprogramowanie ransomware już od kilku lat jest postrachem dla małych i dużych przedsiębiorców. Szczęśliwie istnieją rozwiązania i metody pozwalające zneutralizować tego typu ataki.

Koniec lat 80.

Pierwsze wzmianki o oprogramowaniu ransomware sięgają końca lat 80. Wówczas pojawił się program PC Cyborg, który szyfrował pliki, a następnie żądał od użytkownika „odnowienia licencji”. W późniejszych latach pokazywały się różne szczepy ransomware’u, aczkolwiek punktem zwrotnym był ataki WannaCry oraz Petya przeprowadzone w 2017 roku. Oba złośliwe programy zdołały zaszyfrować dane setek tysięcy firm oraz użytkowników indywidualnych na całym świecie.

Oprogramowanie ransomware infekuje komputer, systemy sieciowe i przechowywane na nich dane. Następnie napastnicy szyfrują foldery z plikami typu dokument, arkusz kalkulacyjny, zdjęcia i wideo. Po zinfiltrowaniu maszyny oprogramowanie kontaktuje się z centrum kontroli, aby wygenerować klucz szyfrowania i zaszyfrować każdy istotny plik na komputerze wykorzystując złożony algorytm szyfrowania. Co istotne, od ubiegłego roku większość cybergangów stosuje tzw. podwójne wymuszenie. Oprócz tego, że hakerzy szyfrują dane, dodatkowo grożą ofierze, że jeśli nie zapłaci haraczu, upublicznią pozyskane informacje.

Ransomware jest rozpowszechniany za pomocą spamu czy ataków ukierunkowanych. Cybergangi chętnie sięgają po pierwszą z wymienionych opcji, szacuje się, że niemal połowę infekcji przeprowadzono za pomocą phishingu. Rozsyłane do potencjalnych ofiar e-maile zawierają zainfekowane pliki lub od-nośniki do złośliwych witryn internetowych. Współcześni oszuści umiejętnie posługują się metodami inżynierii społecznej — wysyłane przez nich wiadomości sprawiają wrażenie, że pochodzą od znajomych, przełożonych bądź zaufanych instytucji. Niestety, adresaci tego rodzaju spamu często połykają haczyk. 

Horrendalne okupy: płacić czy nie płacić?

Gangi ransomware po wtargnięciu do sieci ofiary szyfrują pliki, a następnie żądają okupu za dostarczenie klucza deszyfrującego. Jednak problem polega na tym, że napastnicy nawet po zainkasowaniu haraczu, nie odszyfrowują danych. Ze statystyki wynika, że dzieje się tak, w co trzecim przypadku. — Opłaty za odszyfrowanie danych jakich żądają cyberprzestępcy są bardzo wysokie. Światowa średnia wynosi w bieżącym roku około 210 tysięcy dolarów. Choć oczywiście napastnicy stosują różne stawki, często odbiegającej od tej wartości. Znane są przypadki, że wielkie koncerny płaciły za klucz deszyfrujący kilka milionów dolarów. Na przeciwnym biegunie znajdują się użytkownicy indywidualni, od których cyberprzestępcy żądają od kilkuset do tysiąca dolarów - tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Jak wynika z danych firmy Coverware, w pierwszym kwartale bieżącego roku 46 proc. ofiar ataków ransomware zapłaciło przestępcom za odszyfrowanie plików. Większość specjalistów od cyberbezpieczeństwa jest przeciwna płaceniu haraczu, ponieważ wniesienie opłaty nigdy nie daje 100 proc. gwarancji odszyfrowania danych. Poza tym zachęca cyberprzestępców do przeprowadzenia kolejnych ataków, a także zasila ich budżety.

Gangi ransomware polują nie tylko na bogatych

Colonial Pipeline, Cisco, Nvidia, Knauf Gips, Canon, Volkswagen Group, Orange, Garmin to tylko kilka z wielu znanych koncernów, które padły ofiarą ataku ransomware. Jak się łatwo domyślić, duże firmy oraz instytucje są ulubionym celem cybergangów. Według danych telemetrycznych zebranych przez systemy Bitdefendera, napastnicy skoncentrowali się przede wszystkim na dochodowych terytoriach i branżach.

Ulubionym państwem gangów ransomware jest USA, gdzie skierowano 33 procent spośród wszystkich cyberataków. Kolejne miejsca zajęły Niemcy z 12% udziałem, a następnie Ameryka Łacińska (11%). Włochy (11%), Wielka Brytania (8%). Napastnicy szczególnie upodobali sobie sektor telekomunikacyjny. W 2021 roku rozwiązania Bitdefender zablokowały 48% globalnych ataków ransomware w samej branży telekomunikacyjnej. Media zajmują drugie miejsce (19%), za nimi uplasowały się takie branże jak: edukacja i badania (9 proc.), administracja (8%), technologia i usługi (1%.).

Nie oznacza to jednak, że właściciele małych i średnich firm mogą spać spokojnie. O ile duże gangi polują przede wszystkim na „grube ryby”, o tyle początkujący hakerzy uderzają w mały biznes, a nawet gospodarstwa domowe. Jest to możliwe, dzięki rozwojowi modelu „Ransomware as a Service”. Najwięksi, doświadczeni twórcy malware’u udostępniają go sprzymierzonym podmiotom, pobierając w zamian prowizję. W rezultacie nieopierzeni napastnicy nie muszą posiadać obszernej wiedzy na temat technik ataków czy funkcjonowania sieci.

Jak się bronić?

Organizacje, chcąc chronić swoje dane, muszą posiadać przynajmniej podstawowe narzędzia bezpieczeństwa, takie jak oprogramowanie antywirusowe. W obecnych czasach każdy dostawca antywirusa deklaruje, że jego produkt stanowi skuteczną zaporę przed atakiem ransomware. Jednak teoria często rozmija się z praktyką i sprytni hakerzy potrafią ominąć zabezpieczenia. Dlatego należy dokonywać racjonalnych wyborów i nie bazować wyłącznie na materiałach marketingowych producenta.

Cenną wskazówki dla osób poszukujących skutecznego zabezpieczenia przed oprogramowaniem ransomware są wyniki badania przeprowadzonego przez niezależny instytut badawczy AV-TEST. Analitycy przeprowadzili szczegółowe badania mające na celu sprawdzić skuteczność oprogramowania bezpieczeństwa pod kątem wykrywania ransomware’u. W teście brały udział między innymi Bitdefender Internet Security, Bitdefender End-point Security oraz Bitdefender Endpoint Security Ultra. Wszystkie trzy produkty wykazały się stuprocentową skutecznością w wykrywaniu ransomware’u i otrzymały od AV-TEST maksymalną liczbę pun-któw.

Niezwykle ważna jest też aktualizacja podatnych komponentów infrastruktury. Działy IT muszą prowadzić stałą analizę i podatności. Nie jest to łatwy proces, zwłaszcza jeśli firma korzysta z tysięcy aplikacji. W tego typu przypadku warto skorzystać z odpowiedniego oprogramowania, wykonującego automatyczne aktualizacje.

Należy też dokładnie analizować konfigurację serwisów i aplikacji (eliminacja domyślnych ustawień, domyślnych haseł, zbędnych usług), a także ograniczyć do niezbędnego minimum używania kont serwisowych. — Organizacja chcąca powstrzymać gangi ransomoware musi zbudować politykę bezpieczeństwa infrastruktury, uwzględniającą proces pozyskiwania informacji o słabościach i wykonywania regularnych testów. Historia ransomware’u pokazuje, że napastnicy doskonale adaptują się do zmieniających się okoliczności i potrafią zaatakować w nowy i jeszcze bardziej dotkliwy sposób - podsumowuje Mariusz Politowicz.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności