Ransomware to największe zagrożenie dla bezpieczeństwa IT

Nowa filozofia ataków

Choć z punktu widzenia technik wykorzystywanych do infekcji, ransomware nie różni się od innych znanych zagrożeń, ale filozofia leżąca u jego podstaw jest zupełnie inna i dlatego zasługuje na wyróżnienie.

Standardowy malware jest skoncentrowany na wykradaniu cennych informacji, które mają wartość rynkową. Mogą to być, dane osobiste, numery kart kredytowych, hasła do kont bankowych, informacje o klientach firmy itd. Dane takie można sprzedać lub wykorzystać do uzyskania korzyści finansowych.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Spadek sprzedaży pecetów
  • IDC CIO Summit – potencjał drzemiący w algorytmach

Autorzy ransomware nie troszczą się o analizę i rynkową wartość danych tylko blokują do nich dostęp. W efekcie atak dotyczy informacji, które nie mają wartości rynkowej umożliwiającej ich sprzedanie. Bo kto chciałby kupić zestaw rodzinny zdjęć nieznanej osoby lub zbiór danych medycznych dotyczących pacjentów jakiegoś szpitala. Jest to mało prawdopodobne. Ale dane te mają unikalną wartość dla ich właściciela, bo ma do nich duży sentyment lub są podstawą dla prowadzenia biznesu.

W efekecie ransomware jest zupełnie inną kategorią zagrożeń, od tych do których chyba wszyscy się przyzwyczaili, a jednocześnie rozszerza krąg potencjalnych ofiar na wszystkich użytkowników internetu.

Czy jesteśmy bezbronni?

W ostatnich latach było kilka spektakularnych przypadków skutecznego wykrycia i eliminacji systemów dystrybucji ransomware, jak akcja Operation Tovar dzięki której unieszkodliwiono botnet Gameover ZeuS zajmujący się m.in. dystrybucją programu CryptoLocker. Ale organy ścigania są najczęściej bezradne i nie są w stanie efektywnie walczyć z cyberprzestępcami, zwłaszcza w przypadku gdy serwery C&C są ukryte w zapewniającej anonimowość sieci Tor.

Wiadomo, że wiele zaatakowanych instytucji, które nie miały wdrożonego efektywnego systemu tworzenia kopii zapasowych danych, zdecydowało się na zapłacenie okupu by uniknąć katastrofalnych strat. W USA niektóre z nich uczyniły to za radą agencji FBI, która nie była w stanie zapewnić im, że zapobiegnie skutkom ataku i szybko wykryje jego sprawców.

Czasami twórcy ransomware też popełniają błędy. Jest kilkanaście przypadków, gdy specjalistom od bezpieczeństwa udało się wykryć luki w oprogramowaniu i opracować narzędzia umożliwiające odszyfrowanie danych bez płacenia okupu. Zdarzają się też, niestety rzadkie, przypadki przejęcia kontroli nad serwerami C&C i udostępnienia ofiarom ataków kluczy deszyfrujących.

Przykładem może być ransomware TeslaCrypt, który pojawił się w 2015 roku, a wkrótce potem w internecie udostępniono programy TeslaCrack, Tesladecrypt i TeslaDecoder, które umożliwiają odszyfrowanie danych bez wpłacania okupu.

Niestety autorzy tego programu dość szybko poprawili błędy i na rynku pojawiła się nowa wersja TeslaCrypt 3.0.1 pozbawiona wcześniejszych luk, jak w połowie marca 2016 poinformowali specjaliści z Cisco Talos Research Group.

Dlatego nie warto liczyć na łut szczęścia, bo cyberprzestępcy szybko poprawiają swoje “produkty” i tworzą ich nowe, pozbawione wcześniejszych błędów wersje.

Większość specjalistów ds. bezpieczeństwa odradza płacenia okupu argumentująć, że nie ma żadnej gwarancji uzyskania kluczy do deszyfrowania, a przede wszystkim jest to działanie zachęcające przestępców do kontynuowania i rozwijania ataków. Jeśli jednak alternatywą są ogromne straty lub upadek firmy, to decyzję taką trudno podjąć.

Obrona to głównie prewencja

Programy ransomware są rozpowszechniane przy wykorzystaniu dobrze znanych technik, najczęściej przez załączniki do wiadomości e-mail, dokumenty Word z odpowiednio spreparowanymi makrami, a także reklamy lub strony webowe zawierające szkodliwy kod. Oprócz tego, do dystrybucji oprogramowania wykorzystywany jest też inny znany malware, które dodatkowo może zainfekować komputer programem ransomware.

• Trzeba pamiętać, że regularne tworzenie kopii zapasowych to nie wszystko. Muszą one być przechowywane w pamięciach masowych off-line nie mających stałego kontaktu z aktywnym systemem. Kopie takie należy też systematycznie testować, by w krytycznym momencie nie okazało się, że są uszkodzone i nie pozwalają na szybkie odtworzenie danych.

• Warto zainstalować i korzystać z przeglądarek plików Word lub Excel. Utrudnia to wykonywanie szkodliwych makr, które mogły zostać dołączone do dokumentów.

• Należy dbać o regularne aktualizacje systemu i aplikacji.

Oznacza to, że krytyczne znaczenie dla minimalizacji ryzyka ma, w przypadku ransomware, zastosowanie się do standardowych, dobrze znanych i zalecanych praktyk bezpieczeństwa systemów komputerowych.

W skrócie polegają one na zapewnieniu bieżącej aktualizacji zainstalowanego oprogramowania, a w szczególności programu antywirusowego, systemu operacyjnego i przeglądarek internetowych oraz zainstalowanych w nich wtyczek takich, jak Flash Player, Adobe Reader, Java lub Silverlight.

Nigdy nie należy uruchamiać makr dołączonych do dokumentów bez sprawdzenia, że pochodzą z zaufanego źródła i ich obecność w dokumencie ma uzasadnienie.

Zawsze trzeba starannie przyglądać się wiadomościom, zwłaszcza zawierającym załączniki, nawet jeśli wydaje się, że zostały wysłane przez znane i zaufane osoby.

Podczas standardowej codziennej pracy warto korzystać z konta użytkownika o ograniczonych uprawnieniach, a nie konta administratora systemu.

Należy jednak wciąż przypominać, że najlepszą ochronę przed skutkami ataku ransomware daje dobra strategia tworzenia kopii zapasowych danych. Dotyczy to wszystkich popularnych na rynku systemów, a więc Linux i Mac OS X, a nie tylko Windows.

W przypadku ransomware zalecenie regularnego tworzenia zapasowych kopii danych to jednak nie wszystko. Trzeba pamiętać, że nie może to być kopia utworzona w lokalnej lub sieciowej pamięci masowej na stałe podłączonej do komputera. Nowoczesne programy ransomware są bowiem coraz częściej wyposażane w mechanizmy skanujące i infekujące wszystkie dostępne dyski i udziały sieciowe. Zapasowa kopia powinna być odizolowana od systemu.

Najlepszym rozwiązaniem jest wdrożenie redundantnego systemu tworzenia kopii zapasowych na kilku urządzeniach pamięci masowej z których tylko jedno może być w danym momencie podłączone do komputera.

Płacić okup czy nie?

Jeśli w komputerze pojawi się okienko z żądaniem okupu za odszyfrowanie danych to bezwzględnie należy odłączyć go od połączenia internetowego, łączy sieciowych i innych zewnętrznych urządzeń pamięciowych w celu utrudnienia ewentualnego rozprzestrzeniania się infekcji, a następnie skontaktować się z administratorami odpowiedzialnymi za bezpieczeństwo sieci w firmie.

Zapłacić okup czy nie to decyzja biznesowa, która wynika z analizy strat i kosztów związanych z potencjalną utratą danych, przerwą w działalności oraz przywróceniem systemu do normalnego działania.

Wybór nie jest łatwy. Bo są poważne argumenty przemawiające zarówno za jak i przeciw decyzji o zapłaceniu okupu.

Jeśli ktoś płaci okup, to zachęca cyberprzestępców do kontynuowania zyskownej działalności. Firma taka staje się też bardziej niż inne atrakcyjnym celem dla kolejnych ataków organizowanych również przez tą samą grupę przestępczą.

Płacąc okup okazujemy też zaufanie dla kryminalistów, że spełnią obietnice dostarczenia kluczy deszyfrujących. Niektóre grupy przestępcze, jak CryptoWall, starają się zapewnić “wysoki poziom obsługi”, ale jest też wiele przypadków, gdy wpłacający okup nie uzyskał kluczy lub okazało się, że nie pozwalają one na odzyskanie dostępu do danych. W tym ostatnim przypadku były to m.in. sytuacje, gdy błędy w kodzie ransomware uniemożliwiały odtworzenie zaszyfrowanych informacji.

Przestępcy organizujący ataki ransomware nie żądają obecnie zbyt wysokich okupów. Średnio jest to 300-1000 USD. Ale to będzie się zmieniać na zasadzie gry rynkowej, im więcej osób lub firm bedzie płacić okup, tym większe będą stawki.

Jeśli na przykład szpital (Hollywood Presbyterian Medical Center) zapłacił ostatnio (w marcu 2016) okup w wysokości 17 000 USD, a publicznie ujawniono, że utrata jego dochodów w przypadku konieczności odtwarzania systemu została oszacowana na ponad pół mln USD, to okup warto było zapłacić. Ale przestępcy też się o tym dowiedzieli i być może następnym razem podniosą żądaną sumę do np. 50 tys. USD. Takie są zasady ekonomii, sprzedawca ustala ceny na takim poziomie, jaki kupujący są w stanie zaakceptować.

Płacenie okupu ma jeszcze jedną długofalową, negatywną konsekwencję: przestępcze organizacje uzyskują fundusze umożliwiające finansowanie nowych, bardziej zaawansowanych wersji ransomware lub innego szkodliwego oprogramowania. W efekcie oznacza to jeszcze szybszy niż obecnie wzrost zagrożeń.

Te ogólne argumenty są przekonywujące, ale co ma zrobić ofiara? Często nie ma dużego wyboru… Nawet jeśli odtworzenie danych jest możliwe, ale wiadomo, że zajmie dużo czasu, a czas ma znaczenie krytyczne dla tej firmy lub organizacji, to zapłacenie okupu daje przynajmniej szansę na szybkie przywrócenie aktywności.

Krótka historia ransomware

Pierwszy program, który można zaliczyć do klasy ransomware pojawił się w 1989 roku (trojan AIDS znany też jako PC Cyborg), a w 1996 roku pojawiły się publikacje opisujące pierwszą koncepcję kryptowirusa atakującego komputery Macintosh SE/30 i wykorzystującego infrastrukturę kluczy publicznych, którą zaprezentowali Adam L. Young i Moti Yung.

Ale dopiero w 2005 roku widać było pierwsze sygnały, że ransomware może stać się poważnym zagrożeniem, gdy pojawiły się takie programy jak Gpcode, TROJ.RANSOM.A, Archiveus i inne.

W 2013 roku, czarne przewidywania się spełniły za sprawą CryptoLockera, pierwszego programu wykorzystującego wirtualną walutę Bitcoin umożliwiającą względnie łatwy transfer środków finansowych poza systemem bankowym.

Jak wówczas oszacowali dziennikarze portalu ZDNet, wartość okupów, które uzyskali w ciągu dwóch miesięcy autorzy CryptoLockera wyniosła około 27 mln USD.

Taki sukces nie mógł zostać niezauważony i od tego czasu liczba programów ransomware zaczęła gwałtownie rosnąć.

Obecnie jest to jedno z największych zagrożeń. Na przykład, firma Kaspersky wykryła w 2014 roku ponad 21 000 udanych infekcji przez ransomware, a w 2015 aż 51 000.


TOP 200