W innym artykule pisaliśmy o tym, jak groźne jest ransomware i jakie sieje spustoszenie.

Teraz przyjrzymy się temu, jak działa ransomware i w jaki sposób mu zapobiegać. Choć ransomware przybiera różne formy, skutki infekcji są zawsze bardzo dotkliwe. Najczęściej ataki te prowadzą do utraty lub zablokowania dostępu do danych, który (teoretycznie) można odzyskać po wpłaceniu okupu, którego żądają od swojej ofiary cyberprzestępcy.

• Oprogramowanie scareware – nazywane także fałszywym oprogramowaniem zabezpieczającym. To program, który wykorzystuje fałszywe komunikaty o błędach, by skłonić do zakupu programu, który przywróci prawidłowe działanie systemu. Jego działanie polega zazwyczaj na podszywaniu się pod pracowników wsparcia technicznego lub oprogramowanie zabezpieczające. Typowy komunikat ostrzegawczy informuje, że komputer został zainfekowany malware bez faktycznego skanowania komputera. W przypadku bezczynności program będzie masowo otwierał okienka i komunikaty ostrzegawcze. 
• Oprogramowanie blokujące (locker) – ta postać ransomware całkowicie blokuje dostęp do komputera. Niemożliwe będzie nawet zalogowanie się. Po uruchomieniu komputera wyświetlony będzie pełnoekranowy komunikat np. z odznaką policji o wykryciu nielegalnej aktywności na komputerze i żądaniem okupu.  
• Oprogramowanie szyfrujące (crypto-malware) – najpopularniejsza i najpoważniejsza odmiana ransomware. Użytkownik co prawda często może zalogować się do systemu, ale nie ma dostępu do swoich plików. Dzieje się tak, ponieważ oprogramowanie szyfruje pliki, żądając okupu w zamian za ich odblokowanie. Żaden program zabezpieczający nie pomoże w ich odszyfrowaniu. W większości przypadków nieuiszczenie opłaty jest równoznaczne z bezpowrotną utratą danych. Co ważne, zapłacenie okupu wcale nie gwarantuje zwrotu danych.  
• Oprogramowanie pobierające dane osobiste do nielegalnych celów (doxware) – pobiera kopie poufnych plików na komputer hakera. Cyberprzestępca grozi ich publicznym ujawnieniem, jeśli ofiara nie zapłaci okupu.  

JAK ROZPRZESTRZENIA SIĘ RANSOMWARE?

Phishing, czyli szkodliwe wiadomości e-mail 

Ataki ransomware najczęściej zaczynają się od wysłania złośliwej wiadomości e-mail. W momencie kliknięcia w przesłany link i pobrania podstawionego przez cyberprzestępców pliku lub otwarcia zainfekowanego załącznika, oprogramowanie rozpoczyna procedurę szyfrowania. Kiedy ten etap się zakończy, pojawia się komunikat o zaszyfrowaniu oraz instrukcja, jak zapłacić okup (najczęściej z wykorzystaniem kryptowalut, zwiększających anonimowość przestępcy). 

Remote desktop protocol 

Umożliwia zdalne podłączenie się do systemu i sterowanie nim. Cyberprzestępcy wykorzystują podatności w oprogramowaniu RDP lub zdobyte dane uwierzytelniające do uruchomienia oprogramowania ransomware na zaatakowanym systemie.  

Dostawcy usług zarządzanych (MSP) oraz oprogramowanie do zdalnego monitorowania i zarządzania (RMM) 

Dostawcy usług zarządzanych to zewnętrzni partnerzy, którzy zdalnie zarządzają infrastrukturą IT swoich klientów, odpowiadając tym samym w dużym stopniu za bezpieczeństwo systemów i danych swoich klientów. RMM, czyli lokalnie zainstalowani agenci, do których mają dostęp dostawcy usług, mogą stać się przekaźnikiem oprogramowania ransomware. Wystarczy, że haker przeprowadzi skuteczny atak phishingowy na MSP i przejmie kontrolę nad oprogramowaniem do monitorowania (RMM). Kiedy cyberprzestępcom się to uda, mogą przenieść skutki ataku na klientów dostawcy.  

Malvertizing 

Technika ta polega na rozprzestrzenianiu szkodliwego oprogramowania za pośrednictwem internetowych reklam. Przez ostatnie lata technika ta ewoluowała. Obecnie cyberprzestępcy wykupują reklamy także w wiarygodnych serwisach, po to, by uśpić czujność. Po kliknięciu w baner lub link, następuje przekierowanie na kontrolowaną przez atakującego stronę i zainfekowaniae systemu ofiary.   

P2P 

Innym sposobem na rozpoczęcie ataku jest infekowanie nielegalnych kopii oprogramowania, filmów lub muzyki w sieciach P2P (peer-to-peer). Sama procedura infekcji jest podobna do wcześniej przytaczanych przykładów – następuje po pobraniu i otwarciu pliku przez nieświadomą ofiarę.  

Przeglądarki internetowe i Wi-Fi 

Zagrożenie ransomware nie zawsze jest związane z pobieraniem oprogramowania lub phishingiem. Istnieją typy ransomware, które infekują wiele systemów działających w sąsiadujących sieciach bezprzewodowych. Cyberprzestępcy wykorzystują również słabości przeglądarki i różnych usług sieciowych. Za pośrednictwem specjalnie spreparowanych stron internetowych ze złośliwym kodem, potrafią dostarczyć złośliwe oprogramowanie do komputera swojej ofiary. 

PRZYKŁADY ATAKÓW RANSOMWARE

PC Cyborg  

Znany także jako “Aids” koń trojański uznawany jest za prekursora oprogramowania ransomware. Pojawił się na dyskietkach 5,25 cala, których kilkanaście tysięcy sztuk trafiło do różnych osób i instytucji w 90 krajach. Na dyskietce znajdował się program z ankietą napisany w QuickBasic 3.0., działający na systemie MS-Dos. Jeden z plików, który wgrany był na dyskietkę, przenosił szkodliwy kod na dysk C. Po 90. Uruchomieniu komputera pojawiał się komunikat o zainfekowaniu systemu i konieczności wpłacenia okupu. 

CryptoLocker 

CryptoLocker był jednym z pierwszych ataków ransomware na szeroką skalę. Rozprzestrzeniał się za pośrednictwem wiadomości e-mail. Po uruchomieniu program rozpoczynał skanowanie plików systemowych i szyfrował je. Następnie wyświetlał się komunikat, który informował o żądaniu okupu. Według szacunków FBI, straty poniesione zwłaszcza przez duże korporacje opiewały na kwotę 100 milionów dolarów. 

WannaCry 

Oprogramowanie zainfekowało ponad 300 tysięcy urządzeń w blisko 100 krajach. Szkodliwe oprogramowanie dostawało się na komputery po wykorzystaniu luki w protokole systemowym. Po infekcji i zaszyfrowaniu, plikom zostawały dodane rozszerzenia .wncry. Żeby je odzyskać, konieczne było wpłacenie pieniędzy na wskazane portfele BitCoin. Ekrany wskazujące na infekcję WannaCry były masowo obserwowane również w publicznych miejscach – np. na bankomatach czy bilboardach. 

Petya 

Pierwotna wersja tego oprogramowania trafiła na komputer ofiary jako załącznik do wiadomości e-mail, która miała być życiorysem kandydata o pracę. Po uruchomieniu pliku Petya restartowała komputer i uruchamiała ekran, który wyglądał jak CHKDSK systemu WIndows (Petya atakowała wyłącznie komputery z tym system operacyjnym). W rzeczywistości był to znak, że złośliwe oprogramowanie rozpoczęło działać. Od pozostałych ataków Petyę odróżniało to, że zamiast wyszukiwać określone pliki i je szyfrować, instalowała własny program, który nadpisywał główny rekord rozruchowy systemu, a następnie szyfrował główne tabele plików. Na końcu oprogramowanie ransomware żądało okupu w Bitcoinach, po wpłaceniu którego możliwe było odszyfrowanie dysku twardego.  

NotPetya 

Wkroczyło do akcji niespełna miesiąc po WannaCry. Oprogramowanie wykorzystywało dokładnie ten sam exploit i narzędzie, co WannaCry. NotPetya najpierw szyfrował pliki z określonymi rozszerzeniami, następnie restartował komputer i skanował inne urządzenia w sieci LAN, by się rozprzestrzenić. Nie był typowym ransomware, a programem typu wiper. Nawet po wpłaceniu okupu, nie był w stanie odszyfrować całego dysku. Ataki nie ominęły również Polski. Łączne starty oszacowano na 10 miliardów dolarów.  

Infekcja ISS World 

Mimo wzrostu zabezpieczeń ograniczających możliwość wystąpienia ataków ransomware te nadal się pojawiały. Ofiarami zaczęły padać pojedyncze firmy. Jednym z poważniejszych ataków wymierzonych właśnie w przedsiębiorstwa, był ten wymierzony w 2020 roku w infrastrukturę IT potężnej firmy ISS World, zatrudniającej pół miliona pracowników. Setki tysięcy pracowników nie miało dostępu do intranetu i skrzynek mailowych. Organizacja szacuje, że straty mogły wynieść nawet 112 milionów dolarów. 

BlackCat Ransomware 

To model biznesowy typu ramsomware-as-a-service (RaaS) opierający się na strukturze marketingu afiliacyjnego. W praktyce oznacza to, że BlackCat nie hostuje ani też nie dystrybuuje złośliwego oprogramowania samodzielnie tylko polega na osobach trzecich, które robią to za niego. W ten sposób udaje się uniknąć wykrycia przez oprogramowanie antywirusowe, ale i uciec od odpowiedzialności prawnej. 

Cyberprzestępcy, którzy atakują z wykorzystaniem ransomware są bezwzględni i zazwyczaj osiągają swój cel, narażając firmy na wielomilionowe straty. Niestety, w wielu organizacjach temat cyberbezpieczeństwa jest nadal bagatelizowany i odkładany na dalszy plan, mimo że działanie post factum jest najczęściej zbyt późne i nieskuteczne, a nierzadko zabójcze dla biznesu. 

JAK WIĘC ZAPOBIEGAĆ RANSOMWARE?

Przede wszystkim należy postawić na solidną edukację i uświadamianie pracowników, którzy stanowią główny cel ataku. Ważne jest również posiadanie prawidłowo wykonanych i dobrze przetestowanych kopii zapasowych. Dzięki temu, w razie skutecznego ataku, możliwe będzie odzyskanie dostępu do utraconych danych i sprawny powrót do prawidłowego funkcjonowania biznesu.