Co to jest ransomware i dlaczego nie należy go bagatelizować?
Co to jest ransomware i dlaczego nie należy go bagatelizować?
Ransomware to złośliwe oprogramowanie szyfrujące pliki, często wykradające je i całkowicie blokujące system komputerowy. Odzyskanie dostępu do danych jest teoretycznie możliwe po wpłacie określonej kwoty na konto atakującego. Dodatkowo cyberprzestępcy często grożą, że opublikują skradzione informacje w przypadku niezapłacenia okupu. Zaakceptowanie żądań hakerów nie gwarantuje jednak odzyskania danych.
Atak ransomware wiąże się więc nie tylko ze stratami finansowymi (bez względu na to, czy okup został zapłacony), ale również utratą reputacji i spadkiem zaufania (w przypadku np. wycieku danych kontrahentów), a nawet bankructwem.
RANSOMWARE PRZYBIERA NA SILE
Jak podaje CERT Polska, ransomware było w ostatnim roku jednym z największych zagrożeń dla cyberbezpieczeństwa w naszym kraju. Według badania Sophos, na które powołuje się CERT Polska2, w ubiegłym roku gwałtownie wrosła skala ataków ransomware na duże i średnie firmy w Polsce. Aż 77 procent organizacji doświadczyło tego zagrożenia. Dla porównania – w roku 2020 było to zaledwie 13 procent. Najczęściej atakowane były infrastruktura cyfrowa, osoby fizyczne oraz administracja publiczna. Nie oznacza to jednak, że którekolwiek z przedsiębiorstw może czuć się bezpieczne. Jak pokazuje w raporcie CERT Polska, atakowane były sektory prywatne zajmujące się handlem, produkcją, ubezpieczeniami, turystyką, transportem, budownictwem, gospodarką nieruchomościami, logistyką, a także publiczne takie jak oświata i wychowanie, służba zdrowia, wodociągi.
Jednym z zaobserwowanych przez CERT Polska trendów były wielokrotne wymuszenia. Cyberprzestępcy starali się maksymalnie zwiększyć swój zysk z pojedynczego ataku, żądając okupu nie tylko za odzyskanie zaszyfrowanych danych. Przedmiotem negocjacji była również możliwość poinformowania o wycieku danych partnerów, udziałowców, organów nadzorczych lub opinii publicznej. Ponadto, jeśli atakującym udało się zdobyć dane wrażliwe partnerów lub klientów danej firmy, oni również stawali się ofiarami szantażu, a skradzione informacje mogły posłużyć do przygotowania ataku na ich pracowników. Łatwo zauważyć więc, że konsekwencje ataku tworzy swego rodzaju “efekt domino” i ofiarami jednej kampanii może stać się nawet kilka tysięcy (!) podmiotów.
ZACZYNA SIĘ OD PHISHINGU
Żeby zapobiegać atakom ransomware należy zrozumieć, w jaki sposób się rozprzestrzeniają. Chociaż hakerzy mogą przeprowadzić ataki ransomware za pośrednictwem złośliwych witryn lub podatnych usług, najczęściej robią to poprzez phishing. Wysyłają do swoich ofiar wiadomości e-mail z linkami lub załącznikami w różnych formatach, głównie takich jak np. DOC, XLS, PDF a nawet HTML. Otwarcie złośliwej wiadomości e-mail, która zawiera link do strony internetowej kontrolowanej przez cyberprzestępcę, skutkuje pobraniem malware. Podobnie w przypadku uruchomienia odpowiednio przygotowanego załącznika. Po pobraniu ransomware, złośliwe oprogramowanie może pozostać uśpione na dysku sieciowym lub uruchomić się bezpośrednio na zainfekowanym komputerze. Uruchomione oprogramowanie skanuje sieciowe i lokalne magazyny danych szukając docelowych typów plików, a następnie je szyfruje, wykrada lub po prostu niszczy.
O tym, jak rozprzestrzenia się ransomware szerzej pisaliśmy w innym artykule.
PIENIĄDZE TO (NIE) WSZYSTKO
CERT Polska podaje, że średnia kwota strat spowodowanych atakiem ransomware na świecie wzrosła prawie dwukrotnie (z niespełna 800 tys. dolarów w 2020 roku do przeszło 1,8 miliona dolarów w roku 2021). Blisko połowa z zaatakowanych firm zdecydowała się zapłacić okup. Dla porównania, w roku 2020 zrobiło to 32 procent przedsiębiorstw.
W Polsce także gwałtownie wzrosła skala ataków ransomware na duże i średnie firmy. W porównaniu do 2020 roku, gdzie procent zaatakowanych firm wynosił zaledwie 13 procent, w 2021 zagrożenia tego doświadczyło aż 77 procent. 8 na 10 ataków kończyło się zaszyfrowaniem danych. Połowa przedsiębiorstw zapłaciła okup przestępcom, który wyniósł średnio 670 tys. złotych. Polskie firmy poniosły też dodatkowe, spore koszty związane z przestojami w działalności, kosztami operacyjnymi i straconymi możliwościami biznesowymi. Dwie trzecie z firm, które padły ofiarą ataku, odnotowały spadek przychodów. 22 procent z nich straciło z tego powodu od 2,8 do 5,8 milionów złotych. Co dziesiąta odnotowała straty sięgające nawet 29 milionów złotych.
Ze względu na silne szyfrowanie danych, odzyskanie plików bez płacenia okupu graniczy z cudem. Niemniej jednak zapłacenie go wcale nie daje gwarancji, że skradzione pliki wrócą do ofiary ataku. Po pierwsze – cyberoszust wcale nie musi chcieć tego robić, po drugie może nie być to możliwe. Pokazał to przypadek NotPetya, który generował zupełnie losowy identyfikator dla każdego użytkownika, przez co odszyfrowanie plików było niewykonalne.
Płacenie okupu może też zachęcić cyberoszustów do kolejnych ataków i zwiększania żądanej kwoty. Płacąc okup hakerom, staniesz się nie tylko łatwym źródłem dochodów dla nich, ale też wspierasz finansowo ich działalność. Dzięki Tobie będą mogli obierać za cel kolejną ofiarę lub skuszeni łatwym zyskiem, wrócą, by zaatakować Cię ponownie.
JAK SIE BRONIĆ?
Straty finansowe to nie koniec utrapień dla przedsiębiorstwa. Ataki ransomware oprócz tego, że są kosztowne, prowadzą do utraty klientów, zaufania i reputacji.
Jednak jak się obronić? Kiedy zawiodą inne zabezpieczenia, pracownik staje się ostatnią linią zabezpieczeń Twojej organizacji. Jeśli w porę rozpozna atak, może uchronić firmę przed jego poważnymi następstwami. Dlatego tak istotna jest ciągła edukacja Twoich pracowników i zwiększanie ich świadomości w obszarze cyberzagrożeń.
Nie ma lepszego sposobu na podniesienie odporności pracowników jak skonfrontowanie ich czujności i podnoszenie umiejętności obrony poprzez praktyczne odpieranie ataków phishingowych przeprowadzanych w kontrolowanych warunkach. Jeśli chcesz odpowiednio wcześniej przygotować swoich pracowników na atak, a tym samym zwiększyć bezpieczeństwo swojego biznesu wypróbuj Praktyczny Trening Antyphishingowy. Skontaktuj się z naszym ekspertem i dowiedz się, jak możemy Cię wesprzeć w podnoszeniu odporności Twojej firmy na ataki ransomware.