Epidemia oprogramowania żądającego okupu: dlaczego powinieneś bać się bardziej

Problem programów żądających okupu nie zmniejsza się. Najnowsze przykłady szerokiego rozpowszechnienia ataków takiego oprogramowania (takie jak CoinVault czy CryptoLocker) potwierdzają, że cyberprzestępcy coraz chętniej je stosują. Jednak pomimo tego, że ich popularność wzrasta, badanie przeprowadzone niedawno przez Kaspersky Lab ujawniło, że zaledwie 37% firm traktuje takie programy jako prawdziwe zagrożenie.

Andriej Pożogin, ekspert cyberbezpieczeństwa w Kaspersky Lab, podzielił się swoimi spostrzeżeniami na temat coraz częstszych ataków programów żądających okupu: jak działają, jakie są konsekwencje zapłacenia okupu, a także w jaki sposób mogą się chronić przed nimi użytkownicy indywidualni i firmy.

1. Co to jest oprogramowanie żądające okupu (ransomware)?

Ransomware to rodzaj szkodliwego programu używanego jako cyfrowy mechanizm wymuszenia. Blokuje ono użytkownikowi dostęp do systemu komputera do chwili zapłacenia przez niego żądanej kwoty. Do takich programów należą na przykład: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt oraz CTB-Locker.

2. Kim są ofiary ataków?

Zaatakowany może zostać przeciętny klient, mała i duża firma. Cyberprzestępcy nie dyskryminują, często próbują zainfekować tylu użytkowników, ile tylko można, aby uzyskać jak największe korzyści finansowe.

3. Jak działa taki atak?

Atak oprogramowania żądającego okupu jest zazwyczaj przeprowadzany przy użyciu wiadomości e-mail, która zawiera załącznik – plik wykonywalny, archiwum lub zdjęcie. Po jego otwarciu do systemu dostaje się szkodliwe oprogramowanie. Ransomware może także przedostać się na komputer użytkownika, jeżeli odwiedzi on stronę ze wstrzykniętym szkodliwym oprogramowaniem. Po wejściu na zainfekowaną stronę niepostrzeżenie wykonywany jest niebezpieczny skrypt (gdy użytkownik kliknie odnośnik lub pobierze plik), a następnie złośliwy program dostaje się do systemu.

Infekcja komputera nie jest w ogóle widoczna. Malware działa po cichu w tle, dopóki nie zostanie zainstalowany i zainicjowany mechanizm blokowania danych lub systemu. Cyberprzestępcy mają coraz większą wiedzę w zakresie tworzenia programów wyłudzających pieniądze, które mogą działać w sposób niewidoczny dla użytkownika. Ponadto osoby takie dysponują wieloma narzędziami i technikami, dzięki którym ich programy nie są wykrywane. Ofiara dowiaduje się o infekcji, gdy na komputerze zobaczy okno dialogowe z informacją, że dane zostały zablokowane a w celu ich odzyskania musi zapłacić określoną kwotę.

Jeśli na ekranie wyświetli się wspomniane okno dialogowe, w zasadzie jest już zbyt późno, aby zapisać dane. Kwoty za odszyfrowanie danych żądane przez cyberprzestępców wahają się od setek do tysięcy dolarów.

4. Czy mógłbyś podać przykład ataku z użyciem programu żądającego zapłaty?

Przykładem może tu być TorLocker, który swoją infekcję rozpoczyna od deszyfrowania jego sekcji danych 256-bitowym kluczem AES (mechanizm szyfrujący, który jest prawie niemożliwy do złamania) i uruchamia się w systemie użytkownika. Pierwsze cztery bajty klucza są używane jako unikatowa próbka identyfikująca, dodawana na końcu szyfrowanych plików. Następnie szkodliwy program jest kopiowany do folderu tymczasowego i tworzony jest klucz rejestru potrzebny do automatycznego uruchomienia tej kopii. Później malware:

• wyszukuje i zamyka kluczowe procesy systemu,
• usuwa wszystkie punkty przywracania systemu,
• szyfruje pliki programu Office, pliki audio i wideo, zdjęcia, archiwa, bazy danych, kopie zapasowe, klucze szyfrujące maszynę wirtualną, certyfikaty i inne pliki na wszystkich dyskach twardych i sieciowych,
• wywołuje okno dialogowe, które żąda od użytkownika zapłacenia okupu w celu odszyfrowania danych.

Problem jest w tym, że TorLocker infekuje każdy system w sposób unikatowy, więc nawet jeśli ktoś uzyska w jakiś sposób klucz do odszyfrowania danych, nie przyda on się do odszyfrowania ich na innych systemach. Cyberprzestępcy dają użytkownikom określoną liczbę dni (zazwyczaj 72 godziny) na zapłatę za klucz pozwalający odszyfrować dane, w przeciwnym razie dane są zniszczone. Cyberprzestępcy zazwyczaj oferują wiele różnych sposobów zapłaty, włącznie z bitcoinami i płaceniem za pośrednictwem stron trzecich.

5. Czego poszukują cyberprzestępcy, gdy przeprowadzają atak z użyciem programu wymuszającego okup?

Głównym celem cyberprzestępców przypuszczających taki atak jest zmuszenie ofiary do zapłacenia określonej kwoty, chociaż czasami chcą zdobyć własność intelektualną firmy, co odbija się na niej negatywnie.

Epidemia oprogramowania żądającego okupu: dlaczego powinieneś bać się bardziej

Tweet

6. Jak powszechne są ataki mobilnych programów szyfrujących dane?

Niestety ataki takie stają się coraz popularniejsze. Mobilne szkodliwe oprogramowanie coraz częściej jest wykorzystywane do przynoszenia korzyści finansowych, czy to poprzez kradzież, czy wymuszenie zapłaty okupu. Według raportu Kaspersky Lab Ewolucja zagrożeń IT w I kwartale 2015 r. 23% nowych szkodliwych zagrożeń, które zostały wykryte, zostało stworzone w celu kradzieży lub wymuszenia pieniędzy.

Spośród wszystkich zagrożeń mobilnych najbardziej rozpowszechnił się szkodliwy program Trojan-Ransom. Liczba nowych próbek wykrytych w pierwszym kwartale wyniosła 1 113, co stanowi wzrost o 65%, biorąc pod uwagę całkowitą liczbę próbek mobilnego oprogramowania żądającego okupu znajdujących się w naszej bazie. Jest to niepokojący trend, gdyż ransomware ma za zadanie wymuszanie pieniędzy, niszczenie osobistych danych i blokowanie zainfekowanych urządzeń.

7. Co powinni zrobić użytkownicy, których system jest już zainfekowany?

Niestety jeżeli program wymuszający pieniądze został już uruchomiony, przeważnie niewiele można zrobić. Z tego powodu tak ważne jest posiadanie kopii zapasowej lub odpowiedniej technologii zabezpieczającej. Chociaż w niektórych przypadkach udaje się pomóc użytkownikom w odszyfrowaniu ich zablokowanych danych, bez płacenia okupu. Niedawno Kaspersky Lab wraz z oddziałem holenderskiej policji National High Tech Crime Unit stworzyli repozytorium kluczy deszyfrujących oraz aplikację deszyfrującą dla ofiar CoinVaulta.

Ponadto chciałbym przestrzec ofiary przed używaniem podrzędnych programów z internetu, które mają rzekomo przywracać dane. Takie oprogramowanie w najlepszym przypadku nie zrobi nic, a w najgorszym – będzie dystrybuować dodatkowe szkodliwe programy.

8. Czy należy zapłacić okup?

Aby odzyskać swoje pliki, wiele osób jest w stanie go zapłacić. Według wyników badania przeprowadzonego przez Interdisciplinar Research Centre w Centrum Bezpieczeństwa Cybernetycznego na Uniwersytecie Kent w lutym 2014 roku, ponad 40% ofiar CryptoLockera zgodziło się zapłacić żądaną kwotę. Ten szkodliwy program zainfekował dziesiątki tysięcy maszyn i przyniósł cyberprzestępcom miliony dolarów zysku, a raport Dell SecureWorks pokazuje, że zarabia on dla złoczyńców nawet do 30 milionów dolarów w 100 dni.

Zapłacenie okupu nie jest dobrym rozwiązaniem. Po pierwsze dlatego, że nie mamy gwarancji, że odzyskamy nasze dane. Po drugie, nawet jeśli zdecydujemy się zapłacić, wiele rzeczy może pójść nie tak – na przykład program może mieć w sobie jakieś błędy, wskutek których dane mogą zostać utracone w sposób nieodwracalny. Po trzecie, każde spełnienie żądania cyberprzestępców potwierdza im, że akcja jest skuteczna, co może stanowić dla nich zachętę do poszukiwania kolejnych sposobów wykorzystania naszych systemów.

9. W jaki sposób użytkownik może uniknąć ataku takiego programu? Czy posiadanie kopii zapasowej wystarczy, aby nie bać się cyberprzestępców?

Plików zaszyfrowanych poprawnie użytym, silnym programem nie można odszyfrować. Dlatego część strategii obrony powinna obejmować posiadanie wszechstronnego rozwiązania zabezpieczającego oraz porządnego programu do tworzenia kopii zapasowej.

Dodatkowo niektóre odmiany złośliwego oprogramowania mogą szyfrować każdą dostępną kopię zapasową, włącznie z tymi przechowywanymi w zasobach sieciowych, dlatego ważne jest tworzenie „zimnych” kopii (jedynie odczyt i zapis, bez dostępu do usuwania/całkowitej kontroli).

Kaspersky Lab stworzył także moduł Kontrola systemu, który może przechowywać lokalnie chronione kopie plików i cofać zmiany wprowadzone przez program szyfrujący. Umożliwia to przeprowadzenie zautomatyzowanego leczenia, które oszczędza administratorom problemów związanych z przywracaniem kopii zapasowej i przestojem. Ważne jest, aby na komputerze zainstalowany był program zabezpieczający z włączonym modułem Kontrola systemu.

10. W jaki sposób rozwiązania Kaspersky Lab chronią przed nieznanymi zagrożeniami?

Nasze rozwiązania bezpieczeństwa umożliwiają korzystanie z usługi Kaspersky Security Network (KSN), która zapewnia znacznie szybszą reakcję na podejrzane zagrożenia niż tradycyjnie metody ochrony. KSN składa się z ponad 60 milionów wolontariuszy na całym świecie. Ta chmura bezpieczeństwa przetwarza ponad 600 000 żądań na sekundę.

Użytkownicy produktów firmy Kaspersky Lab na całym świecie dostarczają w czasie rzeczywistym informacji o zagrożeniach, które zostały wykryte i usunięte. Dane te są analizowane przez elitarną grupę ekspertów bezpieczeństwa GReAT (Global Research and Analysis Team). Ich głównym celem jest wykrycie i analiza nowych cyberzagrożeń, a także przewidywanie nowych.

Chociaż zagrożenia ewoluują i stają się coraz bardziej wyszukane, wielu użytkowników – zarówno tych korporacyjnych, jak i domowych – nie pracuje nad zwiększeniem swojego bezpieczeństwa. Co gorsza, niektórzy używają nieaktualnych lub podrzędnych rozwiązań bezpieczeństwa, które nie zapewniają dostatecznej ochrony.

Dlatego ważne jest, aby wybrany przez Ciebie produkt zapewniał tak skuteczną ochronę, jak tylko można. W samym roku 2014 nasze produkty uczestniczyły w 93 niezależnych testach, osiągając najlepsze wyniki – 66 razy uplasowały się w pierwszej trójce, a 51 razy zajęły pierwsze miejsce. Bezpieczeństwo informacji mamy w genach, a mimo to wciąż pracujemy nad zwiększaniem skuteczności naszych technologii, aby nasi użytkownicy mogli cieszyć się najlepszymi rozwiązaniami bezpieczeństwa.