Co we współczesnym cyberświecie niesie ze sobą największe obrażenia, charakteryzuje się największym wyrafinowaniem i zdobywa największą popularność w każdym zakątku? Zgadniesz?…
Ach, odpowiedź zawiera tytuł tego postu — chodzi oczywiście o oprogramowanie ransomware (znane także pod nazwą cryptomalware, ale pozostanę przy prostszym, mniej wykręcającym język i profesjonalnym określeniu „ransomware”).
Jak złe jest to oprogramowanie?…
Cóż, jest naprawdę złe. Konsekwentnie od wielu lat głęboko zakorzeniło się we wszystkich aspektach cyfrowych i sprawia wiele kłopotów wielu dużym organizacjom (przyczyniając się pośrednio nawet do śmierci ludzi), które płacą tak duże kwoty za okup, że media informacyjne na całym świecie coraz częściej podchodzą już do tych rewelacji z obojętnością. Tematyka ta przestała już pojawiać się na pierwszych stronach gazet, powoli stając się wydarzeniem codziennym. I to właśnie jest najbardziej niepokojące: oznacza to, że cyberszumowiny (przepraszam za tak mocny język, ale to naprawdę najlepszy sposób na opisanie tych ludzi) wygrywają. Cyberwymuszenia stają się nieuniknioną rzeczywistością dzisiejszego świata cyfrowego i wygląda na to, że nic nie można z tym zrobić.
Oszuści wgrywają z trzech powodów:
Po trzecie (zacznę od końca): „duzi chłopcy” wciąż grają w swoje szkolne gry geopolityczne, blokują państwowe cyberpolicje wymieniające się informacjami operacyjnymi w celu skoordynowanego wyszukiwania, łapania, aresztowania i oskarżania operatorów oprogramowania ransomware.
Po drugie: użytkownicy nie są przygotowani – czyli odporni – na tyle, aby odeprzeć takie ataki.
I po pierwsze (i najważniejsze): nie wszystkie produkty stosują te same technologie chroniące przed ransomware, a więc nie są równie skuteczne na dłuższą metę.
Często opis technologii chroniącej przed ransomware, dostępnej w danym rozwiązaniu cyberbezpieczeństwa, zapewnia o jej skuteczności. Ale w praktyce nie robi dokładnie tego, co jest napisane. Co to oznacza? Że użytkownicy są skandalicznie niechronieni przed bardzo profesjonalnymi, technicznie wyrafinowanymi atakami z użyciem oprogramowania ransomware.
Ale nie musisz wierzyć mi na słowo. Sprawdź, co ma do powiedzenia na ten temat zaufany niemiecki instytut badawczy AV-TEST. Niedawno opublikował on obszerne badanie dotyczące zdolności produktów cyberbezpieczeństwa do zwalczania oprogramowania ransomware. Organizacja ta nie brała pod uwagę opisu marketingowego („ten dezodorant daje gwarancję ochrony przez 48 godzin”) oraz nie użyła tylko powszechnie znanych próbek oprogramowania ransomware. Sprawdzili oni kilka czołowych rozwiązań cyberbezpieczeństwa w prawdziwych warunkach, atakując je wszelkiego rodzaju artylerią ransomware, która już jest na świecie. Jak wspomniałem, nie były to próbki dostępne na wolności, ale takie, które są technicznie zdolne do uzbrojenia ataku ransomware. I co się okazało? Ogólnie rzecz biorąc – wyniki były szokujące i przerażające.
Gdy sprawdza się świeże próbki, np. 20 zwykłych rodzin oprogramowania ransomware, które są znane dla każdego dostawcy zabezpieczeń (innymi słowy, próbki są już w bazach danych dostawców cyberbezpieczeństwa), to prawie cała cyberochrona dobrze sobie z nimi poradzi.
Jednak celem wspomnianego badania było sprawdzenie, co się stanie, gdy sytuacja będzie bardziej skomplikowana — testy obejmowały jak najbardziej rzeczywiste warunki. Jak produkty reagują na nowe metody ataku ransomware? Co się stanie, jeśli taki program potajemnie przeniknie do sieci korporacyjnej i zacznie siać spustoszenie? Jak dobrze produkty zapobiegają atakom z internetu, w których pliki użytkowników znajdujące się w folderach współdzielonych są szyfrowane zdalnie? Jak będzie wyglądać sytuacja, gdy w ataku sieciowym będą wykorzystywane próbki oprogramowania ransomware, które zostały pomyślnie wykryte i zablokowane w podstawowym scenariuszu początkowym?
Tylko trzy (3!) przetestowane produkty na 11 zdołały poradzić sobie z tego rodzaju nowymi, trudnymi atakami ransomware. Wśród nich tylko nasz Kaspersky Endpoint Security Cloud ochronił dane użytkowników w 100%. Należy pamiętać, że ataki mające na celu kradzież danych użytkowników nadal należą do najbardziej rozpowszechnionych, stanowiąc poważne zagrożenie dla organizacji, w których dokumentacja projektowa, informacje o klientach, kopie zapasowe i inne dane są przechowywane w lokalizacjach sieciowych.
Ale to nie wszystko!
Większość przetestowanych rozwiązań bezpieczeństwa nie tylko nie wykryła ataków i nie ochroniła plików użytkowników, ale także usunęła wiadomości tekstowe od szantażystów, w których zawarte były żądania okupu! Takie wiadomości mogą zawierać informacje techniczne przydatne do odzyskania zaszyfrowanych plików! Informacje te są wykorzystywane przez ekspertów ds. cyberbezpieczeństwa, gdy próbują pomóc ofierze: w celu zidentyfikowania szkodliwego oprogramowania, znalezienia luki w algorytmie szyfrowania i opracowania deszyfratora do pobierania cennych danych lub zasugerowania skorzystania z istniejącego deszyfratora dostępnego w niezależnych i ogólnodostępnych źródłach (na przykład na stronie projektu No More Ransom).
AV-TEST sprawdził również, jak dobrze rozwiązania bezpieczeństwa sprawdzają „wnętrzności” oprogramowania ransomware, które jeszcze jest rzadko spotykane na wolności, ale które mimo to stanowi potencjalne zagrożenie dla społeczeństwa. Chodzi na przykład o nadużywanie legalnych usług systemu Windows, szyfrowanie za pomocą dowiązań twardych i symbolicznych, opóźnione szyfrowanie pakietów lub szyfrowanie za pomocą plików mapowanych w pamięci. W sumie przeanalizowano czternaście różnych technik. Jak myślisz, co wykazały testy? Tu także tylko nasz Kaspersky Endpoint Security Cloud wykazał 100% skuteczności: każdy plik użytkownika był zabezpieczony, a wszystkie zagrożenia zostały wyeliminowane z atakowanego systemu!
Aha, i jeszcze coś: tylko dwa produkty były w stanie wycofać zmiany w danych użytkownika wprowadzone w ramach ataku zdalnego z użyciem ransomware. Nie trzeba dodawać, że jednym z nich był nasz produkt.
Ogólnie rzecz biorąc, podczas gdy na wyższych szczeblach świata ludzie wciąż spierają się o to, który model ekonomiczno-geopolityczny jest najlepszy i które produkty dopuścić lub zablokować ze względu na ich pochodzenie i „interesy narodowe” — niezależnie od ich rzeczywistej jakości i użyteczności, jaką niosą prawdziwym użytkownikom — na szczęście użytkownicy nadal mogą decydować o sobie i wybrać najlepsze rozwiązanie. „Najlepsze” czyli najskuteczniejsze, najwydajniejsze, najszybsze, najbardziej niezawodne oraz z bezkompromisowo powstrzymujące wszelkiego rodzaju ataki — i to bez względu na to, skąd one pochodzą.
To pokazuje, że nie tylko diabeł może ukryć się w szczegółach, ale także… niebiański zbawca – w tym przypadku technologia chroniąca przed ransomware, która… faktycznie działa.
Więcej szczegółów na temat wyników testów można znaleźć w tym poście.
Niech siła ochrony przed ransomware będzie z Tobą!