Ransomware w 2020 r.

2020 rok zostanie zapamiętany z wielu powodów, a jednym z nich jest chociażby eksplozja infekcji oprogramowaniem ransomware.

Od chwili pierwszego pojawienia się ransomware zagrożenie to przeszło sporą ewolucję — od niespójnych narzędzi utworzonych przez odosobnionych entuzjastów do potężnego przemysłu podziemnego, w którym autorzy tego typu programów czerpią z nich niemałe zyski. Co więcej, cena wejścia do tego mrocznego świata jest coraz mniejsza.

Dziś osoby, które chcą być cyberprzestępcami, nie muszą już tworzyć własnych szkodliwych programów ani kupować ich w ciemniej stronie internetu. Wystarczy uzyskać dostęp do platformy chmurowej RaaS (Ransomware-as-a-Service, ransomware jako usługa). Takie usługi są łatwe do wdrożenia i nie wymagają umiejętności programistycznych, a dzięki nim każda osoba może używać narzędzi ransomware. Takie podejście naturalnie zwiększa liczbę cyberincydentów ransomware.

Innym najnowszym trendem, który nas martwi, jest przejście z modelu prostego ransomware do ataków łączonych, w których oszuści zdobywają dane, zanim je zaszyfrują. W takich przypadkach niezapłacenie okupu nie skutkuje zniszczeniem wykradzionych informacji, ale raczej opublikowaniem ich w otwartych źródłach lub sprzedażą na (zamkniętych) aukcjach. Na jednej z takich aukcji, która miała miejsce latem 2020 roku, można było kupić bazy zawierające dane firm z branży rolniczej, skradzione przy użyciu ransomware REvil. Cena wywoławcza wynosiła 55 tys. dol.

Niestety wiele ofiar oprogramowania ransomware czuje się zmuszonych do zapłaty, mimo świadomości tego, że takie działanie nie daje gwarancji odzyskania danych. Dzieje się tak dlatego, że hakerzy zwykle atakują firmy i organizacje, które nie mogą pozwolić sobie na przestój. Na przykład straty wywołane zatrzymaniem produkcji mogą wynieść nawet kilka milionów dolarów dziennie, a analiza incydentu może zająć kilka tygodni. Ponadto nikt nie może być pewny, że wszystko powróci na dawne tory. Jeśli chodzi o organizacje medyczne, w pilnych sytuacjach niektórzy właściciele firm uważają, że nie mają innej opcji, jak zapłacić okup.

Zeszłej jesieni FBI wydało specjalny dokument na temat ransomware, w którym ujęło swoje jednoznaczne stanowisko: hakerom nie wolno płacić, bo takie działanie zachęca ich do przeprowadzania kolejnych ataków, a ponadto w żaden sposób nie gwarantuje odzyskania zaszyfrowanych informacji.

Najpopularniejsze ataki

Poniżej znajduje się kilka incydentów, które miały miejsce w pierwszej połowie tego roku, a które wskazują na coraz większą skalę tego problemu.

W lutym duńska firma usługowa ISS padła ofiarą ransomware. Cyberprzestępcy zaszyfrowali jej bazę danych, a w efekcie setki tysięcy pracowników z 60 krajów utraciło dostęp do usług firmowych. Duńczycy odmówili zapłaty. Przywracanie większej części infrastruktury i przeprowadzenie analizy zajęło około miesiąca, a straty oszacowano na 75–114 mln dol.

Wiosną ransomware uderzyło w międzynarodowego dostawcę usług IT z Ameryki, firmę Cognizant. 18 kwietnia firma oficjalnie przyznała, że padła ofiarą ataku popularnego ransomware o nazwie Maze. Klienci firmy używali jej programów i usług do wspierania pracy zdalnej pracownikom, których aktywność została wstrzymana.

W przesłanym tuż po ataku do partnerów oświadczeniu firma Cognizant wskazała, że wskaźnikami włamania były charakterystyczne dla Maze adresy IP serwerów i skróty plików (kepstl32.dll, memes.tmp, maze.dll).

Odbudowa infrastruktury zajęła firmie trzy tygodnie, a w swoich wynikach finansowych za drugi kwartał 2020 r. wskazała ona straty rzędu 50–70 mln dol.

W lutym w ataku w Wielkiej Brytanii ucierpiała Rada dzielnicy Redcar i Cleveland. Gazeta The Guardian zacytowała członka zarządu, który miał powiedzieć, że skuteczna odbudowa infrastruktury IT, której używały setki tysięcy lokalnych mieszkańców, zajęła trzy tygodnie, a w tym czasie rada została zmuszona do powrotu do „długopisu i zeszytów”.

Jak zapewnić sobie bezpieczeństwo

Najlepszą strategią jest odpowiednie przygotowanie. W usługach pocztowych, które stanowią potencjalną bramę do nieautoryzowanego dostępu, warto zastosować filtry spamu, które zablokują lub poddadzą kwarantannie załączniki będące plikami wykonywalnymi.

Jeśli mimo przygotowania atak się powiedzie, czas przestoju i potencjalne straty zminimalizuje regularnie wykonywane kopie zapasowe wszystkich informacji, które są dla firmy najważniejsze. Przechowuj je w bezpiecznej chmurze.

Oprócz wspomnianych wyżej aspektów z obszaru higieny cyfrowej należy również używać specjalnych rozwiązań, takich jak Kaspersky Anti-Ransomware Tool. Korzystając z analizy behawioralnej i w chmurze, Kaspersky Anti-Ransomware Tool uniemożliwia programom ransomware przedostanie się do systemów, ponieważ wykrywa wcześniej podejrzane zachowanie aplikacji. Z kolei w przypadku systemów, które zostały już zainfekowane, narzędzie potrafi wycofywać szkodliwe działania.

Nasze zintegrowane rozwiązanie, Kaspersky Total Security for Business, oferuje znacznie szerszą ochronę przed wszelkiego rodzaju zagrożeniami. Oprócz funkcji dostępnych w ramach narzędzia Kaspersky Anti-Ransomware Tool nasze rozwiązanie Kaspersky Endpoint Security for Business zawiera cały wachlarz narzędzi służących do kontroli sieci i urządzeń, narzędzie Adaptacyjna kontrola anomalii, jak również może udzielać porad w zakresie konfigurowania polityk bezpieczeństwa, dzięki którym można wyposażyć rozwiązanie nawet przed najnowszymi rodzajami ataków, na przykład takimi, które korzystają z oprogramowania bezplikowego.

Porady