11/03/2016

Wszystkie dane zostały już skradzione. Co teraz?

Technologie Zagrożenia

Cyberprzestępcy porzucają powoli zajęcie związane z kradzieżą danych osobowych i próbują swoich sił w czymś, co ma przynosić natychmiastowe zyski — twierdzi ekspert z instytutu SANS. Podczas niedawnego spotkania na konferencji RSA, zatytułowanego „Siedem najbardziej niebezpiecznych nowych technik ataków”, dr Johannes Ullrich przedstawił slajd, na którym widniał nagłówek „Zmiany w ekonomii szkodliwego oprogramowania”, a pod spodem widoczne było znacznie bardziej radykalne stwierdzenie: „Wszystkie dane zostały już skradzione”.

all-data-stolen-live

Według Ulricha w samych Stanach Zjednoczonych cyberprzestępcy przechwycili 191 milionów rejestrów wyborców (tymczasem całkowita liczbę głosujących w Stanach wynosi 142 miliony). Oznacza to, że niektóre rekordy zostały skradzione więcej niż jeden raz. Jeśli chodzi o dane karty kredytowej, liczby te nie są tak szokujące, ale także wzbudzają zaniepokojenie: spośród 170 milionów kart wydanych zhakowano 61 milionów (dane za rok 2014).

Ponieważ branża cyberprzestępcza weszła w okres nadwyżki „produktów”, cena za dane na czarnym rynku spadła. Inaczej mówiąc, kradzież informacji o użytkownikach stała się mniej zyskowna, przez co jest mniej atrakcyjna dla hakerów, dlatego zaczęli oni szukać nowego sposobu na czerpanie korzyści finansowych. Teraz cyberprzestępcy są coraz częściej bezpośrednio żądają okupu od ofiar, bez względu na to, kim jest ofiara — osobą prywatną czy firmą.

all-data-stolen-featured

Znacznie wzrosła za to liczba przypadków z udziałem wymuszeń DDoS: oszuści nie przestaną atakować, dopóki osoba nie zapłaci okupu. Ransomware, czyli programy żądające okupu za odszyfrowanie danych, stają się coraz bardziej różnorodne i wyszukane. Niedawno pisaliśmy o atakach na dwa szpitale, w których zostały wykorzystane takie programy — jedna z ofiar ostatecznie musiała zapłacić okup w celu odszyfrowania wartościowych informacji.

Znacznie mniej znana, chociaż coraz częściej stosowana, jest nowa generacja programów żądających okupu, które potrafią blokować dostęp do stron. Ostatnio wiele blogów opartych na WordPressie zostało zaatakowane przez zagrożenie o nazwie CTB-Locker. Cyberprzestępcy wykorzystywali luki w silniku WordPress, aby szyfrować całą zawartość strony. Następnie dodawali kilka linijek kodu, dzięki którym ofiary mogły otwierać stronę w przeglądarce i komunikować się z atakującymi tak, jakby prowadziły czat z obsługą techniczną.

Oznaką „dobrych chęci” przestępców ma być odszyfrowanie dwóch plików za darmo. Może powiesz: „O co tyle hałasu, przecież to tylko blog”. Trzeba jednak wiedzieć, że prostota silnika WordPressa i wygoda obsługi tej platformy sprawiły, że korzysta z niej wiele sklepów internetowych, a nawet firmy stawiają na nim swoje strony. W takich przypadkach wartość treści strony może być ogromna.

Szyfrowanie danych nie jest równoznaczne z ich kradzieżą — jak się okazało, to pierwsze może być nawet gorsze. Admirał Michael Rogers, szef NSA, który wystąpił podczas wydarzenia RSA 2016, określa szyfrowanie danych jako swój najgorszy koszmar. „Co się dzieje, gdy ta sama aktywność jest używana do manipulowania danymi, programem lub produktami zabezpieczającymi i nagle przestajemy ufać danym, które widzimy? Co można z tym zrobić?” — pytał.

Zwykli użytkownicy komputerów nadal muszą uważać na ransomware, lecz atakujący coraz częściej szukają możliwości ataku na smartfony: przecież istnieją już takie programy dla platformy Android. Poza tym, że dane zostają zaszyfrowane, całe urządzenie staje się bezużyteczne.

Ponieważ wiele smartfonów wciąż posiada niezałatane luki (jak Stagefright), a szkodliwe programy dla systemu Android są coraz bardziej wyrachowane, będzie on coraz częstszym celem ataków, dzięki którym cyberprzestępcy nie tylko będą mogli ukraść pieniądze z telefonu czy konta bankowego, ale także żądać zapłacenia okupu.

Eksperci z instytutu SANS nie podali sposobów ochrony, ale zrobiliśmy to za nich.

  1. Właściciele stron powinni regularnie aktualizować zarówno WordPressa, jak i jego dodatki. Ponieważ jest to żmudne zadanie, można rozważyć wyspecjalizowany hosting, który będzie uruchamiał te aktualizacje automatycznie.
  2. Pamiętaj, aby regularnie pobierać kopię zapasową strony i przechowywać ją na dysku zewnętrznym.
  3. Regularnie twórz kopie zapasowe swoich danych i przechowuj je na pamięci zewnętrznej – najlepszym sposobem jest zewnętrzny dysk twardy. Jeśli chodzi o smartfony, zalecamy używanie chmury i przesyłanie do niej wszystkich krytycznych danych.
  4. Upewnij się, że Twój domowy komputer jest właściwie chroniony. Kaspersky Internet Security zabezpiecza Twoje dokumenty, jeśli wykryje jakąś podejrzaną aktywność, np. gdy ktoś będzie próbował zaszyfrować Twoje pliki.
  5. Istotne jest także regularne uaktualnianie i łatanie systemu operacyjnego, przeglądarki, programu antywirusowego i kluczowych aplikacji na wszystkich używanych urządzeniach. Jeśli zabiera Ci to zbyt wiele czasu, wypróbuj opcję aktualizacji automatycznych.