Ataki typu ransomware, polegające na wymuszaniu okupu po zaszyfrowaniu ważnych plików na dyskach ofiar, stały się w ostatnich dwóch latach prawdziwą epidemią. Skala ataków rośnie gwałtownie, działania przestępców są efektywne, a programy antywirusowe często nie wykrywają tego typu zagrożeń w porę.
Pierwsze programy typu ransomware pojawiły się już ponad 25 lat temu, ale początki ich masowego rozprzestrzeniania przypadają na rok 2014. Wirus po udanym ataku ogranicza dostęp do informacji zgromadzonych w zainfekowanych systemach komputerowych i wymaga zapłacenia okupu (angielskie słowo „ransom” znaczy „okup”), aby ograniczenie zostało usunięte. Prognozy dotyczące rozprzestrzeniania się zagrożeń ransomware są zatrważające, a tego rodzaju szkodliwe oprogramowanie jest coraz częściej wykorzystywane przez zorganizowane cybergangi, i jest dla nich źródłem niemałych dochodów. Szantażowani są zarówno przedsiębiorcy, duże organizacje i firmy oraz użytkownicy domowi.
Niebezpieczny kod, na ogół kryje się w załączniku poczty elektronicznej, w którym rozsyłane są takie zagrożenia jak: CryptoWall, CryptoLocker, TeslaCrypt, TorrentLocker, a ostatnio WannaCry oraz Petya. Po infekcji (głównie stosowane są techniki inżynierii społecznej nakłaniające użytkownika do otworzenia załącznika lub kliknięcia odnośnika) szyfrowane są pliki przechowywane na dyskach lokalnych i sieciowych. Aby odzyskać dostęp do cennych zasobów, można przywrócić je z wcześniej wykonywanych kopii zapasowych, a gdy takich nie ma, zapłacić hakerowi okup.
Rozprzestrzenianie wirusa
Zagrożenie trafia do użytkowników za pośrednictwem spamu. W większości przypadków wiadomości są rozsyłane za pomocą sieci typu botnet, pojedynczych skompromitowanych stacji lub serwerów oraz automatów wysyłkowych. Cyberprzestępcy tworzą fałszywe powiadomienia policji, wezwania do zapłaty, raporty podatkowe, w przeszłości podszywali się m.in. pod Pocztę Polską, firmy kurierskie, biura księgowe czy firmy budowlane. Treść wiadomości często wyglądającej bardzo wiarygodnie, zazwyczaj sugerowała, że dotyczy dalszego ciągu sprawy, którą nadawca prowadził z adresatem. Po tym, jak użytkownik otworzy załącznik zawierający faktury lub inne urzędowe raporty, aktywuje się zagrożenie, które rozpoczyna szyfrowanie plików i po zakończonym procesie wyświetla plansze z informacja o żądaniu haraczu. W celu ukrycia przed systemami detekcji szkodliwej treści wykorzystywane są załączniki w postaci archiwów.
Do przeprowadzenia infekcji za pomocą malware, najczęściej stosowane są języki skryptowe oraz makra umieszczane np. w dokumentach pakietu Microsoft Office lub w formacie PDF.
Do zarażenia może także dojść poprzez odwiedzenie strony WWW, która zwiera odpowiednio zmodyfikowane przez atakującego elementy – w szczególności pliki SWF oraz FLV. Należy zaznaczyć, że do infekcji może dojść nie tylko na stronach podejrzanego pochodzenia. Inną możliwością pobrania złośliwego oprogramowania żądającego okupu, jest instalacja dodatków do popularnych gier. O ile w przypadku spamu z załącznikiem wymagana jest interakcja użytkownika, polegająca na kliknięciu w link, otwarciu załącznika lub uruchomieniu makra, o tyle coraz częściej można przeczytać doniesienia o wysypie zarażonych reklam, umieszczanych w znanych serwisach internetowych, takich jak: BBC, New York Times, MSN, AOL czy NFL. Nawet Google nie udało się obronić przed dostaniem się ransomware do sieci firmowej – do strony z zarażonym kodem flash kierowała usługa DoubleClick będąca nośnikiem reklam. Użycie reklam nie wymaga podejmowania żadnej czynności poza wejściem na odpowiednio spreparowaną stronę, a reklama znanej i cenionej instytucji zazwyczaj nie wzbudza nieufności użytkownika, i w żaden sposób nie sugeruje, że zawiera złośliwy kod.
Typowy scenariusz ataku wygląda następująco:
• atakujący rozsyła wiadomość e-mail z zainfekowanym załącznikiem do pracowników wybranej organizacji;
• dzięki wykorzystaniu mechanizmów inżynierii społecznej jedna lub więcej ofiar zostaje skłoniona do otwarcia załącznika;
• złośliwy kod zostaje uruchomiony, łączy się z serwerem przestępców i pobiera kopię złośliwego kodu do sieci wewnętrznej;
• ransomware po zainstalowaniu na komputerach pobiera klucz wykorzystywany do zaszyfrowania zawartości lokalnych i sieciowych nośników danych;
• po zaszyfrowaniu danych na komputerze ofiary pojawia się informacja z żądaniem okupu w zamian za przywrócenie plików do stanu poprzedniego.
Łatwo sobie wyobrazić paraliż organizacji, gdy złośliwy kod rozprzestrzeni się w sieci i zaszyfrowanych zostanie kilkanaście lub kilkadziesiąt komputerów. Pozbycie się złośliwego oprogramowania z sieci jest procesem pracochłonnym i często związane jest koniecznością formatowania dysków zakażonych komputerów. Kwoty okupu za odblokowanie dostępu do danych zaczynają się od kilkudziesięciu euro. Na początku bieżącego roku złośliwy kod ransomware zainfekował systemy komputerowe kalifornijskiego szpitala Hollywood Presbyterian Medical Center. Po tym jak wszystkie dane, w tym system elektronicznej dokumentacji medycznej, zostały zaszyfrowane, szantażyści zażądali od szpitala 9 tys. bitcoinów, czyli około 3,4 mln dolarów. Po długich negocjacjach z przestępcami szpital uzyskał od odblokowujący dostęp do swoich danych i aplikacji po przelaniu 17 tys. dolarów. Należy pamiętać, że okup nie jest jedynym kosztem, jaki ponosi ofiara ataku, a jego zapłacenie wcale nie musi oznaczać końca problemów. Ceną są również koszty przestoju w działalności oraz utrata dobrego imienia.
Przede wszystkim prewencja
Zapłacenie okupu zachęca cyberprzestępców do kontynuowania działalności, dana organizacja staje jeszcze bardziej atrakcyjnym celem przy okazji kolejnych ataków, a atakujący otrzymują fundusze na rozwój złośliwego kodu bądź zakup bardziej zaawansowanych wersji ransomware. Płacąc okup okazujemy też zaufanie dla cyberprzestępców, że spełnią obietnice dostarczenia kluczy deszyfrujących. Co ciekawe większość grup przestępczych starają się zapewnić „wysoki poziom obsługi”. W sytuacjach, gdy błędy w kodzie ransomware uniemożliwiały odtworzenie zaszyfrowanych informacji, podwójni pechowcy po zapłacie okup nie odzyskiwali dostępu do danych.
Stosunkowo często zdarza się, że nowe zagrożenia ransomware korzystają z luk zero-day i potrafią skutecznie ukrywać się przed aplikacjami antywirusowymi. Nie bez znaczenia jest również fakt, że twórcy złośliwego oprogramowania często biorą na celownik użytkowników słabo orientujących się w zagadnieniach IT i za pomocą sztuczek socjotechnicznych skłaniają ich do wprowadzenia do systemu „szkodnika”. Zabezpieczenie się przed atakami ransomware wymaga edukacji pracowników, stosowania się do podstawowych zasad bezpieczeństwa oraz wdrażanie przez administratorów rygorystycznych polityk bezpieczeństwa i spójnego systemu wewnętrznych regulacji dotyczących bezpieczeństwa informacji. Dynamicznie ewolucja zagrożeń bezpieczeństwa zmusza do ciągłego podnoszenia stanu wiedzy w tym zakresie. Co oczywiste przestępcy w pierwszej kolejności skupiają się na najsłabszym ogniwie systemów bezpieczeństwa, czyli użytkownikach. Podatność na ataki, zwłaszcza socjotechniczne, dotyczy bowiem każdego.
Ransomware – jak reagować i zapobiegać
1. Jeśli w komputerze pojawi się okienko z żądaniem okupu za odszyfrowanie danych to bezwzględnie należy odłączyć go od połączenia internetowego, łączy sieciowych i innych zewnętrznych pamięci masowych w celu utrudnienia ewentualnego rozprzestrzeniania się infekcji. Informacja o zdarzeniu musi trafić do administratora odpowiedzialnego za bezpieczeństwo sieci.
2. Systematyczne aktualizacje systemów i firmware’u urządzeń sprawia, że wszystkie znane luki są załatane, co znacząco zwiększa bezpieczeństwo infrastruktury.
3. Tworzenie kopii zapasowej zasobów, testowanie jej i właściwe przechowywanie pozwala szybko i stosunkowo łatwo odzyskać cenne dane firmowe.
4. Otwieranie podejrzanych załączników e-maili i plików nie jest bezpieczne. Należy regularnie szkolić użytkowników, aby byli czujni i zwracali uwagę m.in. na pliki z ukrytymi rozszerzeniami, np. “.pdf.exe”
5. Cyberprzestępcy wykorzystują wiele technik psychologicznych, żeby nakłonić potencjalne ofiary do odwiedzenia zainfekowanych witryn WWW. Dlatego przed kliknięciem warto np. sprawdzić dokąd link prowadzi (podgląd wyświetlany w dolnej części okna przeglądarki).
6. Warto stosować oprogramowanie antywirusowe, wykorzystujące do detekcji zagrożeń nie tylko bazy sygnatur wirusów, ale i mechanizmy analizy zachowań procesów i aplikacji działających w systemie.
7. Wymiana informacji na temat incydentów bezpieczeństwa (np. z dostawcami czy odbiorcami) zarówno zmniejsza szybkość i zasięg propagacji zagrożeń jak i zwiększa świadomość dotyczącą aktualnych ataków.
O autorze Dariusz Łydziński
Od ponad 17 lat zajmuje się problematyką systemów bezpieczeństwa oraz praktyką utrzymania ciągłości działania. Specjalizuje się w rozwiązaniach e-security. Realizował projekty zabezpieczania danych wagi państwowej, obsługując procesy funkcjonowania systemów łączności oraz bezpieczeństwa informacji. Z zaangażowaniem realizuje projekty z zakresu bezpieczeństwa na rzecz biznesu oraz na zlecenia administracji publicznej. Audytor systemów zarządzania bezpieczeństwem informacji. Autor opracowań w wydawnictwach specjalistycznych i prelegent na konferencjach, a także trener z wieloletnią praktyką. Absolwent elektroniki i telekomunikacji na Akademii Techniczno-Rolniczej w Bydgoszczy. Ukończył studia podyplomowe w Wyższej Szkole Menedżerskiej w Warszawie - ochrona informacji niejawnych i administrowanie bezpieczeństwem informacji, oraz w Akademii Obrony Narodowej w Warszawie – bezpieczeństwo informacyjne. Doświadczenie zdobył pracując m.in. w komórkach łączności Ministerstwa Obrony Narodowej, w firmach jak ComCERT, ENERGA czy UNIZETO. Obecnie prezes 4 IT SECURITY sp. zo.o.