Blokowanie i szyfrowanie danych przez cyberprzestępców. Jak się chronić i czy można z tym wygrać?

Wydawałoby się, że oprogramowanie szantażujące (ransomware) to szkodnik, który już miał swoje pięć minut na arenie IT. Jednak to tylko wrażenie. Cyberprzestępcy tylko na chwilę skierowali swoją uwagę w stronę innych technik infiltracji, między innymi cryptojackingu, alternatywy dla haraczu w kryptowalucie, który wymusza ransomware.

Polega ona na wykorzystaniu zainfekowanego komputera do „kopania” kryptowalut na rzecz włamywacza. Cryptojacking przynosił w swoim czasie relatywnie duże zyski, przy niewielkiej inwazyjności w system ofiary, która nie zdawała sobie sprawy, że jest celem ataku, a moc obliczeniowa jej komputera służy również innym.

Ransomware w roku 2020

Ransomware nie odeszło jednak w zapomnienie, wciąż się doskonali i nabiera wyrafinowanej formy. W 2020 roku nie jest już tylko polowaniem w ciemno na losowe ofiary za pomocą masowo rozsyłanego spamu, lecz stosuje także ataki wysoce ukierunkowane. Ataki, których powinni się obawiać zarówno indywidualni użytkownicy, jak i różne instytucje. Cyberprzestępcy nie kierują się tu żadnym honorowym kodem, atakują centra medyczne, fabryki i struktury kluczowe dla bezpieczeństwa społeczności.

Ukierunkowanie ataku możliwe jest dzięki danym zebranym w trakcie szpiegowania komputerów potencjalnych ofiar. Im więcej wiadomo o ofierze, jej słabych stronach, tym łatwiej zaplanować atak tam, gdzie przyniesie on najwięcej korzyści i gdzie szansa na otrzymanie okupu jest największa.

Współczesne ransomware potrafi maskować swoją aktywność, nawet deaktywując oprogramowanie zabezpieczające, choćby poprzez uruchamianie komputera w trybie bezpiecznym bez informowania o tym użytkownika.

Z tego tekstu dowiecie się:

• dlaczego ransomware wciąż jest tak niebezpieczne,
• czy atak zawsze oznacza konieczność płacenia,
• czy każde ransomware szyfruje dane,
• co zrobić, gdy padliśmy ofiarą ataku ransomware,
• jak zabezpieczyć najcenniejsze dane.

Ransomware - dlaczego wywołuje taki strach

Ransomware wpisuje się w schemat idealnego oprogramowania do zadawania szkód, które łatwo można przekuć na finansowy zysk. Takie szkodniki komputerowe:

• są łatwe do stworzenia, dzięki licznym poradnikom i pakietom oprogramowania dla cyberprzestępców,
• można ukryć je w załączniku do poczty, dokumencie tekstowym, wiadomości w komunikatorze, co nie wzbudzi od razu podejrzliwości u atakowanego,
• wymagają minimalnej przepustowości łącza, wystarczającej, aby zainstalować szkodnika i wydać mu polecenie działania - reszta ataku może odbywać się bez łączności sieciowej,
• natychmiastowo i na długo paraliżują działanie systemów komputerowych,
• pozostawiają furtkę, by usunąć wyrządzone szkody,
• zapewniają anonimowość włamywaczowi, a transakcję związaną z zapłatą haraczu, najczęściej w dolarach lub kryptowalucie, która w danym momencie jest najbardziej stabilna, czynią praktycznie nie do namierzenia,
• zmuszają ofiarę do poniesienia pewnych kosztów ataku, niezależnie od tego jaką ścieżkę postępowania obierze.

Z tej perspektywy ransomware nie jest oprogramowaniem nastawionym na kradzież danych, choć z taką konsekwencją ataku należy się liczyć. Jego intencją nie jest także uszkodzenie sprzętu, choć w efekcie ataków ransomware wiele firm musiało zakupić nowy, a funkcjonowanie infrastruktury sprzętowej zostało zakłócone.

Ransomware przede wszystkim przekazuje włamywaczowi kontrolę i blokuje dostęp do danych lub komputera, a to wystarczająco przerażająca perspektywa. Jest najbardziej niebezpiecznym atakiem ze względu na czas, jaki trzeba poświęcić na przywrócenie normalnego stanu rzeczy.

Ransomware, które przede wszystkim uprzykrzy nam życie

Takie ransomware nie musi uciekać się do poważnych akcji na komputerze ofiary, ale oddziałuje na psychikę nie mniej poważnie niż ransomware szyfrujące. Dlatego choć bardziej denerwuje, to może narazić na straty, gdy zbyt szybko zareagujemy według wskazówek włamywaczy.

Taka blokada może przyjąć formę:

• utrudnienia pracy na komputerze, która wpływa jedynie na komfort pracy, na przykład poprzez wyświetlenie okna z informacją o rzekomej infekcji wirusem,
• ukrycia części danych, bez ich szyfrowania,
• uniemożliwienia dostępu do komputera poprzez blokadę ekranu i możliwości interakcji z systemem.

Po 2010 roku popularne stało się ransomware wyświetlające blokady wzbogacone o logo organów porządkowych czy finansowych, aby zmylić ofiarę, która zwykle czuje respekt przed takimi instytucjami.

Ransomware szyfrujące - najgorszy możliwy przypadek

Ten typ ransomware działa na zasadzie szyfrowania wybranych przez cyberprzestępców danych na komputerze ofiary. Kluczem odszyfrowującym dysponuje cyberprzestępca. To najgorsza perspektywa, gdyż szyfrowanie przeprowadzone z bardzo wysoką precyzją jest właściwie nie do złamania. Nawet przy zasobach, jakimi dysponują duże korporacje.

Zaszyfrowanie danych można porównać z ich kradzieżą i jednoczesną utratą. Skupiamy się tu tylko na przypadku, gdy dane są poufne lub szczególnie prywatne. Gdy z danymi możemy rozstać się bez bólu, wtedy nie ma problemu.

By utrata kontroli nad danymi wywołała silniejszy efekt, cyberprzestępcy dołączają dodatkowe żądania lub groźby, których niespełnienie ma skutkować definitywną utratą zasobów finansowych, a nawet konsekwencjami karnymi. Ofiara otrzymuje ultimatum z wyznaczonym terminem płatności, po którego przekroczeniu zaszyfrowane dane przepadną bezpowrotnie.

Nowoczesnemu atakowi ransomware towarzyszy komputerowy wywiad, który pozwala poznać ofiarę. Zanim na komputer trafi ransomware, następuje atak innych szkodników, przygotowujących grunt pod w tym przypadku właściwą infekcję.

Szpiegowanie ofiary pozwala wzbogacić ultimatum o informacje poufne w mniemaniu użytkownika i przekonać go, że atakujący ma ciągłą kontrolę nad jego poczynaniami. Tak, by zniechęcić go do prób pozbycia się infekcji, czy odzyskania danych w przypadku ich zaszyfrowania. Czyli „jeśli nie płacisz, to wszystko tracisz”.

Użytkownik nieobeznany z zawiłościami Internetu, prawem i działaniem instytucji administracyjnych w obliczu ataku ransomware traci kontrolę nad swoimi poczynaniami. Zaczyna reagować chaotycznie, w nieprzemyślany sposób. Groźba zawarta w ultimatum jest wystarczającym straszakiem, by osiągnąć zamierzony efekt.

Samo szyfrowanie danych sprawdzi się w przypadku firm mniej narażonych na kryzys wizerunkowy, czy też użytkowników prywatnych. Duże korporacje mogą mieć dodatkowe problemy, związane z ryzykiem ujawnienia poufnych informacji, co ma stanowić dla nich i dla innych nauczkę na przyszłość.

Jak stać się ofiarą ransomware?

W podobny sposób jak w wielu innych komputerowych infekcjach. Kiedyś był to masowy spam z niechcianymi załącznikami, teraz częściej stosuje się techniki inżynierii społecznej, które zachęcają nas do kliknięcia w szkodliwy odnośnik lub otwarcia dokumentu.

Niebezpieczne są infekcje witryn, które mają wstrzyknięty szkodliwy kod lub reklamy. Korzystając z takiej, nawet częściowo przejętej strony, zarazimy się ransomware nieświadomie. A to tylko klasyczne, choć udoskonalane, techniki ataku. Podobnie jak niecertyfikowane oprogramowanie lub niezałatane dziury w oprogramowaniu systemowym.

W grudniu 2019 roku zidentyfikowano nowy typ ransomware, które atakuje bezpieczne z założenia NASy. Dowodzi to, że cyberprzestępcy są w stanie wykorzystać nawet te najmniej spodziewane kierunki ataku i dążą do wyrządzenia jak największych szkód.

Krótka historia ransomware szyfrującego

Pierwszym notowanym przypadkiem ransomware był szkodnik dystrybuowany na dyskietkach już w 1989 roku. Jednak dopiero 16 lat później pojawił się pierwszy ransomware w bliższej nam postaci. Archievus jest już dobrze poznany, a hasło do niego znajdziemy w Wikipedii.

W naszej pamięci zapisał się też Cryptolocker z 2013 roku. Wykorzystywał on kampanie spamowe do rozprzestrzeniania się w środowiskach biznesowych przy pomocy botnetów, czyli sieci komputerów kontrolowanych przez cyberprzestępców, co zapowiadało ekspansję ransomware. Rok później CryptoWall doprowadził do strat na poziomie kilkuset milionów dolarów. W tym samym roku pojawiło się pierwsze ransomware na Androida. Kolejne lata przyniosły TeslaCrypt, wyjątkowo odporny na próby jego usunięcia z komputera oraz Chimerę, przy której ataku wykradane były również dane. Powszechne stały się żądania zapłaty haraczu w bitcoinach. W 2016 roku Petya była w stanie nadpisać rekord MBR w komputerze, a haracz rósł dwukrotnie co tydzień. Z kolei Jigsaw był jeszcze bardziej bolesny, co godzinę kasował pokaźną porcję plików i restartował komputer.

"Wskazówka" jak wykupić klucz odblokowujący dostęp w przypadku ransomware Petya

Zakażenia rozprzestrzeniły się poza główne maszyny na podłączone akcesoria między innymi dzięki aktywności ZCryptora. Jedno z poważniejszych zagrożeń ostatnich lat, ransomware WannaCry pokazało, że także coraz popularniejsze sprzęty Internet of things (Internetu rzeczy) nie są odporne na ataki, a nieaktualizowanie systemu Windows jest bardzo złą praktyką.

Na przestrzeni ostatnich dwóch dekad wzrosły też prawie dwukrotnie przeciętne kwoty, jakich cyberprzestępcy żądają od ofiar za odszyfrowanie danych. Częste stało się wykorzystanie trojanów bankowych jako forpoczty właściwego ataku.

W 2019 roku dał się we znaki ransomware Ryuk, który jest atakiem ukierunkowanym, przeprowadzanym ręcznie, co oznacza, że włamywacze samodzielnie oceniają wartość zaatakowanego systemu, wyszukując słabo skonfigurowane punkty dostępowe. Przed zaszyfrowaniem danych destabilizuje systemowe narzędzia kopii zapasowych i ich zawartość, uniemożliwiając samodzielne odzyskanie systemu, po czym wykrada cenne informacje.

Czy z ransomware da się wygrać, gdy już nas zaatakuje?

Przede wszystkim należy do sprawy podejść na spokojnie, z zimną krwią. W końcu to my jesteśmy ofiarą, a nie na odwrót, jak chcą nas przekonać cyberprzestępcy. I najważniejsze, nigdy nie gódźmy się na zapłatę okupu.

Gdy dopadnie nas ransomware istnieją trzy możliwości:

• atak ma jedynie uprzykrzyć nam życie, wtedy możemy skorzystać z dysku czy USB ratunkowego, odzyskać dane i usunąć infekcję,
• zaatakował nas szkodnik szyfrujący, z rodziny dla której udało się opracować aplikację deszyfrującą. Jedną ze stron, na których znajdziemy odpowiednie narzędzia do pobrania jest www.nomoreransom.org,
• dane zostały zaszyfrowane w sposób, którego nie da się odwrócić bez uzyskania klucza deszyfrującego.

W dwóch pierwszych przypadkach wygrana leży na wyciągnięcie ręki, choć może to wiązać się ze żmudnym przekopywaniem Internetu w poszukiwaniu odpowiedniej odtrutki.

W trzecim, jeśli nie dysponujemy kopią zapasową, sytuacja jest bardzo trudna, bo nawet usunięcie szkodliwego oprogramowania nie odszyfruje nam danych. Wtedy musimy liczyć się z widmem porażki.

Odmawianie zapłaty to działanie właściwe, nawet jeśli konsekwencje zdają się temu przeczyć

Postawienie się cyberprzestępcom może przynieść dobry efekt, nawet jeśli perspektywy są niemiłe, a śladowe szanse na odzyskanie zaszyfrowanych danych, jak wskazują badania branży IT, zachęcają do negocjacji z cyberprzestępcami.

Przykładem jest firma Visser Precision, współpracująca z firmami Boeing, Lockheed-Martin i SpaceX. Stała się w tym roku ofiarą ataku ransomware o nazwie DoppelPaymer. Dane dotyczące współpracy nie tylko zaszyfrowano, ale i wykradziono, a gdy haracz nie wpłynął, udostępniono publicznie.

Włamywacze liczą, że firma się złamie, ale jej twarde stanowisko w połączeniu z innymi działaniami zapobiegawczymi może też zniechęcić cyberprzestępców do dalszych działań. Wpłacenie okupu może okazać się jedynie oddaleniem nieuchronnego, gdyż włamywacze będą zachęceni do dalszego szykanowania ofiary.

Kopia zapasowa Cloud Backup - uniwersalna recepta także w przypadku ransomware

Kopia zapasowa to działanie zalecane jako ochrona przed skutkami ransomware. Gdy jest to kopia w chmurze, wykonana na przykład za pomocą usługi Cloud Backup, przywrócenie danych będzie wyjątkowo proste.

Tym samym atak ransomware nie pozbawi nas na długo dostępu do danych. Można go zatem porównać do:

• utraty danych wytworzonych od momentu wykonania ostatniej kopii, to wciąż wymierna strata, ale akceptowalna,
• nieszkodliwej awarii sprzętu, po której doprowadzenie do stanu sprzed ataku nie wymaga wielkich nakładów, choć może kosztować trochę czasu.

Oczywiście po ataku ransomware nie poprzestajemy na przywróceniu utraconych danych z kopii zapasowej i usunięciu wszelkiego szkodliwego oprogramowania z komputera. Wskazany jest audyt. Choć brzmi to bardzo technicznie i biznesowo, prywatny użytkownik może go zrobić samodzielnie. Pozwoli on:

• oszacować straty (oprócz ransomware na komputerze mogą znajdować się inne szkodniki), co szczególnie jest istotne w przypadku firm,
• określić wektor ataku (ocenić jak doszło do infekcji) i zabezpieczyć się przed nim na przyszłość.

Inną kwestią jest zachowanie wyłącznej kontroli nad danymi, ponieważ te również mogły być wykradzione. Jeśli to nastąpiło, trzeba się pogodzić z faktem, że dane i tak mogą zostać upublicznione.

Kopia chmurowa w Cloud Backup zabezpieczy nawet całe dyski

Usługi kopii zapasowej w chmurze i jej odzyskiwania na komputer, takie jak Cloud Backup, wiążą się z pewnymi kosztami. Na szczęście bardzo niewielkimi w stosunku do strat, na jakie może narazić nas utrata danych, dlatego warto z nich korzystać.

W Cloud Backup w planie dla pojedynczego urządzenia mamy 1 TB powierzchni dyskowej na kopie zapasowe. To dużo i mało, zależnie od tego, jak wiele danych chcemy zabezpieczyć. Przede wszystkim należy pamiętać, że Cloud Backup to nie chmurowy dysk na wszelkie nasze dane, czy narzędzie do klonowania dysków.

Jednak pojemność Cloud Backup pozwala na wykonanie kopii zapasowej nawet całego dysku systemowego, który raczej nie ma więcej niż 1 TB pojemności. Taka pełna kopia oznacza jednak długi proces przesyłania danych i wymaga bardzo wydajnego łącza. Dlatego lepiej traktować Cloud Backup jako sposób na zabezpieczenie wrażliwych danych, a nie całego środowiska roboczego. Przed użyciem Cloud Backup powinniśmy zdecydować:

• które dane są dla nas najcenniejsze i najczęściej podlegają modyfikacji,
• a z których danych korzystamy rzadko i wystarczy je przechowywać w kopii zapasowej na zewnętrznym dysku lokalnie.

Prawdopodobnie okaże się, że już 1 TB jest wystarczającą pojemnością dysku chmurowego na kopię zapasową nawet pokaźnych zasobów multimedialnych, a nie tylko dokumentów, czy oprogramowania.

Z kopią zapasową możemy czuć się bezpiecznie

Mając kopię zapasową w chmurze, wizja ataku ransomware, a także szybkiego odzyskania danych, nie powinna spędzać nam snu z powiek.

Wciąż trzeba jednak pamiętać, że najczęściej powodem takiego ataku jest brak odpowiedzialności użytkownika komputera podczas korzystania z zasobów ogólnoświatowej sieci. Dlatego, choć bezpieczni z kopią zapasową, nigdy nie powinniśmy czuć się bezkarni w naszym zgłębianiu zakamarków Internetu.

Cyfrowa „higiena”, eliminowanie potencjalnych dziur w systemie, edukacja użytkowników, to działania, które powinno uzupełniać się narzędziami, takimi jak Cloud Backup.

Przetestuj Cloud Backup bez zobowiązań

Jeżeli chcielibyście się samodzielnie przekonać, jak to działa w praktyce, nazwa.pl oferuje możliwość sprawdzenia tego na własnych zasadach. Czytelnicy benchmark.pl mogą teraz aktywować za darmo usługę Cloud Backup na okres 30 dni bez konieczności rejestracji w nazwa.pl. Aby pobrać aplikację bezpiecznie na swój komputer wystarczy kliknąć na banner poniżej. A w naszym tekście znajdziecie opis korzystania z Cloud Backup.

Tekst powstał we współpracy z nazwa.pl