Ransomware, wycieki danych i wirtualny okup - czy jesteśmy skazani na cyfrowy terroryzm?
Bezpieczeństwo

Ransomware, wycieki danych i wirtualny okup - czy jesteśmy skazani na cyfrowy terroryzm?

z dnia
Michał Grązka | Redaktor serwisu benchmark.pl
16 komentarzy Dyskutuj z nami

W branży cyberbezpieczeństwa termin ransomware od lat spędza sen z powiek firmom i prywatnym osobom zaniepokojonym o swoje dane. Póki grupy przestępcze zarabiają, proceder będzie się powtarzał. Sprawdźmy, czy tę pętlę da się przerwać.

Coraz częściej w mediach, nie tylko tych z branży IT, słyszymy, że taka czy inna firma stała się celem ataku hakerskiego. Obecnie często wiąże się to z użyciem złośliwego oprogramowania ransomware, które zazwyczaj szyfruje dane. By odzyskać do nich dostęp, firmy niemal zawsze są wzywane do zapłaty dużych kwot pieniędzy na konta grup przestępczych. Zanim przystąpimy do rozważania czy płacić okup za ransomware, czy nie oraz jak się zabezpieczyć, warto przytoczyć kilka niedawnych przykładów.

Garmin zhakowany

Garmin to amerykański gigant elektroniczny produkujący odbiorniki GPS i urządzenia fitness, takie jak zegarki sportowe i elektroniczne wagi. Firma ta pod koniec lipca 2020 przyznała, że padła ofiarą ataku hakerskiego, a jej serwery i udostępniane za ich pomocą usługi przestały działać. Użytkownicy nie byli więc w stanie wczytywać wyników swoich treningów, czy korzystać z map w trybie online.

Ostatecznie, po kilku dniach usługi wróciły do normy. Czy Garmin zapłacił okup w wysokości 10 milionów dolarów? I tak, i nie. Tak, ponieważ o tę kwotę rzeczywiście był uboższy. Jednak nie do końca była to zapłata okupu grupie hakerskiej, ponieważ korporacja wynajęła za tę kwotę usługi firmy konsultingowej Arete IT, żeby ta za pomocą środków negocjowała z włamywaczami odzyskanie danych.

Ransomware - atak

Atak w gmienie Kościerzyna

Kolejny przykład jest już z naszego, polskiego podwórka - pod koniec roku 2019 urzędnicy gminy Kościerzyna musieli pracować bez dostępu do swoich systemów teleinformatycznych. Tutaj także winne było oprogramowanie ransomware, prawdopodobnie aktywowane po uruchomieniu szkodliwego odnośnika przez jednego z urzędników. Na szczęście, w tym przypadku współpraca z CERT Polska sprawiła, że dane udało się odszyfrować bez płacenia okupu.

Ransomware w szpitalu

Z kolei trzecia historia z ransomware w tle to głośna sprawa ze szpitala w Düsseldorfie. Jest to przypadek dość szokujący i często pojawiał się w mediach z dwóch powodów. Po pierwsze, na skutek tego cyberataku, życie straciła kobieta, która w stanie krytycznym miała zostać poddana w szpitalu pilnemu zabiegowi. Niestety, paraliż urządzeń elektronicznych sprawił, że podjęto decyzję o jej transporcie do najbliższego, odpowiedniego szpitala. Pacjentka zmarła jednak w drodze, przed dotarciem na miejsce.

Ten przykry przypadek może świadczyć o tym, że hakerzy dla zarobku nie oszczędzają nikogo. Sami włamywacze, na swoich stronach publikowanych w sieci TOR często deklarują jednak, że nie będą zakłócali pracy takich placówek, jak właśnie szpitale. Co więc stało się we wrześniu w Niemczech? Według doniesień, celem ataku był najprawdopodobniej uniwersytet Heinrich Heine University Düsseldof. 

Niestety, z jego systemami połączony był szpital uniwersytecki - i właśnie dlatego „dostał rykoszetem”. Przestępcy, podobno po tym jak zainterweniowała policja i okazało się jakie sieci zostały wyłączone, przerwali żądania o okup i udostępnili klucz deszyfrujący dane - jednak czas, jaki był potrzebny dla przywrócenia systemów sprawił, że wydarzyła się wspomniana tragedia.

Ransomware - ofiara w szpitalu

Janusz Kowalski, czy Januszex S.A. - w kogo mierzą przestępcy?

Wspomniane przypadki to próba wyłudzenia okupu od firm. Warto jednak pamiętać, że hakerzy mogą zaatakować każdego z nas. Bardzo często jednak wiadomości e-mail z pogróżkami są wysyłane „na ślepo” i opiewają na niewielką kwotę. Masowe rozsyłanie fałszywych pogróżek to działanie nastawione na to, że mniej świadomi użytkownicy wystraszą się i przeleją kwotę w Bitcoinach lub innej kryptowalucie. 

Najczęściej próby wyłudzeń pieniędzy od indywidualnych osób to nie ransomware, a phishing, czyli łowienie pojedynczych ofiar z całego oceanu użytkowników Internetu. Robi się to poprzez e-maile z pogróżkami („przez kamerkę w telefonie widziałem co robiłeś!”). Dla wzmocnienia efektu przestępcy posługują się często hasłami do różnych serwisów, które regularnie wyciekają do sieci (np. „dla udowodnienia, że jestem hakerem, podaję hasło do twojego konta - pimpek2137”).

Kopia zapasowa to nadal jedno z lepszych zabezpieczeń

Na szczęście z phishingiem można walczyć… po prostu go ignorując. Znacznie groźniejszy jest jednak ransomware, który dotyka dużych firm, ponieważ wyrządza fizyczne szkody, szyfrując pliki na dysku. Zapytajcie sami siebie - co, gdyby cały Wasz dysk twardy stracił właśnie dane? Czy macie kopie zapasowe zdjęć i dokumentów? A przecież taka awaria może mieć miejsce na skutek zalania sprzętu czy zużycia nośnika, a nie tylko ataku hakerskiego.

Nie płać okupu po infekcji ransomware

Praktyka jednak pokazuje, że przeciętny Kowalski nie ceni swoich danych aż tak, żeby płacić dziesiątki tysięcy dolarów przestępcom. Hakerzy w swoją „pracę” muszą włożyć wysiłek. Oczywiście, mogą też „na szybko” korzystać z gotowego, złośliwego oprogramowania, jednak inicjatywy takie jak The No More Ransom Project pomagają w usuwaniu prostych blokad wynikających z powszechnych metod ransomware. Ten konkretny serwis podaje sposoby radzenia sobie z odzyskiwaniem danych na skutek najpopularniejszych form ataku.

Ransomware gorszy niż phishing

Ransomware to niemal zawsze też utrata i wyciek danych klientów

Dochodzimy więc do tego, że jeśli atakować, to najlepiej firmy. Przede wszystkim biznes nie może sobie pozwolić na przestój. Jak wielu z Was do swojej pracy wykorzystuje komputer? We wspomnianym szpitalu w Niemczech, do czasu usunięcia awarii, recepcjonistki przerzuciły się ponoć na klasyczny zeszyt i długopis w celu zapisywania pacjentów na wizyty. Jest to zdecydowanie metoda mniej efektywna i trudniejsza do archiwizacji. Paraliż działania przedsiębiorstw może więc być poważny.

Należy też zawsze zakładać, że jeśli przestępcy mieli na tyle duży dostęp do systemów, żeby zaszyfrować dane, to prawdopodobnie zdążyli też je skopiować. Następnie, dla udowodnienia, że posiadają na przykład dużą bazę użytkowników, przesyłają firmie próbkę - ze skanami kilku paszportów, numerami PESEL lub ubezpieczenia społecznego (w przypadku USA). W korespondencji od hakerów pojawiają się argumenty w stylu: „taniej wyjdzie zapłacić wam 10 milionów w Bitcoinach, niż sądzić się z milionami klientów, których dane wyciekną”.

A skoro już jesteśmy przy pieniądzach należy poruszyć ważną kwestię - dlaczego są to tak astronomiczne sumy i nie są one aby przesadzone? Wszystko rozbija się o analizę kosztów. W przypadku niepłacenia za odszyfrowanie plików, należy policzyć ile kosztować będzie odzyskanie danych z kopii zapasowej, jeśli taka w ogóle była cyklicznie wykonywana. 

Ransomware - ważna jest analiza kosztów

W przypadku, kiedy archiwizacja wykonywana jest w chmurze, odczyt głęboko „zamrożonych” danych to często duży koszt. Do tego należy doliczyć wynagrodzenie specjalistów, którzy dokonają operacji tzw. disaster recovery, czyli powrotu do działania po krytycznym wydarzeniu. Pamiętajmy też, że w celu zmniejszenia objętości, archiwizuje się tylko najważniejsze dane, a w większości systemy i konfiguracje trzeba ustawiać na nowo, co najwyżej wspomagając się gotowymi obrazami. Jest to więc operacja czasochłonna, a każdy dzień przestoju w biznesie to brak zarobków.

Najprawdopodobniej firmie Garmin kalkulowało się więc wydać około 40 milionów złotych. Zgaduję, że w grę wchodziła tu też kwestia wizerunku przedsiębiorstwa dbającego o prywatność klientów. Z drugiej strony nie oszukujmy się, informacje o czasie przebiegnięcia półmaratonu, tkance tłuszczowej z elektronicznej wagi czy numerze buta nie są informacjami szczególnie wrażliwymi. Ciężko więc będzie je sprzedać w tzw. darknecie lub wykorzystać bezpośrednio przez grupę odpowiedzialną za atak.

Danymi wrażliwymi mogą być za to hashe haseł. Serwisy internetowe nie przechowują (a przynajmniej nie powinny) haseł użytkowników, a ciąg znaków, na który te są zamieniane. Zależnie od użytego algorytmu i złożoności frazy, można go jednak odkodować w ciągu kilku godzin lub... kilkudziesięciu lat. Przestępcom opłaca się taka operacja, ponieważ osoby korzystające z prostych haseł, często stosują też takie same dane logowania w wielu serwisach. Zdobycie jednego zestawu loginu z hasłem może więc otworzyć wiele drzwi - do skrzynki pocztowej i dokumentów, po dostęp do konta bankowego.

Ransomware - bitcoin

Czy cyberprzestępcy boją się policji?

Pozostaje więc pytanie - dlaczego celami ataków są często prywatne firmy, a rzadziej placówki służby zdrowia, urzędy i inne miejsca przechowujące rozmaite dane obywateli? Powodów może być wiele. Jednym z nich jest fakt, że organizacje sektora publicznego mają w wielu krajach obowiązek pozostawania w kontakcie z organami ścigania, gdy dojdzie do wycieku danych lub zaszyfrowania plików oprogramowaniem ransomware. Z kolei policja, FBI czy choćby rząd Stanów Zjednoczonych stanowczo odradzają płacenie okupu i negocjacje z cyfrowymi terrorystami.

A to właśnie okup jest najprostszą formą „zarobku” hakerów. Łatwiej jest spieniężyć Bitcoiny uzyskane za klucz deszyfrujący niż sprzedawać dane lub wykorzystywać je np. znajdując tzw. „słupy”, wnioskować o kredyty z użyciem cudzej tożsamości i wypłacać nieswoją gotówkę z banku. Tak więc mimo iż dane są cenne, to ich użycie w celach przywłaszczenia pieniędzy jest trudniejsze niż zainkasowanie kwoty okupu za odwrócenie działania ransomware.

Rekordowe 20 mln $ okupu

Zauważmy też, że kwoty coraz bardziej rosną. Niedawno poinformowano o wycieku i zaszyfrowaniu danych jednych z największych firm z branży oprogramowania – Software AG. W tym przypadku kwota okupu to rekordowe 20 milionów dolarów, czyli w przeliczeniu ponad 77 milionów złotych. We wstępnych komunikatach firma poinformowała, że stara się na własną rękę odzyskać dane. Jeśli pieniądze nie zostaną przelane, to może hakerzy dotarli już do pewnej granicy? Niewykluczone, że będą dalej próbować walczyć o coraz większe kwoty, a psychologiczne „maksimum” okupu może się zmieniać.

Ransomware - szyfrowanie

Okup po ataku ransomware - czy należy go płacić?

Kwestia tego co robić po ataku ransomware, pozostaje więc indywidualną kwestią każdej firmy-ofiary. Sprowadza się to do wyliczeń i tego, co bardziej kalkuluje się dla biznesu. Oficjalne stanowisko rządów i organów ścigania najczęściej brzmi tak, że z terrorystami się nie negocjuje i nie daje im się pieniędzy. W końcu, jeśli przestaną zarabiać, to nie będzie im się opłacało kontynuować przestępczego procederu w tej formie. Natomiast rekordowe sumy okupów tylko zachęcają hakerów.

Z tego powodu w najlepsze kwitnie też biznes firm konsultingowych. Giganci, tacy jak Garmin płacą im niemal równowartość okupu, jednak nie wchodzą w pertraktacje z hakerami, żeby nie napędzać cyberterroryzmu. Z kolei pośrednicy mniej lub bardziej oficjalnie mogą obniżać cenę okupu, przelewać pieniądze lub utrzymywać, że własnoręcznie pracują nad stworzeniem oprogramowania deszyfrującego.

Nierzadko zewnętrzne firmy rzeczywiście potrafią dane odzyskać. Zawsze jednak wiąże się to z pewnym ryzykiem. Nie wszystkie informacje na dyskach i serwerach mogą być poprawnie odczytane, a ewentualne błędy odnalezione zostaną dopiero po wielu tygodniach lub miesiącach pracy przedsiębiorstwa. Nie rozwiązuje to też problemu wycieku danych i utraty zaufania klientów. 

Wykradziony kod źródłowy gry

Bywa także, że przedwczesne ujawnienie informacji przedsiębiorstwa osłabia jego zyski – jak może to mieć miejsce w niedawnym ataku na firmy Ubisoft i Crytek – z serwerów tej pierwszej wykradziono podobno kod źródłowy gry Watch Dogs: Legion. Ciężko jednoznacznie ocenić jak ujawnienie go mogłyby wpłynąć na przyszłą sprzedaż hitowej produkcji studia, jednak niewykluczone, że firma będzie próbowała negocjować z hakerami.

Ransomware - cyberprzestępcy mają kod źródłowy Watch Dogs Legion

Oczywiście, nawet po zapłaceniu okupu, nikt nie da nam gwarancji, że przestępcy wymazali wszystkie kopie skradzionych danych. Nie można także wykluczyć, że zostawili w systemie backdoora, czyli tylną furtkę, która w przyszłości ułatwi im kolejne włamanie. Jednak na tyle, ile można mówić o etyce hakerów, to w ich najlepszym interesie jest być tu „uczciwym”. W końcu zainkasowanie niemałych pieniędzy i niedotrzymanie warunków umowy mogłoby zepsuć podziemny rynek i osłabić pozycje negocjacyjne przy późniejszych atakach tego typu.

Niestety, żadna firma nie jest bezpieczna i w każdej znajdzie się słaby element, który może spowodować wyciek danych lub zainfekowanie systemów. Mimo to, warto zapobiegać, szkoląc personel, wzmacniając świadomość o zagrożeniach, inwestując w rozwiązania ochrony sieci, wymuszając cykliczną zmianę haseł oraz tworząc kopie zapasowe.

Połowa firm padała ofiarą cyberprzestępców

Na koniec przyjrzyjmy się też kilku danym z raportu firmy Sophos, opublikowanego w połowie roku 2020. Wynika z niego, że 51% firm z całego świata przyznaje, że padło ofiarą ransomware. Dotyczy to zarówno małych, jak i dużych przedsiębiorstw, jednak znacznie częściej na cel brane są prywatne firmy, niż publiczne organizacje.

94% przedsiębiorstw odzyskuje informacje

Interesujący jest fakt, że 24% ataków udaje się powstrzymać - jest to zazwyczaj zasługa oprogramowania anti-ransomware. Co zaś się tyczy samego okupu - w celu odzyskania danych płaci go 26% firm, których dyski zostały zaszyfrowane. Pozostałe przeważnie korzystają z kopii zapasowych lub usług firm, które deszyfrują pliki. Łącznie jednak aż 94% przedsiębiorstw odzyskuje informacje, do których dostęp został zablokowany.

Z kolei średni koszt przywrócenia firmy do pełnej funkcjonalności to 761 tysięcy dolarów (dla mniejszych firm to około 500 tysięcy USD). To dość istotna wiedza, która pozwala oszacować na jakim poziomie okup jest kwotą wygórowaną, a w jakim przypadku może być dla przedsiębiorstwa opłacalny.

Ransomware - pieniądze Euro

Wirtualny terroryzm i ransomware zostaną z nami na dłużej

Mając powyższe informacje na uwadze, przede wszystkim przeciwdziałajmy potencjalnym szkodom. Dane warto samemu szyfrować z użyciem rozwiązań, takich jak choćby BitLocker czy VeraCrypt. Hasła należy często zmieniać, a ewentualne wycieki można sprawdzać na stronach takich, jak Have I Been Pwned. Z kolei dla dobra swojego i firmy, w której pracujemy, warto zwiększać swoją świadomość - chociażby za pomocą darmowego quizu od Google, który sprawdza czy udałoby się nam wyłapać próby wyłudzenia maili.

A co z pytaniem „czy płacić okup po ataku ransomware”? To niestety pozostaje bez jednej, jasnej odpowiedzi. Oficjalne stanowisko wielu rządów i organów ścigania brzmi: „nie negocjować z terrorystami”. W praktyce jednak, biznes i rozmaite kalkulacje dyktują różne rozwiązania w indywidualnych przypadkach. Bo chyba sam, jako konsument, nie chciałbyś, żeby duża korporacja, z której usług korzystasz, spisała twoje dane na straty i odzyskała infrastrukturę z kopii zapasowej, pozostawiając oryginalne dane w rękach hakerów, prawda?

Źródło danych statystycznych: Sophos

Oto co jeszcze może Cię zainteresować:

Komentarze

16
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    bullseye
    Najtańsze NASy z migawkami to 1500zł, więc jak ktoś jest myślący i ma faktycznie dane na których mu bardzo zależy to do 2000zł ma takie zabezpieczenie że i co tydzień może łapać ransomware :)
    2000zł niby dużo, ale cóż.... więcej wydajemy na telefon.
    Piszę tu o użytkowniku domowym, w firmie sprawa wygląda inaczej i jak ktoś nie umie zabezpieczyć danych to raczej jest głupi, bo nawet nie oszczędny.
  • avatar
    que_pasa
    Nie jesteśmy skazani na terroryzm.

    Trzeba robić kilka prostych rzeczy:
    - robić kopie
    - mieć IT
    - płacić pensje a nie jałmużnę
    - nie dawać przyzwolenia na programistyczne gnioty (np windows)

    Skutki wszystkich przypadków o których mowa były skutkiem zaniedbań.
  • avatar
    Barubar24
    A co by było jakby taki ransomware zaszyfrował dane klientów PKO BP ???