Kompletny przewodnik po oprogramowaniu ransomware

Written By: Ontrack

Date Published: 30 października 2023

Kompletny przewodnik po oprogramowaniu ransomware

  • ransomware-1

    Co to jest oprogramowanie ransomware?

    Ransomware to forma złośliwego oprogramowania, której celem jest blokowanie dostępu do systemu komputerowego lub publikowanie danych ofiary w Internecie. Atakujący żąda okupu od ofiary, obiecując - nie zawsze zgodnie z prawdą - przywrócenie dostępu do danych po wykonaniu płatności.

    Od lat 80. nieustannie rośnie liczba różnych koni trojańskich wirusów, ale realne możliwości zysku dla atakujących wzrosły od czasu wprowadzenia kryptowaluty bitcoin. Ta kryptowaluta umożliwia atakującym łatwe zbieranie pieniędzy od swoich ofiar bez korzystania z tradycyjnych metod.

    Atak ransomware rozpoczyna się, gdy na urządzenie zostanie pobrane złośliwe oprogramowanie. Przykładami typów urządzeń są laptopy, smartfony lub komputery stacjonarne. Złośliwe oprogramowanie jest zwykle pobierane z powodu błędu użytkownika lub zastosowania nieodpowiednich protokołów bezpieczeństwa.

    W ciągu ostatnich kilku lat ataki phishingowe stały się popularnym sposobem dystrybucji oprogramowania ransomware. Podczas takiego ataku cyberprzestępca załącza zainfekowany dokument lub adres URL do wiadomości e-mail, udającej zwyczajną wiadomość, z nadzieją, że nakłoni odbiorcę do jej otwarcia. Po otwarciu pliku ransomware jest instalowane na urządzeniu.

    „Koń trojański” to kolejny popularny rodzaj ataku, polegający na maskowaniu oprogramowania ransomware jako legalnego oprogramowania, a następnie infekowaniu urządzeń po jego zainstalowaniu przez użytkownika.

    Gdy oprogramowanie ransomware zainfekuje system, przejmuje krytyczny proces urządzenia, wyszukując pliki do zaszyfrowania. Wirus szyfruje wszystkie dane, jakie znajdzie na urządzeniu i usuwa te, których nie może zaszyfrować. Infekuje również wszelkie urządzenia zewnętrzne podłączone do komputera głównego. Ponadto wirus wyśle sygnały do innych urządzeń w dotkniętej atakiem sieci, aby je również zainfekować.

    Istnieje wiele różnych wariantów oprogramowania ransomware i cały czas powstają nowe. Poniżej znajdują się najczęściej występujące i najbardziej znane typy oprogramowania ransomware. 

Phishing

Najpopularniejszym systemem dostarczania oprogramowania ransomware jest spam phishingowy — załączniki do wiadomości e-mail ofiary podszywające się pod plik budzący zaufanie. Według badań Trend Micro, firmy zajmującej się oprogramowaniem zabezpieczającym, 91% cyberataków i wynikających z nich naruszeń bezpieczeństwa danych zaczyna się od wiadomości e-mail typu spear-phishing.

Po pobraniu i otwarciu załącznika przez ofiarę, złośliwe oprogramowanie może przejąć jej komputer i zaszyfrować niektóre pliki. Gdy tak się stanie, jedynym sposobem na odszyfrowanie plików jest użycie klucza matematycznego znanego tylko atakującemu.

Zdarzały się również przypadki, w których złośliwe oprogramowanie wyświetlało komunikat informujący, że system „Windows” został zablokowany. Następnie zachęca użytkownika do zadzwonienia pod numer telefonu „Microsoftu” i wprowadzenia sześciocyfrowego kodu w celu ponownej aktywacji systemu. Wiadomość zawiera informację, że rozmowa telefoniczna jest bezpłatna, ale to nieprawda. Podczas rozmowy telefonicznej z fałszywym „Microsoftem” użytkownik nabija opłaty za połączenie zamiejscowe.

Doxware

Inny rodzaj złośliwego oprogramowania nosi nazwę leakware lub doxware. Jego operator grozi, że ujawni wrażliwe dane z dysku twardego ofiary, jeśli ta nie zapłaci okupu. Często celem tych ataków są wiadomości e-mail i pliki programu Word, ale zdarzają się też ataki na urządzenia mobilne, biorące na celownik wiadomości prywatne, zdjęcia i kontakty z telefonu użytkownika.

Uważa się, że Doxware pozwala skuteczniej wyłudzać pieniądze od ofiar niż oprogramowanie ransomware. W przypadku oprogramowania ransomware można się ratować kopią zapasową danych, które stały się niedostępne, natomiast w przypadku doxware, gdy atakujący ma informacje, których ofiara nie chce być opublikować, poza zapłaceniem okupu nie da się nic zrobić.

Anatova

Ważnym odkryciem w 2019 roku było oprogramowanie ransomware Anatova. Ten nowy, niezwykle zaawansowany typ oprogramowania ransomware podszywa się pod ikonę gry lub aplikacji, aby nakłonić użytkownika do jej pobrania. Niezwykle zaawansowana forma złośliwego oprogramowania, która szybko się dostosowuje i wykorzystuje techniki unikania i rozprzestrzeniania, aby zapobiec wykryciu. Dzięki modułowej konstrukcji może dołączać dodatkowe funkcje, które pozwalają przechytrzyć metody ochrony przed oprogramowaniem ransomware. Na szczęście zespół McAfee Advanced Threat Research odkrył ten nowy rodzaj oprogramowania ransomware na początku 2019 roku, zanim stał się on znaczącym zagrożeniem.

Dharma

Wariant programu ransomware CrySiS o nazwie Dharma istnieje od 2018 roku, ale cyberprzestępcy wciąż tworzą nowe wersje, których nie można odszyfrować.

GandCrab

Złośliwe oprogramowanie ransomware, które wykorzystuje szyfrowanie AES i umieszcza w systemie plik o nazwie „GandCrab.exe”. Celem ataków GandCrab są konsumenci i firmy posiadające komputery PC z systemem Microsoft Windows. 31 maja 2019 r. cyberprzestępcy stojący za GandCrabem wydali oświadczenie, w którym poinformowali, że wstrzymują wszystkie dalsze ataki z pomocą ransomware GandCrab, twierdząc, że zdobyli ponad 2 miliardy dolarów w postaci okupów i przechodzą na „zasłużoną emeryturę”.

Emotet

Emotet był pierwotnie złośliwym oprogramowaniem atakującym banki — zakradał się do komputera użytkownika i wykradał poufne i prywatne informacje. Emotet, który pojawił się w 2014 r., miał różne wersje i wyewoluował do postaci oprogramowania ransomware zdolnego uniknąć wykrycia nawet przez niektóre produkty chroniące przed złośliwym oprogramowaniem. Od samego początku Emotet wykradał loginy bankowe, dane finansowe i portfele bitcoin od osób fizycznych, firm i podmiotów rządowych w Europie i USA.

Wykorzystując funkcje podobne do robaków komputerowych do rozprzestrzeniania się na inne komputery, hakerzy zwykle wprowadzają Emotet za pomocą wiadomości spam — które wyglądają jak normalne wiadomości i używają zachęcającego języka, aby nakłonić ofiarę do kliknięcia odsyłacza.

Według Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych Emotet jest jednym z najbardziej kosztownych i destrukcyjnych złośliwych programów. Szacowany koszt przeciętnego ataku Emotet to ponad milion dolarów strat.

Ryuk

Ryuk bierze na celownik głównie duże organizacje w celu uzyskania wysokiego zysku. Według CrowdStrike między sierpniem 2018 roku a styczniem 2019 roku Ryuk zebrał ponad 705,80 bitcoinów w 52 transakcjach o łącznej wartości 3 701 893,98 dolarów. Po raz pierwszy zwrócił na siebie uwagę w trakcie ataku na Tribune Publishing w okresie świątecznym 2018 roku. Początkowo firma myślała, że atak był tylko awarią serwera, ale wkrótce stało się jasne, że był to wina oprogramowania ransomware Ryuk.

Innym terminem określającym oprogramowanie ransomware, takie jak Ryuk, którego celem są duże przedsiębiorstwa w celu uzyskania wysokiego zysku, jest „polowanie na grubego zwierza”. Te ataki na dużą skalę obejmują precyzyjne przygotowanie akcji, aby zapewnić jak największą skuteczność ataku. Dlatego „polowanie na grubego zwierza” wymaga od hakera znacznie więcej pracy i jest zwykle przeprowadzane etapami. Faza pierwsza może na przykład być atakiem phishingowym skupiającym się na zainfekowaniu sieci przedsiębiorstwa złośliwym oprogramowaniem w celu zmapowania systemu i zidentyfikowania kluczowych zasobów, które mają stać się celem. Następujące po niej faza druga i trzecia są serią wymuszeń i ataków/żądań okupu.

Czy jestem celem dla oprogramowania ransomware?

Żadna branża nie jest bezpieczna przed skutkami działań szkodliwego oprogramowania ransomware. Niestety, niektórzy są bardziej zagrożeni niż inni. Przyczyny tego stanu rzeczy są różne: wykorzystywana technologia, stosowane zabezpieczenia, zarządzanie tożsamością i struktura uprawnień oraz ogólne protokoły bezpieczeństwa cybernetycznego.

Jeśli czytasz wiadomości, zapewne wiesz już, że organizacje z różnych sektorów i branż stały się ofiarami ataków ransomware. Od służby zdrowia po linie lotnicze, wydaje się, że napastnicy nie mają preferencji odnośnie do tego, kogo atakują. Czy rzeczywiście tak jest?

Haker zazwyczaj wybiera cel ataku na podstawie dwóch kryteriów:

  • Okazja : Jeśli organizacja ma mały zespół ds. bezpieczeństwa, brakuje zasobów IT i ma bazę użytkowników, którzy udostępniają wiele plików, jak np. uniwersytet, to może zostać uznana za łatwy cel.
  • Potencjalny zysk finansowy : Organizacje, które potrzebują natychmiastowego dostępu do swoich plików, np. firmy prawnicze lub agencje rządowe, mogą być bardziej skłonne do szybkiego zapłacenia okupu. Organizacje posiadające wrażliwe dane mogą być również skłonne zapłacić, aby nie ujawniać informacji o naruszeniu danych. 

Czy mam zapłacić okup?

Można by pomyśleć, że zapłacenie okupu za uzyskanie dostępu do swoich danych jest wystarczająco złe, ale może to być niczym w porównaniu z faktycznymi kosztami szkód związanych z atakiem. Dodatkowe konsekwencje obejmują:

  • Uszkodzenie i zniszczenie (lub utrata) danych
  • Utrata produktywności
  • Zakłócenie normalnego trybu działalności po ataku
  • Śledztwo kryminalistyczne
  • Przywracanie i usuwanie danych i systemów zakładników
  • Uszczerbek na reputacji
  • Szkolenie pracowników w zakresie bezpośredniej reakcji na ataki

Biorąc pod uwagę powyższe, nie należy się dziwić, że przewiduje się, że szkody wyrządzone przez oprogramowanie ransomware urosną do poziomu 11,5 miliarda dolarów w tym roku, a ataki mają następować co 14 sekund do końca tego roku, w porównaniu z 40-sekundowym odstępem w zeszłym roku.

Większość ekspertów od cyberprzestępczości odradza wpłacanie okupu, ponieważ finansowanie hakerów tylko pomaga im w tworzeniu kolejnych wirusów ransomware.

Jednak wiele organizacji nie zgadza się z tą radą, ponieważ kładą na szali wartość zaszyfrowanych danych i wysokość okupu. W zeszłym roku w USA 45% firm zaatakowanych przez ransomware zapłaciło okup. Ale dlaczego?

Chociaż ogólnie zaleca się, aby nie płacić okupu hakerom, w konkretnych przypadkach taka odmowa może nie być najlepszym rozwiązaniem. Kiedy istnieje ryzyko, że firma może trwale utracić dostęp do ważnych danych, dostać grzywnę od organów regulacyjnych lub całkowicie zakończyć działalność, dostępne opcje wydają się ponure. Wybór między zapłaceniem stosunkowo skromnego okupu i pozostaniem w biznesie a odmową zapłacenia, aby pomóc szerszej społeczności biznesowej, jest dla większości oczywisty.

W wielu przypadkach ataków ransomware wysokość okupu jest tak ustalona, aby była warta zachodu hakera i jednocześnie, aby była niższa niż koszt odzyskania danych przez zaatakowaną firmę. Czasami hakerzy oferują też zniżkę za zapłacenie okupu w określonym czasie, np. 3 dni.

Mając to na uwadze, niektóre firmy gromadzą rezerwy bitcoinów specjalnie na potrzeby zapłaty okupu. Na przykład wydaje się, że firmy z Wielkiej Brytanii chętniej płacą okup. Według Gothama Sharmy, dyrektora zarządzającego w Exeltek Consulting Group, „Około jedna trzecia średniej wielkości firm brytyjskich zgłasza posiadanie bitcoinów, aby móc zareagować na sytuacje kryzysowe związane z oprogramowaniem ransomware, gdy nie ma łatwego dostępu do innych opcji”.

Co zrobić, gdy jesteś celem ataku ransomware

Jeśli padniesz ofiarą ataku z użyciem oprogramowania ransomware, przede wszystkim musisz dowiedzieć się, jakiego rodzaju jest to oprogramowanie.

Jeśli nie możesz pozbyć się wiadomości ransomware z ekranu, prawdopodobnie Twój komputer został zainfekowany oprogramowaniem ransomware blokującym ekran. Jeśli możesz przeglądać swoje aplikacje, ale nie możesz otworzyć plików, filmów itp., to Twój komputer prawdopodobnie został zainfekowany przez najgorszy rodzaj oprogramowania ransomware, czyli takiego, które szyfruje dane. Jeśli możesz poruszać się po swoim systemie i otwierać wszystkie swoje pliki, prawdopodobnie jest to fałszywa wersja oprogramowania ransomware, która po prostu próbuje zastraszyć Cię i zmusić do zapłaty.

Aby lepiej zrozumieć, co zrobić zarówno w przypadku oprogramowania blokującego ekran, jak i szyfrującego oprogramowania ransomware, zalecamy zapoznanie się z wpisem na blogu Co to jest oprogramowanie ransomware i jak się przed nim chronić?

Nawet przy zastosowaniu najlepszych środków ostrożności i obowiązujących zasad i tak możesz paść ofiarą ataku. W przypadku, gdy Twoje dane staną się zakładnikami oprogramowania ransomware, zalecamy następujące czynności:
  • Zachowaj spokój. Pochopne decyzje mogą spowodować dalszą utratę danych. Na przykład, jeśli odkryjesz infekcję i nagle odetniesz zasilanie serwera, zamiast go prawidłowo wyłączyć, oprócz zainfekowanych danych możesz stracić też inne dane.
  • Nigdy nie płać okupu, ponieważ napastnicy mogą nie odblokować Twoich danych. Jest wiele przypadków, w których ofiary płacą żądany okup i nie otrzymują w zamian swoich danych. Zamiast narażać się na takie ryzyko, firmy powinny współpracować z ekspertami od odzyskiwania danych, którzy mogą odzyskać dostęp do danych poprzez inżynierię odwrotną złośliwego oprogramowania.
  • Sprawdź stan swoich kopii zapasowych. Jeśli są kompletne i aktualne, odzyskanie danych i przywrócenie ich do innego systemu będzie łatwiejsze.
  • Skontaktuj się z ekspertem, aby zapoznać się z opcjami odzyskiwania. Specjalista ds. odzyskiwania danych zbada Twoją sytuację, aby sprawdzić, czy istnieje już gotowe rozwiązanie problemu. Jeśli nie, powinien je przygotować w odpowiednim czasie.

Jak zapobiec atakowi ransomware

Różne rodzaje oprogramowania ransomware obierają za cel różne branże biznesowe. Najbardziej narażone na ryzyko branże to opieka zdrowotna, instytucje finansowe i agencje rządowe. Zagrożone organizacje powinny podjąć środki ostrożności, aby zmniejszyć ryzyko i złagodzić skutki ataku.

Jednym z najważniejszych planów, które powinna mieć Twoja organizacja, jest plan odzyskiwania sprawności po ataku. Jeśli go nie ma, konsekwencje ataku mogą być poważne. Według National Archives and Records Administration 93% firm, które doświadczyły utraty danych i przestojów przez dziesięć lub więcej dni, zgłasza upadłość w ciągu 12 miesięcy.

Plan odzyskiwania sprawności po ataku opisuje różne scenariusze szybkiego wznowienia pracy po takim zdarzeniu, jak np. atak z użyciem oprogramowania ransomware. Kluczowa część planu utrzymania ciągłości działania organizacji powinna opisywać odzyskiwanie zasobów IT w wystarczającym stopniu i zapobieganie utracie danych. Plan odzyskiwania sprawności po ataku opisuje różne scenariusze szybkiego wznowienia pracy takim zdarzeniu, jak na przykład atak z użyciem oprogramowania ransomware. Istotną częścią planu utrzymania ciągłości działania organizacji powinien być plan odzyskiwania sprawności po ataku, który pozwala na odzyskanie zasobów IT w wystarczającym stopniu i zapobieżenie utracie danych. 

manbymonitor

Inne zalecenia:

  1. Upewnij się, że masz aktualne kopie zapasowe wszystkich swoich plików — w ten sposób, jeśli cokolwiek się wydarzy, przywrócenie plików z kopii zapasowej jest najszybszym sposobem na odzyskanie dostępu do danych.
  2. Bądź w gotowości przez regularne testowanie kopii zapasowych. Organizacje muszą być zaznajomione z zawartością przechowywanych w archiwach kopii zapasowych i upewnić się, że najważniejsze dane są dostępne, gdyby oprogramowanie ransomware zaatakowało kopie zapasowe.
  3. Wdrażaj zasady bezpieczeństwa. Korzystaj z najnowszego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem oraz konsekwentnie monitoruj sytuację, aby zapobiegać infekcjom.
  4. Opracuj zasady IT, które ograniczają infekcje innych zasobów sieciowych. Firmy powinny wprowadzić zabezpieczenia, aby w przypadku infekcji jednego urządzenia przez ransomware nie przedostało się ono dalej do całej sieci.
  5. Przeprowadź szkolenie użytkowników, aby upewnić się, że wszyscy pracownicy mogą wykryć potencjalny atak. Upewnij się, że pracownicy są świadomi najlepszych praktyk, aby uniknąć przypadkowego pobrania oprogramowania ransomware lub otwarcia sieci dla osób z zewnątrz.
  6. Upewnij się, że na serwerach pocztowych masz włączone skanowanie i filtrowanie zawartości. Skanuj każdą przychodzącą wiadomość e-mail pod kątem znanych zagrożeń i blokuj wszelkie typy załączników, które mogą stanowić zagrożenie.
  7. Obejrzyj nasze webinarium o ransomware.

Zmniejszenie zakresu ataku

Wiele organizacji często nie bierze pod uwagę zarządzania danymi w całym ich cyklu życia. Jednak bez strategii dotyczącej cyklu życia danych organizacja jest narażona na poważne zagrożenia bezpieczeństwa i koszty. Obecnie koszt nieskutecznej ochrony danych niesie ze sobą „zbyt wysoką cenę”.

Organizacje muszą mieć na uwadze nie tylko ataki za pomocą oprogramowania ransomware, ale również muszą pamiętać, że brak prawidłowego zarządzania cyklem życia danych grozi naruszeniem ich bezpieczeństwa, zniszczeniem reputacji, utratą klientów, przestojami w pracy i wysokimi grzywnami.

Organizacje, które właściwie dbają o zarządzanie cyklem życia danych, mogą zminimalizować ryzyko i koszty swoich kluczowych danych biznesowych na wszystkich etapach.

Jak firma Ontrack pomogła organizacjom dotkniętym przez atak ransomware

W Ontrack nieustannie śledzimy 271 różnych typów oprogramowania ransomware. Ransomware zmienia się i rozwija przez cały czas, dlatego chcemy mieć pewność, że obserwujemy i badamy najnowsze zmiany i postępy. Badanie oprogramowania ransomware i jego ciągle zmieniających się form zapewnia dodatkową wiedzę i doświadczenie, dzięki czemu zwiększamy prawdopodobieństwo odzyskania danych utraconych w wyniku ataku.

Obecnie znamy sposób szyfrowania 138 typów oprogramowania ransomware. To ogromny postęp w stosunku do kilku lat wstecz, kiedy znaliśmy ich tylko sześć. Pracowaliśmy nad setkami przypadków ataków ransomware, dzięki czemu zdobyliśmy wiele informacji na temat tego, czego można spodziewać się po każdym typie oprogramowania ransomware.

W przypadku niedostępnych danych zawsze najlepiej jest skontaktować się z ekspertem. Jeśli padniesz ofiarą ataku oprogramowania ransomware, skontaktuj się z ekspertem, takim jak Ontrack, aby uzyskać dostęp do swoich danych.

Subskrybować

KLDiscovery Ontrack Sp. z o.o, Sobieskiego 11, 40-082 Katowice, Polska (Zobacz wszystkie lokalizacje)