Bezpieczeństwo

Atak ransomware – czy płacić okup hakerom?

 

Ransomware – zbitka słów z ang. ransom czyli „okup” i  software „oprogramowanie”. Złośliwe oprogramowanie blokujące dostęp do systemu komputerowego przez uniemożliwienie odczytu zapisanych w nim danych. Celem oprogramowania jest wymuszenie opłaty okupu, np. w zamian za klucz, który pozwoli na odczyt danych.

Ransomware zagrożeniem dla firm

Ransomware to dobry biznes. Złośliwe oprogramowanie, stworzone raz, może zainfekować miliony komputerów i zarobić ogromne pieniądze dla swoich autorów. Jeżeli ransomware posiada cechy wirusa komputerowego, czyli rozmnaża się automatycznie i infekuje kolejne urządzenia, po publikacji niewiele trzeba robić; wystarczy codziennie sprawdzać wirtualny portfel BitCoina i sumiennie wysyłać klucze (hasła) do osób, które wpłaciły haracz. Kryptowaluty chronią przed ujawnieniem tożsamości autora, a komunikacja może odbywać się przez anonimizowany BitTorrent. Summa summarum, ransomware to teoretycznie gwarantowany dochód i relatywnie małe ryzyko wykrycia sprawcy. 

Nic więc dziwnego, że ilość ransomware z roku na rok rośnie. Rośnie też ilość firm, które padły ofiarą ataku i opłaciły haracz. Według CyberEdge 2020 Cyberthreat Defense Report, w 2019 r. 62% badanych firm doświadczyło problemów związanych z ransomware. W 2018 r. ten odsetek wynosił 56%, a w roku poprzednim – 55%. Ten sam rosnący trend można zauważyć w ilości firm, które opłaciły haracz: w 2017 r. – 39%, 2018 – 45%, a w 2019 – 58%. Innymi słowy, biznes hakerów kręci się dobrze.

Jak działa ransomware

Aby odpowiedzieć na pytanie, czy warto zapłacić haracz, należy najpierw zrozumieć jak ransomware działa od wewnątrz. 

Ransomware najczęściej przedostaje się do komputerów przez błąd człowieka. Użytkownik dostaje wiadomość mailową lub klika w link, pod którym znajduje się plik do pobrania. Taki plik może udawać np. fakturę, dokument Microsoft Office lub innego rodzaju załącznik, który pozornie wygląda na bezpieczny.

Po otwarciu takiego pliku ransomware początkowo jest bezobjawowy. Zadaniem oprogramowania jest jak najszybsze zaszyfrowanie danych na komputerze i jednocześnie przedostanie się do kolejnych komputerów, które mogą być niezabezpieczone lub w inny sposób podatne na atak. 

Warto zwrócić uwagę na fakt, jak istotną rolę odgrywają aktualizacje i oprogramowanie antywirusowe. Jak niemal każdego rodzaju wirus, ransomware do rozmnażania się używa exploity, czyli luki w bezpieczeństwie istniejących programów. Jeżeli system jest bieżąco aktualizowany, jest szansa, że luka, którą używa ransomware już została naprawiona w ramach aktualizacji. Natomiast jeżeli komputer posiada aktualną licencję oprogramowania antywirusowego, może ono taki ransomware niemal natychmiast wykryć i unieruchomić.

Sianie spustoszenia

Pracując w tle, praktycznie niezauważony przez użytkownika, ransomware cały czas szyfruje pliki na dysku twardym. Aby przyspieszyć ten proces, oprogramowanie najczęściej nie szyfruje w pełni wszystkich plików, lecz szyfruje tylko pewną ich część (z technicznego punktu widzenia, wystarczy zaszyfrować np. 10% pliku, aby ten stał się nieczytelny.)

Gdy ransomware osiągnął swój cel, oprogramowanie zrobi wszystko, aby wywrzeć presję psychologiczną na użytkowniku. Dosłownie jak na filmach Hollywoodu, pojawiają się okna i komunikaty informujące o stanie rzeczy. Aby wymusić na użytkowniku opłatę okupu, autorzy ransomware dość często stosują różnego rodzaju groźby lub wizualizacje, np. odliczający zegar, pokazujący, że za chwilę okup stanie się wyższy.

Z zasady cyberprzestępcy od razu wskazują wysokość okupu oraz adres wirtualnego portfela BitCoina, na który trzeba wpłacić pieniądze. Koszt jest ustalany każdorazowo i może różnić się w każdym przypadku. Jak na wolnym rynku, cena za dane jest uwarunkowana maksymalizacją dochodów, ale jednocześnie musi być racjonalną sumą, którą użytkownik jest w stanie zapłacić. 

Logiczne jest, że największy okup mogą opłacić firmy. Dlatego gdy ransomware wykryje, że został wgrany w system Windows Server, cena za dane może być stanowczo zawyżona. Natomiast użytkownicy wirtualnych maszyn lub komputerów z systemem Windows 10 Home mogą zapłacić mniej, biorąc pod uwagę fakt, że mogą to być systemy testowe lub osoby indywidualne.

Trzy rozwiązania

W sytuacji post factum, czyli gdy dane są już zaszyfrowane, użytkownik tak naprawdę ma trzy wyjścia z sytuacji:

1. Opłacić okup i otrzymać klucz

Czy można zaufać osobom, które właśnie zhakowały Ci komputer? Paradoksalnie, tak. Autorom złośliwego oprogramowania w pewnym sensie zależy na dobrym PR. Jeżeli sumiennie wysyłają hasła (klucze) do osób, które opłaciły okup, mogą liczyć na kolejnych „klientów”. Jakiekolwiek potyczki z odszyfrowaniem danych lub niewysyłaniem haseł praktycznie zniszczyłoby ich biznes.

Ironiczne jest też to, że opłacenie okupu może być najtańszym rozwiązaniem problemu. Prawdopodobnie najsłynniejszym przykładem niepoprawnego oszacowania strat, które ransomware mogłoby wygenerować jest miasto Baltimore w Stanach Zjednoczonych. Gdy w 2019 r. komputery magistratu zostały zainfekowane złośliwym oprogramowaniem, władze miasta zostały poproszone o wpłacenie ok. 76.000 USD w zamian za dane. Z różnych powodów władze miasta odmówiły, co przyniosło wręcz katastrofalne straty finansowe. Przez wstrzymanie pracy różnych placówek i departamentów, miasto straciło ponad 18 milionów dolarów w ciągu jednego roku.

2. Odszyfrować dane „na własną rękę”

W związku z tym, że ransomware najczęściej jest wirusem, tzn. samo się rozprzestrzenia po internecie – istnieje duże prawdopodobieństwo, że inne firmy również się zadawały dokładnie z tą samą wersją oprogramowania. Niektóre firmy, zamiast płacić okup, mogą zainwestować w przygotowanie narzędzi, które odszyfrują dane bez płacenia okupu (czas programisty może się okazać tańszy, niż płacenie okupu za kilka serwerów).

Przy wybraniu tej opcji, warto mieć na uwadze sam czas, ponieważ ransomware może podnosić wysokość okupu zależnie od ilości czasu który upłynął od infekcji. Niektóre typy ransomware wręcz ostrzegają, że po pewnej ilości dni, nawet przy opłacie okupu, hasła nie zostaną wysłane. Naturalnie, ma to zniechęcić użytkowników do próbowania naprawienia problemu na własną rękę.

Niemniej jeśli wybierzemy tę drogę, pierwszym krokiem powinno być odłączenie komputera od sieci w celu odizolowania go od innych urządzeń, które mogą zostać zainfekowane. Drugim krokiem jest ustalenie jakiego typu ransomware zaatakował nasz komputer. Tutaj sprawdzi się dowolna wyszukiwarka internetowa, do której można wpisać treść komunikatów ransomware. Jeżeli szczęście jest po naszej stronie, może okazać się, że oprogramowanie do odszyfrowania danych jest powszechnie dostępne lub za niewielką opłatą możemy kupić je od rzetelnej firmy zajmującej się kryptografią. Trzecim krokiem jest trial-and-error, czyli próby odszyfrowania dysku różnego rodzaju oprogramowaniem.

3. Nie opłacać okupu

…i nie odszyfrowywać danych. Choć ta opcja może wydawać się najgorszą, wilk nie jest taki zły, jak go malują.

Jeżeli posiadamy kopie danych  w postaci backupów (kopii zapasowych), przechowywania danych w chmurze lub różnego rodzaju snapshotów, ransomware tak naprawdę niewiele nam może zrobić, poza przyczynieniem się do opóźnień w pracy.

Dla przykładu, jeśli serwer używa technologii snapshotów (zrzutów danych), cofnięcie się do daty, gdy maszyna pracowała poprawnie, powinno zająć od kilku minut do kilku godzin pracy informatyka. Jeżeli dane są chronione w chmurze, warto przeskanować zawartość tych danych, aby upewnić się, że między nimi nie wkradł się ransomware. Jeśli posiadamy codzienne backupy, odtworzenie danych może trwać od kilku minut do kilku dni, zależnie od ilości danych, sposobu tworzenia kopii i rozwiązania, jakie było użyte. Naturalnie, warto jest prewencyjnie przeprowadzić audyt oprogramowania i danych wszelkich urządzeń, aby wyeliminować możliwość powrotu ransomware, który mógłby się ukryć wewnątrz sieci. 

Takeaway

Ransomware jest kolejnym przykładem na to, że bezpieczeństwo danych powinno być ważnym punktem w agendzie kadry zarządzającej, a nie tylko kompetencją działu ds. IT. Ransomware przedostaje się do sieci firmowych głównie przez brak wiedzy i nieostrożność pracowników, ponieważ ci najczęściej nie są szkoleni z zakresu dobrych praktyk cyberbezpieczeństwa. 

Natomiast największe spustoszenie ransomware sieje tam, gdzie działy IT są niedofinansowane lub zrzeszają zbyt małą liczbę pracowników.  W takich sytuacjach, administratorzy bardziej skupiają się na utrzymywaniu przy pracy obecnej infrastruktury, niż przygotowywaniu scenariuszy awaryjnych. Ofiarą padają systemy i procedury backupowe, które bywają lekceważone, ponieważ nie są codziennie używane i nie przynoszą realnych korzyści dla biznesu… dopóki nie stają się kluczem do odtworzenia całej infrastruktury.

Ransomware to naprawdę dochodowy biznes dla autorów tego typu oprogramowania i możemy się spodziewać coraz nowszych wariantów. Tak jak ataki socjotechniczne, ataki typu ransomware używają element zaskoczenia, nieprzygotowania i chaosu post factum. Jeżeli chcemy uniknąć sytuacji awaryjnej, najlepszym lekarstwem jest korzystanie z dobrych praktyk cyberbezpieczeństwa, audyty i inwestycja w sprawdzone systemy backupowe. Pamiętajmy, że ciągłość działalności i bezpieczeństwo danych jest w interesie całej firmy – nie tylko działu IT.

Oceń artykuł:


19.08.2020