RANSOMWARE - CO TO JEST?
Ransomware (ang. ransom - okup, ang. software – oprogramowanie) to program należący do rodziny szkodliwego oprogramowania (malware). Powoduje blokadę urządzenia (komputery, urządzenia mobilne) lub zaszyfrowanie plików znajdujących się na urządzeniu. Następnie na ekranie pojawia się komunikat z instrukcją jak zapłacić okup, a w zamian otrzymać mechanizm odblokowujący komputer lub odszyfrowujący pliki. W razie niezapłacenia okupu przestępcy grożą całkowitą utratą dostępu do danych bądź urządzenia. Najczęściej pieniądze muszą być wpłacone w postaci kryptowaluty, np. Bitcoin. Coraz częściej pojawiają się przypadki, kiedy to atakujący nie tylko szyfrują dane, ale także wykradają je, by następnie szantażować ofiarę, grożąc ich ujawnieniem lub poinformowaniem innych o ataku, np. partnerów biznesowych, instytucji współpracujących czy opinię publiczną w przypadku nie zapłacenia okupu. Płacić czy nie płacić? To pytanie zadaje sobie wiele organizacji po ataku ransomware.
Warto pamiętać, że zapłacenie okupu nie gwarantuje odzyskania danych, nie daje też pewności, że nie zostaną one upublicznione lub wykorzystane przez cyberprzestępców np. do kradzieży naszych pieniędzy lub innych cennych dla nas informacji.
Ransomware stał się w ostatnim czasie bardzo popularny wśród przestępców, Z raportu CERT Polska wynika, że jednym z największych zagrożeń dla cyberbezpieczeństwa w 2021 r. było właśnie zainfekowanie oprogramowaniem ransomware.
KTO MOŻE STAĆ SIĘ OFIARĄ RANSOMWARE ?
Ofiarą tego typu ataku może paść każdy kto korzysta z urządzenia podłączonego do Internetu, niezależnie od tego, czy jest to osoba fizyczna, instytucja publiczna czy firma komercyjna. Generalnie na ataki ransomware bardziej narażone są firmy bądź instytucje, a nie osoby prywatne, ponieważ szansa na otrzymanie dużych pieniędzy jest o wiele większa. Atakujący wybierają obiekt celowo na podstawie zebranych przez siebie informacji np. o obrotach, zyskach, liczbie pracowników itp., znalezionych w powszechnie dostępnych źródłach takich jak strony internetowe firm, portale społecznościowe, rejestry publiczne, serwisy branżowe, itp. Dodatkowo, jeśli atakującym udało się uzyskać dane wrażliwe klientów lub partnerów danej organizacji, oni również mogą stać się ofiarami szantażu, a uzyskane informacje mogą posłużyć do przygotowania ataku na ich urządzenia czy infrastrukturę firmy. Jeśli nastąpi wyciek danych w firmie i trafią one w niepowołane ręce, może to wyrządzić bardzo duże straty, nie tylko finansowe, ale też wizerunkowe.
Mimo, że ransomware częściej dotyka firmy czy instytucje to ofiarą może być każdy z nas. Poczynając od dzieci, które korzystają z komputera lub telefonu rodzica, a skończywszy na osobach dorosłych, które skłonne są kliknąć na reklamę produktu oferującego np. suplementy diety powodujące szybką utratę wagi.
JAK SIĘ ROZPRZESTRZENIA RANSOMWARE?
Podobnie jak przy innych oszustwach online, przestępcy wykorzystują różne techniki inżynierii społecznej (socjotechniki). Dzięki manipulacji i graniu na emocjach ofiary, często udaje im się osiągnąć oczekiwane korzyści. Jak większość złośliwego oprogramowania, ransomware najczęściej rozpowszechnia się poprzez:
· klikanie w złośliwe załączniki lub linki w wiadomościach e-mail lub w mediach społecznościowych
· otwieranie e-maili lub plików z nieznanych źródeł
· odwiedzanie niebezpiecznych lub podejrzanych witryn
· luki w przeglądarkach, które ułatwiają infekcję poprzez przeglądanie złośliwych witryn
· luki w oprogramowaniu lub błędne konfiguracje
· wejście na łącze, z reklamy które infekuje system, bez wiedzy użytkownika
· podłączenie do komputera zainfekowanego urządzenia USB (np. dysk zewnętrzny, pendrive)
· nieaktualizowane systemy operacyjne, oprogramowanie, aplikacje
· fałszywe aktualizacje oprogramowania
· brak oprogramowania antywirusowego bądź jego aktualizacji
· słabe dane uwierzytelniające takie jak login, hasło
· niezaufane kanały pobierania oprogramowania oraz narzędzia do aktywacji oprogramowania pochodzące z niezaufanych źródeł
· kampanie typu spam, phishing
· luki w bezpieczeństwie systemów czy sieci
· dostęp do infrastruktury firmy poprzez niezabezpieczone urządzenia.
Między innymi tymi sposobami cyberprzestępcy próbują nakłonić użytkownika do otwarcia zainfekowanego załącznika lub kliknięcia łącza, które przeniesie go na stronę atakującego, a wtedy jego urządzenie zostanie zainfekowane.
W momencie, kiedy ransomware zainfekuje komputer, rozpoczyna szyfrowanie plików zapisanych na dysku twardym jak i tych znajdujących się np. na dysku zewnętrznym jeśi jest podłączony w tym momencie do komputera. W efekcie dostęp do ważnych dla nas plików, takich jak zdjęcia czy dokumenty zostaje zablokowany, a przestępcy żądają zapłacenia okupu w konkretnym terminie, w zamian za ich odszyfrowanie. Zdarza się, że przestępcy grożą upublicznieniem danych czy dokumentów, jeśli nie otrzymają okupu, który najczęściej musi być wpłacony w postaci kryptowaluty, np. Bitcoin.
Ważne! Jeśli nawet zapłacisz okup nie masz gwarancji, że odzyskasz swoje dane. Bywa tak, że przestępcy po otrzymaniu pieniądzy nie pomogą w odszyfrowaniu plików, a co gorsza będą próbowali uzyskać więcej pieniędzy. Jeśli zapłacisz, bardzo możliwe jest, że będziesz obiektem kolejnych ataków, ponieważ wiedzą, że jesteś gotów zapłacić żeby odzyskać dostęp dostęp do swoich danych.
Pamiętaj: płacąc finansujesz cyberprzestępców i zachęcasz ich do kontynuowania nielegalnego procederu
Typowe oznaki, które wskazują, że możesz być ofiarą ransomware:
· wyskakujące komunikaty z żądaniem płatności w celu odblokowania plików bądź urządzenia.
· nie możesz uzyskać dostępu do swoich urządzeń lub Twój login nie działa z nieznanych powodów. pliki żądają hasła lub kodu, aby je otworzyć lub uzyskać do nich dostęp.
· pliki zostały przeniesione lub nie znajdują się w swoich zwykłych folderach lub lokalizacjach.
· pliki mają nietypowe rozszerzenia lub ich nazwy lub ikony zmieniły się na coś dziwnego.
Materiał powstał w ramach kampanii "No More Ransom – do you need help unlocking your digital life?" ("No More Ransom - potrzebujesz pomocy w odblokowaniu Twojego cyfrowego życia?" ) we współpracy z Europolem i ENISA
Żródła
Poradnik ransomware CERT Polska
Roczny raport z dzialaności CERT Polska 2022 - "Krajobraz bezpieczeństwa polskiego internetu"
Biuletyn OUCH! nr 6/2018, 8/2019, 7/2020
Żródła
Poradnik ransomware CERT Polska
Roczny raport z dzialaności CERT Polska 2022 - "Krajobraz bezpieczeństwa polskiego internetu"