Co to jest ransomware?

Ransomware to rodzaj złośliwego oprogramowania wykorzystywanego przez cyberprzestepców do zainfekowania urządzenia lub sieci złośliwym oprogramowaniem, które następnie szyfruje pliki i zamienia cenne dane w niemożliwy do odczytania kod. Cyberprzestępcy żądają za te dane okupu, twierdząc, że odszyfrują pliki dopiero po otrzymaniu pieniędzy.

Ludzie często zastanawiają się: czy ransomware to wirus? Odpowiedź brzmi: nie. Programy ransomware oraz wirusy to dwie różne formy złośliwego oprogramowania, które wykorzystują różne metody ataku — wirus może plik zainfekować, natomiast ransomware go zaszyfruje.

Organizacje mogą paść ofiarą ataku w wyniku zastosowania przez oszustów phishingowych wiadomości e-mail, które zawierają przynętę dla potencjalnej ofiary; użytkownicy mogą także nieświadomie pobrać złośliwe oprogramowanie — niejako przy okazji — odwiedzając zainfekowaną stronę internetową.

Co to jest ransomware stworzone pod kątem firm?

Ransomware stworzone pod kątem firm jest ukierunkowane właśnie na atakowanie firm lub organizacji. Celem większości ataków ransomware są przedsiębiorstwa, jako że w ich przypadku cyberprzestępcy mogą liczyć na największą nagrodę, jednakże nie ma w tym względzie jasnej reguły.

Istnieją powody, dla których cyberprzestępcy najczęściej atakują firmy, a nie indywidualnych użytkowników — ma to ścisły związek ze sposobem, w jaki rozprzestrzenia się ransomware, a także wartością łupu możliwego do uzyskania w następstwie ataku. Jak więc rozprzestrzenia się ransomware? Złośliwe oprogramowanie zostaje pobrane na urządzenie, gdy ktoś otworzy wiadomość e-mail lub kliknie niesprawdzony adres URL — w przypadku większych organizacji z licznym personelem, w których istnieje większa szansa, że znaczna liczba osób kliknie złośliwą zawartość, szanse na powodzenie ataku ransomware i uzyskanie okupu rosną. Z drugiej strony, w większych korporacjach — właśnie ze względu na większe ryzyko ataku — mogą być stosowane silniejsze zabezpieczenia. Poza tym, większe firmy dysponują większym budżetem.

Większe firmy są chętnie obierane za cel ataków ransomware także ze względu na wartość ich danych. W ich przypadku istnieje większe prawdopodobieństwo posiadania dużych ilości danych wrażliwych, przez co wszelkie zakłócenia działania firmy będą się wiązać z wyższymi kosztami operacyjnymi. W przypadku takich korporacji istnieje większa szansa, że zechcą one zapłacić okup, nawet jeśli jego kwota będzie wysoka. Przykładowo atak ransomware na szpital prawdopodobnie pozwoliłby przestępcom uzyskać wyższy okup niż gdyby ofiarą ataku padła lokalna kwiaciarnia.

Historia oprogramowania ransomware

Opierając się na większości relacji, można założyć, że historia oprogramowania ransomware sięga roku 1989, w którym pojawił się wirus znany jako „koń trojański AIDS”. W ramach ataku koordynowanego przez biologa Josepha Poppa podczas poświęconej AIDS konferencji Światowej Organizacji Zdrowia rozdano 20 000 dysków zawierających konia trojańskiego. Gdy zabezpieczenia urządzenia zostały już złamane, na jego ekranie wyświetlała się informacja z żądaniem zapłacenia okupu w wysokości 189 USD, który należało przesłać na adres skrytki pocztowej w Panamie.

Od lat 80. technologia poszła jednak do przodu i cyberprzestępcy nie muszą już korzystać ze skrytek pocztowych, by odbierać pieniądze z okupów. W dzisiejszych czasach okupy są przeliczane na bitcoiny, a złośliwe oprogramowanie jest dostosowywane w taki sposób, by być jeszcze bardziej niebezpieczne i siać jeszcze większe spustoszenie. Oprogramowanie takie potrafi na przykład upodobnić się do robaków komputerowych i stosować bardziej innowacyjne techniki infekowania. Środki ochrony przed ransomware także są ulepszane, by skuteczniej chronić sieci przed tymi coraz bardziej złożonymi atakami.

Typy oprogramowania ransomware

Istnieje kilka rodzajów oprogramowania ransomware. Ich ofiarą padają firmy — od małych i średnich firm aż po bardzo duże korporacje — oraz dostawcy usług z zakresu opieki zdrowotnej, działalnością których zarządzają instytucje rządowe. Żądana kwota okupu może się wahać od setek aż po miliony dolarów.

Ransomware CryptoLocker

CryptoLocker to oprogramowanie aktywne od 2013 roku. Uważa się je za pierwszy przykład oprogramowania ransomware, jaki pojawił się po pierwotnym ataku, który miał miejsce w 1989 roku. Pojawienie się kryptowalut po roku 2010 sprawiło, że cyberprzestępcy mogli domagać się, by okup opłacono metodą uniemożliwiającą prześledzenie płatności. Oprogramowanie CryptoLocker wykorzystano do pierwszego ataku z użyciem zaawansowanego szyfrowania, który uwzględniał żądanie okupu oraz instrukcje jego opłacenia w bitcoinach.

Atak z użyciem złośliwego oprogramowania był realizowany od września do maja następnego roku. W konsekwencji jego przeprowadzenia zainfekowanych zostało 250 000 urządzeń, a przestępcy pozyskali od swoich ofiar co najmniej 3 miliony dolarów. Cechą charakterystyczną oprogramowania CryptoLocker była wyświetlana na ekranie informacja dotycząca okupu.

Ransomware Ryuk

Oprogramowanie ransomware znane pod nazwą Ryuk miało swój początek w roku 2018. Zostało opracowane w oparciu o istniejącego konia trojańskiego o nazwie Hermes, którego po raz pierwszy użyto świadomie w 2017 roku. Choć koń trojański Hermes został wykorzystany do przeprowadzenia ataku przez północnokoreańską grupę cyberprzestępców sponsorowaną przez rząd, to dziś powszechnie uważa się, że to złośliwe oprogramowanie zostało opracowane w Rosji.

W 2021 roku wykryto nowy wariant oprogramowania ransomware Ryuk, który swoim działaniem przypominał robaka komputerowego i mógł być automatycznie rozsyłany na wiele urządzeń — program rozpowszechniał kopie unikalnych wersji samego siebie.

Ransomware WannaCry

Jeśli Twoje urządzenie kiedykolwiek zostanie zainfekowane oprogramowaniem ransomware WannaCry, dowiesz się o tym od razu — zobaczysz bowiem komunikat: „Oops, your important files are encrypted” (Ups, Twoje ważne pliki zostały zaszyfrowane). Pierwszy atak miał miejsce w 2017 roku. W ciągu jednego dnia zostało wtedy zainfekowanych 230 000 komputerów.

Podczas każdego ataku cyberprzestępcy żądali kwoty 300 USD w bitcoinach za odszyfrowanie plików. Jeśli żądanie nie zostało zrealizowane w podanym czasie, kwota okupu była podwajana. WannaCry to kolejny przykład złośliwego oprogramowania działającego na zasadzie robaka komputerowego, który automatycznie rozsyła się przez sieci.

Ransomware Sodinokibi

Sodinokibi to rodzina programów ransomware, które atakują urządzenia z systemem Windows. Na urządzeniu zainfekowanym przez oprogramowanie ransomware Sodinokibi, znane także jako REvil, zostaje wyświetlona informacja dotycząca okupu, który należy opłacić w bitcoinach — ma to być warunek odszyfrowania plików. To złośliwe oprogramowanie obejmuje swoim zasięgiem całą zawartość urządzenia poza danymi uwzględnionymi w pliku konfiguracyjnym. Ten rodzaj złośliwego oprogramowania został użyty po raz pierwszy w 2019 roku.

Ransomware Dharma i Phobos

Oprogramowanie ransomware Dharma, znane także jako CrySiS, jest znane z tego, że obiera sobie za cel małe i średnie firmy i żąda niższych kwot okupu, co ma zwiększyć prawdopodobieństwo jego opłacenia przez ofiary ataku.

Ten rodzaj ransomware atakuje zwykle za pośrednictwem protokołu RDP (ang. Remote Desktop Protocol). Wykryto go po raz pierwszy w 2016 roku. W oparciu o ten właśnie rodzaj złośliwego oprogramowania opracowano także oprogramowanie ransomware Phobos, które działa na podobnej zasadzie.

Ransomware Petya

Aby działać, oprogramowanie ransomware Petya musi zaszyfrować plik. O ile inne rodzaje złośliwego oprogramowania mogą zaszyfrować określone dane o znaczeniu krytycznym, o tyle Petya może objąć swoim działaniem cały dysk twardy i uniemożliwić włączenie urządzenia. Ten rodzaj oprogramowania ransomware został użyty po raz pierwszy w 2016 roku, zyskał jednak prawdziwą sławę w 2017 roku za sprawą nowego wariantu znanego jako GoldenEye.

Ransomware Cerber

Cerber to przykład oprogramowania ransomware działającego na zasadzie RaaS (ang. Ransomware-as-a-service) i opartego na modelu SaaS (ang. software-as-a-service). Twórcy tego złośliwego oprogramowania umożliwiają licencjonowanie oprogramowania Cerber innym cyberprzestępcom, otrzymując w zamian część uzyskiwanych przez nich okupów. Na ekranie urządzenia zainfekowanego złośliwym oprogramowaniem Cerber zostaje wyświetlona informacja z żądaniami. Ten rodzaj złośliwego oprogramowania może także szyfrować pliki w obrębie dowolnych niezmapowanych udziałów sieci.

Ransomware Locky

Oprogramowanie ransomware Locky zostało po raz pierwszy wykryte w 2016 roku. Locky rozprzestrzenia się za pośrednictwem poczty e-mail. Oprogramowanie zasłynęło atakiem na szpital w Los Angeles, w ramach którego wystosowano żądanie okupu wysokości 17 000 USD. Po tym zdarzeniu miało miejsce wiele ataków na inne organizacje z sektora opieki zdrowotnej. Po pierwszej fali ataków z wykorzystaniem oprogramowania Locky nie zanotowano jednak dalszych poważnych ataków z jego użyciem.

Analizy przypadków dotyczące oprogramowania ransomware

Oprogramowanie ransomware wywarło ogromny wpływ na świat cyfrowy. Korzystający z niego przestępcy na przestrzeni lat zdołali wyciągnąć z kieszeni swoich ofiar miliardy dolarów. Przyjrzyjmy się niektórym spośród ataków, które siały największe spustoszenie i wiązały się z największymi kosztami dla ich ofiar:

• Wrzesień 2013, CryptoLocker: Złośliwe oprogramowanie CryptoLocker zyskało miano ransomware jako pierwsze tego rodzaju oprogramowanie po koniu trojańskim AIDS z 1989 roku. W celu powstrzymania fali ataków ransomware z jego użyciem skorzystano z pomocy FBI i Interpolu.
• Maj 2017, NHS: Podczas przeprowadzonego z użyciem oprogramowania WannaCry ataku o zasięgu globalnym brytyjski system opieki zdrowotnej (NHS, ang. National Health Service) padł ofiarą jednego z najbardziej destrukcyjnych ataków ransomware w kraju. Systemy nie działały, wizyty były odwoływane, a personel medyczny był zmuszony przerzucić się na dokumentację papierową. Podczas ataku z użyciem ransomware WannaCry zainfekowanych zostało 200 000 komputerów ze 150 krajów. Koszt ataku szacuje się na kwotę 4 mld USD — dla samego NHS było to 92 mln GBP, czyli w przeliczeniu 120 mln USD.
• Marzec 2018, Atlanta: Instytucje rządowe w tym mieście w stanie Georgia padły ofiarą ataku z użyciem oprogramowania ransomware SamSam w 2018 roku. Rząd wydał na działania w ramach reagowania na atak więcej (2,6 mln USD) niż wynosił koszt samego okupu (ok. 50 000 USD).
• Maj 2019, Baltimore: Hakerzy obrali sobie za cel miasto Baltimore w 2019 roku. Podczas ataku wykorzystali oprogramowanie ransomware o nazwie RobbinHood, które swoim działaniem objęło większość komputerów miejskich urzędów. Przestępcy zażądali okupu o równowartości 13 bitcoinów (76 280 USD), zastrzegając jednocześnie, że jeśli okup nie zostanie zapłacony w ciągu czterech dni, cena wzrośnie, a w przypadku braku okupu po upływie 10 dni — dane zostaną trwale usunięte. Ostatecznie udało się przywrócić działanie systemów bez opłacenia przez miasto okupu.
• Czerwiec 2020, Uniwersytet Kalifornijski, San Francisco: Uczelnia zapłaciła 1,14 mln USD po miesięcznej walce z oprogramowaniem ransomware Netwalker. Pierwotnie kwota okupu wynosiła 4 mln USD, jednak uniwersytet wynegocjował jej obniżenie.
• Wrzesień 2020, DUC: Atak z użyciem oprogramowania ransomware Ryuk wycelowany w niemieckiego dostawcę usług z sektora opieki zdrowotnej, Düsseldorf University Clinic, doprowadził do śmierci pacjenta, który nie zdołał uzyskać niezbędnej opieki zdrowotnej.
• Kwiecień 2021, Quanta: Niedawny atak z użyciem oprogramowania ransomware Sodinokobi doprowadził do sytuacji, w której Quanta, producent Macbooków, otrzymał żądanie opłacenia okupu w wysokości 50 mln USD. Firma odmówiła zapłacenia okupu, a cyberprzestępcy ujawnili opinii publicznej informacje dotyczące Macbooków.

Koszty ataku ransomware

Stanie się ofiarą ataku ransomware źle wróży finansom Twojej firmy — nie tylko ze względu na sam okup, ale również możliwość nałożenia na firmę grzywny przez organy regulacyjne ds. prywatności danych oraz ryzyko utraty klientów ze względu na utratę ich zaufania.

Według organizacji Cybersecurity Ventures koszt samych ataków ransomware o zasięgu globalnym w 2021 roku szacuje się na 20 mld USD. Ataki z użyciem złośliwego oprogramowania, których celem są firmy, mają miejsce średnio co 11 sekund. Ponadto firmy europejskie, objęte postanowieniami rozporządzenia RODO, muszą liczyć się z ryzykiem grzywien w związku z nieskutecznym realizowaniem działań operacyjnych w zakresie bezpieczeństwa. W 2020 roku organ regulacyjny nałożył na linie lotnicze British Airways grzywnę w wysokości 20 mln GBP (czyli 26 mln USD) — co więcej, kwota kary miała pierwotnie wynieść 183 mln GBP (239 mln USD).

Straty finansowe to jednak nie wszystko. Wiele firm zmaga się z procesem odzyskiwania po atakach sprawności operacyjnej — dotyczy to zwłaszcza mniejszych firm. Około 60% małych firm, które padły ofiarą ataku obejmującego naruszenie danych, kończy po nim działalność. W 2020 roku The Heritage Company, firma telemarketingowa z siedzibą w Arkansas, rozwiązała działalność po tym, jak w 2019 roku padła ofiarą ataku ransomware, w ramach którego dokonano naruszenia danych. Bez względu na to, czy chodzi o koszt zarządzania atakiem, czy też o działania związane z przywróceniem sprawności operacyjnej lub utratę klientów, firmom jest bardzo ciężko stanąć na nogi po ataku ransomware.

W jaki sposób firmy padają ofiarą oprogramowania ransomware?

Gdy w firmie nie są stosowane skuteczne środki zabezpieczające, staje się ona podatna na cyberataki.

Podstawowym czynnikiem otwierającym cyberprzestępcom furtkę do infrastruktury IT firmy jest brak przeszkolenia personelu. Jeśli pracownicy nie wiedzą, po czym poznać podejrzaną wiadomość e-mail oraz jak wykryć ransomware i zgłosić problem, ich działania będą rodzić ryzyko zainfekowania poszczególnych urządzeń oraz całej sieci. Pracownicy mogą nie być świadomi tego, że ich urządzenia są narażone na ataki, lub mogą nie wiedzieć, że komputery Mac oraz urządzenia z systemem Linux również mogą paść ofiarą ataku z użyciem oprogramowania ransomware. Choć wymienieni operatorzy są znani z tego, że zapewniają lepsze wbudowane zabezpieczenia niż te, jakie oferuje system Windows, to nadal muszą się liczyć z cyberzagrożeniami.

Aplikacje innych firm także mogą stanowić dla cyberprzestępców punkt wejścia, którego użyją oni do spenetrowania sieci. Uzyskanie dostępu do aplikacji może być dla nich prostsze niż uzyskanie dostępu do Twojego systemu. Przestępcy mogą użyć tej furtki, by zainfekować Twoje urządzenia złośliwym oprogramowaniem.

Działania pracowników mogą powodować występowanie luk w zabezpieczeniach, jednak firma, która dba o bezpieczeństwo, będzie korzystać ze skutecznego narzędzia antywirusowego, które ochroni ją przed potencjalnym złośliwym oprogramowaniem, jeśli już zostanie ono przypadkowo pobrane. Oprogramowanie należy regularnie aktualizować i instalować poprawki w celu rozwiązywania problemów oraz eliminowania błędów i luk w zabezpieczeniach. Korzystanie z oprogramowania bez niezbędnych poprawek stawia na szali bezpieczeństwo firmy.

Jak zapobiec atakowi ransomware

Istnieje wiele skutecznych sposobów pozwalających chronić firmę przed atakami z użyciem oprogramowania ransomware. Dzięki nim Twoja firma nie padnie ofiarą przestępców. Podobnie jak ma to miejsce w przypadku wielu cyberataków, także i tu przestępcy uzyskują dostęp do sieci, korzystając z tego, że w firmie stosuje się niewłaściwe praktyki IT. Należą do nich:

• Niewystarczające przeszkolenie pracowników
• Słabe poświadczenia
• Przyznawanie zbyt wielu uprawnień dostępu aplikacjom innych firm
• Brak skutecznych zapór ogniowych
• Brak antywirusa
• Zaniedbanie kwestii instalowania poprawek i aktualizacji

To dlatego bezpieczeństwo operacyjne jest tak ważne. Punkty dotyczące właściwego przeszkolenia personelu oraz stosowania odpowiednich poświadczeń są ze sobą ściśle powiązane. Personel musi zostać przeszkolony w zakresie najlepszych praktyk dotyczących uzyskiwania dostępu do sieci, zwłaszcza jeśli ma do niego zastosowanie praca zdalna. Ponadto pracownicy powinni zostać przeszkoleni pod kątem rozpoznawania phishingowych wiadomości e-mail, zgłaszania podejrzanej aktywności oraz tworzenia silnych haseł. Wszystkie te kwestie powinny zostać uwzględnione w planie ciągłości biznesowej. Mówi się, że lepiej zapobiegać niż leczyć, jednak warto mieć przygotowany plan ciągłości biznesowej oraz plany na wypadek konieczności odzyskiwania danych po awarii. Inne kluczowe środki zapobiegania atakom z użyciem oprogramowania ransomware:

Oznaki mogące świadczyć o tym, że Twoja firma padła ofiarą ataku z użyciem oprogramowania ransomware

Jest wiele oznak mogących świadczyć o tym, że zabezpieczenia komputera zostały złamane w związku z atakiem z użyciem oprogramowania ransomware. Najbardziej oczywistą z nich jest pojawienie się komunikatu z żądaniem okupu. Oto kilka spośród pozostałych częstych oznak:

• Jeśli odbierasz wiadomości wykorzystywane zwykle przez oszustów do ukierunkowanych ataków typu spear-phishing lub do spoofingu, może to oznaczać, że jesteś na celowniku cyberprzestępców.
  • Jeśli padniesz ofiarą przeprowadzanych na małą skalę, testowych cyberataków, które nie wydają się być szczególnie niepokojące, może to oznaczać, że cyberprzestępcy wyszukują w ten sposób luki w zabezpieczeniach Twojego systemu przed przeprowadzeniem poważniejszego ataku.
• Antywirus ostrzega Cię o podejrzanej aktywności
• Otrzymujesz powiadomienia dotyczące podejrzanych prób logowania, których nie rozpoznajesz
• Zauważasz pojawienie się w obrębie sieci nowego oprogramowania
  • Cyberprzestępcy często wykorzystują oprogramowanie do usuwania programów, takie jak GMER, PC Hunter i Process Hacker, na przykład do usunięcia oprogramowania chroniącego system Windows 10 przed ransomware.
  • Aplikacje takie jak Microsoft Process Explorer i MimiKatz mogą być używane do wykradania poświadczeń.

Co zrobić, jeśli padniesz ofiarą ataku

Jeśli zdarzy Ci się paść ofiarą ataku z użyciem oprogramowania ransomware, wykonaj te podstawowe kroki:

1. Zgłoś atak.Upewnij się, że personal wie, jak rozpoznawać cyberataki i ostrzegać o nich zespół.
2. Przeanalizuj bieżącą sytuację i wykryj złośliwe oprogramowanie. Postaraj się wykryć złośliwe oprogramowanie, które zainfekowało Twój system. Dzięki temu będziesz wiedzieć, jak się chronić i jak je usunąć.
3. Odetnij źródło infekcji. Znajdź urządzenie, które było dla przestępców pierwotnym punktem wejścia, i odłącz je od sieci, aby zmniejszyć ryzyko rozprzestrzeniania się złośliwego oprogramowania.
4. Ogranicz zasięg ataku. Odłącz od sieci wszelkie inne urządzenia, które mogą być podatne na atak, aby zatrzymać rozprzestrzenianie się złośliwego oprogramowania.
5. Spróbuj odszyfrować dane i usunąć oprogramowanie typu ransomware. Z tej metody powinny korzystać wyłącznie odpowiednio wykwalifikowane zespoły ds. bezpieczeństwa. W przeciwnym razie można jeszcze pogorszyć sytuację.
6. Skorzystaj z pomocy z zewnątrz. Specjalista spoza organizacji może być w stanie pomóc przywrócić dane, by nie trzeba było płacić okupu.