2016 okrzyknięto „rokiem ransomware”. Stale rosnąca popularność tego rodzaju zagrożeń sprawia wiele problemów, zarówno użytkownikom domowym, jak i firmom, których dane zostały zaszyfrowane. W 2017 roku nie tylko nie zapomnimy o ransomware, ale musimy przygotować się na wiele jego nowych odmian. Ataki tego typu będą się nasilać. Przyczynia się do tego fakt, że aż 36 proc. indywidualnych ofiar ataków ransomware decyduje się na zapłacenie okupu, pomimo braku jakiejkolwiek gwarancji odzyskania danych (dane z raportu Kaspersky Lab „Consumer Security Risks Survey 2016”).

Uprowadzanie danych i sposoby wyłudzania pieniędzy

źr. TrendMicro

Eksperci firm specjalizujących się w zwalczaniu cyberzagrożeń zgodnie przyznają, że ataki typu ransomware, czyli wymuszające zapłacenie okupu, stały się w ostatnich 2 latach prawdziwą epidemią. Ransomware to oprogramowanie malware (po raz pierwszy pojawiło się w 2009 r.) używane do „uprowadzania” (kidnappingu) danych; odmiana exploitu, za pomocą którego przestępca  zaszyfrowuje dane ofiary i żąda zapłaty (okupu) za klucz deszyfrujacy. Ransomware rozprzestrzenia się za pośrednictwem załączników do wiadomości e-mail, zainfekowanych programów i podejrzanych stron internetowych. Szkodliwe oprogramowanie typu ransomware jest również określane jako kryptowirus, kryptotrojan lub kryptorobak.

Atakujący do wyłudzania pieniędzy od swoich ofiar mogą posłużyć jedną z wielu metod:

  • Gdy ofiara odkryje, że nie może otworzyć pliku, otrzymuje emaila z żądaniem okupu – określonej sumy pieniędzy w zamian za otrzymanie prywatnego klucza deszyfrującego. Atakujący ostrzega, że jeśli okup nie zostanie zapłacony w określonym terminie, prywatny klucz zostanie zniszczony, a dane zostaną utracone na zawsze.
  • Użytkownik pada ofiarą oszustwa – wmawia mu się , że jest przedmiotem dochodzenia policji. Po otrzymaniu informacji, że na jego komputerze znaleziono nielicencjonowane oprogramowanie lub nielegalne treści internetowe, ofiara otrzymuje instrukcje jak zapłacić fikcyjną grzywnę drogą elektroniczną.
  • Malware ukradkiem szyfruje dane ofiary, nie robiąc nic innego. W tym przypadku kidnapper danych przewiduje, że ofiara będzie szukać w internecie sposobów rozwiązania problemu, i zamierza zarobić podsuwając jej oferty z oprogramowaniem antyransomware na legalnych stronach internetowych.

Aby chronić dane przed kidnappingiem, eksperci zalecają tworzenie na bieżąco kopii zapasowych danych. W razie wystąpienia ataku ransomware, nie należy płacić okupu, lecz próbować odzyskać dane z kopii zapasowych. Gdy złośliwy kod zdoła przeniknąć do systemu pomimo standardowych zabezpieczeń, ratunkiem może okazać się posiadanie aktualnej kopii zapasowej wszystkich danych i aplikacji oraz oprogramowania gwarantującego ich szybkie przywrócenie do pracy.

Jakiego ransomware bać się w 2017 roku?

Ataki nakierowane na zwykłych użytkowników były dotychczas nieopłacalne dla napastników — okup, jaki przeciętny użytkownik byłby gotów zapłacić za odblokowanie dysku twardego, samochodu lub drzwi wejściowych czy też wyłączenie alarmu pożarowego, jest po prostu za mały. Eksperci Fortinet w 2017 r. przewidują, że aby zwiększyć skalę działania przestępcy zastosują ataki zautomatyzowane, które pozwolą masowo wymuszać niewielkie haracze od wielu ofiar jednocześnie. Szczególnie narażone staną się urządzenia IoT.

Eksperci Fortinet w 2017 roku spodziewają się wyprowadzania bardzo precyzyjnych ataków wymierzanych m.in. w celebrytów, polityków i duże organizacje. Poza samym blokowaniem dostępu do systemów, ataki te będą się też wiązać z kradzieżą poufnych lub osobistych danych, używanych następnie do wymuszeń i szantażu. Można oczekiwać, że koszty okupów związanych z takimi atakami będą coraz wyższe.

25-proc. więcej odmian ransomware

źr. TrendMicro

Specjaliści TrendMicro przewidują, że w 2017 roku o 25 proc. zwiększy się liczba odmian ransomware (średnio w każdym miesiącu przybywać będzie 15 nowych). W przypadku modelu ransomware jako usługa (ransomware as a service), cyberprzestępcy mogą wydzierżawiać infrastrukturę. W 2016 r. niektóre kody ransomware stały się publicznie dostępne, co pozwoliło hakerom na generowanie własnych wersji. W rezultacie od stycznia do września ub.r. nastąpił olbrzymi 400-proc. skok w liczbie odmian ransomware. Pomimo że punkt zwrotny nastąpił w 2016 r., to coraz bardziej konkurencyjne otoczenie zmusi cyberprzestępców do dywersyfikacji działań, docierania do większej liczby potencjalnych ofiar oraz wynajdywania nowych platform.

Wektory ataków ransomware będą rozszerzane na urządzenia mobilne. Na celowniku wymuszających okupy mogą znaleźć się też inne niedesktopowe terminale komputerowe, takie jak terminale POS (point-of-sale) lub bankomaty.

Wysiłek związany z przejmowaniem kontroli nad smart urządzeniami podłączonymi do Sieci na razie przewyższa ewentualne zyski, dlatego na przykład łatwiej i taniej będzie wymienić „zhakowaną” żarówkę niż zapłacić okup. Z drugiej strony, szantażyści  grożący przejęciem kontroli nad hamulcami samochodu, gdy jedzie ono autostradą może już liczyć na jakieś zyski, ale znowu, wysiłek i zaangażowane środki potrzebne do przeprowadzenia takiego ataku mogą okazać się zbyt duże w stosunku do uzyskanego haraczu.

Ataki ransomware zakłócające funkcjonowanie środowisk przemysłowych oraz przemysłowego internetu rzeczy (IIoT) mogą powodować ogromne szkody. Przykładowo za przywrócenie działania linii produkcyjnej czy wymaganej temperatury w pomieszczeniach fabryki przestępcy mogą żądać niemałych pieniędzy.

Ponieważ nie ma złotego środka chroniącego w 100 proc. przed atakami ransomware, najlepiej blokować zagrożenia już u źródeł – poprzez rozwiązania internetowe i bramki e-mail. Technologia maszynowego uczenia stanowi silne uzupełnienie wielowarstwowego modelu bezpieczeństwa, potrafiąc wykrywać nawet unikalne i nowe rodzaje ransomware.

 Leksykon 2017
Napisane przez Stefan Kaczmarek