Dane zapisane na nośnikach to najczęściej istotne dla nas pliki, a te szczególnie ważne znajdują się na dyskach firm. To skany umów, informacje dotyczące zamówień, produkcji, zatrudnienia i wielu innych elementów. Teoretycznie jest oczywiste, że powinniśmy systematycznie tworzyć kopie zapasowe, ale praktyka pokazuje, że wiele przedsiębiorstw pomija ten ważny krok. Tymczasem może im się przytrafić atak ransomware, który sparaliżuje ich działalność. Co powinieneś wiedzieć o tym zagrożeniu?
Na czym polega atak ransomware?
Ransomware to złośliwe oprogramowanie, które wymusza zapłacenie okupu. W wyniku takiego ataku na dostęp do plików systemowych czy też innych jest nakładana blokada, która zostanie zdjęta w momencie, kiedy na konto przestępców trafi określona kwota. Takie ataki mogą przybrać różną formę. Wyróżniamy:
- Atak typu screen-locker – dochodzi do zablokowania ekranu i tym samym możliwości wykonania jakichkolwiek operacji. Osobie korzystającej ze sprzętu wyświetla się okienko z informacją, co musi zrobić, jeśli chce zdjąć blokadę. Poradzenie sobie z takim atakiem jest stosunkowo łatwe – w sieci możesz znaleźć instrukcje, co zrobić w zależności od tego, co się stało.
- Atak crypto-ransomware – w tym przypadku jest wykorzystywane oprogramowanie, które szyfruje znajdujące się na dysku pliki. Co więcej – atak może dotknąć nawet danych znajdujących się w chmurze. Przestępcy oczekują opłaty za klucz deszyfrujący – najczęściej na kwotę do 1000 dolarów.
- Atak disk-encryptor – w tym przypadku złośliwe oprogramowanie doprowadza do zaszyfrowania całego dysku ofiary. Tym samym, jeśli Ci się to przytrafi, nie będziesz mieć dostępu nawet do systemu operacyjnego. Najczęściej takie ataki są wymierzone w duże firmy.
Techniką wykorzystywaną przez przestępców w celu zwiększenia skuteczności ich działania jest wyświetlanie na komputerach ofiar komunikatów o zablokowaniu urządzenia przez organy ścigania ze względu na nielegalne oprogramowanie. Oczywiście blokada zostanie zdjęta po uregulowaniu wskazanej kwoty.
Jak przebiega atak ransomware?
Do takiego ataku dochodzi na podobnej zasadzie, jak do innych infekcji. Częstą przyczyną jest odebranie wiadomości e-mail, która zawiera złośliwe oprogramowanie. Wystarczy otworzyć plik, aby rozpoczęło się szyfrowanie dysku.
Inną często występującą przyczyną jest korzystanie z oprogramowania pochodzącego z nielegalnych źródeł. Internauta daje się skusić i ściąga bez opłat drogą aplikację. Okazuje się jednak, że plik zawiera infekcję. Może do tego dojść również wówczas, gdy odwiedzimy stronę, na której znajduje się złośliwe oprogramowanie. Inną przyczyną może być korzystanie z od dawna nieaktualizowanego programu, w którym wykryto błędy krytyczne.
Złośliwe oprogramowanie, które powoduje taki atak, może się rozprzestrzeniać również poprzez publiczne sieci Wi-Fi.
Ransomware – kiedy to się zaczęło?
Do pierwszych ataków tego typu dochodziło dawno temu, bo w latach 80. ubiegłego wieku. Oto popularne wirusy i konsekwencje, które wiązały się z zainfekowaniem komputera tym oprogramowaniem:
- PC Cyborg – wirus żądał zapłacenia 189 dolarów pocztą tradycyjną. Przestępcy nazwali to opłatą za odnowienie licencji.
- WinLock – ten wirus blokował użytkownikowi dostęp do urządzenia. Oczekiwał dokonania opłaty poprzez wysłanie płatnej wiadomości SMS.
- Reveton – to oprogramowanie podszywało się pod organy ścigania, np. pod FBI. Przestępcy wymagali zapłaty nawet 3 tys. dolarów za odblokowanie urządzenia.
- CryptoLocker – ten program pojawił się w 2013 roku. Był bardzo skuteczny – odblokowanie plików bez zastosowania klucza deszyfrującego było niemożliwe.
Największe ataki ransomware’owe
Skala tego typu ataków jest ogromna, a konsekwencje finansowe tych zdarzeń poważne. Przyjrzyjmy się, do czego doprowadziło kilka największych takich ataków w historii.
- WannaCry – konsekwencją ataku ransomware za pomocą tego złośliwego oprogramowania było m.in. zablokowanie szpitali na Ukrainie. W kilka dni wirus zainfekował 250 tys. urządzeń.
Źródło: https://swisscyberinstitute.com/blog/5-biggest-ransomware-attacks-in-history/
- TeslaCrypt – w 2016 roku to złośliwe oprogramowanie odpowiadało za aż 48 proc. ataków ransomware. Co ciekawe – infekcja była bardzo trudna do pokonania bez hasła uzyskanego od cyberprzestępców. W końcu jednak zdecydowali oni o publicznym udostępnieniu klucza odszyfrowującego pliki.
Źródło: https://swisscyberinstitute.com/blog/5-biggest-ransomware-attacks-in-history/
- NotPetya – to złośliwe oprogramowanie pojawiło się w 2016 roku. Spowodowało szkody szacowane na ponad 10 mln dolarów. Błyskawicznie się rozprzestrzeniało, infekcja dotknęła urządzenia banków i wielu instytucji.
Największe ataki ransomware w 2021 roku
Tego typu ataki w dalszym ciągu są bardzo częste i dotykają korporacji, które teoretycznie mają rozwinięte działy odpowiedzialne za bezpieczeństwo IT. Oto kilka przypadków największych ataków ransomware, które miały miejsce w 2021 roku:
- Kia Motors – w ramach ataku DoppelPaymer zażądał zapłaty 404 bitcoinów, które wówczas miały wartość 20 milionów dolarów. Odpowiedzialni za atak grozili, że w razie braku zapłaty w terminie dane z nośników Kia Motors zostaną opublikowane w sieci.
- Acer – koszt ataku oprogramowaniem o nazwie REvil wyceniono na 50 mld dolarów. Odpowiedzialni za zdarzenie udostępnili w sieci m.in. arkusze kalkulacyjne, które rzekomo prezentowały finanse firmy.
- Washington DC Police Department – za atak odpowiadała grupa Babuk Group. Przestępcy zablokowali pliki i oczekiwali 4 mld dolarów za ich odblokowanie.
Jak reagować na atak ransomware?
Jeśli trafiło na Twoje urządzenie, to przede wszystkim nie załamuj rąk i nie płać za jego odblokowanie. To może być dla przestępców tylko zachęta do kolejnych działań. W przypadku wielu takich ataków, jak np. HiddenTear, Jigsaw, Legion, NoobCrypt, Stampado, SZFLocker czy TeslaCrypt, możesz pobrać z sieci darmowe programy odszyfrowujące i poradzić sobie z problemem bez pomocy ekspertów. Pamiętaj jednak o korzystaniu z takich plików wyłącznie ze sprawdzonych źródeł. Zwróć uwagę na to, skąd je pobierasz.
Obecnie kwestie bezpieczeństwa powinny być kluczowe dla każdej organizacji. Firewall to podstawowy element bezpieczeństwa i ochrony sieci, który powinien być na froncie każdej infrastruktury korporacyjnej. Chroni Twoją infrastrukturę przed prostymi atakami z zewnątrz, wirusami zawartymi w wiadomościach email oraz stronach WWW jak i złośliwym oprogramowaniem typu malware. W ITH w ramach pakietu usług Naas – Network as a Service czyli Sieci jako Usługi oferujemy dostęp do nowoczesnych firewall Fortigate, które dostarczamy dla Ciebie razem z pełną obsługą i wsparciem 24×7. To oferta, dzięki której Twoja firma będzie bezpieczna!