Mimo ostatniego spadku oprogramowanie ransomware nadal stanowi poważne zagrożenie. Oto wszystko, co musisz wiedzieć o złośliwym oprogramowaniu szyfrującym pliki i jego działaniu.

Definicja ransomware

Ransomware to forma  złośliwego oprogramowania,  które szyfruje pliki ofiary. Atakujący żąda następnie okupu od ofiary w celu przywrócenia dostępu do danych po dokonaniu płatności.

Użytkownikom wyświetlane są instrukcje dotyczące sposobu uiszczenia opłaty za uzyskanie klucza odszyfrowywania. Koszty mogą wynosić od kilkuset dolarów do tysięcy, płatne cyberprzestępcom w Bitcoin.

Jak działa oprogramowanie ransomware

Istnieje wiele wektorów, które ransomware może pobrać, aby uzyskać dostęp do komputera. Jednym z najczęstszych systemów dostarczania jest spam phishingowy – załączniki przychodzące do ofiary w wiadomości e-mail, podszywające się pod plik, któremu należy zaufać. Po pobraniu i otwarciu mogą przejąć komputer ofiary, zwłaszcza jeśli mają wbudowane narzędzia inżynierii społecznej , które nakłaniają użytkowników do uzyskania dostępu administracyjnego. Niektóre inne, bardziej agresywne formy ransomware, takie jak NotPetya , wykorzystują luki bezpieczeństwa w celu infekowania komputerów bez konieczności oszukiwania użytkowników.

W niektórych formach złośliwego oprogramowania osoba atakująca może twierdzić, że jest organem ścigania, który wyłącza komputer ofiary z powodu obecności na nim pornografii lub pirackiego oprogramowania i żąda zapłaty „grzywny”, być może w celu zmniejszenia prawdopodobieństwa ofiary zgłoś atak władzom. Ale większość ataków nie przejmuje się tym pozorem. Istnieje również odmiana zwana oprogramowaniem typu wyciek lub doxware , w której atakujący grozi opublikowaniem poufnych danych na dysku twardym ofiary, chyba że zostanie zapłacony okup. Ale ponieważ znalezienie i wyodrębnienie takich informacji jest bardzo trudną propozycją dla atakujących, oprogramowanie ransomware szyfrujące jest zdecydowanie najbardziej rozpowszechnionym typem.

Kto jest celem 19?

Istnieje kilka różnych sposobów, w jaki atakujący wybierają organizacje, na które atakują przy użyciu oprogramowania ransomware . Czasami jest to okazja: na przykład atakujący mogą atakować uniwersytety, ponieważ zwykle mają mniejsze zespoły bezpieczeństwa i odmienną bazę użytkowników, którzy dzielą się plikami, ułatwiając penetrację ich obrony.

Z drugiej strony niektóre organizacje kuszą cele, ponieważ wydają się bardziej prawdopodobne, że szybko zapłacą okup. Na przykład agencje rządowe lub placówki medyczne często potrzebują natychmiastowego dostępu do swoich akt. Kancelarie prawne i inne organizacje posiadające wrażliwe dane mogą być skłonne zapłacić, aby nie ujawniać informacji o kompromisie – a te organizacje mogą być wyjątkowo wrażliwe na ataki typu „wyciek”.

Ale nie czuj się bezpieczny, jeśli nie pasujesz do tych kategorii: jak zauważyliśmy, niektóre oprogramowanie ransomware rozprzestrzenia się automatycznie i bezkrytycznie w Internecie.

Jak zapobiec ransomware

Istnieje wiele kroków obronnych, które można podjąć, aby zapobiec infekcji ransomware . Te kroki są oczywiście ogólnie dobrymi praktykami bezpieczeństwa, więc ich przestrzeganie poprawia ochronę przed wszelkiego rodzaju atakami:

• Utrzymać  system operacyjny połatany i up-to-date  , aby upewnić się, że mają niewielkie luki do wykorzystania.
• Nie  instaluj oprogramowania ani nie przyznawaj mu uprawnień administracyjnych, chyba że wiesz dokładnie, co to jest i co robi.
• Zainstaluj  oprogramowanie antywirusowe , które wykrywa złośliwe programy, takie jak oprogramowanie ransomware, po ich przybyciu oraz  oprogramowanie umieszczone na białej liście , które zapobiega uruchamianiu nieautoryzowanych aplikacji.
• I oczywiście często i automatycznie twórz  kopie zapasowe plików  ! To nie powstrzyma ataku złośliwego oprogramowania, ale może sprawić, że szkody spowodowane przez jednego będą znacznie mniejsze.

Usuwanie ransomware

Jeśli Twój komputer został zainfekowany oprogramowaniem ransomware, musisz odzyskać kontrolę nad komputerem. Steve Ragan z CSO ma świetny film pokazujący, jak to zrobić na komputerze z systemem Windows 10:

Film zawiera wszystkie szczegóły, ale ważne kroki to:

• Uruchom ponownie system Windows 10 w trybie awaryjnym
• Zainstaluj oprogramowanie antymalware
• Przeskanuj system, aby znaleźć program ransomware
• Przywróć komputer do poprzedniego stanu

Należy jednak pamiętać o tej ważnej rzeczy: wykonując poniższe czynności, możesz usunąć złośliwe oprogramowanie z komputera i przywrócić je do kontroli, nie odszyfruje on plików. Ich transformacja w nieczytelność już się wydarzyła, a jeśli złośliwe oprogramowanie jest w ogóle wyrafinowane, matematycznie niemożliwe będzie odszyfrowanie go bez dostępu do klucza, który posiada atakujący. W rzeczywistości usuwając szkodliwe oprogramowanie, uniemożliwiłeś przywrócenie plików, płacąc atakującym okup, o który prosili.

Fakty i liczby dotyczące oprogramowania ransomware

Ransomware to duży biznes. W oprogramowaniu ransomware jest dużo pieniędzy, a rynek szybko się rozwija od początku dekady. W 2017 r. Oprogramowanie ransomware spowodowało straty w wysokości 5 miliardów dolarów , zarówno pod względem zapłaconych okupów, jak i wydatków oraz straconego czasu na odzyskanie po atakach. To 15 razy więcej niż w 2015 roku. W pierwszym kwartale 2018 roku tylko jeden rodzaj oprogramowania ransomware, SamSam, zebrał 1 milion dolarów w okupie .

Niektóre rynki są szczególnie podatne na oprogramowanie ransomware i płacenie okupu. Wiele głośnych ataków oprogramowania ransomware miało miejsce w szpitalach lub innych organizacjach medycznych, które stanowią kuszące cele: osoby atakujące wiedzą, że mając życie dosłownie w równowadze, przedsiębiorstwa te częściej płacą stosunkowo niski okup, aby problem zniknął. Szacuje się, że 45 procent ataków ransomware atakuje organy ochrony zdrowia , a odwrotnie, 85% infekcji złośliwym oprogramowaniem w organach opieki zdrowotnej to oprogramowanie ransomware . Kolejna kusząca branża? Sektor usług finansowych, który – jak słyszał Willie Sutton – gdzie są pieniądze. Szacuje się, że 90% instytucji finansowych zostało zaatakowanych przez atak ransomware w 2017 roku .

Twoje oprogramowanie anty-malware niekoniecznie cię ochroni. Ransomware jest stale pisane i modyfikowane przez jego twórców, więc jego sygnatury często nie są przechwytywane przez typowe programy antywirusowe. W rzeczywistości aż 75 procent firm, które padły ofiarą oprogramowania ransomware, posiadało aktualną ochronę punktów końcowych na zainfekowanych komputerach .

Ransomware nie jest tak rozpowszechnione, jak kiedyś. Jeśli chcesz trochę dobrych wiadomości, to jest to: liczba ataków ransomware, po wybuchu w połowie lat 10-tych, spadła, chociaż początkowe liczby były na tyle wysokie, że nadal. Ale w pierwszym kwartale 2017 r. Ataki oprogramowania ransomware stanowiły 60 procent wszystkich szkodliwych programów; teraz spada do 5  procent.

Ransomware na spadku?

Co kryje się za tym dużym spadkiem? Pod wieloma względami jest to decyzja ekonomiczna oparta na wybranej walucie cyberprzestępcy: bitcoinie. Wyciąganie okupu z ofiary zawsze było trafiane lub chybione; mogą nie zdecydować się zapłacić, a nawet jeśli chcą, mogą nie być wystarczająco obeznani z bitcoinami, aby dowiedzieć się, jak to zrobić.

Jak podkreśla Kaspersky , spadekowi oprogramowania ransomware towarzyszy wzrost tak zwanego złośliwego oprogramowania kryptograficznego , które infekuje komputer ofiary i wykorzystuje jego moc obliczeniową do tworzenia (lub kopania , w języku kryptowalutowym) bitcoinów bez wiedzy właściciela. Jest to fajna droga do korzystania z cudzych zasobów, aby uzyskać bitcoiny, która omija większość trudności w zdobyciu okupu, a stała się bardziej atrakcyjna jako cyberatak, gdy cena bitcoinów wzrosła pod koniec 2017 roku.

Nie oznacza to jednak, że zagrożenie minęło. Barkly wyjaśnia, że ​​istnieją dwa różne rodzaje atakujących oprogramowanie ransomware : ataki „towarowe”, które próbują zainfekować komputery bez rozróżnienia na podstawie ogromnej ilości i obejmują tak zwane platformy „ransomware jako usługa”, które przestępcy mogą wynająć; oraz grupy docelowe, które koncentrują się na szczególnie wrażliwych segmentach rynku i organizacjach. Powinieneś być czujny, jeśli jesteś w drugiej kategorii, bez względu na to, czy minął wielki boom ransomware.

Ponieważ cena bitcoinów spadła w 2018 roku, analiza kosztów i korzyści dla atakujących może się cofnąć. Ostatecznie stosowanie ransomware lub złośliwego oprogramowania kryptowalutowego jest decyzją biznesową atakujących, mówi Steve Grobman, dyrektor ds. Technologii w McAfee. „Gdy ceny kryptowalut spadają, naturalnym jest powrót do [oprogramowania ransomware]”.

Czy powinieneś zapłacić okup?

Jeśli Twój system został zainfekowany złośliwym oprogramowaniem i utraciłeś ważne dane, których nie możesz przywrócić z kopii zapasowej, czy powinieneś zapłacić okup?

Mówiąc teoretycznie, większość organów ścigania zaleca, abyś nie płacił atakującym ransomware, zgodnie z logiką, która tylko zachęca hakerów do tworzenia większej liczby ransomware. To powiedziawszy, wiele organizacji dotkniętych szkodliwym oprogramowaniem szybko przestaje myśleć w kategoriach „większego dobra” i rozpoczyna analizę kosztów i korzyści , porównując cenę okupu z wartością zaszyfrowanych danych. Według badań Trend Micro, podczas gdy 66 procent firm twierdzi , że z zasady nigdy nie zapłaciłby okupu, w praktyce 65 procent faktycznie płaci okup, gdy zostanie trafiony.

Osoby atakujące ransomware utrzymują ceny na względnie niskim poziomie – zwykle między 700 a 1300 USD, czyli kwotę, którą firmy zazwyczaj mogą zapłacić w krótkim czasie. Niektóre szczególnie wyrafinowane złośliwe oprogramowanie wykryje kraj, w którym działa zainfekowany komputer, i dostosuje okup do gospodarki tego kraju, żądając więcej od firm z bogatych krajów, a mniej od firm z biednych regionów.

Często oferowane są zniżki za szybkie działanie, aby zachęcić ofiary do szybkiego zapłacenia, zanim za dużo się nad tym zastanowią. Ogólnie rzecz biorąc, cena jest ustawiona tak, aby była wystarczająco wysoka, aby być warta przestępcy, ale wystarczająco niska, aby często była tańsza niż to, co ofiara musiałaby zapłacić za przywrócenie komputera lub odtworzenie utraconych danych. Mając to na uwadze, niektóre firmy zaczynają wykorzystywać potencjalną potrzebę zapłaty okupu w swoich planach bezpieczeństwa: na przykład niektóre duże brytyjskie firmy, które w przeciwnym razie nie są zaangażowane w kryptowalutę, przechowują trochę Bitcoinów w rezerwie specjalnie na płatności okupowe.

Jest tu kilka trudnych rzeczy do zapamiętania, pamiętając, że ludzie, z którymi masz do czynienia, to oczywiście przestępcy. Po pierwsze, coś, co wygląda jak oprogramowanie ransomware, mogło wcale nie zaszyfrować twoich danych; upewnij się, że nie masz do czynienia z tak zwanym „ przerażającym oprogramowaniem ”, zanim wyślesz komuś pieniądze. Po drugie, płacenie atakującym nie gwarantuje odzyskania plików. Czasami przestępcy po prostu biorą pieniądze i uciekają, a nawet nie mają wbudowanej funkcji odszyfrowywania złośliwego oprogramowania. Ale takie złośliwe oprogramowanie szybko zyska reputację i nie będzie generować przychodów, więc w większości przypadków – Gary Sockrider, główny technolog bezpieczeństwa w Arbor Networks,

Chociaż oprogramowanie ransomware istnieje na rynku od lat 90-tych, zaczęło działać dopiero w ciągu ostatnich pięciu lat, głównie ze względu na dostępność niewykrywalnych metod płatności, takich jak Bitcoin. Niektóre z najgorszych przestępców to:

• CryptoLocker , atak z 2013 r., Zapoczątkował współczesną erę oprogramowania ransomware i zainfekował do 500 000 komputerów na swoim szczycie.
• TeslaCrypt celował w pliki gier i obserwował ciągłą poprawę podczas swoich rządów terroru.
• SimpleLocker był pierwszym szeroko rozpowszechnionym atakiem ransomware, który koncentrował się na urządzeniach mobilnych
• WannaCry rozprzestrzeniał się autonomicznie między komputerami za pomocą EternalBlue, exploita opracowanego przez NSA, a następnie skradzionego przez hakerów.
• NotPetya używał również EternalBlue i mógł być częścią rosyjskiego cyberataku przeciwko Ukrainie.
• Locky zaczął rozprzestrzeniać się w 2016 r. I był „ podobny w swoim ataku do znanego oprogramowania bankowego Dridex ”. Wariant, Ozyrys , rozprzestrzenił się poprzez kampanie phishingowe.
• Leatherlocker został odkryty w 2017 roku w dwóch aplikacjach na Androida: Booster & Cleaner i Wallpaper Blur HD. Zamiast szyfrować pliki, blokuje ekran główny, aby uniemożliwić dostęp do danych.
• Wysiwye, również odkryty w 2017 r., Skanuje sieć w poszukiwaniu otwartych serwerów RDP. Następnie próbuje ukraść poświadczenia RDP w celu rozprzestrzeniania się w sieci.
• Cerber okazał się bardzo skuteczny, gdy po raz pierwszy pojawił się w 2016 roku, zarabiając na atakach 200 000 USD w lipcu tego roku. Wykorzystał podatność Microsoft na infekowanie sieci.
• BadRabbit rozprzestrzenił się w firmach medialnych w Europie Wschodniej i Azji w 2017 roku.
• SamSam istnieje od 2015 roku i jest skierowany głównie do organizacji opieki zdrowotnej.
• Ryuk po raz pierwszy pojawił się w 2018 roku i jest wykorzystywany w ukierunkowanych atakach na wrażliwe organizacje, takie jak szpitale. Jest często używany w połączeniu z innym złośliwym oprogramowaniem, takim jak TrickBot.
• Maze to stosunkowo nowa grupa ransomware znana z publicznego udostępniania skradzionych danych, jeśli ofiara nie płaci za ich odszyfrowanie.
• RobbinHood to kolejny wariant EternalBlue, który w 2019 r. Rzucił miasto Baltimore w stanie Maryland.
• GandCrab może być najbardziej intratnym oprogramowaniem ransomware na świecie. Twórcy oprogramowania, którzy sprzedali program cyberprzestępcom, od lipca 2019 r. Żądają ponad 2 miliardów dolarów wypłat dla ofiar.
• Sodinokibi atakuje systemy Microsoft Windows i szyfruje wszystkie pliki oprócz plików konfiguracyjnych. Jest powiązany z GandCrab
• Thanos to najnowsze oprogramowanie ransomware z tej listy, odkryte w styczniu 2020 r. Jest sprzedawane jako oprogramowanie ransomware jako usługa. Jako pierwsze stosuje technikę RIPlace, która może ominąć większość metod anty-ransomware.

Ta lista będzie po prostu dłuższa. Postępuj zgodnie ze wskazówkami w poście, aby się zabezpieczyć.