Ransomware. Jak działają i jak zabezpieczyć się przed atakami wymuszającymi okup?
Ransomware jest jedną z najczęściej wykorzystywanych broni przez cyberprzestępców. To proste, a zarazem skuteczne rozwiązanie, pozwalające im nie tylko uzyskać dostęp do plików na komputerze ofiary, ale też zarobić pieniądze. Dobra wiadomość jest taka, że równie łatwe jest zabezpieczenie się przed tego typu atakami, a przynajmniej przed ich skutkami.
To nie przypadek, że złośliwe oprogramowanie wymuszające okup nieustannie zyskuje na znaczeniu. Dla doświadczonych cyberprzestępców ataki z wykorzystaniem oprogramowania typu ransomware są relatywnie proste do przeprowadzenia, a skuteczność jest stosunkowo wysoka. Warto tu jednak zauważyć, że ta skuteczność wynika przede wszystkim z nieświadomości użytkowników albo wręcz lekceważenia przez nich podstawowych zasad bezpieczeństwa. Zacznijmy jednak od początku.
Współczesny dynamicznie zmieniający się krajobraz zagrożeń wymaga od organizacji wdrożenia nowoczesnych technologii i rozwiązań, by skutecznie chronić ciągłość działania biznesu oraz cenne zasoby firmy. Raport ENISA Threat Landscape za 2022 rok wskazuje, że ransomware wciąż znajduje się w czołówce zagrożeń cybernetycznych, często będąc wynikiem działań typu phishing. Z analiz wynika, że nawet 60% dotkniętych tym zagrożeniem organizacji mogło ulec żądaniom hakerów i zapłacić okup. W obliczu rosnących zagrożeń ransomware, technologie takie jak dedykowane mechanizmy ochrony poczty oraz systemy ochrony urządzeń końcowych (XDR) stają się kluczowymi elementami w ochronie infrastruktury IT przed atakami opartymi o oprogramowanie wymuszające okup. Kluczowe jest posiadanie przez firmy stworzonej zgodnie ze sztuką strategii zarządzania ryzykiem, które uwzględniają regularne tworzenie kopii zapasowych danych i przygotowanie do najgorszego scenariusza poprzez implementację planu odzyskiwania po awariach. Takie podejście nie tylko minimalizuje ryzyko utraty danych, ale także przyspiesza proces przywracania systemów do normalnego funkcjonowania. Ważną rolę odgrywa także edukacja i podnoszenie świadomości pracowników w zakresie potencjalnych zagrożeń oraz metod ich unikania, co tworzy pierwszą linię obrony przed cyberatakami.
Ransomware – atak z żądaniem okupu
Nazwa "ransomware" pochodzi od zbitki angielskich słów "ransom" (czyli okup) oraz "malware" (czyli złośliwe oprogramowanie). I tym właśnie jest – szkodliwym programem, który najpierw szyfruje dane na komputerze ofiary, a następnie żąda okupu w zamian za ich odblokowanie (lub – rzadziej – nieujawnianie pozyskanych danych).
Zasadniczo istnieje kilka rodzajów ransomware. W wyniku ataku najczęściej po prostu zaszyfrowany zostaje dysk (uniemożliwiając dostęp do plików) – mówimy wówczas o metodzie disk-encryptor. Inną odmianą ransomware jest screen-locker, polegający na blokowaniu ekranu.
Dalsza część artykułu pod materiałem wideo
Wspólną cechą ataków ransomware jest to, że w zamian za przywrócenie dostępu do danych cyberprzestępcy żądają okupu. (Stosowny komunikat pojawia się najczęściej zaraz po uruchomieniu zainfekowanego komputera). Zawsze w kryptowalutach – ze względu na ich anonimowy charakter. Często jest też tak, że wysokość okupu rośnie z czasem, co ma zachęcić ofiarę do jak najszybszej reakcji (zanim zdąży przeanalizować wszystkie za i przeciw).
Jeśli chodzi o to, jaka jest wysokość żądanego okupu, to nie ma prostej odpowiedzi. Często jest ona uzależniona od rozmiaru organizacji. Cyberprzestępcy zależy wszak na tym, by zdobyć jak najwięcej pieniędzy, ale wie, że nie może przesadzić, bo wtedy szansa na to, że otrzyma cokolwiek, drastycznie zmaleje.
Jak cyberprzestępcy dobierają się do ofiary?
Aby dostać się do plików na komputerze ofiary, cyberprzestępcy muszą albo uzyskać dostęp do urządzenia, by wgrać tam złośliwe oprogramowanie, albo – w jakiś sposób – przekonać do instalacji szkodliwego kodu samą ofiarę. Zdecydowanie częściej mamy do czynienia z tą drugą sytuacją.
Jedną z popularnych metod jest wysyłanie wiadomości e-mail z zainfekowanymi załącznikami. Podszywając się pod szefa, partnera biznesowego, kontrahenta albo i przedstawiciela tej lub innej usługi, cyberoszust dorzuca link lub załącznik (np. z rzekomą fakturą lub wzorem umowy). Czasem wystarczy kliknąć lub pobrać i otworzyć plik, by wpuścić na swój komputer szkodnika. Ten może uaktywnić się od razu, ale częściej zdarza się, że do zaszyfrowania plików dochodzi z pewnym opóźnieniem (by utrudnić identyfikację źródła problemu).
Alternatywnie cyberprzestępcy mogą samodzielnie uzyskać dostęp do komputera ofiary. Metoda polega na odnalezieniu luk w zabezpieczeniach systemu – zdarza się na przykład, że na komputerach jest zainstalowane nieaktualne, "dziurawe" oprogramowanie, które staje się drzwiami dla "hakera".
Jak zabezpieczyć się przed ransomware?
Trudno ochronić się przed samym atakiem, ale skutecznie można zabezpieczyć się przed jego skutkami. Podstawową, a zarazem najlepszą metodą jest regularne tworzenie kopii zapasowych. Backup sprawia, że nie trzeba zastanawiać się nad tym, czy płacić okup, czy nie, ponieważ odzyskać dostęp do wszystkich plików można poprzez przywrócenie ich z archiwum.
Jest jednak kilka zasad, o których należy w tym kontekście pamiętać. Przede wszystkim kluczowe jest to, by kopie zapasowe były wykonywane regularnie. W zależności od tego, jak często pojawiają się nowe ważne pliki, może być zapotrzebowanie na codzienny, cotygodniowy lub comiesięczny backup. Nowoczesne programy archiwizacyjne pozwalają zautomatyzować to zadanie, dzięki czemu nie trzeba nawet o tym pamiętać ani myśleć. Warto tylko raz na jakiś czas zobaczyć, czy proces przebiega prawidłowo.
Ważne jest również to, gdzie przechowywane są te kopie zapasowe. Najlepiej, by te nośniki nie były na stałe podłączone do komputera ani internetu. Zmniejszy to ryzyko wystąpienia sytuacji, w której częścią backupu są zainfekowane pliki.
Nie tylko backup
Regularne kopie zapasowe to podstawa. Dobrze jest jednak wdrożyć także inne formy zabezpieczeń. Przede wszystkim – i dotyczy to nie tylko ochrony przed ransomware – należy zadbać o aktualne oprogramowanie antywirusowe. Dzięki niemu program szyfrujący pliki może nawet nie dostać się na komputer. Także system operacyjny i pozostałe aplikacje powinny być regularnie aktualizowane.
Warto też przeszkolić pracowników, by ci wiedzieli, na co zwracać uwagę. Chodzi przede wszystkim o dobre praktyki związane z nieklikaniem podejrzanych linków i niepobieranie podejrzanych załączników. Pracownicy muszą być jednak świadomi tego, co oznacza to "podejrzane".
Czy należy płacić okup?
Zdania na ten temat są podzielone, a ponadto każda sytuacja jest inna. Niemniej jednak najczęściej odpowiedź będzie przecząca. Wynika to z faktu, że wpłacenie okupu wcale nie daje gwarancji odzyskania dostępu do plików. Należy tu pamiętać, że ostatecznie negocjujemy z przestępcą, naiwnym byłoby więc oczekiwanie od niego etycznego zachowania.
Organizacja stosująca się do podstawowych zasad bezpieczeństwa i dbająca o regularne tworzenie kopii zapasowych tak naprawdę nie musi się nad tym zastanawiać – i bez opłacania okupu odzyska dostęp do plików.
Nie można się też jednak dziwić organizacjom, które decydują się na opłacenie okupu. W przeszłości ofiarami ataków typu ransomware padały między innymi szpitale i te często podejmują właśnie takie decyzje. Gdy chodzi o ratowanie życia, nie ma wszak miejsca na kalkulacje.
Ubezpieczenie od ransomware
Ani nie chroni przed atakami, ani też nie stanowi gwarancji odzyskania dostępu do plików. Mimo to dobrze jest mieć wykupione ubezpieczenie od ransomware. Taka polisa sprawia, że uniknie się przynajmniej strat finansowych.
Trzeba jednak pamiętać, że uzyskanie odszkodowania z tytułu ubezpieczenia od ransomware nie powinno być finałem sprawy. Gdy padnie się ofiarą cyberoszustwa, należy czym prędzej podjąć kroki, mające na celu wyeliminowanie zagrożenia. W innym przypadku luka może zostać wykorzystana ponownie przez cyberprzestępców, a powracające ataki z żądaniem okupu na pewno nie przysłużą się normalnemu funkcjonowaniu organizacji.
