Ransomware – co to jest?
Definicja ransomware bazuje na nazwie tego typu ataków, która pochodzi od angielskich słów ransom – okup i software – oprogramowanie. Ransomware polega na zablokowaniu dostępu do systemu połączonym z żądaniem okupu od właściciela za przywrócenie możliwości korzystania ze swoich zasobów. Programy tego typu mają postać złośliwego oprogramowania, czyli malware.
W jaki sposób można paść ofiarą ransomware?
Warto mieć świadomość, że celem ataku ransome może stać się każdy użytkownik sieci. Natomiast w przypadku organizacji straty mogą być wyjątkowo duże. Blokada systemu może bowiem sparaliżować pracę firmy czy instytucji. Bardzo często przesłanką do podjęcia ataku jest potencjał do zapłaty okupu. Z tego powodu przedsiębiorstwa są częściej atakowane niż osoby prywatne, które po prostu nie dysponują tak dużymi środkami finansowymi, które byłyby interesujące dla oszustów. Właśnie dlatego to szczególnie firmy powinny zadbać o solidne zabezpieczenia przed atakami ransomware. Obecnie zdarza się również, że cyberprzestępcy nie tylko szyfrują dane, ale również je wykradają. Następnie mogą szantażować właściciela, grożąc ich ujawnieniem lub poinformowaniem o wycieku partnerów biznesowych czy nawet opinie publiczną. W ten sposób wymuszają zapłatę okupu.
W jaki przestępcy rozpoczynają ataki ransomware?
Ataki ransomware mogą przyjmować różne formy. Jedną z nich jest wyświetlanie fałszywego ostrzeżenia, przesłanego rzekomo przez policję lub inne służby państwowe. Może ono informować o wykryciu treści pornograficznych lub pirackiego oprogramowania. Niekiedy komunikat dotyczy użytkowania nieoryginalnej wersji oprogramowania Microsoft. Kliknięcie w podany link lub pobranie pliku może doprowadzić do zainfekowania systemu lub sprzętu.
Co powoduje ransomware?
Tutaj również można mieć do czynienia z różnymi wariantami wyrządzonych szkód. Najprostsze oprogramowanie ransomware „jedynie” blokuje dostęp do systemu lub plików. Taką blokadę stosunkowo łatwo zdjąć przy pomocy specjalisty. Bardziej zaawansowane warianty stosują natomiast technikę kryptowirusowego wymuszenia. Szyfrują pliki, które nie nadają się do odczytu. Dostęp do klucza deszyfrującego jest uzależniony od wpłaty okupu.
Przebieg ataku
Atak ransomware rozpoczyna się, jak wspomniano, od przesłania sfingowanego powiadomienia. Aby szkodliwe działanie się rozpoczęło, użytkownik musi podjąć dane działanie, np. kliknąć przycisk lub pobrać plik. Niekiedy oprogramowanie ma formę prostej aplikacji, która blokuje lub ogranicza dostęp do systemu aż do momentu dokonania płatności. Najgroźniejsze wersje mają zdolność do szyfrowania plików – zwykle za pomocą silnego algorytmu. Wówczas wyłącznie autor oprogramowania, czyli haker, jest w stanie je odblokować. Takie ataki są najbardziej szkodliwe, ponieważ są niezwykle trudne do zwalczenia. Kolejnym etapem ataku ransomware jest próba wyłudzenia płatności. W zamian za nią system ma zostać odszyfrowany. Trzeba jednak pamiętać, że nie zawsze tak się dzieje. Po przesłaniu „zapłaty” nie ma się żadnej pewności, że hakerzy rzeczywiście zrobią to, co obiecywali. Jeśli faktycznie zdecydują się odblokować system, dostarczą program do odszyfrowania plików lub prześlą kod, który cofnie wprowadzone zmiany.
Czy ransomware to wirus?
Oprogramowanie ransomware najczęściej jest trojanem, a nie wirusem. Zostaje on wprowadzony do systemu poprzez pobranie pliku lub za pomocą luk istniejących w zabezpieczeniach. Szkodliwy kod ma z kolei zwykle postać aplikacji typu scareware. Przykładami ransomware mogą być: • trojan Reveton, • AIDS (pierwszy ransomware na świecie), • CryptoLocker (wymuszający zapłatę okupu w kryptowalutach).
Czym usunąć ransomware?
Warto mieć na uwadze, że zapłata okupu nie daje żadnej pewności, że zmiany zostaną wycofane. Zależy to jedynie od „dobrej woli” hakera. Nie ma także żadnej gwarancji, że nie zostaną one upublicznione lub wykorzystane do kradzieży pieniędzy bądź poufnych informacji. Ponadto zapłata okupu prowadzi do wspierania grup przestępczych, które dzięki temu mogą rozwijać swoją działalność Instytucje rządowe radzą, by po ataku ransomware odwiedzić stronę NoMoreRansom.org (to polska platforma wsparcia dla ofiar ataku ransomware). Istnieje szansa, że deskryptor dostępny na tej stronie pozwoli usunąć trojana z systemu. Zawsze warto również zgłosić atak do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK: incydent.cert.pl/. Niektóre organizacje mają prawny obowiązek zgłaszania takich incydentów, co wynika z dyrektywy NIS2.
Zabezpieczenie przed ransomware w firmie i organizacji – jak zapobiegać?
W związku z nadchodzącymi wymaganiami dyrektywy NIS 2, przesyłamy listę pytań dotyczących obecnych praktyk i gotowości Państwa organizacji w zakresie cyberbezpieczeństwa. Poniższe pytania, pozwolą Państwu ocenić, na jakim etapie znajduje się Państwa organizacja w kontekście spełnienia wymagań tej dyrektywy.
1. Gotowość na dyrektywę NIS 2:
Czy Państwa organizacja jest przygotowana na wdrożenie wytycznych dyrektywy NIS 2 do dnia 18 października 2024 r., która zobliguje do zwiększenia ochrony zasobów informatycznych?
2. Osoba odpowiedzialna za cyberbezpieczeństwo:
Zabezpieczenie przed ransomware w firmie i organizacji – jak zapobiegać? Trzeba mieć świadomość, że najskuteczniejszym sposobem ochrony przed atakami typu ransomware jest przede wszystkim zapobieganie. Dotyczy to głównie organizacji, które obsługują wrażliwe dane i są szczególnie podatne na ataki
Na stronie EXEA.pl znajdą Państwo więcej przydatnych informacji na temat cyberbezpieczeństwa oraz sposobów ochrony swoich zasobów przez atakami cyfrowymi. Exea oferuje usługi Security Operations Center Exea (SOC). Zapewniają one skuteczną ochronę przed atakami hakerskimi, pozwalają wykrywać nieprawidłowości w działaniu systemów oraz błyskawicznie reagować na incydenty bezpieczeństwa.