Czym jest ransomware?
Ransomware to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do ich systemu lub plików osobistych i żąda zapłaty okupu w celu odzyskania tegoż dostępu. Podczas gdy niektórzy ludzie mogą myśleć, że „wirus zablokował mój komputer”, oprogramowanie ransomware jest zwykle klasyfikowane jako inna forma złośliwego oprogramowania niż wirus. Najwcześniejsze warianty oprogramowania ransomware powstały pod koniec lat 80., a płatność za odblokowanie plików miała być wysyłana pocztą tradycyjną. Obecnie twórcy ransomware nakazują wysłanie płatności za pomocą kryptowaluty lub karty kredytowej, a atakom podlegają zarówno osoby fizyczne, jaki i firmy oraz organizacje wszelkiego rodzaju. Niektórzy autorzy oprogramowania ransomware sprzedają usługę innym cyberprzestępcom, co jest znane jako Ransomware-as-a-Service (w skrócie RaaS).
Rodzaje ataków ransomware
W jaki sposób przeprowadza się atak ransomware? W pierwszej kolejności atakujący musi uzyskać dostęp do urządzenia lub sieci. Posiadanie dostępu umożliwia im wykorzystanie złośliwego oprogramowania potrzebnego do zaszyfrowania lub zablokowania urządzenia i danych.
- Crypto ransomware lub programy szyfrujące – to jedne z najbardziej znanych i szkodliwych wariantów. Ten typ szyfruje pliki i dane w systemie, przez co zawartość jest niedostępna bez klucza deszyfrującego, za udostępnienie którego atakujący żąda zapłaty.
- Scareware – fałszywe oprogramowanie, które twierdzi, że wykryło wirusa lub inny problem na twoim komputerze i nakłania cię do zapłaty za rozwiązanie problemu. Niektóre programy typu scareware blokują komputer, podczas gdy inne po prostu zalewają ekran wyskakującymi alertami, nie uszkadzając w rzeczywistości plików.
- Oprogramowanie Doxware – grozi rozpowszechnianiem w Internecie poufnych informacji osobistych lub firmowych. Wiele osób po wyświetleniu takiego komunikatu wpada w panikę i płaci okup, aby zapobiec dostaniu się prywatnych danych w niepowołane ręce lub przedostaniu się do przestrzeni publicznej. Jako przykład można wskazać ransomware o tematyce policyjnej – komunikat dla użytkownika wskazuje, że ma on do czynienia z organem ścigania, który ostrzega go, że wykryto jego nielegalną aktywność online, ale kary więzienia można uniknąć, płacąc grzywnę od ręki.
Sposoby rozprzestrzeniania ransomware
- Malspam: to niechciana wiadomość e-mail, której celem jest dostarczenie złośliwej zawartości za pośrednictwem załącznika pakietu Microsoft Office lub nakłaniania użytkownika do kliknięcia łącza w wiadomości e-mail. Wykorzystując przechwycone wiadomości e-mail jako podstawę do spamu, odbiorca z większym prawdopodobieństwem pomyśli, że wiadomość e-mail jest wiarygodna, ponieważ wydaje się pochodzić od znanego kontaktu, a nawet może być częścią wątku wiadomości, w którym odbiorca był pierwotnie częścią .Aby uzyskać dostęp dla plików czy sieci ofiary, cyberprzestępcy wykorzystują spam, wysyłając wiadomość e-mail ze złośliwym załącznikiem do jak największej liczby osób. Złośliwy spam lub malspam to niechciana wiadomość e-mail używana do dostarczania złośliwego oprogramowania. Wiadomość e-mail może zawierać załączniki z pułapkami, takie jak pliki PDF lub dokumenty programu Word. Może również zawierać linki do złośliwych stron internetowych.
- Niezabezpieczone porty USB: dyski USB, pendrive i komputery przenośne są powszechnym nośnikiem oprogramowania ransomware. Podłączenie zainfekowanego urządzenia może spowodować, że oprogramowanie ransomware zaszyfruje daną stację roboczą i potencjalnie rozprzestrzeni się w sieci. Zwykle dzieje się to nieumyślnie — członek personelu nieświadomie podłącza zainfekowany dysk USB.
- RDP: protokół komunikacyjny umożliwiający łączenie się z innym komputerem za pośrednictwem połączenia sieciowego, to kolejny popularny wektor ataku. Niektóre przykłady oprogramowania ransomware rozprzestrzeniającego się za pośrednictwem protokołu RDP to między innymi SamSam, Dharma i GandCrab. Domyślnie protokół RDP odbiera żądania połączenia przez port 3389. Cyberprzestępcy wykorzystują ten fakt, przeszukując Internet przy pomocy skanerów w poszukiwaniu komputerów z otwartymi portami. Następnie próbują uzyskać dostęp do wybranej maszyny, wykorzystując luki w zabezpieczeniach lub używając ataków siłowych w celu złamania zabezpieczeń. Gdy atakujący uzyska dostęp do maszyny, może zrobić z nią wszystko, na co ma ochotę. Zazwyczaj wiąże się to z wyłączeniem oprogramowania antywirusowego i innych rozwiązań zabezpieczających, usunięciem dostępnych kopii zapasowych i wdrożeniem oprogramowania ransomware.
- Malvertising: czyli złośliwa reklama staje się coraz bardziej popularną metodą dystrybucji Malvertising wykorzystuje te same narzędzia i elementy infrastruktury, które są używane do wyświetlania legalnych reklam w sieci. Zazwyczaj atakujący kupują przestrzeń reklamową, która jest powiązana z zestawem exploitów. Reklama może być prowokującym obrazem, powiadomieniem o wiadomości lub ofertą darmowego oprogramowania. Kiedy klikniesz reklamę, zestaw exploitów skanuje twój system w poszukiwaniu informacji o jego oprogramowaniu, systemie operacyjnym, szczegółach przeglądarki i innych. Jeśli wykryta zostanie luka w zabezpieczeniach, poprzez jej wykorzystanie na komputerze użytkownika zainstalowane zostanie oprogramowanie ransomware. Wiele poważnych ataków ransomware rozprzestrzenia się właśnie w ten sposób, w tym np. CryptoWall i Sodinokibi.
- Automatyczne pobieranie: Pobieranie automatyczne to każde pobieranie, które odbywa się bez wiedzy użytkownika. Dystrybutorzy oprogramowania ransomware wykorzystują ataki typu drive-by download, umieszczając złośliwą zawartość na własnej stronie lub, częściej, umieszczając ją na legalnych stronach internetowych, wykorzystując luki w jej zabezpieczeniach. Podczas wizyty na zainfekowanej stronie internetowej, szkodliwa zawartość analizuje twoje urządzenie pod kątem określonych luk w zabezpieczeniach i automatycznie uruchamia ransomware w tle. W przeciwieństwie do wielu innych, ataki typu drive-by download nie wymagają żadnego wkładu ze strony użytkownika. Nie trzeba w nic klikać, nie musisz niczego instalować ani otwierać załącznika – wystarczy odwiedzić zainfekowaną stronę internetową.
Jak zabezpieczyć się przed ransomware?
Zwiększyć świadomość użytkowników
- Otwieraj tylko załączniki od zaufanych nadawców.
- Sprawdź, czy adres e-mail nadawcy jest poprawny. Pamiętaj, że nazwy domen i wyświetlane nazwy można łatwo sfałszować.
- Nie otwieraj załączników, które wymagają włączenia makr. Jeśli uważasz, że załącznik jest wygląda podejrzanie to przed jego otwarciem zasięgnij porady w swoim dziale IT.
- Uważaj na wszystkie łącza zawarte w e-mailach i bezpośrednich wiadomościach.
- Dokładnie sprawdź adresy URL, najeżdżając kursorem na link przed kliknięciem.
- Użyj CheckShortURL, aby rozszerzyć skrócone adresy URL.
- Wprowadzaj linki w przeglądarce ręcznie, aby uniknąć klikania linków phishingowych.
Przeprowadzić hardening swoich zasobów IT
- Wymusić złożoność haseł (co najmniej 8 znaków) i ich cykliczną zmianę.
- Zmiana portu RDP z domyślnego portu 3389 i korzystanie z RDP tylko w razie potrzeby.
- Umożliwienia łączenia się z siecią wewnętrzną jedynie poprzez VPN.
- Wdrożenie 2FA dla sesji zdalnych.
- Wdrożenie segmentacji sieci – podział na VLANy.
Wprowadzić dobre praktyki w zarządzaniu IT
- Sprawne zarządzanie podatnościami.
- Bieżąca aktualizacja systemy operacyjne, aplikacje i przeglądarki internetowe.
- Tworzenie i testowanie kopii zapasowych zgodnie z przyjętym harmonogramem, stosowanie zasady 3-2-1
- Ograniczenie dostępu użytkowników do sieci publicznej.
- Blokada portów USB na stacjach roboczych. Jeśli ich wykorzystanie jest konieczne – dopuścić do użytku jedynie szyfrowane i monitorowane urządzenia.
- Wyłączenie wszelkich niewykorzystywanych wtyczek w przeglądarkach internetowych.
- Uruchomienie wtyczki typu „kliknij, aby odtworzyć” w przeglądarkach, co uniemożliwi automatyczne uruchamianie wtyczek, takich jak Flash i Java. Wiele złośliwych reklam opiera się na wykorzystaniu tych wtyczek.
Podsumowanie
Ransomware jest realnym zagrożeniem dla każdej organizacji, zarówno dużej, jak i małej. Może doprowadzić firmę do bankructwa lub zakłócić realizacjię zadań publicznych urzędu na długi okres czasu. Zapłacenie okupu może być bardzo kosztowne i nie ma gwarancji, że dane zostaną kiedykolwiek odzyskane. Co więcej, jeśli dane osobowe trafią w niepowołane ręce, zastosowanie również będą miały sankcje wynikające z RODO czy ustawy o ochronie danych osobowych. Na szczęście organizacje nie są bezbronne i mogą podjąć zdecydowane kroki, aby przygotować się na ataki ransomware.
Autor: Tomasz Cieślik