Hack Colonial Pipeline pokazał, czego świat obawia się teraz najbardziej. Rzecz dotyczy ransomware. Jednym z największych ataków tego typu w historii był WannaCry. Czym jest ransomware? W jaki sposób możesz się przed nim bronić?
Ransomware to szybko rozprzestrzeniające się zagrożenie bezpieczeństwa w sieci. Są spore szanse na to, że albo Ty sam albo ktoś, kogo znasz, padł już kiedyś ofiarą tego typu ataku. Jednym z najbardziej znanych ataków ransomware był robak WannaCry, który w 2017 roku zainfekował ponad 200 000 komputerów w 150 krajach w zaledwie 4 dni. Niektóre szacunki szkód, które wyrządził ten atak przekraczają miliard dolarów, biorąc pod uwagę utratę danych, przerwy w świadczeniu usług i czas potrzebny na odzyskiwanie danych.
Co to jest ransomware i dlaczego jest tak niebezpieczne?
Ideą oprogramowania ransomware jest to, że uderza w to, co dla nas ważne – w dane. Wyobraź sobie utratę rodzinnych zdjęć, e-maili lub ważnych plików biznesowych. Jak sama nazwa wskazuje, oprogramowanie ransomware pobiera dane z Twojego komputera lub innego urządzenia i przechowuje je dla okupu — otrzymujesz żądanie zapłaty pieniędzy, aby odzyskać dane lub aby zapobiec upublicznieniu Twoich prywatnych plików.
Najczęściej pliki na zainfekowanym komputerze zostają zaszyfrowane, więc nadal tam są, ale nie można ich odczytać bez odpowiedniego klucza deszyfrującego. Innym razem pliki są przesyłane na serwer osoby atakującej, a następnie usuwane z zainfekowanego komputera.
W większości przypadków jest to dokonywane przez organizacje przestępcze w celu uzyskania korzyści finansowych, ale czasami może być wykorzystywane jako akt terroryzmu w celu wywołania szeroko zakrojonych zakłóceń gospodarczych. Eksperci uważają, że WannaCry powstało w Korei Północnej, więc mogły istnieć motywy polityczne, chociaż Korea Północna zaprzeczyła zaangażowaniu w ten temat. O atak na Colonial Pipeline Amerykanie podejrzewają Rosjan.
Niestety, podobnie jak w sytuacjach, kiedy porywacze biorą zakładników, tak i w przypadku ransomware nie możesz być do końca pewien, że atakujący faktycznie nie ujawni Twoich danych, gdy zapłacisz okup. W rzeczywistości informacje mogły zniknąć już bezpowrotnie, albo z powodu nieostrożności atakującego, albo dlatego, że atakujący nie zadał sobie trudu, aby dane rzeczywiście można było później odzyskać. Biorąc to pod uwagę, wiele osób nie poddaje się żądaniom napastników. Ponieważ jednak ataki te są na ogół zautomatyzowane i mogą dotyczyć ogromnej liczby komputerów, tylko niewielki procent ofiar musi zapłacić okup, aby napastnik zarobił dużą sumę pieniędzy. WannaCry przyniósł swoim atakującym 180 000 dolarów płatności, CryptoLocker „zarobił” w ten sposób ponad 4 miliony dolarów.
7 czerwca, amerykańskie ministerstwo sprawiedliwości ogłosiło, że służbom udało się odzyskać większość z wartego 4,4 mln dolarów okupu zapłaconego w kryptowalucie od hakerów, którzy zaatakowali sieć rurociągów Colonial Pipeline. Więcej na ten temat przeczytasz tutaj.
Co się dzieje, gdy zostajesz zaatakowany?
Pierwszą rzeczą, która dzieje się po infekcji, jest szyfrowanie, usuwanie lub przesyłanie plików. Następnie użytkownik jest zazwyczaj powiadamiany o tym wyraźnym komunikatem, który ma wywołać panikę. Tak wyglądała na przykład wiadomość WannaCry:
Wiele ataków ransomware wymaga okupu w kryptowalutach, takich jak bitcoin, ponieważ atakujący wierzą, że są one praktycznie niemożliwe do wyśledzenia. Na rynku istnieją firmy, które wyspecjalizowały się w śledzeniu przepływów kryptowalutowych. Jedną z takich firm jest Coinfirm.
Niektóre programy ransomware nie wykonują żadnych skomplikowanych działań. Po prostu ukrywają lub przenoszą pliki, które ktoś z odrobiną wiedzy technicznej mógłby dość łatwo odkodować. Niemniej jednak osoby o niewielkich umiejętnościach technicznych (w przypadku których istnieje także spora szansa, że nie zabezpieczyły swoich danych wykonując chociażby kopię zapasową i przechowując ją na przykład na zewnętrznym nośniku pamięci), nie będą wiedziały, co robić i mogą rozważać zapłacenie okupu.
Bardziej wyrafinowane oprogramowanie ransomware wykorzystuje szyfrowanie. Proste algorytmy szyfrowania używają tego samego klucza szyfrowania i deszyfrowania, więc jeśli program, który wykonał szyfrowanie, można przeanalizować, klucz deszyfrujący można znaleźć wewnątrz. Jednak najsilniejsze oprogramowanie ransomware wykorzystuje kryptografię klucza publicznego/prywatnego. Używając oddzielnych kluczy do szyfrowania i odszyfrowywania, zainfekowany komputer nigdy nie ma klucza deszyfrującego — chyba że atakujący dostarczy go po zapłaceniu okupu.
Jak rozprzestrzenia się ransomware i jak zadbać o bezpieczeństwo swoich danych?
Ransomware wykorzystuje różne techniki. Obejmują one przykładowo nakłanianie ludzi do otwierania zainfekowanych załączników w wiadomościach mailowych czy wykorzystywanie luk w systemie operacyjnym (np. WannaCry). Oprogramowanie ransomware, które wykorzystuje luki w systemie operacyjnym, może rozprzestrzeniać się błyskawicznie, ponieważ nie wymaga interakcji człowieka. Podobnie jak inne złośliwe oprogramowanie, ransomware może uzyskać dostęp do Twojej książki adresowej e-mail i wysłać e-mail do wszystkich Twoich kontaktów, podszywając się pod Ciebie.
Ważne jest, aby upewnić się, że używane przez Ciebie oprogramowanie jest zaktualizowane, używać odpowiednio skonfigurowanych zapór, regularnie tworzyć kopie zapasowe i wyrobić w sobie swoisty odruch „rozpoznawania na kilometr” podejrzanych wiadomości lub komunikatów. Jeżeli chodzi o zabezpieczanie większych organizacji, najlepszą obroną wydaje się być przeszkolenie specjalistów ds. cyberbezpieczeństwa w celu regularnego testowania zabezpieczeń organizacji i utrzymywania ich tak silnych, sprawnych i aktualnych, jak to tylko możliwe.
