Włączasz komputer i na ekranie widzisz żądanie okupu? To nie jest scena z filmu science fiction, ale coraz częściej smutna rzeczywistość. W ramach naszego cyklu #cyberWAT pokazujemy, jak możesz się uchronić przed atakiem ransomware i zachować swoje cenne dane.
Ransomware to rodzaj złośliwego oprogramowania, które blokuje użytkownikowi dostęp do plików przechowywanych na dysku lokalnym i sieciowym. Dane przechowywane na dyskach są szyfrowane, a następnie za ich odszyfrowanie cyberprzestępcy żądają wpłacenia okupu. Do tego celu wykorzystywane są kryptowaluty takie jak bitcoin, ponieważ transakcje z ich udziałem są trudne do namierzenia.
Na co uważać?
„Najczęściej cyberprzestępcy wykorzystują ataki phishingowe, aby dostarczyć na dysk komputera złośliwe oprogramowanie. Starają się w wysłanych e‑mailach zaciekawić lub zaniepokoić adresata, aby ten otworzył zainfekowany załącznik lub kliknął w przesłany odnośnik. To zazwyczaj wystarczy do uruchomienia kodu, który pobiera złośliwe oprogramowanie z Internetu i uruchamia go na komputerze użytkownika” – wyjaśnia mgr inż. Michał Glet z Wydziału Cybernetyki WAT.
Wiadomości e‑mail mogą dotyczyć bardzo różnych spraw. Nierzadko cyberprzestępcy podszywają się pod firmy, urzędy lub organizacje społeczne. Dlatego przed kliknięciem w link, lub otwarciem przesłanego pliku należy być bardzo ostrożnym. Zanim podejmiemy jakiekolwiek działania należy dokładnie przeczytać otrzymaną wiadomość. Jeśli w tekście znajdują się literówki i charakterystyczne dla użycia translatorów błędy stylistyczne to lepiej od razu przenieść ją do kosza.
Specjaliści nie zalecają otwierania załączników od nieznanych nadawców oraz klikania w przesłane przez nich linki. Jeśli wiadomość wygląda wiarygodnie najpierw najedź na znajdujący się w niej link myszką i zobacz, co się wyświetli – jeśli adres wygląda podejrzanie nie otwieraj go.
Cyberprzestępcy często podając się za firmę kurierską wysyłają fałszywy link umożliwiający śledzenie paczki. Innym razem jest to prośba o sprawdzenie rachunku w banku lub weryfikacja faktury. W takich sytuacjach zawsze należy samodzielnie wejść na odpowiednią stronę w przeglądarce internetowej i w razie potrzeby podjąć akcję.
Nie tylko wiadomości e‑mail
Współczesne systemy operacyjne i oprogramowanie składa się z milionów linii kodów źródłowych. Ryzyko istnienia błędów jest wysokie. Cyberprzestępcy wykorzystują istniejące luki do przeprowadzania ataków. Producent oprogramowania może nie być nawet świadomy ich istnienia. Do wykrywania luk wykorzystywane są roboty indeksujące i boty, które skanują różne zasoby w sieci i sprawdzają, czy są one podatne na ataki. Jeśli działania przestępców kończą się sukcesem użytkownicy są praktycznie bezbronni, ponieważ programy antywirusowe wykrywają głównie złośliwe oprogramowanie znajdujące się w aktualizowanej nieustannie bazie wirusów.
„Nie oznacza to, że nie mamy wpływu na bezpieczeństwo naszych danych. Wykrywanie nowych luk w oprogramowaniu jest czasochłonne i wymaga dużej wiedzy. Cyberprzestępcy często wykorzystują luki doskonale wszystkim znane, które już dawno zostały przez producentów oprogramowania naprawione. Jest to możliwe, ponieważ użytkownicy aktualizują oprogramowanie często z dużym opóźnieniem. Dlatego z uwagi na nasze bezpieczeństwo powinniśmy mieć na naszych urządzeniach najnowsze wersje oprogramowania” – tłumaczy Michał Glet.
Inną powszechnie stosowaną socjotechniką są linki lub reklamy na stronach internetowych. Po kliknięciu przekierowują nas one na zainfekowane witryny, których jedynym celem jest zainstalowanie i uruchomienie złośliwego oprogramowania na stacji użytkownika.
Czy warto zapłacić okup?
W równym stopniu zagrożony atakiem jest właściciel smartfona i duża międzynarodowa firma. Cyberprzestępców interesują pieniądze, nie ma znaczenia od kogo będą one pochodziły. W zależności od tego, kto jest celem różne są strategia ataku i kwota żądana za odzyskanie danych. W przypadku użytkowników indywidualnych zazwyczaj okup nie przekracza kilkuset dolarów, od dużych firm przestępcy żądają nawet milionów dolarów.
Wpłacanie okupów wzmacnia dodatkowo rozwój cyberprzestępczości. Jak podaje serwis Statista w 2022 roku odnotowano ponad 493 miliony prób ataków ransomware. Jeśli jednak ulegniemy szantażowi cyberprzestępców, to nie mamy gwarancji, że odzyskamy dostęp do naszych dysków. Według statystyk udostępnionych przez Cloudwards, osoby lub organizacje, które zapłaciły okup cyberprzestępcom odzyskały jedynie 65% danych.
Jak zabezpieczyć nasze dane?
Dobrą praktyką, które zabezpiecza nasze dane przed atakiem ramsomware jest tworzenie kopii zapasowych, na przykład poprzez zapisywanie danych w czasie rzeczywistym w chmurze. Wtedy nawet pomimo zaszyfrowania naszych urządzeń stosunkowo łatwo będziemy mogli przywrócić je do stanu sprzed ataku. W dużych przedsiębiorstwach takie działania stały się już standardem, dlatego opłacenie okupu nie wiąże się już bezpośrednio z możliwością odzyskania danych. Zamiast tego cyberprzestępcy coraz częściej grożą ich opublikowaniem, co może doprowadzić zaatakowany podmiot do poważnych kłopotów finansowych lub bankructwa. W przypadku danych użytkowników indywidualnych zagrożone upublicznieniem są szczególnie dane wrażliwe.
Według raportów firmy Chainalysis w roku 2022 41% ofiar zdecydowało się zapłacić okup. W porównaniu z poprzednim rokiem jest to znaczący spadek, ponieważ wówczas na taki krok zdecydowało się 50% osób dotkniętych atakiem. Zmniejszyła się również kwota zapłaconych okupów. W roku 2021 cyberprzestępcy zarobili 766 000 000 dolarów, rok później było już to tylko 457 000 000 dolarów.
„Analizując powyższe statystyki warto zaznaczyć, że mniejsze sumaryczne zyski cyberprzestępców w roku 2022 są skutkiem głównie mniejszej skłonności płacenia okupu przez ofiary. Wynika to po części ze zwiększonej świadomości zagrożeń związanych z ransomware wśród użytkowników systemów komputerowych. Należy również założyć, że większa świadomość skutkuje lepszym zabezpieczeniem danych przed skutkami ataków, na przykład regularnym tworzeniem kopii zapasowych” – mówi mgr inż. Michał Glet.
Ransomware jest bardzo skuteczną formą ataku. Jeśli cyberprzestępcy zaszyfrują nasze dane odzyskanie ich bez wpłacenia okupu jest praktycznie niemożliwe. Dlatego powinniśmy w jeszcze większym stopniu dbać o bezpieczeństwo w sieci. Nasz program antywirusowy powinien być regularnie aktualizowany, ponieważ na potrzeby detekcji korzysta ze statycznej bazy sygnatur.
Zachęcamy również do zapoznania się z rozmową z naszym ekspertem mgr. inż. Michałem Gletem o opracowanej w WAT nowej metodzie zabezpieczającej przed atakiem ransomware, która ukazała się w ramach cyklu #Naukaitechnologia.
Marcin Wrzos
projekt graficzny: Katarzyna Puciłowska