Cyfrowy haracz XXI wieku, czyli czym jest ransomware?

Bartosz Woźniak

Wyobraź sobie, że siedzisz w pracy, zbliża się godzina 17.00 w piątek. Powoli pakujesz rzeczy do torby, właśnie kończysz trudny tydzień pracy. Otrzymujesz maila od działu kadr z listą osób, które mają otrzymać premię za ten miesiąc. Zaciekawiony tą informacją otwierasz załącznik. Kilka godzin później okazuje się, że Twoja firma została zaatakowana przez hakerów, którzy zaszyfrowali wszystkie Wasze dane.

Ten scenariusz wydaje się bardzo odległy i wręcz nierealny, niemniej jednak takie sytuacje zdarzają się coraz częściej. Według statystyk zgromadzonych przez SonicWall Capture Labs w roku 2021 zaraportowano ponad 620 milionów prób ataku typu ransomware!

Czym jednak jest atak ransomware?

Samo sformułowanie „ransomware” to połączenie dwóch słów pochodzących z języka angielskiego, tj. ransom (okup) oraz software (oprogramowanie), oznaczających łącznie oprogramowanie, które wymusza okup.

Takie oprogramowanie blokuje dostęp do systemu komputerowego, do baz danych, do wszelkich plików, które znajdują się na komputerze lub w firmowej sieci lokalnej (LAN), na firmowych serwerach. Atakujący wykorzystują do tego skomplikowane funkcje i algorytmy matematyczne, które dokonują kryptograficznego szyfrowania danych na wielu płaszczyznach, czym uniemożliwiają dostęp do nich. Cyberprzestępcy szantażują swoje ofiary wskazując, że jeśli okup nie zostanie zapłacony, to dostęp do danych zostanie utracony bezpowrotnie.

Jednocześnie warto zwrócić uwagę, że powyżej opisany atak ransomware, w którym dane ofiary zostają zaszyfrowane, a atakujący żąda „tylko” okupu, jest klasycznym rodzajem ataku ransomware. Niestety, w zależności od sytuacji, od grupy przestępczej czy też od zachowania ofiary, wykorzystywane są również inne rozwiązania mające wymusić jeszcze większy lub jeszcze szybszy okup. Atakujący coraz częściej:

• przesyłają dane na własne serwery, aby później dokonać ich opublikowania w przypadku braku zapłaty okupu (tzw. eksfiltracja);
• żądają osobno okupu za odszyfrowanie danych oraz za nieopublikowanie tych danych w sieci;
• razem z zaszyfrowaniem łączony jest mający na celu zablokowanie wszelkich serwisów sieciowych firmy jak m.in. stron internetowych, aplikacji webowych, serwerów DNS (tzw. atak typu DOS – Denial of Service);
• kontaktują się z kontrahentami, klientami ofiary i kierują żądania okupu bezpośrednio do nich (tzw. tripple extortion).

Skąd bierze się ransomware na komputerze i jakie są jego skutki?

Dróg infekcji urządzenia złośliwym oprogramowaniem może być wiele. Pierwszą z nich opisaliśmy już na początku tego artykułu. Chodzi mianowicie o przesłanie przez atakujących załącznika zawierającego złośliwy kod. Nie musi być to jednak załącznik, równie dobrze może to być link do odpowiednio spreparowanej strony internetowej. Tego typu ataki są nazywane atakami phishing’owymi.

Atakujący wykorzystuję jednak wiele innych możliwości, jak np.:

• ataki siłowe – czyli takie, które polegają na przeszukiwaniu sieci pod kątem określonych protokołów [1], w szczególności protokołu umożliwiającego korzystanie ze zdalnego pulpitu (RDP), a następnie siłowemu „wdarciu się” do urządzenia za ich pośrednictwem;
• atak typu drive-by download – czyli atak polegający na przeskanowaniu urządzenia i instalacji określonego oprogramowania podczas wizyty na stronie internetowej;
• nielegalne oprogramowanie;
• pendrive’y, karty pamięci SD, dyski zewnętrzne zawierające złośliwe oprogramowanie, które atakujący rozdają np. na konferencjach, spotkaniach biznesowych lub „przypadkowo” zostawiają w siedzibie firmy.

[1] Protokoły, to takie „drzwi” lub „okna” do danego komputera. Odpowiadają one np. za pocztę e-mail (m.in. SMTP), serwery WWW (np. HTTP lub HTTPS) czy też zdalne połączenie (m.in. RDP, SSH).

Jednocześnie warto wskazać, że gdy padniemy ofiarą takiego ataku, można spodziewać się zainteresowania ze strony właściwych organów nadzorczych, jak np. Prezes Urzędu Ochrony Danych Osobowych. Zgodnie z RODO, w sytuacji, gdy dochodzi do naruszenia bezpieczeństwa (w tym przypadku chodzi m.in. o naruszenie dostępności danych, a być może także poufności) ofiara ataku (a więc administrator danych osobowych) powinna w terminie 72 godzin od momentu jego stwierdzenia, zgłosić ten fakt właśnie Prezesowi Urzędu Ochrony Danych Osobowych. Po przeanalizowaniu sprawy, organ może uznać, że stosowane przed atakiem zabezpieczenia nie były adekwatne, a nawet jest uprawniony do nałożenia administracyjnej kary pieniężnej w wysokości do 20.000.000 €!

Na marginesie warto dodać, że wszelkie cyberataki można zgłaszać również do Zespołu Reagowania na Incydenty Komputerowe CERT Polska. Incydent można zgłosić tutaj – https://incydent.cert.pl

Jak więc widać, tego typu atak może wiązać się nie tylko z problemami natury technicznej i biznesowej (naruszenie ciągłości działania, wstrzymanie produkcji itd.), ale również natury prawnej.

Jak w takim razie ochronić siebie i firmę przed takim haraczem?

Przede wszystkim warto wskazać, że nie ma jednego uniwersalnego zabezpieczenia chroniącego przed ransomware. Skuteczna ochrona powinna opierać się na wielu różnych, wzajemnie wspierających się elementach. Istotne są nie tylko zabezpieczenia techniczne czy informatyczne, ale także organizacyjne.

Środki techniczne i informatyczne:

1. korzystaj z oprogramowania antywirusowego oraz anty malware’owego;
2. rób regularnie kopie zapasowe;
3. w przypadku zdalnego dostępu do zasobów, korzystaj z zaufanej sieci oraz łącz się za pomocą szyfrowanego tunelu VPN;
4. dokonuj regularnej aktualizacji systemu oraz oprogramowania;
5. dostosuj odpowiednio zaporę sieciową (tzw. firewall);
6. zabezpiecz pocztę elektroniczną (m.in. protokołami DKIM, DMARC, SPF);
7. wprowadź system monitorowania i reakcji na incydenty (np. oprogramowanie typu Endpoint Detection and Response).

Środki organizacyjne:

1. regularnie przeprowadzaj szkolenia pracowników;
2. opracuj politykę haseł;
3. opracuj politykę korzystania ze sprzętu (zarówno komputerowego jak i mobilnego).

Co prawda, nie jesteśmy w stanie w całości usunąć ryzyka padnięcia ofiarą cyberataku, to jednak stosowanie powyższych rozwiązań pozwoli na znaczące zmniejszenie prawdopodobieństwa oraz ewentualnych skutków takiego zdarzenia.

Jeżeli interesują Cię tematy związane z uregulowaniami prawnymi cyberprzestrzeni, a także kwestie związane z bezpieczeństwem w sieci – zachęcamy do śledzenia naszego bloga!