Pazerności cyberprzestępców nie ma końca. Ransomware to najlepszy przykład na to, że będą próbowali zarobić dosłownie na wszystkim. Jeżeli nie są w stanie zyskać na odsprzedaży informacji uzyskanych od ofiar, to przynamniej spróbują – metodami typowo gangsterskimi – uniemożliwić ofierze korzystanie z jej własnych danych i zażądać okupu za przywrócenie go. Smaczku sprawie dodaje fakt, że dziś zarażane są nie tylko komputery, ale też telefony, serwery NAS i urządzenia smart TV.

Pierwsze eksperymenty z oprogramowaniem szyfrującym dane wbrew woli ofiary sięgają jeszcze lat 80. ubiegłego wieku, ale jego „rozkwit” odnotowano w 2013 r.,  gdy CryptoLocker jako pierwszy żądał opłaty okupu w bitcoinach. Cyberwaluta gwarantuje pozorną anonimowość (pozorną, bo ścieżkę transakcji można odtworzyć, co w określonych przypadkach prowadzi do ujawnienia zaangażowanych w nie osób), dlatego stała się ulubionym narzędziem cyberprzestępców.

Przez ostatnie pięć lat ofiarami ransomware’u stały się nie tylko osoby prywatne i firmy. Do płacenia okupu przyznawały się publicznie m.in. oddziały policji, placówki medyczne, naukowe i stacje telewizyjne.
Znanych jest też kilka spektakularnych przypadków zarażeń. Z powodu ransomware’u policja w Waszyngtonie utraciła kontrolę nad 70 proc. kamer monitoringu przed inauguracją prezydencką w 2016 r. Z kolei Departament Policji w Teksasie stracił materiały dowodowe z ośmiu lat, co mogło doprowadzić do uwolnienia przestępców. Natomiast miejski urząd transportowy w San Francisco musiał zamknąć system sprzedaży biletów na dwa dni, co spowodowało utratę potencjalnych przychodów w wysokości 50 tys. dol.

 

Anatomia ataku

Do niedawna ransomware najczęściej (w ok. 70 proc. przypadków) rozpowszechniany był jako załącznik lub link w wiadomościach e-mail rozsyłanych w ramach kampanii phishingowych. Ponieważ jest to złośliwy kod wykonywalny, jego sygnatura bez problemu może być rozpoznana przez oprogramowanie antywirusowe. Dlatego cyberprzestępcy nieustannie dokonują modyfikacji kodu, a także szukają innych metod jego dystrybucji.

 

Największy skutek odnieśli w przypadku ataku WannaCry, kiedy do rozpowszechnienia złośliwego kodu wykorzystano lukę w protokole Windows Server Message Block. Została załatana we wszystkich systemach operacyjnych, więc ofiarami padły komputery bez stosownych poprawek. Sytuacja zmusiła także Microsoft do zareagowania i koncern opublikował łatkę dla Windows XP, który nie jest wspierany już od 2014 r., ale nadal znajduje się w pierwszej piątce najpopularniejszych i wciąż wykorzystywanych desktopowych systemów operacyjnych.

Ransomware szyfruje pliki znajdujące się na dyskach lokalnych i wymiennych, zamapowanych dyskach sieciowych, a nawet zamapowanych dyskach w takich usługach jak Dropbox. Aby utrudnić zadanie osobom, które próbują opracować narzędzie deszyfrujące, ransomware Petya szyfrował też tablicę plików. Zwykle stosowany jest mechanizm szyfrowania asymetrycznego lub inne, jeszcze bardziej zaawansowane metody, których złamanie z wykorzystaniem lokalnych zasobów bywa trudne lub wręcz niemożliwe. Ofiarom wyznacza się termin zapłaty, informując, że jeśli tego nie zrobią, klucze wykorzystane do zaszyfrowania ich danych zostaną zniszczone.

Opracowanie obowiązkowego w przypadku ransomware’u mechanizmu „obsługi klienta”, który automatycznie sprawdza, czy okup został wpłacony, generuje klucz deszyfrujący i wysyła go, nie jest takie proste. Dlatego zdarzały się przypadki, że mimo zapłacenia okupu ofiara nie otrzymywała klucza bądź otrzymany klucz nie działał. Pojawiły się też warianty ataków, które po prostu niszczyły dane i nie było szans na ich odzyskanie. Rośnie obawa, że wkrótce użytkownicy komputerów będą otrzymywać propozycje „nie do odrzucenia”. Będą zmuszeni do kupowania oprogramowania, które będzie „chroniło” komputer przed atakiem konkretnej grupy cyberprzestępczej. Wówczas niejako ziści się teoria spiskowa z lat 90., że autorami wirusów są sami producenci oprogramowania antywirusowego.

Model oferowania produktów jako usługi zaczęto stosować także w przypadku ransomware’u. Najpierw pojawiła się propozycja wykupienia ataku DDoS i skierowania go przeciwko konkretnej firmie, dziś można już zamówić przeprowadzenie ataku ransomware. W ten sposób działa m.in. usługa o nazwie Satan.

 

Jak uniknąć zagrożenia?

Zarażenia się ransomware’em można dość łatwo uniknąć. Przede wszystkim jednak trzeba być świadomym zagrożenia i znać mechanizm działania szkodliwego oprogramowania. Prowadzenie szkoleń i wdrożenie systemów ochronnych w firmach, których zarząd zna wartość swoich danych, może być żyłą złota dla resellerów.

Sebastian Zamora

Channel Account Executive, Sophos

W wielu przedsiębiorstwach wdrożone są jakieś narzędzia ochronne, ale z reguły nie są one skuteczne w przypadku ransomware’u. Cyberprzestępcy nauczyli się je omijać, np. zaraz po procesie zaszyfrowania danych złośliwy kod sam siebie usuwa z komputera, aby utrudnić jego analizę. Dlatego, żeby móc zatrzymać taki atak, należy wprowadzić zabezpieczenia w wielu obszarach. Powinny sprawdzać w czasie rzeczywistym, czy na komputerze nie aktywowano jakiegoś procesu szyfrującego dane, oraz wymieniać się informacjami z innymi rozwiązaniami ochronnymi, np. do zabezpieczania serwerów poczty elektronicznej i innych. Taka komunikacja pozwoli na szybką korelację danych o pozornie niewiele znaczących wydarzeniach, które mogą prowadzić do utraty danych.

 

Najważniejsza jest „higiena”, czyli zdrowy rozsądek użytkowników podczas korzystania z komputera. Administratorzy mogą im trochę pomóc. Warto np. włączyć wyświetlanie nazw rozszerzeń plików (domyślnie w Windows ta opcja jest wyłączona), aby użytkownicy mogli zidentyfikować skrypty JavaScript udające zwykłe dokumenty. Z kolei możliwość korzystania z makr w dokumentach (szczególnie tych przesłanych pocztą elektroniczną) koniecznie należy wyłączyć. Użytkownicy nie powinni mieć też przyznanych uprawnień administratora ani dostępu do zasobów sieciowych, z których na co dzień nie korzystają.

Bardzo ważna jest dbałość o aktualizowanie systemu operacyjnego i wszystkich aplikacji. Większość skutecznych ataków ransomware powiodła się właśnie na urządzeniach, w których nie zainstalowano łatek bezpieczeństwa. Wszystkie wykorzystywane w firmie komputery, serwery i urządzenia mobilne powinny być też wyposażone w oprogramowanie antywirusowe. Umożliwi ono odsianie tych zagrożeń, które wcześniej zostały już zidentyfikowane. Oprócz antywirusa warto wdrożyć uniwersalne rozwiązanie UTM, wyposażone w system IPS (Intrusion Prevention System), blokujący próby wykorzystania luk w oprogramowaniu i jego podatności, oraz mechanizm sandboxingu, czyli emulacji podejrzanego kodu, który ma być uruchomiony.

W ofercie producentów pojawiają się pierwsze pakiety typu antyransomware, które wykorzystują fakt, że mechanizm pracy oprogramowania ransomware jest powtarzalny i w jego schemacie można znaleźć miejsca ułatwiające zablokowanie procesu szyfrowania. Wystarczy np. „uczulić” komputer na fakt podjęcia próby dostępu w krótkim czasie do wielu plików użytkownika (trzeba zrobić wyjątek dla oprogramowania backupowego) lub edycji różnych rodzajów plików przez aplikację, która do tego zwyczajowo nie służy. Przykładowo, do edycji plików tekstowych, arkuszy kalkulacyjnych czy prezentacji powinny być uprawnione tylko właściwe aplikacje z pakietu biurowego.

 

Backup ostatnią deską ratunku

Nie tylko z powodu ransomware’u należy regularnie tworzyć kopie zapasowe danych i – w miarę możliwości – przechowywać je na zewnętrznych nośnikach, niepodłączonych do sieci. Paradoksalnie, trzeba pamiętać o zaszyfrowaniu skopiowanych danych, aby nie wpadły w niepowołane ręce.

– Zwykłe wykonywanie backupu plików ze stacji roboczej na serwer NAS nie zawsze się sprawdza w przypadku ataku ransomware – podkreśla Grzegorz Bielawski, szef polskiego oddziału QNAP-a. – Wówczas zdrowe pliki mogą zostać zastąpione zaszyfrowanymi. Dlatego polecamy skorzystanie z mechanizmu kopii migawkowych. Podczas szkoleń często demonstrujemy, jak zachowuje się komputer, na którym zaszyfrowano dane, i jak, właśnie dzięki snapshotom, można je odzyskać.

Ważne jest też, żeby regularnie prowadzić testy stworzonego procesu backupowego, wielokrotnie bowiem zdarzało się, że zabezpieczonych danych nie udawało się odzyskać. Można nawet pokusić się o stworzenie tzw. brudnego środowiska testowego (galwanicznie odizolowanego od produkcyjnego i Internetu), w którym dokonuje się testów na złośliwym oprogramowaniu, np. kontrolowanego zarażenia i próby odzyskania danych.

Magdalena Baraniewska

Corporate Country Sales Manager, F-Secure

W zwalczaniu ransomware’u bardzo pomocne są rozwiązania korzystające z zasobów chmurowych. Dzięki nim można bardzo szybko przesłać do analizy w symulowanym środowisku podejrzany kod i otrzymać informację o potencjalnym znajdującym się w nim zagrożeniu. Tego typu narzędzia ułatwiają też administratorom uzyskanie informacji o aktualnym poziomie bezpieczeństwa w firmie, co pozwala na wyeliminowanie słabych punktów i uniknięcie ataku.

 

Gdy jednak dojdzie do zaszyfrowania, a backupu nie ma lub nie działa, pocieszający może być fakt, że podczas tworzenia kodu ransomware’u popełnianych jest wiele błędów, głównie podczas implementacji modułu szyfrującego. Dzięki temu udało się opracować wiele narzędzi deszyfrujących, a z części można korzystać bezpłatnie (m.in. w ramach zainicjowanej przez Kaspersky Lab akcji No More Ransom).

Zapłata okupu to ostateczność, odradzana m.in. przez organa ścigania. Ofiara nigdy nie ma gwarancji, że otrzyma poprawnie działający klucz deszyfrujący. Płacąc okup, jedynie utwierdzi przestępców w przekonaniu, że ich działalność jest skuteczna, a więc skłoni do jej kontynuowania.

Najpoważniejsze ataki ransomware w 2017 r.

Bad Rabbit – najnowszy znaczący atak, z października 2017 r., powiązany z ransomware’em Petya (podobieństwo w mechanizmie szyfrującym dane dla okupu, a także w domenach wykorzystywanych przez cyberprzestępców do koordynowania ataku). Próbuje uzyskiwać dane uwierzytelniające przy użyciu usługi WMIC systemu Windows. Atakowane były głównie firmy w Niemczech, Rosji, Turcji i na Ukrainie. Ze względu na podobieństwo do już wykrytych i przeanalizowanych ataków, skuteczny głównie w bardzo słabo zabezpieczonych systemach.

Cerber – ransomware, którego kod stara się omijać mechanizmy nauczania maszynowego stosowanego w antywirusach i rozwiązaniach typu sandbox. Wartość żądanego okupu rosła z upływem czasu.

KillDisk – użyty do usunięcia ważnych plików z komputerów ukraińskich instytucji finansowych w grudniu 2016 r. Na początku 2017 r. pojawił się jego nowy wariant. Celem były nie tylko komputery z systemem Windows, ale również stacje robocze i serwery z Linuksem. Pliki nie były odszyfrowywane nawet po opłaceniu okupu.

Locky – został odkryty w lutym 2016 r. i rozesłany do milionów użytkowników na całym świecie, w tym do 30 mln użytkowników sklepu Amazon. Nadal aktywny i systematycznie modyfikowany. Złośliwe pliki rozsyłane są w wiadomościach e-mail jako rzekomy dokument Worda.

Patcher – pierwszy znaczący ransomware dla systemu Mac OS.

Petya – „bohater” czerwca 2017 r., wariant kodu, który rozsyłany był (ale ze znacznie mniejszą skutecznością) w 2016 r. Ofiary to głównie instytucje rządowe, placówki użyteczności publicznej i firmy na Ukrainie oraz w innych państwach europejskich. Szyfruje nie tylko pliki, ale także tablicę plików na twardym dysku.

Popcorn Time – ransomware, który oferował odszyfrowanie plików za darmo, jeśli ofiara ułatwi… zaatakowanie i zainfekowanie dwóch innych osób.

SLocker – pierwszy ransomware dla systemu mobilnego Android, który naprawdę szyfrował pliki, a nie tylko blokował ekran telefonu lub tabletu.

WannaCry – ransomware o największym geograficznym zasięgu, w maju 2017 r. zaatakował 300 tys. komputerów w 150 krajach. Globalne straty w wyniku ataku szacowane są na 4 mld dol. Do propagacji złośliwego kodu wykorzystano lukę w protokole Windows Server Message Block. Ofiarami byli głównie posiadacze niezałatanych systemów.