Ransomware co to jest i jak usunąć? Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na urządzeniu użytkownika lub urządzeniach pamięci sieciowej. Aby przywrócić dostęp do zaszyfrowanych plików, użytkownik musi zapłacić „okup” cyberprzestępcom, zwykle za pomocą trudnej do wyśledzenia metody płatności elektronicznej, takiej jak Bitcoin. Chociaż badacze bezpieczeństwa ustalili, jak zmapować przepływ ruchu transakcji Bitcoin, zidentyfikowanie, która osoba (lub osoby) jest właścicielem konta Bitcoin, jest niezwykle trudna.
W jaki sposób rozprzestrzenia się Ransomware?
Ransomware jest najczęściej dystrybuowane za pośrednictwem ataków spamowych. Wiadomość e-mail ze spamem będzie miała ukryty załącznik lub będzie zawierać link URL w treści wiadomości e-mail. Jeśli zastosowana zostanie pierwsza metoda, program ransomware zostanie aktywowany, gdy tylko załącznik zostanie otwarty, to w ciągu kilku sekund rozpocznie szyfrowanie plików na urządzeniu. Jeśli wektor ataku jest linkiem, po kliknięciu go użytkownik zostaje przeniesiony na stronę internetową, na której ransomware jest dostarczane do urządzenia bez wiedzy użytkownika. Szkodliwe programy lub witryny często wykorzystują zestawy exploitów do wykrywania, czy w systemie operacyjnym urządzenia lub aplikacjach występują luki w zabezpieczeniach, które można wykorzystać do dostarczenia i aktywacji oprogramowania ransomware. Ponadto cyberprzestępcy mogą wykorzystywać istniejące exploity, jak widać w ostatnim ataku WannaCry,
Ransomware rozprzestrzenia się
W ciągu ostatnich kilku lat nastąpił dramatyczny wzrost liczby dużych i skutecznych ataków ransomware na organizacje . Cybersecurity Ventures przewiduje, że globalny koszt oprogramowania ransomware przekroczy w 2017 r. 5 mld USD, 15 razy więcej niż koszt w 2015 r. 1 W tym samym czasie liczba wariantów oprogramowania ransomware wzrosła trzydziestokrotnie.
Wpływ ataku ransomware na organizację znacznie wykracza poza koszt odblokowania płatności. Firmy pochłaniają koszty związane z utratą danych, zmniejszoną lub utraconą produktywnością, dochodzeniami kryminalistycznymi, przywracaniem danych i systemów, utraconymi przychodami i utratą reputacji. Na przykład jedna z wiodących światowych firm zajmujących się zdrowiem i artykułami konsumpcyjnymi poinformowała, że odnotuje 2% wzrost przychodów w tym kwartale ze względu na wpływ ostatniego oprogramowania ransomware Petya na jego zdolność do fakturowania i wysyłania produktów do klientów.
CryptoLocker był jedną z pierwszych powszechnie używanych rodzin oprogramowania ransomware i pochodzi z 2013 roku. Złośliwe oprogramowanie było często dostarczane jako zaciemniony załącznik do wiadomości e-mail lub instalowane na urządzeniu, które wcześniej zostało naruszone. Po aktywacji szkodliwe oprogramowanie szyfruje określone pliki danych na dyskach lokalnych i sieciowych. Ofiara musiała uiścić opłatę okupową w wysokości 400 USD lub równowartość Bitcoin w określonym czasie lub klucz deszyfrujący został usunięty. Nic dziwnego, że nawet po zapłaceniu okupu klucz deszyfrujący często nie był dostarczany. Gamenet Zeus Botnet, który był używany do dystrybucji oprogramowania ransomware, został usunięty przez przemysł, organy ścigania i agencję rządową o nazwie Operacja Tovar.
Głośne ataki ransomware
CryptoWall to późniejszy wariant CryptoLocker, który działa w ten sam sposób. Najpoważniejszy atak miał miejsce w Australii pod koniec 2014 r., Gdy do rozpowszechniania złośliwego oprogramowania wykorzystano wiadomości phishingowe ze złośliwymi linkami „wysłanymi” przez agencje rządowe. 4 Aby uniknąć blokowania przez produkty zabezpieczające, złośliwi aktorzy używali formularza Captcha przed pobraniem złośliwego oprogramowania.
Locky został po raz pierwszy zaobserwowany na początku 2016 r. I zwykle był dystrybuowany za pośrednictwem wiadomości e-mail z załącznikiem „faktura”. Po otwarciu pliku Word lub Excel użytkownik został poproszony o włączenie makr w celu wyświetlenia faktury. Po włączeniu makr plik uruchomił następnie plik wykonywalny, który pobrał rzeczywiste oprogramowanie ransomware. Pliki lokalne i sieciowe zostały zaszyfrowane i zmieniono ich nazwę z rozszerzeniem .locky. Aby odblokować pliki, ofiary musiały odwiedzić witrynę internetową, aby pobrać przeglądarkę, z której mogliby skorzystać w celu uzyskania dostępu do strony płatniczej złośliwego aktora. Płatność zwykle wynosiła od połowy do jednego Bitcoin. Locky był jednym z pierwszych ataków ransomware, który zyskał szerszą uwagę mediów publicznych, ponieważ amerykański szpital miał zaszyfrowane dane pacjenta i zapłacił za odzyskanie plików.
WannaCry trafiła na pierwsze strony gazet w maju 2017 r., Kiedy dotknęła 400 000 komputerów na całym świecie. Znacząco ucierpiały zarówno organizacje publiczne, jak i prywatne, w tym brytyjska National Health Service, hiszpańska firma telekomunikacyjna i duży niemiecki bank. Na szczęście dzięki badaczowi bezpieczeństwa, który odkrył przełącznik zabijania w złośliwym oprogramowaniu, atak został zatrzymany w ciągu kilku dni. Atak został przeprowadzony i rozprzestrzeniony poprzez znaną lukę w zabezpieczeniach systemu Windows (EternalBlue). Chociaż łatka bezpieczeństwa była dostępna od kilku miesięcy, wiele organizacji jeszcze jej nie zainstalowało.
NotPetya, wariant ransomware Petya, szybko pojawił się na WannaCry w czerwcu 2017 roku i po raz pierwszy pojawił się na Ukrainie. Rozproszone jako załącznik do wiadomości e-mail w formacie PDF, złośliwe oprogramowanie rozprzestrzeniało się przy użyciu tej samej usterki EternalBlue, co w WannaCry. Znów ucierpiały na tym organizacje publiczne i prywatne na całym świecie, w tym duża amerykańska firma farmaceutyczna, międzynarodowa kancelaria prawna i największa brytyjska firma reklamowa. W przeciwieństwie do innych programów ransomware, Petya infekuje główną tabelę plików komputera. Spekuluje się, że w tym ataku chodziło raczej o spowodowanie zakłóceń na Ukrainie niż o motywację finansową.
Zmniejszenie ryzyka, że Ransomware będzie miało wpływ na Twoją firmę
Naucz najsłabsze ogniwo. Zdecydowana większość oprogramowania ransomware wymaga podjęcia działań w celu aktywacji ładunku. Niezbędne jest szkolenie pracowników w zakresie rozpoznawania i obrony przed cyberatakami. W wielu atakach wykorzystuje się wiadomości e-mail i techniki socjotechniczne, aby nakłonić pracownika do pobrania złośliwego oprogramowania lub ujawnienia nazwy użytkownika i hasła. Dlatego szkolenie powinno koncentrować się na tych typowych wektorach ataku. Ćwiczenia polegające na wysyłaniu pracownikom fałszywych wiadomości e-mail „phishingowych” skutecznie pomagają użytkownikom w odróżnieniu autentycznej komunikacji dostawcy od wiadomości e-mail wyłudzającej informacje w temacie „Załączona faktura – proszę otworzyć”.
Łatka, łatka, łatka. Następnie załataj ponownie. Jak pokazały ostatnie ataki WannaCry i Petya, niezastosowanie rygorystycznego podejścia do łatania znanych luk w zabezpieczeniach może narazić przedsiębiorstwo na niebezpieczeństwo. Nawet miesiące po wykorzystaniu luki w zabezpieczeniach EternalBlue do ataków ransomware WannaCry i NotPetya szacuje się, że co najmniej 38 milionów komputerów pozostaje niezakończonych. Cyberprzestępcy mogą stosunkowo łatwo zidentyfikować niepakowane urządzenia i oprogramowanie w sieci przedsiębiorstwa, a po ich zidentyfikowaniu wykorzystać znane luki.
Utwórz kopię zapasową danych. Niektórym może się to wydawać oczywiste, ale oprogramowanie ransomware może szyfrować kopie zapasowe przechowywane na serwerach sieciowych. W rezultacie przedsiębiorstwa muszą zweryfikować swoje obecne podejście do tworzenia kopii zapasowych. Pracownicy wykonują kopię zapasową ważnych plików na dysku sieciowym? Czy Twoje kopie zapasowe z tych urządzeń i serwerów plików są następnie tworzone w usłudze tworzenia kopii zapasowych w chmurze? Testujesz, czy kopie zapasowe można przywrócić? W ten sposób, jeśli oprogramowanie ransomware szyfruje wszystkie lokalne pliki i kopie zapasowe, przedsiębiorstwo nadal może je szybko przywrócić przy minimalnym wpływie na działalność firmy.
Utrudniaj złym ludziom życie – posiadaj wiele warstw obrony. Cyberprzestępcy spędzają ogromne ilości czasu i pieniędzy, opracowując coraz bardziej wyrafinowane formy zaawansowanego złośliwego oprogramowania, które zostały zaprojektowane w celu ominięcia zabezpieczeń firmy. Poleganie na jednej warstwie zabezpieczeń przed tym ewoluującym zaporem nie jest najlepszą praktyką. Korzystanie z wielu warstw zabezpieczeń oznacza, że jeśli jedna warstwa nie blokuje ataku, masz dodatkowe nakładki, które mogą złagodzić zagrożenie. Jakie zatem poziomy ochrony bezpieczeństwa ma Twoja firma? Czy masz różne rozwiązania bezpieczeństwa, które pomagają zmniejszyć ryzyko na wszystkich etapach ataku? Czy istnieją obecnie luki w zabezpieczeniach, które mogą wykorzystać złośliwi aktorzy?