Przejdź do treści

Plaga cyberwymuszeń w Internecie

Data: 2016-09-19 18:36:00
Plaga cyberwymuszeń w Internecie

Oprogramowanie wymuszające okup (tzw. ransomware) staje się jedną z ulubionych broni cyberprzestępców, bo bardzo efektywnie zapewnia zyski. Analitycy rynku cyberbezpieczeństwa odnotowują, że aktywność tego typu ataków od dłuższego czasu nasila się i trend ten prawdopodobnie utrzyma się w najbliższym czasie.


Ofiarami tego typu ataków stali się niedawno np. kibice śledzący zmagania drużyn podczas Mistrzostw Europy w Piłce Nożnej 2016 rozgrywanych na boiskach we Francji. Jak poinformowała firma F-Secure polscy fani futbolu zostali w szczególny sposób dotknięci, ponieważ intensywnie poszukiwali w sieci kanałów streamujących transmisje meczów. Przestępcy wykorzystali zainfekowane reklamy (tzw. malvertising) do rozprzestrzeniania wirusa (typu Exploit Kit) o nazwie Magnitude. Wykorzystywał on luki w oprogramowaniu Adobe Flash, aby zainstalować jeszcze jedno złośliwe oprogramowanie – ransomware o nazwie Cerber. Pechowi kibice spotykali się więc  z żądaniem słonego okupu za odszyfrowanie cennych danych na zainfekowanych komputerach.

Dane z F-Secure Labs pokazują, że szczyt infekcji przypadł na 12 czerwca, kiedy Polska rozgrywała mecz przeciwko Irlandii. W czerwcu i lipcu 68 proc. infekcji pochodziło ze stron związanych ze streamingiem wideo (w tym wypadku meczów), a jedynie 17 proc. wektorów infekcji stanowiły strony dla dorosłych.

Coraz większe przychody z cyberokupów

Specjaliści od cyberbezpieczeństwa nie mają wątpliwości, że zjawisko ransomware jest dziś jednym z najgorętszych tematów w branży cyberbezpieczeństwa. Według niedawno opublikowanych przez FBI danych tylko w pierwszym kwartale 2016 r. ofiary ataków ransomware zapłaciły przestępcom równowartość 209 milionów dolarów. Dla porównania, kwota wpłat za cały rok 2015 wyniosła 24 miliony dolarów.  

David Maciejak, kierownik zespołu ds. badań i rozwoju FortiGuard Lion firmy Fortinet na region Azji i Pacyfiku, zwraca uwagę na ewolucję oprogramowania ransomware.  - Dotychczas mieliśmy do czynienia z dwoma typami oprogramowania ransomware - blokującym (tj. uniemożliwiającym normalne korzystanie z komputera) i szyfrującym (uniemożliwiającym dostęp do plików). W ostatnim czasie coraz częściej spotykamy hybrydy obu tych typów. Istnieje na przykład oprogramowanie, które blokuje dostęp do wybranych stron internetowych do momentu przekazania cyberprzestępcom okupu - mówi David Maciejak

Firm F-Secure w tym kontekście mówi o różnych rodzinach oprogramowania typu ransomware, które  stosują różne metody blokowania urządzeń, ale zwykle można je przypisać do kategorii oprogramowania „policyjnego” bądź „kryptograficznego”.

Policyjne oprogramowanie do wymuszania okupu uniemożliwia dostęp do urządzenia i danych, po czym wyświetla komunikat rzekomo pochodzący od organów ścigania i informujący użytkownika, że złamał jakieś prawo i musi zapłacić karę, zanim będzie mógł znów używać zainfekowanego urządzenia. Natomiast kryptograficzne oprogramowanie do wymuszania okupu szyfruje zawartość urządzenia, zasadniczo uniemożliwiając używanie urządzenia lub treści do czasu zapłacenia okupu za klucze deszyfrujące.

Badacze F-Secure zauważyli, że kampanie kryptograficzne mają przygotowaną infrastrukturę, która zachęca do zapłacenia okupu; ofiary otrzymują klucze deszyfrujące po uiszczeniu opłaty. Natomiast napastnicy stojący za kampaniami policyjnymi zwykle po prostu przyjmują okup i nie pomagają ofiarom w usunięciu infekcji. Ponieważ twórcy oprogramowania kryptograficznego często pomagają ofiarom, a ich żądania są dość rozsądne, FBI zaleca firmom, żeby po prostu zapłaciły okup w razie infekcji. Warto podkreślić, że w 2015 r. nawet kilka komisariatów policji (np. komisariat policji w Tewksbury w stanie Massachusetts w USA) zastosowało się do tej rady i zapłaciło internetowym przestępcom setki dolarów w celu odblokowania systemów. Takie historie pokazują zarówno skuteczność oprogramowania wymuszającego okup, jak i znaczenie powstrzymywania ataków, zanim dojdzie do infekcji.

F-Secure podkreśla, że nadal rośnie aktywność oprogramowania wymuszającego okup i trend ten prawdopodobnie utrzyma się w tym roku. Kampanie ransomware są coraz lepiej zorganizowane i bardziej wyrafinowane, a samo oprogramowanie działa coraz podstępniej. Kryptograficzne oprogramowanie wymuszające okup to  jedno z najbardziej destrukcyjnych narzędzi, z jakim branża cyberbezpieczeństwa miała do czynienia ostatnimi czasy.

Pliki są szyfrowane hurtowo w urządzeniu użytkownika, a jedynym sposobem na ich odzyskanie jest zapłacenie przestępcom za klucz deszyfrujący. Od niedawna programy te potrafią szyfrować dane na niezmapowanych udziałach sieciowych, przez co sieją spustoszenie w firmowych sieciach. Okup za jeden zainfekowany system czasem przekracza 400 dolarów. A grupy cyberprzestępczych często funkcjonują w sposób podobny do legalnych przedsiębiorstw, a nawet troszczą się o swoje ofiary (oczywiście w celu sprawnego wyłudzenia okupu). Gangi ransomware posiadają własne witryny, konsultantów czy dział FAQ. Terminy płatności nie muszą jednak sztywne. 100 proc. badanych prze z F-Secure grup zgodziło się na opóźnienie terminu zapłaty. W dodatku cyberprzestępcy są jak najbardziej otwarci na negocjowanie okupu. Specjalistom z F-Secure w trzech przypadkach na cztery udało się zmniejszyć cenę okupu, a średnia zniżka wyniosła 29 proc..

Urządzenia mobile też zagrożone

David Maciejak z Fortinetu podkreśla natomiast, że zatarciu ulega także granica pomiędzy urządzeniami będącymi celem ataków ransomware. Znane są przypadki mobilnego oprogramowania, zdolnego atakować zarówno komputery, jak i smartfony. Duża popularność systemu Android prowadzi również do sytuacji (takich jak w przypadku wariantów oprogramowania FLocker), w których infekowane są urządzenia Internetu rzeczy - w tym telewizory Smart TV.  - W ich przypadku infekujące oprogramowanie żąda na przykład przekazania karty podarunkowej do sklepu iTunes na określoną kwotę, aby odblokować dostęp do finałowego meczu Pucharu Stanleya – mówi David Maciejak.

To, że ransomware coraz częściej atakuje urządzenia mobilne, potwierdza firma KaspersyLab. Według niej w przypadku mobilnego oprogramowania ransomware okup ten wynosił zwykle od 12 do 100 dolarów. Liczba użytkowników produktów mobilnych firmy Kaspersky Lab atakowanych przez oprogramowanie ransomware zwiększyła się z 1,1 proc. do 3,8 proc. między 2014 a 2015 r. Ataki odnotowano w 156 krajach, z których najbardziej dotknięte były: Rosja, Niemcy oraz Kazachstan.

Jak się bronić?

Co można zrobić, by nie paść ofiarą ataku typu ransomware? Firma F-Secure daje pięć prostych rad, które jednak istotnie niwelują takie ryzyko.

Po pierwsze, należy korzystać z oprogramowania obejmującego różne warstwy zabezpieczeń, które może blokować znane typy ransomware, jak również całkiem nowe zagrożenia.

Po drugie, trzeba aktualizować oprogramowanie – ransomware wykorzystuje luki w zabezpieczeniach nieaktualnego software’u, dlatego zawsze należy mieć u siebie najnowszą wersję.

Po trzecie warto pamiętać o regularnym tworzeni kopii zapasowych, co  pozwoli być o krok przed cyberprzestępcą. Poza tym, użytkownik komputera nie stoi wtedy pod ścianą, by płacić okup, bo po potrzebne pliki może sięgnąć do kopii zapasowej

Po czwarte, zawsze trzeba być ostrożnym podczas przeglądania skrzynki mailowej – nigdy nie należy otwierać załącznika ani klikać w linki, co do których nie mamy zaufania.

I po piąte, warto rozważyć ograniczenie używania wtyczek do przeglądarek, które bywają częstym celem ataków. Należy wyłączać te, które zostały zainstalowane, ale nie są używane.

Firma Trend Micro poinformowała natomiast w czerwcu, że  udostępniła bezpłatne narzędzie o nazwie Trend Micro Crypto-Ransomware File Decryptor, które pomaga w walce ze szkodliwym oprogramowaniem typu ransomware.

Marek Jaślan

, wydruk, pdf , Prześlij znajomym

ransomware, cyberataki, cyberzagrożenia, cyberbezpieczeństwo, F-Secure, Fortinet, Kaspersky Lab

Aby dodawać komentarze musisz się zalogować.

Komentarze

Brak komentarzy

przeczytaj_tresc_ponownie