Ransomware to rodzaj złośliwego oprogramowania, które blokuje dostęp do plików ofiary, dopóki nie zostanie zapłacony okup. Wykorzystuje silne szyfrowanie, a atakujący posiada klucz deszyfrujący. Płatność jest zazwyczaj wymagana w trudnych do śledzenia kryptowalutach, takich jak Bitcoin.
Ataki ransomware są zwykle przeprowadzane za pomocą konia trojańskiego, który udaje legalne pliki, nakłaniając użytkownika do pobrania lub otwarcia go. Malware uruchamia ładunek, który blokuje system i szyfruje pliki. Atakujący żąda zapłaty za przywrócenie dostępu. Choć może po prostu wziąć pieniądze, to w jego interesie leży odszyfrowanie plików, aby zapewnić, że przyszłe ofiary zapłacą.
Ransomware często ma dwuetapowy ładunek - najpierw nakłania użytkownika do uruchomienia skryptu pobierającego malware. Niektóre odmiany używają technik jak domain shadowing do ukrywania lokalizacji serwerów. Bezpieczny serwer TFTP również może być celem ataków.
Koncepcja ransomware została wymyślona w 1996 roku przez Adama Younga i Motiego Yunga, zainspirowanych filmem Obcy. Pierwsze znane ataki miały miejsce w 1989 roku (AIDS Trojan).
Wczesne odmiany jak Gpcode.AG używały 660-bitowych kluczy RSA, później rozbudowanych do 1024 bitów. Miały jednak wady - szyfrowanie można było złamać inżynierią wsteczną.
Bardziej zaawansowane szczepy wykorzystują kryptografię klucza publicznego, gdzie tylko atakujący ma prywatny klucz deszyfrujący. Przykładem jest CryptoLocker, który w ciągu 3 miesięcy 2013 roku uzyskał około 27 milionów dolarów okupu.
CryptoLocker był szeroko kopiowany, m.in. przez CryptoDefense, który miał lukę - przechowywał prywatny klucz w zainfekowanym systemie. Innym przykładem jest WannaCry z 2017 roku, automatycznie rozprzestrzeniający się między komputerami.
CryptoWall do czerwca 2015 roku uzyskał ponad 18 milionów dolarów według FBI. PowerShell był zaangażowany w prawie 40% incydentów bezpieczeństwa punktów końcowych w 2016 roku.
W I połowie 2018 roku odnotowano 181,5 mln ataków ransomware - wzrost o 229% w porównaniu z 2017. W 2020 roku FBI otrzymało 2474 skargi z łącznymi stratami ponad 29,1 mln USD.
Globalnie w 2021 roku było 623 mln ataków ransomware, a w 2022 - 493 mln. Średni koszt usunięcia skutków ataku wynosił 761 106 USD w 2020 roku. 95% organizacji, które zapłaciły okup, odzyskało dane.
Ataki ransomware mają poważne konsekwencje dla pojedynczych użytkowników i całych organizacji. Utrata dostępu do ważnych plików i systemów może sparaliżować działalność firmy, prowadząc do przestojów i strat finansowych. Dla osób prywatnych może to oznaczać utratę cennych danych, takich jak zdjęcia czy dokumenty. Nawet po zapłaceniu okupu nie ma gwarancji, że atakujący dostarczy klucz deszyfrujący. Ponadto, fakt uiszczenia zapłaty może zachęcić cyberprzestępców do ponownego ataku.
Oprócz bezpośrednich kosztów utraty danych i okupu, ofiary ransomware mierzą się też z wydatkami na odzyskiwanie danych, dochodzenia, wzmocnienie zabezpieczeń i potencjalne kary za naruszenie przepisów o ochronie danych. Ataki mogą też skutkować utratą reputacji i zaufania klientów. Średni koszt usunięcia skutków ataku ransomware wynosił aż 761 106 USD w 2020 roku.
Ataki ransomware mają też wpływ psychologiczny na ofiary. Nagła utrata dostępu do ważnych danych może być bardzo stresująca, zwłaszcza jeśli zawierają one wrażliwe informacje osobiste czy biznesowe. Presja by jak najszybciej odzyskać pliki i systemy, w połączeniu z dylematem czy płacić okup, może być przytłaczająca. Nawet po odzyskaniu danych pozostaje niepewność czy zostały one skopiowane przez atakujących i czy nie będą wykorzystane do dalszych przestępstw.
Dla firm i organizacji, atak ransomware może też nadszarpnąć morale pracowników. Poczucie naruszenia bezpieczeństwa i brak zaufania do systemów IT może obniżyć produktywność i satysfakcję z pracy. Pracownicy mogą obawiać się korzystać z firmowych komputerów i sieci, utrudniając normalne funkcjonowanie. Przywrócenie poczucia bezpieczeństwa i zaufania po ataku wymaga czasu, wysiłku i inwestycji w szkolenia oraz ulepszenie zabezpieczeń.
Podsumowując, ransomware to poważne i wciąż ewoluujące zagrożenie. Aby zabezpieczyć systemy i dane, należy stosować wielowarstwowe podejście:
Tworzenie regularnych kopii zapasowych i przechowywanie ich offline
Aktualizowanie oprogramowania i używanie silnych haseł
Szkolenie pracowników w zakresie cyberbezpieczeństwa
Wdrożenie narzędzi bezpieczeństwa punktów końcowych i filtrowania ruchu sieciowego
Korzystanie z bezpiecznych serwerów SFTP do przesyłania wrażliwych danych
Mimo tych środków, żadna ochrona nie jest doskonała. Dlatego konieczne jest zachowanie czujności i gotowości na wypadek ataku. Posiadanie planu reagowania, wykrywania anomalii i szybkiej reakcji może zminimalizować straty. W obliczu rosnącej skali i wyrafinowania zagrożenia, bezpieczeństwo musi być priorytetem dla każdej organizacji.
0
0
0
0
0
0
