W ostatnich dniach Internet obiegła wiadomość, że cyberprzestępcy dokonują ataków ransomware, używając powiadomień na Facebooku. Serwis społecznościowy, z którego aktywnie korzysta ponad 1,5 miliarda osób na całym świecie – także w pracy – stał się dla hakerów kolejną furtką do firmowych sieci komputerowych. Czy można uchronić się przed tego typu atakami i czy firmy powinny płacić okupy cyberprzestępcom?
Ataki ransomware polegają na tym, że przestępcy bez wiedzy użytkownika szyfrują dyski i domagają się okupu w zamian za odblokowanie dostępu do danych. Straty spowodowane tego typu atakiem mogą być ogromne. Analiza ataku pod nazwą Crypto Wall 3 przeprowadzona w październiku 2015 roku przez badaczy z McAfee Labs wykazała, że tylko jedna taka kampania wygenerowała przychody z zapłaconych okupów na poziomie 325 mln USD. Ransomware to jednak straty nie tylko finansowe. Dla zaatakowanej organizacji oznacza on także opóźnienia i być może bezpowrotną utratę cennych danych oraz reputacji.
– Nawet FBI nie ustrzegło się ataku ransomware i zapłacenia okupu. Cyberprzestępcy są coraz przebieglejsi i właściwie nie da się ich wyśledzić. Dziś wszelkie płatności związane z okupem realizowane są w wirtualnej walucie bitcoin, co sprawia, że atakujący pozostają anonimowi. Ransomware stały się globalnym problemem, który dotyka firm, instytucji i osób prywatnych, a cyberprzestępcy każdego dnia doskonalą techniki ataku – wyjaśnia Arkadiusz Krawczyk, Country Manager w Intel Security Poland.
Skala problemu
Liczba nowych próbek ransomware od lat rośnie z kwartału na kwartał. Ich całkowita liczba w zbiorze złośliwego oprogramowania w ośrodku McAfee Labs wzrosła o 155% w ciągu 2015 roku. A w I kwartale 2016 roku zwiększyła się o kolejne 24%. Dużym problemem jest też to, że ransomware udostępniany jest jako usługa (ransomware as a service), co oznacza, że atak może przeprowadzić właściwie każdy.
Ransomware ewoluuje od chwili swojego powstania. Na początku złośliwe oprogramowanie typu ransomware potrafiło zaszyfrować tylko niektóre rodzaje plików. Dziś swoim wpływem obejmuje także bazy danych czy pliki multimedialne. Zmieniła się też skala jego działania. Kiedyś atakowało jeden komputer, a dziś szyfruje nie tylko pliki, które znajdują się na zainfekowanej maszynie, ale i te zgromadzone na powiązanych nośnikach danych – fizycznych oraz w chmurze. W niebezpieczeństwie są więc też dyski zewnętrzne czy np. konta Dropbox.
Czy można się zabezpieczyć przed ransomware?
Uczestnicy zorganizowanego przez Intel Security spotkania dotyczącego ataków ransomware „Nie daj się zaskoczyć – ransomware puka do Twych drzwi!” pytali ekspertów od cyberbezpieczeństwa o dwie rzeczy: o to, czy można się zabezpieczyć przed tego typu zagrożeniami i – jeśli już padnie się ofiarą ataku – czy należy zapłacić okup?
Specjaliści z Intel Security oraz EY Business Advisory wyjaśnili, że trudno jest zabezpieczyć się przed cyberprzestępcami w 100 procentach, można jednak – podejmując odpowiednie kroki – wyraźnie ograniczyć możliwość doświadczenia ataku.
– Absolutnie najważniejsza jest dziś edukacja i wyjaśnianie, jak ważna jest ostrożność podczas korzystania z Internetu i nieufność w stosunku do załączników przychodzących do nas w mailach – nawet od – wydawałoby się – zaufanych nadawców. Szczególnie pracownicy firm i instytucji, którzy swoimi działaniami mogą narazić na niebezpieczeństwo dane firmowe, powinni przechodzić szkolenia i otrzymywać informacje na temat najnowszych zagrożeń. Jak widać choćby po ostatnich atakach poprzez Facebooka, cyberprzestępcy wciąż szukają nowych dróg dostępowych do danych użytkowników prywatnych i przedsiębiorstw. To zarząd firmy jest odpowiedzialny za to, aby aktualne informacje o zagrożeniach trafiały jak najszybciej do pracowników – mówi Arkadiusz Krawczyk.
Dodatkowo niezbędne jest tworzenie kopii zapasowych swoich danych, aktualizowanie używanych systemów i oprogramowania, stosowanie narzędzi zabezpieczających oraz stworzenie odpowiednich procedur bezpieczeństwa na wypadek zainfekowania komputera znajdującego się w sieci firmowej.
Aby zminimalizować ryzyko, należy ograniczyć dostęp i prawa zapisu użytkowników oraz prawa administratorów. Do im mniejszej liczy maszyn w sieci administratorzy mają dostęp z poziomu swojego komputera, tym mniej szkód spowoduje atak ransomware.
Płacić czy nie płacić?
Eksperci Intel Security podkreślają, że zapłacenie okupu nie gwarantuje odzyskania dostępu do swoich danych.
– Oczywiście cyberprzestępcom zależy na tym, aby ich biznes przynosił jak największe zyski, dlatego w większości przypadków po opłaceniu okupu przesyłają użytkownikowi klucz do odszyfrowania plików. Gdyby tego nie zrobili, ludzie przestaliby im płacić. Z drugiej strony zaatakowane osoby i instytucje zastanawiają, czy opłacając okup, nie wspierają działalności przestępczej i nie zachęcają hakerów do kontynuowania procederu. Stają przed dylematem: płacić czy nie płacić. Sprawę może rozwiązać dobry backup, który sprawi, że stracone dane będzie można odzyskać bez konieczności wpłacania okupu. Ale i to zabezpieczenie cyberprzestępcy potrafią dziś obejść, strasząc nie tylko zaszyfrowaniem danych, ale i – tak jest w przypadku ataków na urządzenia mobilne – przesłaniem historii wyszukiwania użytkownika do wszystkich kontaktów – mówi Arkadiusz Krawczyk z Intel Security.