Cyberprzestępcy stosujący mobilne oprogramowanie ransomware koncentrują swoje ataki na bogatych krajach. Rozwinięte rynki nie tylko odznaczają się wyższym poziomem przychodów, ale również bardziej zaawansowaną i powszechniej wykorzystywaną infrastrukturą mobilną i e-płatności. Według rocznego raportu Kaspersky Lab dotyczącego oprogramowania ransomware obejmującego lata 2016-2017 są to idealne warunki dla cyberprzestępców, ponieważ oznaczają możliwość przelania
okupu zaledwie kilkoma kliknięciami lub dotknięciami ekranu.
Raport obejmuje okres dwóch pełnych lat, który, dla celów porównawczych, został podzielony na dwie części, z czego każda obejmuje 12 miesięcy: od kwietnia 2015 r. do marca 2016 r. oraz od kwietnia 2016 r. do marca 2017 r. O wyborze tych konkretnych ram czasowych zdecydował fakt, że właśnie wtedy miało miejsce kilka istotnych zmian w krajobrazie zagrożeń ransomware.
Aktywność związana z mobilnym oprogramowaniem ransomware gwałtownie wzrosła w pierwszym kwartale 2017 r. — w okresie tym odnotowano 218 625 pakietów instalacyjnych mobilnych trojanów ransomware — to 3,5 razy więcej niż w poprzednim kwartale. Następnie aktywność ta spadła do poziomu średniego dla analizowanego okresu dwóch lat. Mimo niewielkiej poprawy krajobraz zagrożeń mobilnych nadal wzbudza niepokój, ponieważ przestępcy biorą na swój celownik państwa o rozwiniętych infrastrukturach finansowych i płatniczych, które można łatwo zaatakować.
W okresie 2015-2016 Niemcy stanowiły państwo o najwyższym odsetku użytkowników mobilnych zaatakowanych przy użyciu mobilnego oprogramowania ransomware — niemal 23% spośród wszystkich użytkowników zaatakowanych jakimkolwiek szkodliwym oprogramowaniem. Na dalszych miejscach znalazły się Kanada (prawie 20%), Wielka Brytania oraz Stany Zjednoczone — z udziałem powyżej 15%.
Sytuacja zmieniła się w okresie 2016-2017, gdy Stany Zjednoczone awansowały z czwartego miejsca na pierwsze (niecałe 19%). Kanada i Niemcy utrzymały pozycję w pierwszej trójce — ich udział wynosił odpowiednio 19% i ponad 15% — podczas gdy Wielka Brytania uplasowała się na czwartym miejscu (z udziałem wynoszącym ponad 13%).
Awans Stanów Zjednoczonych spowodowany był w dużej mierze atakami przy użyciu szkodliwego oprogramowania z rodzin Svpeng i Fusob, z których pierwsza atakuje głównie cele w Stanach Zjednoczonych. Z kolei rodzina Fusob koncentrowała się na początku na Niemczech, jednak od pierwszego kwartału 2017 roku na szczycie jej listy celów znalazła się Ameryka (28% ataków).
Te geograficzne zmiany w krajobrazie mobilnego oprogramowania ransomware mogą wskazywać na trend rozprzestrzeniania się ataków na bogate, nieprzygotowane, podatne i dotąd oszczędzane regiony. To naturalnie oznacza, że użytkownicy, zwłaszcza w tych państwach, powinni zachować szczególną ostrożność — zauważa Roman Unuchek, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
Kluczowe dane liczbowe pochodzące z najnowszego raportu dotyczącego zagrożeń ransomware:
- Łączna liczba użytkowników, którzy zetknęli się z oprogramowaniem ransomware w okresie od kwietnia 2016 r. do marca 2017 r., wzrosła o 11,4% w porównaniu z okresem wcześniejszych 12 miesięcy (kwiecień 2015 – marzec 2016 r.), czyli z 2 315 931 do 2 581 026 użytkowników na świecie.
- Odsetek użytkowników, którzy co najmniej raz mieli styczność z oprogramowaniem ransomware, w stosunku do łącznej liczby użytkowników, którzy stanowili cel szkodliwego oprogramowania, zmniejszył się o niemal 0,8 punktu procentowego, z 4,34% w okresie 2015-2016 do 3,88% w okresie 2016-2017.
- Wśród osób, które stanowiły cel oprogramowania żądającego okupu, odsetek tych, którzy zetknęli się z programami szyfrującymi dane, wzrósł o 13,6 punktu procentowego: z 31% w okresie 2015-2016 do 44,6% w okresie 2016-2017.
- Liczba użytkowników zaatakowanych przy użyciu programów szyfrujących dane wzrosła półtora raza: z 718 536 w okresie 2015-2016 do 1 152 299 w okresie 2016-2017.
- Liczba użytkowników zaatakowanych przy użyciu mobilnego oprogramowania ransomware zmniejszyła się o 4,62%, z 136 532 użytkowników w okresie 2015-2016 do 130 232.
W celu zmniejszenia ryzyka infekcji użytkownikom zaleca się następujące działania:
- Regularnie wykonuj kopię zapasową.
- Stosuj niezawodne rozwiązanie bezpieczeństwa i pamiętaj o włączeniu funkcji wspomagających ochronę przed zagrożeniami ransomware — takich jak „Kontrola systemu” wbudowana w rozwiązania Kaspersky Lab dla konsumentów i firm.
- Dopilnuj, aby oprogramowanie było zawsze aktualne na wszystkich urządzeniach, z których korzystasz.
- Zachowaj ostrożność w stosunku do załączników e-mail lub wiadomości od osób, których nie znasz. Jeśli masz wątpliwości, nie otwieraj ich.
- Jeśli masz firmę, zorganizuj szkolenie dla swoich pracowników i zespołów IT. Ponadto przechowuj poufne dane na odizolowanych nośnikach, ogranicz do dostęp do nich i zawsze wykonuj kopię zapasową wszystkich kluczowych informacji.
- Jeśli padniesz ofiarą oprogramowania szyfrującego, nie wpadaj w panikę. Wykorzystaj niezainfekowany system, aby odwiedzić stronę No More Ransom – być może znajdziesz na niej narzędzie deszyfrujące, które pomoże Ci odzyskać pliki bez płacenia okupu cyberprzestępcom.
- Najnowsze wersje produktów firmy Kaspersky Lab przeznaczone dla mniejszych firm zostały udoskonalone o funkcjonalność ochrony przed oprogramowaniem szyfrującym dane. Ponadto Kaspersky Lab udostępnił bezpłatne narzędzie do ochrony przed oprogramowaniem ransomware, które może zostać pobrane i wykorzystane przez wszystkie firmy niezależnie od zainstalowanego rozwiązania bezpieczeństwa.
- Każdy atak z użyciem oprogramowania ransomware stanowi przestępstwo, które należy zgłosić lokalnym organom ścigania.
W celu uzyskania pomocy i porady w zakresie postępowania w przypadku infekcji oprogramowaniem ransomware warto odwiedzić stronę No More Ransom. Znajdują się tam najnowsze narzędzia deszyfrujące, narzędzia usuwania oprogramowania ransomware oraz informacje odnośnie ochrony przed tego rodzaju zagrożeniem.