Zjawisko ransomware jest dziś jednym z najgorętszych tematów w branży cyberbezpieczeństwa. Według niedawno opublikowanych przez FBI danych tylko w pierwszym kwartale 2016 r. ofiary ataków ransomware zapłaciły przestępcom równowartość 209 milionów dolarów. Dla porównania, kwota wpłat za cały rok 2015 wyniosła 24 miliony dolarów. Zespół laboratorium FortiGuard firmy Fortinet wykrywa jeden nowy szczep oprogramowania ransomware każdego dnia.
Hybrydy i nowe typy urządzeń na celowniku
Dotychczas mieliśmy do czynienia z dwoma typami oprogramowania ransomware — blokującym (tj. uniemożliwiającym normalne korzystanie z komputera) i szyfrującym (uniemożliwiającym dostęp do plików). W ostatnim czasie coraz częściej spotykamy hybrydy obu tych typów. Istnieje na przykład oprogramowanie, które blokuje dostęp do wybranych stron internetowych do momentu przekazania cyberprzestępcom okupu.
Ransomware
Zatarciu ulega także granica pomiędzy urządzeniami będącymi celem ataków ransomware. Znane są przypadki mobilnego oprogramowania, zdolnego atakować zarówno komputery, jak i smartfony. Duża popularność systemu Android prowadzi również do sytuacji (takich jak w przypadku wariantów oprogramowania FLocker), w których infekowane są urządzenia Internetu rzeczy — w tym telewizory Smart TV. W ich przypadku infekujące oprogramowanie żąda na przykład przekazania karty podarunkowej do sklepu iTunes na określoną kwotę, aby odblokować dostęp do finałowego meczu Pucharu Stanleya.
Według danych firmy Gartner w 2016 r. z siecią połączonych będzie 6,4 miliarda urządzeń, a liczba ta będzie rosnąć, osiągając do 2020 r. 21 miliardów. Dla przestępców oznacza to jedno — więcej potencjalnych ofiar.
Ewolucja ransomware
Z czasem złośliwe oprogramowanie ewoluuje, dlatego migracja ransomware na inteligentne urządzenia jest naturalnym procesem. Zdołaliśmy zarejestrować poziomy ruch próbek oprogramowania z rodzin SamSam i ZCryptor. Niektóre ich szczepy cechuje dziś zachowanie bardziej typowe dla robaków, tj. zdolność do samodzielnego rozprzestrzeniania się w pobliskich sieciach. Jeśli porównamy ten proces z biologiczną ewolucją opisaną w teorii Darwina, dostrzeżemy podobieństwo do etapu, na którym pierwsze stworzenia zaczęły opuszczać zbiorniki wodne, przenosząc się na ląd, aby badać nowe terytoria.
Przyspieszone tempo tej ewolucji wynika z jednej prostej przyczyny — ofiary płacą przestępcom okupy. Mowa tu nie o wszystkich ofiarach, ale o liczbie wystarczającej, aby ten proceder nieustannie przynosił dochody. Model biznesowy twórców oprogramowania ransomware przypomina ten znany z dużych korporacji — autorzy przeznaczają bowiem znaczą część pozyskanych środków na rozwój i badania.
Atak na elektrownię jądrową?
Infekcje oprogramowaniem ransomware już dziś są prawdziwą plagą, a ten stan może jeszcze ulec pogorszeniu. Wciąż istnieje jedna domena, która dotychczas pozostawała nietknięta przez ransomware. Są to przemysłowe systemy sterowania (ICS), czyli oprogramowanie, które możemy znaleźć na przykład w zakładach produkcji artykułów chemicznych czy elektrowniach jądrowych.
Do informacji publicznej nie trafiły dotychczas żadne informacje na temat infekcji systemów ICS przez oprogramowanie ransomware, jednak systemy te nie są tak odporne na jego działanie, jak może się wydawać. W 2013 r. przeprowadzono atak rozpoznawczy na tamę Bowman Avenue Dam w Nowym Jorku. Firma Calpine, największy amerykański producent energii elektrycznej z gazu ziemnego i źródeł geotermalnych, padła z kolei ofiarą kradzieży szczegółowych rysunków technicznych swojej infrastruktury.
Już istniejące oprogramowanie ransomware jest zdolne przeprowadzić tego typu atak — wystarczy, aby został on skierowany we właściwe miejsce. Całkiem realne wydaje się więc przeprowadzenie w najbliższych miesiącach ataku na obiekty, które mogą stanowić niezwykle dochodowy cel dla twórców ransomware. Przykładowo od szpitali czy klinik żąda się wyższych okupów, ponieważ są one bardziej skłonne wyłożyć pieniądze, by uniknąć fatalnych skutków działalności cyberprzestępców. Wystarczy wyobrazić sobie, ile rządy byłyby w stanie zapłacić za uniknięcie konsekwencji ataku na elektrownię jądrową.
Ransomware wchodzi do chmury…
By przetrwać, ransomware musi podążać za cennymi danymi. Zatem kolejnym celem ataków może być chmura obliczeniowa, w której przechowywane są ogromne ilości wrażliwych informacji.
W ostatnim czasie firma Apple ogłosiła zwiększenie pojemności bezpłatnych kont w serwisie iCloud z 20 do 150 GB. Tego typu zmiany oznaczają, że już za kilka lat (lub nawet miesięcy) niemal wszystkie nasze dane będą zapisywane w chmurze w czasie zbliżonym do rzeczywistego. Nietrudno zatem wyobrazić sobie sytuację, w której cyberprzestępcy znajdą sposób na wykorzystanie interfejsu API do zaszyfrowania naszych danych w chmurze i zażądania okupu za ich odblokowanie.
W obliczu takiego zagrożenia nie można bagatelizować zalet, jakie zapewnia możliwość tworzenia kopii zapasowych naszych danych. Niektóre z najlepszych praktyk ochrony przed atakami ransomware obejmują regularne tworzenie kopii danych i przechowywanie ich na odrębnych urządzeniach odłączonych od sieci, dzielenie posiadanych sieci na strefy bezpieczeństwa — tak aby infekcja w jednej strefie nie mogła w łatwy sposób przedostać się do innej — oraz dysponowanie planem awaryjnym, który pozwoli na funkcjonowanie systemu w czasie usuwania skutków ataku z sieci lub komputera.
…i do naszych ciał
W dłuższej perspektywie ofiary oprogramowania ransomware może czekać jeszcze inny czarny scenariusz. W maju 2010 r. pewien brytyjski naukowiec wykazał, że implanty stosowane u ludzi mogą zostać zainfekowane wirusami komputerowymi.
David Maciejak, kierownik zespołu ds. badań i rozwoju FortiGuard Lion firmy Fortinet na region Azji i Pacyfiku – Nie możemy wykluczyć sytuacji, w której oprogramowanie ransomware uniemożliwi korzystanie z protezy ręki lub nogi, bądź zagrozi wyłączeniem rozrusznika serca. Czy to jeszcze fantastyka naukowa? Jeśli spojrzeć na obecny poziom rozwoju technologii i pomysłowość hakerów, może to być bliższe rzeczywistości niż nam się wydaje.