Ransomware w 2022 roku – backup danych może już nie wystarczać

W 2021 roku liczba ataków ransomware na całym świecie uległa podwojeniu a 37 proc. organizacji ankietowanych przez International Data Corporation twierdziło, że doświadczyło takiego ataku w ciągu roku. „Biznes” ransomware jeszcze nigdy wcześniej nie osiągnął takich rozmiarów. Działania przestępców przynoszą im zyski liczone w milionach dolarów, które w konsekwencji otwierają przed nimi nowe możliwości. Korzystając z dostępnych zasobów szukają oni nowych sposobów nacisku, którym są m.in. groźby upublicznienia wykradzionych danych.  

O realiach i trendach stojących za fenomenem oprogramowania ransomware oraz o stopniu podatności firm na to zagrożenie mówi ekspert firmy Stormshield, europejskiego wytwórcy oprogramowania do bezpieczeństwa IT.   

Era ransomware trwa w najlepsze

Zdaniem francuskiej organizacji odpowiadającej za cyberbezpieczeństwo, we Francji aktywnych jest obecnie 28 rodzin oprogramowania ransomware, natomiast w USA – według danych FBI – ich liczba oscyluje wokół 100. Tak wygląda wycinek zjawiska będącego jednym z największych zagrożeń dla cyberbezpieczeństwa w skali globalnej.

– Odnosząc te dane do rzeczywistości pandemicznej można powiedzieć, że podobnie jak wirus SARS-CoV-2, także ransomware nieustannie mutuje. Niestety w jego przypadku nie uda się wynaleźć skutecznej szczepionki. Choć można wdrażanie określonych rozwiązań z kategorii bezpieczeństwa IT potraktować jako formę profilaktyki – mówi Aleksander Kostuch, ekspert Stormshield.

Jednym z najgłośniejszych przypadków ransomware ostatnich miesięcy jest Babuk. Został wykorzystany przez grupę cyberprzestępczą o tej samej nazwie do infiltracji kilku dużych firm. Wyciek oprogramowania przyczynił się do jego rozprzestrzenienia, bowiem dzięki temu także mniej doświadczeni cyberprzestępcy mogli wykorzystać to oprogramowanie ransomware do własnych celów. Inne będące w użyciu ransomware to Atom Silo i BlackMatter. Operatorzy tego najnowszego, wykrytego pod koniec lipca, oprogramowania od około trzech miesięcy sieją infekują komputery ofiar na całym świecie. Jak wskazują eksperci Stormshield w 2021 roku nastąpiło również odrodzenie REvil (zwanego również Sodinokibi) i Ryuka. Pierwszy z nich, istniejący od 2019 roku, uważany jest za jeden z najtrudniejszych do wykrycia i jednocześnie najbardziej dochodowych.

– Kod źródłowy poszczególnych aplikacji Ransomware jest regularnie aktualizowany, aby przeciwdziałać środkom ochrony cybernetycznej – mówi Aleksander Kostuch.

​​Nie uległ zasadniczej zmianie modus operandi dwóch klasycznych typów oprogramowania ransomware. Klasyczny schemat obejmuje blokadę działania komputera lub zaszyfrowanie znajdujących się na nim danych, czemu towarzyszy żądanie zapłaty okupu za ich przywrócenie pełnej funkcjonalności.

Nie musimy klikać w załącznik, aby narazić się na infekcję ransomware

Wciąż jedną z głównych dróg dostępu dla przestępców jest phising. Poprzez bezpośrednie odzyskanie danych uwierzytelniających cyberprzestępcy mogą uzyskać dostęp do sieci VPN lub systemu poczty e-mail.

– Wystarczy, aby jeden z pracowników został złapany w phisingową pułapkę, a może się okazać, że system informatyczny całej firmy zostanie zagrożony. Dzieje się tak, ponieważ cyberprzestępcy będą szybko dążyć do uzyskania praw administratora dla katalogu domeny. Warto mieć także świadomość, że swoje działania kierują oni nie tylko wobec menedżerów, posiadających szerokie uprawnienia w firmowych systemach. Wszyscy pracownicy firmy są zatem potencjalnymi celami dla cyberprzestępców – wyjaśnia ekspert Stormshield.

Metody uzyskania dostępu ewoluują w stronę coraz bardziej skomplikowanych i przebiegłych. Wykorzystuje się „inżynierię społeczną”, luki w zabezpieczeniach oprogramowania lub e-maile zawierające złośliwe załączniki, choć obecnie niekoniecznie jest to element niezbędny.

– Dobry przykład to Ryuka, w którym zwykłe kliknięcie w e-mail uruchamia ​​iniektor, który sam pobiera złośliwe oprogramowanie. Podobnych sposobów może być więcej, ponieważ szukanie dostępu do wnętrza infrastruktury przez punkty wejścia opierające się na lukach w zabezpieczeniach, sprawia, że konkretne sposoby mogą być różne i jak widać nie zawsze wymagają one niestandardowego działania ofiary – wyjaśnia Aleksander Kostuch.

W tej sferze dominują nieukierunkowane sposoby pozyskania ofiar jednak równocześnie wykorzystywane do tego celu globalne kampanie e-mailowe, oparte na podejściu statystycznym, stają się znacznie bardziej wyrafinowane. Cyberprzestępcy poprawiają jakość swoich działań, na przykład wykorzystując skradzione e-maile do przygotowywania wiarygodnych z perspektywy odbiorcy wiadomości.

– Miejmy świadomość, że czasy e-maili, w których prawie każde słowo było błędne to zamierzchła przeszłość. Przestępcy uczą się mówić językiem swoich ofiar. Na przykład korzystają z prawdziwych, skradzionych faktur wykorzystując zawarte w nich informacje do przygotowania korespondencji skierowanej do działów księgowych, których treść brzmi tak, jakby były wiadomością od klienta. Przy przekazie tego rodzaju nawet bardziej dogłębna analiza może okazać się niewystarczająca do wykrycia potencjalnego zagrożenia – mówi Kostuch.

Bogaci stosują taktykę podwójnego uderzenia

Przestępcy poszukują również nowych i skutecznych form nacisku na organizacje, które nie chcą zgodzić się na zapłacenie okupu, co jest rozwiązaniem rekomendowanym przez ekspertów. W 2018 roku skradziono dane pacjentów ośrodków psychoterapii w Finlandii. Kiedy firma dotknięta kradzieżą odmówiła zapłacenia okupu, cyberprzestępcy zwrócili się do… pacjentów, grożąc upublicznieniem dotyczących ich wrażliwych informacji.

– To jeden z symptomów pokazujących w jaką stronę będzie ewoluować działalność cyberprzestępców. Nową formą nacisku, która uzupełni, a czasami będzie zastępować szyfrowanie jako skuteczny sposób zmuszania do płacenia okupów, będzie narażanie na szwank reputacji ofiar – mówi inżynier Stormshield.

Firma, która realizuje jedną z podstawowych zasad cyberbezpieczeństwa, czyli tworzy kopie zapasowe swoich danych, teoretycznie jest mniej podatna na żądania złodziei.

– Jednakże większość firm z branż, w których reputacja ma szczególne znaczenie dla ich bieżącej działalności może być bardziej wrażliwa na tym polu. Reputacja i poufność w przypadku kancelarii prawnych czy firm księgowych mają szczególnie dużą wagę. Tak więc groźba upublicznienia wrażliwych danych może okazać się skuteczną formą przekonania, aby jednak zdecydować się na płatność przestępcom. Dodatkowo poza utratą wiarygodności taki podmiot naraża się na odpowiedzialność z tytułu naruszenia bezpieczeństwa danych osobowych. Straty mogą być zatem zwielokrotnione – mówi Aleksander Kostuch.

Innym z przykładów innowacyjności jest także okup… za niezaszyfrowanie danych.

– W takich przypadkach czynnikiem mającym skłonić ofiarę do działania zgodnie z oczekiwaniem jest strach. Nie ma gwarancji, że przestępcy zdołają spełnić swoją groźbę, ale można zgadywać, że znajdą się podmioty, które nie będą chciały przekonywać się na własnej skórze, jak bardzo realne jest to zagrożenie – dodaje Aleksander Kostuch.

Ewolucja w sposobach działania grup przestępczych to pokłosie ich skuteczności przekładającej się na wysokie wpływy finansowe. Dysponują one budżetami na poziomie kilkudziesięciu czy nawet setek milionów euro. Ten potencjał daje im także możliwość poszukiwania nowych form nacisku czy przeprowadzania ataków połączonych, w których po infekcji ransomware następuje atak DDoS.

– Uniemożliwiając dostęp do witryn cyberprzestępcy zwiększają presję na firmy. Szacuje się, że zasada „podwójnego wymuszenia” w 2021 roku przyniosła grupom takim jak Conti REvil i DarkSide ponad 45 milionów dolarów – mówi specjalista Stormshield.

MŚP to cele 2 w 1

Potencjalnym celem działań z wykorzystaniem ransomware jest cała globalna tkanka gospodarcza, od mikro przedsiębiorstw po duże międzynarodowe korporacje. Jednak według Cybercover, to sektor MŚP jest najbardziej zagrożony. Jak wynika z danych tego ubezpieczyciela prawie 60 proc. ofiar to właśnie małe i średnie przedsiębiorstwa. Szczególne zainteresowanie przestępców segmentem będącym filarem gospodarki wynika z dwóch przesłanek.

– Po pierwsze są one celami samymi w sobie jako podmioty szczególnie wrażliwe na wstrzymanie działalności. Po drugie są wykorzystywane jako punkt wypadowy, z którego można atakować ich większych partnerów handlowych. Hakerzy, których celem jest skuteczny atak i zmuszenie ofiary do zapłacenia okupu, użyją wszelkich niezbędnych środków – komentuje Aleksander Kostuch.

Jak się skutecznie chronić?

Na szczęście istnieją sposoby, aby się zabezpieczyć.

Zalecenia ekspertów Stormshield w zakresie cyberbezpieczeństwa małych i średnich przedsiębiorstw koncentrują się wokół trzech kategorii. Pierwszą z nich są ludzie. To pracownicy są najsłabszym ogniwem bezpieczeństwa organizacji. Konieczne jest stałe podnoszenie ich świadomości i kompetencji w zakresie cyberbezpieczeństwa oraz ochrony danych. Kolejnym istotnym czynnikiem jest wdrożenie i przestrzeganie polityki bezpieczeństwa, w tym procedur dotyczących audytów bezpieczeństwa, reakcji na incydenty czy procesu tworzenia bezpiecznych haseł. Ostatnim elementem jest aspekt techniczny obejmujący ochronę punktu styku firmowej sieci z Internetem (narzędzia UTM) oraz oprogramowanie antywirusowe. 

– Każdy kto wdraża systematyczne i rygorystyczne działania w zakresie bezpieczeństwa będzie zniechęcał napastników. Póki co wciąż mają do dyspozycji wiele celów, które nie stosują prawidłowej polityki cyberbezpieczeństwa, a w przypadku których szanse powodzenia ataku są dużo większe – podsumowuje Aleksander Kostuch.