Co to jest oprogramowanie wymuszające okup?

Dowiedz się więcej o oprogramowaniu wymuszającym okup, o jego sposobie działania i o tym, jak chronić siebie i swoją firmę przed tego typu cyberatakami.

Definicja oprogramowania wymuszającego okup

Oprogramowanie wymuszające okup (ang. ransomware) to rodzaj złośliwego oprogramowania (malware), za pomocą którego atakujący grozi ofierze zablokowaniem dostępu do danych i systemów o krytycznym znaczeniu lub ich zniszczeniem, jeśli ta nie zapłaci okupu. Dawniej za pomocą oprogramowania wymuszającego okup atakowane były w większości osoby prywatne, ale ostatnio powszechniejszym i trudniejszym w profilaktyce i usuwaniu zagrożeniem stało się oprogramowanie wymuszające okup obsługiwane przez człowieka, używane do ataków na organizacje. Podczas ataku z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka grupa atakujących wspólnie wykorzystuje swoją inteligencję, aby uzyskać dostęp do sieci firmowej organizacji. Niektóre ataki tego typu są na tyle zaawansowane, że atakujący określają kwotę okupu na podstawie przechwyconych wewnętrznych dokumentów finansowych firmy.

Ostatnie ataki z użyciem oprogramowania wymuszającego okup

Niestety doniesienia o zagrożeniach związanych z oprogramowaniem wymuszającym okup coraz częściej pojawiają się w serwisach informacyjnych. Tylko w 2021 roku liczba ataków z użyciem oprogramowania wymuszającego okup wzrosła o 935 procent. Jak można sobie wyobrazić, ich skutki mogą być katastrofalne. Tutaj przytoczono kilka niedawnych ataków z użyciem oprogramowania wymuszającego okup i opisano ich skutki dla organizacji, które padły ich ofiarą.

 

Kronos
 

Kronos to gigant branży zarządzania zasobami ludzkimi. W grudniu 2021 roku firma padła ofiarą ataku z użyciem oprogramowania wymuszającego okup, którego celem był system zarządzania listami płac i urlopami dla klientów korzystających z chmury prywatnej firmy Kronos. Ze względu na liczbę organizacji korzystających z usług HR firmy Kronos, do których należą między innymi Zarząd Komunikacji Miejskiej Nowego Jorku, George Washington University i Wydział Transportu Stanu Oregon, naruszenie zabezpieczeń danych osobowych i informacji o pracownikach było poważną sprawą.

 

Colonial Pipeline
 

W maju 2021 roku amerykański ropociąg Colonial Pipeline musiał zostać zamknięty, aby zapobiec kolejnym naruszeniom zabezpieczeń po ataku na dane osobowe tysięcy pracowników firmy z użyciem oprogramowania wymuszającego okup. Skutki były katastrofalne, a ceny paliw wystrzeliły w górę na całym wschodnim wybrzeżu Stanów Zjednoczonych, dla którego rurociąg Colonial Pipeline był głównym źródłem dostaw. Ostatecznie firma zapłaciła okup, przekazując równowartość 4,4 mln USD w kryptowalucie grupie cyberprzestępczej DarkSide. Od tego czasu FBI udało się odzyskać około 2,3 mln USD z tej kwoty.

 

Brenntag
 

Niemiecki dystrybutor surowców chemicznych Brenntag, podobnie jak firma Colonial Pipeline, został zaatakowany za pomocą oprogramowania wymuszającego okup przez grupę DarkSide. Według DarkSide ten atak z kwietnia 2021 roku był możliwy dzięki naruszeniu sieci firmy Brenntag przy użyciu kradzionych poświadczeń zakupionych od niezidentyfikowanego sprzedawcy. Atakujący wykradli dane ponad 6000 osób, obejmujące ich daty urodzenia, numery ubezpieczenia społecznego i numery prawa jazdy, a także pewne dane dotyczące zdrowia. Firma Brenntag zapłaciła okup po wynegocjowaniu obniżenia jego kwoty do 4,4 mln USD.

 

JBS
 

Firma JBS jest największym dostawcą mięsa na świecie. W maju 2021 roku padła ofiarą ataku z użyciem oprogramowania wymuszającego okup, który zakłócił jej działalność w Ameryce Północnej i Australii. Po tymczasowym wyłączeniu witryny internetowej firmy i wstrzymaniu produkcji firma JBS uległa presji, chcąc zapobiec przerwaniu łańcucha dostaw żywności i wzrostowi cen produktów spożywczych. Ostatecznie firma JBS przekazała 11 mln USD w bitcoinach grupie cyberprzestępczej REvil.

Jak działa oprogramowanie wymuszające okup?

Ataki z użyciem oprogramowania wymuszającego okup polegają na przejęciu kontroli nad danymi lub urządzeniami osób prywatnych bądź organizacji w celu wymuszenia zapłaty. W przeszłości najczęściej zdarzały się ataki socjotechniczne, jednak ostatnio popularne wśród przestępców stało się oprogramowanie wymuszające okup obsługiwane przez człowieka, oferujące im potencjalnie ogromny zysk.

 

Ataki socjotechniczne z użyciem oprogramowania wymuszającego okup


Podczas tych ataków wykorzystuje się wyłudzanie informacji (phishing) — czyli technikę oszustwa polegającą na przybraniu przez atakującego tożsamości wiarygodnej firmy czy witryny internetowej — i podstępem skłania się ofiarę do kliknięcia linku lub otwarcia załącznika z wiadomości e-mail umożliwiającego zainstalowanie na jej komputerze oprogramowania wymuszającego okup. Elementem tych ataków są często niepokojące wiadomości mające wzbudzić w ofierze strach i tym samym skłonić ją do nieracjonalnego działania. Cyberprzestępca może na przykład, podszywając się pod znany bank, wysłać wiadomość e-mail z powiadomieniem, że konto adresata wiadomości zostało zablokowane z powodu podejrzanej aktywności, i poleceniem kliknięcia linku w wiadomości e-mail w celu rozwiązania problemu. Kliknięcie linku powoduje zainstalowanie oprogramowania wymuszającego okup.

 

 

Oprogramowanie wymuszające okup obsługiwane przez człowieka


Atak z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka rozpoczyna się często od wykradzionych poświadczeń konta. Gdy napastnicy uzyskają w ten sposób dostęp do sieci organizacji, wykorzystują przejęte konto do zdobycia poświadczeń kont o szerszych zakresach dostępu oraz do poszukiwania danych i systemów krytycznych dla działania firmy, a więc dających szanse na wymuszenie dużej kwoty pieniędzy. Następnie instalują oprogramowanie wymuszające okup ukierunkowane na te poufne dane i systemy krytyczne dla działania firmy, na przykład szyfrując kluczowe pliki, tak aby organizacja straciła do nich dostęp do czasu zapłaty okupu. Cyberprzestępcy na ogół domagają się płatności w kryptowalutach, co umożliwia zachowanie anonimowości.

 

Przestępcy działający w ten sposób biorą na cel duże organizacje, które są w stanie zapłacić znacznie więcej niż przeciętny człowiek, a kwoty okupu bywają liczone w milionach dolarów. Ze względu na wysokie koszty związane z włamaniem na taką skalę wiele organizacji decyduje się zapłacić okup zamiast narażać się na wyciek poufnych danych lub ryzyko kolejnych ataków cyberprzestępców, choć zapłata nie gwarantuje, że uda się im zapobiec.

 

W miarę wzrostu liczby ataków z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka przestępcy stojący za atakami stają się coraz lepiej zorganizowani. W rzeczywistości wiele operacji z użyciem oprogramowania wymuszającego okup wykorzystuje obecnie model oprogramowania wymuszającego okup jako usługi, co oznacza, że grupa przestępcza programistów tworzy oprogramowanie wymuszające okup, a następnie zatrudnia innych cyberprzestępców, aby włamali się oni do sieci organizacji i zainstalowali to oprogramowanie. Zyski są dzielone między obiema grupami w ustalonych proporcjach.

Różne typy ataków z użyciem oprogramowania wymuszającego okup

Oprogramowanie wymuszające okup ma dwie główne postacie: szyfrującą i blokującą.

 

Szyfrujące oprogramowanie wymuszające okup


W przypadku ataku na osobę lub organizację z użyciem szyfrującego oprogramowania wymuszającego okup napastnicy szyfrują poufne dane lub pliki ofiary, uniemożliwiając dostęp do nich do czasu zapłacenia żądanego okupu. Po zapłaceniu okupu ofiara teoretycznie powinna otrzymać klucz szyfrowania, umożliwiający odzyskanie dostępu do plików i danych. Jednak nawet zapłata okupu nie gwarantuje, że cyberprzestępca wyśle ofierze klucz szyfrowania lub zrezygnuje z kontroli nad danymi. Tzw. doxware to szczególny rodzaj szyfrującego oprogramowania wymuszającego okup — po zaszyfrowaniu prywatnych informacji ofiary przestępcy grożą ofierze ich publicznym udostępnieniem, licząc na to, że zapłaci ona okup, aby uniknąć wstydu lub kompromitacji.

 

Blokujące oprogramowanie wymuszające okup


Atak z użyciem blokującego oprogramowania wymuszającego okup powoduje zablokowanie dostępu do urządzenia, przez co ofiara nie może się do niego zalogować. Na ekranie urządzenia ofiara zobaczy żądanie okupu z wyjaśnieniem, że urządzenie zostało zablokowane oraz instrukcją zapłaty w celu odzyskania dostępu. Ten rodzaj oprogramowania wymuszającego okup zazwyczaj nie wykorzystuje szyfrowania, a więc gdy ofiara odzyska dostęp do urządzenia, jej poufne dane i pliki będą bezpieczne.

Reagowanie na atak z użyciem oprogramowania wymuszającego okup

Jeśli padniesz ofiarą ataku z użyciem oprogramowania wymuszającego okup, masz szansę na uzyskanie pomocy i usunięcie go.

 

Uważaj z płaceniem okupu


Chociaż perspektywa zażegnania problemu przez zapłatę okupu może być kusząca, nie ma żadnej gwarancji, że przestępcy dotrzymają słowa i oddadzą Ci dostęp do danych. Specjaliści w dziedzinie bezpieczeństwa i przedstawiciele wymiaru sprawiedliwości zalecają, aby ofiary ataków z użyciem oprogramowania wymuszającego okup nie płaciły okupu, gdyż w ten sposób bezpośrednio wspierają działalność przestępców, a ponadto narażają się na podobne zagrożenia w przyszłości. Jeśli okup został już zapłacony, jak najszybciej skontaktuj się z bankiem — jeśli zapłacono kartą kredytową, bank może być w stanie zablokować płatność.

 

Odizoluj zainfekowane dane


Najszybciej, jak to możliwe, odizoluj zainfekowane dane, aby zapobiec rozprzestrzenieniu się oprogramowania wymuszającego okup w Twojej sieci.

 

Uruchom oprogramowanie chroniące przed złośliwym kodem


Często oprogramowanie wymuszające okup udaje się usunąć, jeśli masz zainstalowany program chroniący przed złośliwym kodem. Gdy już wybierzesz renomowane rozwiązanie chroniące przed złośliwym kodem, takie jak Windows Defender, pamiętaj, że należy je regularnie aktualizować i mieć zawsze włączone, aby zapewnić ochronę przed najnowszymi atakami.

 

Zgłoś atak


Zgłoś atak miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych może to być miejscowy oddział terenowy FBIIC3, lub Secret Service. Choć nie rozwiąże to najbardziej palącego problemu, jest to ważny krok, ponieważ te instytucje aktywnie śledzą i monitorują różne ataki. Szczegółowe informacje o tym, co Cię spotkało, mogą stanowić dla nich ważny element szerszego śledztwa, które doprowadzi do wykrycia i ukarania sprawcy lub grupy sprawców.

Ochrona przed oprogramowaniem wymuszającym okup

Ponieważ ataków z użyciem oprogramowania wymuszającego okup jest coraz więcej, a ogromna część danych osobowych użytkowników jest przechowywana w formie cyfrowej, ataki te mogą mieć potencjalnie druzgocące skutki. Na szczęście są sposoby, aby Twoje życie cyfrowe pozostało w Twoich rękach. Zobacz, jak zapewnić sobie spokój umysłu dzięki aktywnej ochronie przed oprogramowaniem wymuszającym okup.

 

Zainstaluj oprogramowanie chroniące przed złośliwym kodem


Najlepszą formą ochrony jest zapobieganie. Wiele ataków z użyciem oprogramowania wymuszającego okup można wykryć i zablokować za pomocą zaufanej usługi chroniącej przed złośliwym oprogramowaniem, na przykład Microsoft Sentinel, Microsoft 365 Defender czy Microsoft Defender dla Chmury. Gdy używasz programu chroniącego przed złośliwym kodem, urządzenie najpierw skanuje wszystkie pliki lub linki, które próbujesz otworzyć, aby sprawdzić, czy są one bezpieczne. Jeśli plik lub witryna internetowa zawiera złośliwy kod, program chroniący przed złośliwym kodem ostrzega o tym i sugeruje, aby ich nie otwierać. Programy te mogą również usuwać oprogramowanie wymuszające okup z urządzenia, które już zostało zainfekowane.

 

Zapewnij regularne szkolenia


Dzięki regularnym szkoleniom pracownicy zdobywają aktualne informacje o sposobie rozpoznawania oznak wyłudzania informacji i innych ataków z użyciem oprogramowania wymuszającego okup. Uczą się nie tylko bezpieczniejszych praktyk w pracy, ale także sposobów na zapewnienie sobie bezpieczeństwa podczas korzystania z urządzeń osobistych.

 

Przejdź do chmury


Przeniesienie danych do usługi w chmurze, takiej jak usługa kopii zapasowych w chmurze platformy Azurekopia zapasowa magazynu blokowych obiektów blob platformy Azure lub usługi kopii zapasowej i odzyskiwania Office 365, umożliwia łatwe tworzenie kopii zapasowych danych w celu zwiększenia ich bezpieczeństwa. W przypadku jakiegokolwiek naruszenia tych danych przez oprogramowanie wymuszające okup usługi te umożliwiają ich natychmiastowe i kompleksowe odzyskanie.

 

Wprowadź model Zero Trust


Model Zero Trust ocenia wszystkie urządzenia i wszystkich użytkowników pod kątem ryzyka, zanim umożliwi im dostęp do aplikacji, plików, baz danych i innych urządzeń, zmniejszając prawdopodobieństwo, że złośliwa tożsamość lub urządzenie będą mogły uzyskać dostęp do zasobów i zainstalować oprogramowanie wymuszające okup. Wykazano na przykład, że wdrożenie uwierzytelniania wieloskładnikowego, jednego ze składników modelu Zero Trust, zmniejsza skuteczność ataków na tożsamość o ponad 99%. Aby ocenić etap dojrzałości modelu Zero Trust w swojej organizacji, skorzystaj z naszej oceny dojrzałości modelu Zero Trust.

 

Dołącz do grupy wymiany informacji


Grupy wymiany informacji, często organizowane według branży lub lokalizacji geograficznej, zachęcają organizacje o podobnej strukturze do wspólnej pracy nad rozwiązaniami do zapewniania cyberbezpieczeństwa. Grupy oferują również organizacjom różne korzyści, takie jak reagowanie na zdarzenia i usługi kryminalistyki cyfrowej, wiadomości o najnowszych zagrożeniach oraz monitorowanie publicznych zakresów adresów IP i domen.

 

Przechowuj kopie zapasowe offline


Czasami oprogramowanie wymuszające okup próbuje odszukać i usunąć wszelkie posiadane przez Ciebie kopie zapasowe online, dlatego warto także przechowywać aktualną kopię zapasową poufnych danych offline, która będzie regularnie testowana w celu upewnienia się, że można ją przywrócić w razie jakiegokolwiek ataku z użyciem oprogramowania wymuszającego okup. Niestety kopia zapasowa offline nie rozwiąże problemu w przypadku ataku z użyciem szyfrującego oprogramowania wymuszającego okup, ale może być dobrym narzędziem, jeśli użyto blokującego oprogramowania wymuszającego okup.

 

Regularnie aktualizuj oprogramowanie


Oprócz aktualizowania wszystkich rozwiązań chroniących przed złośliwym kodem (rozważ wybranie opcji automatycznych aktualizacji) pamiętaj o pobieraniu i instalowaniu wszelkich pozostałych aktualizacji systemu i poprawek oprogramowania, gdy tylko będą dostępne. Pomoże to zminimalizować wszelkie luki w zabezpieczeniach, które cyberprzestępca może wykorzystać w celu uzyskania dostępu do Twojej sieci i urządzeń.

 

Opracuj plan reagowania na zdarzenia


Podobnie jak posiadanie planu ewakuacji na wypadek pożaru domu zapewnia bezpieczeństwo i lepsze przygotowanie, tak utworzenie planu reagowania na zdarzenia informującego o tym, co zrobić w przypadku ataku z użyciem oprogramowania wymuszającego okup, zapewni Ci praktyczne kroki do wykonania w przypadku różnych scenariuszy ataków, co pozwoli jak najszybciej przywrócić normalne i bezpieczne działanie.

Często zadawane pytania

|

Niestety ofiarą ataku z użyciem oprogramowania wymuszającego okup może paść niemal każdy, kto jest obecny online. Częstymi celami cyberprzestępców są zarówno urządzenia osobiste, jak i sieci firmowe.

 

Jednak zainwestowanie w rozwiązania proaktywne, takie jak usługi ochrony przed zagrożeniami, to realny sposób, aby zapobiec zainfekowaniu sieci lub urządzeń przez oprogramowanie wymuszające okup. Z tego względu osoby i organizacje, które jeszcze przed wystąpieniem ataku korzystają z programów chroniących przed złośliwym kodem i innych protokołów zabezpieczeń, takich jak model Zero Trust, są najmniej narażone na ataki z użyciem oprogramowania wymuszającego okup.

Tradycyjne ataki z użyciem oprogramowania wymuszającego okup polegają na skłonieniu użytkownika podstępem do użycia spreparowanej zawartości, na przykład otwarcia zainfekowanej wiadomości e-mail lub odwiedzenia niebezpiecznej witryny internetowej, co prowadzi do zainstalowania oprogramowania wymuszającego okup na urządzeniu.

 

W przypadku ataku z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka grupa napastników bierze na cel organizację i atakuje jej poufne dane, najczęściej używając kradzionych poświadczeń.

 

Zazwyczaj, niezależnie od tego, czy jest to atak socjotechniczny, czy obsługiwany przez człowieka, użytkownik lub organizacja otrzymuje żądanie okupu, zawierające informacje o tym, jakie dane zostały wykradzione i ile trzeba zapłacić, aby je odzyskać. Niestety zapłata okupu nie gwarantuje, że dane zostaną faktycznie zwrócone, ani nie zapobiega kolejnym atakom w przyszłości.

Skutki ataku z użyciem oprogramowania wymuszającego okup mogą być katastrofalne. Ofiary, zarówno osoby prywatne, jak i organizacje, mogą czuć się zmuszone do zapłaty wysokiego okupu bez żadnej gwarancji, że dane zostaną zwrócone lub że nie nastąpią kolejne ataki. Ujawnienie poufnych informacji organizacji przez cyberprzestępców może narazić na szwank jej reputację i podważyć wiarygodność. Ponadto, w zależności od rodzaju ujawnionych danych i wielkości organizacji, może się zdarzyć, że nawet tysiącom osób będzie grozić kradzież tożsamości i inne cyberprzestępstwa.

Cyberprzestępcy infekujący urządzenia ofiar oprogramowaniem wymuszającym okup chcą pieniędzy. Najczęściej żądają okupu w kryptowalutach, które zapewniają anonimowość i utrudniają śledzenie transakcji. W przypadku ataku socjotechnicznego z użyciem oprogramowania wymuszającego okup, którego celem jest osoba prywatna, kwota okupu może wynosić kilkaset czy kilka tysięcy dolarów. Od organizacji atakowanych z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka cyberprzestępcy mogą żądać nawet kilku milionów dolarów. W tych bardziej zaawansowanych atakach na organizacje przestępcy wykorzystują czasem poufne dane finansowe przechwycone w wyniku włamania do sieci, aby określić kwotę okupu, na zapłatę której może sobie ich zdaniem pozwolić dana organizacja.

Ofiary powinny zgłaszać ataki z użyciem oprogramowania wymuszającego okup miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych mogą to być miejscowe oddziały terenowe FBIIC3, lub Secret Service. Specjaliści w dziedzinie bezpieczeństwa i przedstawiciele wymiaru sprawiedliwości zalecają, aby ofiary nie płaciły okupu — jeśli okup został już zapłacony, jak najszybciej skontaktuj się z bankiem i miejscowymi organami ścigania. Jeśli zapłacono kartą kredytową, bank może być w stanie zablokować płatność.