Co to jest oprogramowanie ransomware?

Terminologia, którą często słyszymy i czytamy, szczególnie w ciągu ostatnich dwóch lat, natknęliśmy się na ten żargon, głównie w negatywnym kontekście, gdy jakaś organizacja padła ofiarą ataku ransomware i tak dalej.

Ransomware to rodzaj złośliwego oprogramowania, znanego również jako malware (inny często używany żargon), które stanowi potencjalne zagrożenie dla ograniczenia danych lub opublikowania ich na forum publicznym, powodując potencjalne ryzyko biznesowe. Zwykle odbywa się to poprzez szyfrowanie danych, dzięki czemu ofiara musi zapłacić okup napastnikowi za uwolnienie danych. Zazwyczaj w takich przypadkach ofiara musi zapłacić okup w określonym terminie. W przypadku, gdy ofiara nie dotrzyma terminu, atakujący usunie dane. W najlepszym przypadku atakujący zwiększy wartość okupu w zmienionym terminie.

Ataki złośliwego oprogramowania są obecnie dość powszechne, a ofiarami takich ataków pada wiele organizacji z Ameryki Północnej i Europy. Ci cyberprzestępcy nie mają ustalonych kryteriów, ponieważ mogą zaatakować dowolną grupę klientów lub dowolną organizację w różnych branżach.

Wiele agencji, takich jak FBI i niektóre rządy, powstrzymuje się od płacenia takich okupów. W rzeczywistości istnieje specjalny projekt o nazwie No Ransom Project, organizacja non-profit, której celem jest nie dawanie okupu cyberprzestępcom. Co więcej, obserwuje się, że ofiary, które płacą okup, są narażone na powtarzające się ataki oprogramowania ransomware

Tło ataków ransomware

Jeśli spojrzymy na historię ataków ransomware, sięga ona 1989 roku, kiedy „wirus AIDS” był wykorzystywany przez cyberprzestępców do wyłudzania funduszy od ofiar. Po zwolnieniu płatności za ten atak (pocztą) do Panamy klucz odszyfrowywania został również udostępniony pocztą.

W 1996 roku dwie osoby Moti Yung i Adam Young z Columbia University wprowadziły definicję oprogramowania ransomware i ukuły termin „wyłudzenie kryptowirusa”. Ci dwaj naukowcy przedstawili pierwszy atak wirusologii kryptograficznej w 1996 roku na konferencji IEEE, która była konferencją poświęconą bezpieczeństwu i prywatności.

Z biegiem czasu zaobserwowaliśmy innowacje w przestrzeni cyberataków i ataków ransomware. Cyberprzestępcy stali się kreatywni, prosząc o zapłatę okupu, którego śledzenie jest praktycznie niemożliwe. W ten sposób ci cyberprzestępcy zachowują anonimowość swojego miejsca pobytu. Gdy zaobserwowaliśmy wzrost wykorzystania kryptowalut, takich jak Bitcoin, zaobserwowaliśmy znaczny wzrost ataków ransomware.

Jeśli spojrzymy na ten wzorzec, ataki ransomware sprawiły, że każda branża stała się ofiarą, a najsłynniejszym atakiem jest atak na Presbyterian Memorial Hospital. Był to masowy atak, którego ofiarami padły laboratoria, apteki i izby przyjęć.

Jak działa oprogramowanie ransomware?

Jak wspomniano wcześniej, ransomware to rodzaj złośliwego oprogramowania, które jest tworzone w celu wyłudzania pieniędzy od organizacji poprzez szyfrowanie ich danych i blokowanie do nich dostępu. Widzimy głównie dwa rodzaje oprogramowania ransomware – jeden zestaw jest znany jako programy szyfrujące, a drugi jest znany jako blokady ekranu. Ponieważ nazwa nie wymaga wyjaśnień, programy szyfrujące szyfrują dane, dzięki czemu są zbędne bez klucza deszyfrującego. Jednak blokady ekranu po prostu blokują dostęp do systemu, wdrażając „ekran blokady”.

W tym scenariuszu zwykle ofiary widzą ekran blokady, który zawiera komunikat o zakupie kryptowaluty, takiej jak Bitcoin, aby zapłacić okup. Gdy tylko okup zostanie zapłacony, organizacje otrzymują klucz odszyfrowujący, a następnie mogą spróbować odszyfrować pliki. Jednak nie ma żadnej zasady ani etyki, której przestrzegają ci cyberprzestępcy. Czasami nawet po zapłaceniu okupu ofiary nie otrzymują kluczy odszyfrowywania. Co gorsza, złośliwe oprogramowanie jest nadal instalowane nawet po zapłaceniu okupu.

Zazwyczaj takie ataki złośliwego oprogramowania dla przedsiębiorstw rozpoczynają się od podejrzanej wiadomości e-mail, która zawiera. Użytkownik może otworzyć tę wiadomość e-mail, nie podejrzewając niczego, a to po prostu otwiera puszkę robaków.

Kto jest zagrożony?

Kiedy mówimy o oprogramowaniu ransomware, każdy gadżet lub urządzenie podłączone do Internetu stanowi potencjalne ryzyko stania się ofiarą ataku złośliwego oprogramowania. Ransomware zwykle sprawdza urządzenie lokalne i każde urządzenie podłączone do sieci, co oznacza, że ​​sieć lokalna w organizacji jest również narażona na ryzyko stania się ofiarą.

W związku z tym, jeśli urządzenie jest podłączone do Internetu, warunkiem wstępnym dla organizacji staje się zapewnienie najnowszych aktualizacji zabezpieczeń i systemów bezpieczeństwa punktów końcowych, aby uniknąć wszelkiego rodzaju złośliwego wejścia tych cyberprzestępców.

Wpływ oprogramowania ransomware na biznes?

Jest to niepisane oświadczenie, że każda firma, która padnie ofiarą oprogramowania ransomware, poniesie straty sięgające milionów dolarów. Poza tym powoduje to falujący efekt utraty nowego biznesu. Nawet jeśli firma zostanie uratowana, pracownicy muszą poświęcić wiele godzin na tworzenie utraconych danych, co powoduje tysiące godzin utraty wydajności. Jedną z pierwszych rzeczy, jakie robi każdy atak złośliwego oprogramowania, jest zatrzymanie produktywności organizacji. Dlatego też ważne jest, aby organizacje wykonały powstrzymywanie jako pierwsze zadanie. Przeprowadzenie analizy przyczyn źródłowych pomaga w identyfikacji luki w zabezpieczeniach, ale jeśli spowoduje opóźnienia, będzie miało poważny wpływ na produktywność i przychody.

Przykłady oprogramowania ransomware

Chociaż przykłady oprogramowania ransomware są wystarczające dla każdego podmiotu biznesowego, do którego może się odnieść, istnieje kilka kluczowych, które wyróżniają się, co może pomóc w stworzeniu podstaw dla każdej organizacji, aby uniknąć takich ataków ransomware. Przyjrzyjmy się niektórym przykładom

WannaCry – był to potężny wirus związany z luką w zabezpieczeniach firmy Microsoft, który został wykorzystany przez cyberprzestępców do zainfekowania ponad 250 000 systemów. Jednak zanim mógł rozprzestrzenić się na więcej systemów, zadziałał wyłącznik awaryjny, aby go zatrzymać. Proofpoint – nazwa w przestrzeni bezpieczeństwa i prywatności, została wdrożona w celu uzyskania szczegółowych informacji o ransomware.

BadRabbit – uznano to za widoczne oprogramowanie ransomware, którego głównym celem były firmy medialne w regionie Rosji i Ukrainy. Gdy tylko okup został zapłacony, BadRabbit dostarczył kod odszyfrowujący. Podejrzewa się, że wirus rozprzestrzeniał się za pośrednictwem fałszywego Flash Playera.

NotPetya – uważany za starszego brata BadRabbit, NotPetya był jednym z najbardziej niszczycielskich ataków złośliwego oprogramowania. Wykorzystał lukę, taką jak WannaCry, i zaczął się szybko rozprzestrzeniać. Wymagał okupu w bitcoinach, jednak NotPetya nie mógł cofnąć zmian w głównym rekordzie rozruchowym, co oznaczało, że system docelowy był niemożliwy do odzyskania.

Oto niektóre z najczęstszych przykładów złośliwego oprogramowania. Były inne, takie jak CryptoLocker, REvil, Ryuk i wiele innych.

Końcowe przemyślenia

Oprogramowanie ransomware nie zniknie. Dopóki będą ludzie, którzy mają złe intencje, będziemy konsekwentnie widzieć innowacje w tej dziedzinie. Widać to w statystykach FBI, które wskazują, że każdego dnia dochodzi do około 4000 ataków ransomware. Chociaż oprogramowanie ransomware i wirus to różne rodzaje złośliwego oprogramowania, oprogramowanie ransomware zasadniczo nie jest wirusem, ponieważ nie replikuje się jak wirus.

Jedynym sposobem ochrony organizacji przed takimi atakami ransomware jest ciągłe wprowadzanie innowacji w swoich systemach bezpieczeństwa, a także edukowanie użytkowników w zakresie potencjalnych zagrożeń ransomware, w tym złośliwych wiadomości e-mail i innych źródeł.