#CyberMagazyn: Ransomware to zmora naszych czasów. Cyberprzestępcy czyhają na twoje pieniądze

CERT Polska, który zajmuje się incydentami w zakresie cyberbezpieczeństwa rejestruje coraz większą liczbę zgłoszeń oraz realnych incydentów. W 2021 roku było to w sumie 116 071 zgłoszeń, a łącznie zarejestrowano 29 483 realne incydenty. To wzrost na poziomie 182 proc. Choć w ubiegłym roku najpopularniejszym rodzajem cyberprzestępstwa był phishing, kolejno najczęściej użytkownicy mieli do czynienia ze szkodliwym oprogramowaniem (niemal 10 proc. ogólnej liczby; wzrost o 281 proc.).

„W związku z tym, że obserwujemy zjawisko rozkwitu wszystkich sfer życia w cyberprzestrzeni, co spowodowane jest różnymi przyczynami (m.in. rozwojem nowych technologii, epidemią). Obecnie w sieci funkcjonują wszyscy, w sieci się pracuje, prowadzi działalność gospodarczą, odbiera się korespondencję, komunikuje się z innymi czy korzysta się z rozrywki. Również sprawcy przestępczości pospolitej dostrzegli ten trend i przenoszą swoje działania do cyberprzestrzeni. Zarówno więcej osób korzysta z internetu, jak i więcej sprawców próbuje wykorzystać ten fakt” – mówi nam Judyta Kasperkiewicz, prawniczka z Kancelarii Adwokackiej EPOQUE.

Jak wynika z informacji podanych przez ekspertów Cisco – w pierwszym kwartale 2022 roku najpopularniejszym rodzajem zagrożenia w cyberprzestrzeni było ransomware, którym były atakowane głównie organizacje telekomunikacyjne, edukacyjne oraz sektor rządowy.

„Wiele naruszeń bezpieczeństwa było precyzyjnie wymierzonych i miało na celu pozyskanie konkretnych informacji dotyczących określonych hostów, maszyn uczestniczących w wymianie danych, które miały stać się obiektem ataków” – wskazują eksperci.

Czym jest ransomware?

Kampanie ransomware (ang. ransom - „okup” i software - „oprogramowanie”), czyli ataki polegające na zablokowaniu dostępu do systemu lub zaszyfrowaniu danych, by uniemożliwić ich odczyt pod żądaniem okupu, są coraz bardziej zróżnicowane. Chodzi przede wszystkim, by przechytrzyć ofiary.

Ich różnorodność – zdaniem specjalistów ds. bezpieczeństwa – ma związek z „demokratyzacją” ransomware, trendem polegającym na darmowym udostępnianiu narzędzi do przeprowadzania cyberataków - kiedy okazują się one skuteczne, twórcy złośliwego oprogramowania mają udziały w ewentualnych zyskach z okupu.

„W pierwszym kwartale 2022 roku odnotowano wzrost ataków typu advanced persistent threat (APT). To złożone, wielostopniowe i prowadzone przez długi czas działania wymierzone w konkretną organizację. Wymagają dużych inwestycji, dlatego stroną atakującą lub sponsorem często są agencje rządowe. Ostatnio stwierdzono aktywność MuddyWater APT finansowanej przez Iran, Mustang Panda powiązanej z Chinami wykorzystującej dyski USB do infekowania trojanem zdalnego dostępu PlugX (RAT) oraz „Deep Panda” stosującej lukę Log4j” – czytamy dalej w opracowaniu Cisco.

Początek 2022 roku wiązał się z atakami przy pomocy nowych „rodzin” ransomware: Cerber (zwanym CerberImposter), Entropy oraz Cuba.

Jak chronić się przed ransomware?

Początkowym etapem ataków często jest wspomniany phishing, czyli „łowienie ofiary” poprzez zachęcenie jej do kliknięcia w zainfekowany wirusem link lub do pobrania dokumentu zawierającego złośliwe oprogramowanie, które miało umożliwić cyberprzestępcy dalsze działania.

Na to wskazuje też w rozmowie z CyberDefence24.pl Łukasz Bromirski, ekspert Cisco: „Atak ransomware zaczyna się zwykle od phishingu, więc z perspektywy użytkownika dobrą ochroną jest każde działanie związane z zabezpieczeniem poczty elektronicznej i utrudnianiem upartego >>przeklikania się przez zabezpieczenia<< , co z kolei zabezpieczy urządzenie użytkownika przed działaniem złośliwego oprogramowania i szkodliwych zewnętrznych stron. Jednym z podstawowych zaleceń bezpieczeństwa jest rozważne otwieranie załączników. To także podejście zero trust, czyli zerowego zaufania, która sprowadza się do ograniczenia uprawnień użytkownikom, zarówno w kontekście ich codziennego działania i kontaktu z aplikacjami oraz w dostępie do danych, ale również interakcji między użytkownikami a danymi, a innymi użytkownikami. To trudniej zrealizować niż np. zainstalować proxy webowe, ale daje dużo lepsze rezultaty, bo segmentacja, ograniczenie uprawnień jest jednym z lepszych rozwiązań”.

Jego zdaniem, następnym pożądanym działaniem jest też wykonywanie back-upów w chmurze i zabezpieczanie ich w sposób, który powoduje, że nie da się ich później zaszyfrować, aby w przypadku ataku można je było tylko odtworzyć.

„Ochrona przed ransomware to też wszelkie rozwiązania proaktywne w warstwie sieci, jak i aplikacji, które będą starały się powstrzymać ransomware przed urchomieniem czy zarażeniem. Spektrum rozwiązań jest ogromne, od prostych systemów sieciowych IPS (systemów wykrywania intruzów/oprogramowania złośliwego), przez sandboxy po dedykowane rozwiązania klasy honeypot, wspierające pracę analityków bezpieczeństwa. Coraz częściej stosuje się je w Polsce i łączy z działaniem zespołu SOC (Security Operations Center – red.), który wszystko nadzoruje i stara się chronić użytkownika” - mówi nam Łukasz Bromirski.

Zdaniem specjalistów, najlepszą metodą zabezpieczenia przed cyberatakami jest wdrożenie uwierzytelniania wieloskładnikowego we wszystkich krytycznych usługach. MFA (ang. Multi-factor authentication), co pozwala zapobiec uzyskaniu dostępu do zasobów organizacji przez osoby niepożądane. Jak podkreślają eksperci Cisco, wielu ataków można uniknąć, stosując tę metodę.

Judyta Kasperkiewicz, prawniczka z Kancelarii Adwokackiej EPOQUE w komentarzu dla CyberDefence24.pl, wskazuje, że przy tego typu zagrożeniach, jak ransomware istotne jest to, aby dane przedsiębiorstwo posiadało odpowiednio przygotowane procedury – instrukcje postępowania na wypadek ataku.

„Kluczowe będzie również to, czy posiada kopie zapasowe swoich danych, które powinno tworzyć regularnie. W sytuacji wystąpienia incydentu, otrzymania żądania okupu – odpowiedzialni za ochronę cyberbezpieczeństwa powinni wiedzieć jak reagować sprawnie i skutecznie. Oczywistym jest, że wszystkich okoliczności w instrukcji postępowania nie da się przewidzieć, ale w razie wystąpienia ataku łatwiej o bardziej przemyślane i przynoszące zamierzony efekt działania w sytuacji uprzedniego przygotowania się na taką ewentualność” – ocenia Judyta Kasperkiewicz.

Skala cyberprzestępczości rośnie

Globalna liczba ataków ransomware wzrosła aż o 24 proc., natomiast okup za odszyfrowanie danych potrafi sięgnąć 5 proc. rocznych przychodów przedsiębiorstwa – wskazuje analiza Check Point Research.

Natomiast przeciętna wartość okupu oczekiwanego przez organizacje cyberprzestępcze waha się od 0,7 do 5 proc. rocznych przychodów. Cios wymierzony w zaatakowane przedsiębiorstwa jest jednak dużo większy, szacunki mówią o nawet siedmiokrotnie wyższych (niż okup) stratach finansowych, które związane są z m.in. zakłóceniem działalności przedsiębiorstwa oraz stratami wizerunkowymi.

W pierwszym kwartale roku 1 na 53 organizacje na świecie doświadczyła próby ataku ransomware, co przełożyło się na 24 proc. wzrostem względem analogicznego okresu w 2021 roku. Co interesujące, w Polsce tendencja jest odwrotna i w pierwszym kwartale br. liczba ataków spadła aż o 44 proc. Zaledwie 1 na 104 organizacje doświadczyły tego typu działalności cyberprzestępców.

Choć najlepiej zapobiegać, a nie leczyć, cyberatak kończy się dla organizacji lub użytkownika utratą danych, pieniędzy, paraliżem działania firmy, brakiem zaufania klientów (co dzieje się z moimi danymi?!), a nawet jej upadkiem. Pozostaje także... pójść do sądu, ale pod warunkiem, że sprawca ataku zostanie namierzony. A praktyka wskazuje, że najczęściej dochodzi do umorzenia spraw ze względu na niemożność wskazania sprawcy.

Judyta Kasperkiewicz stwierdza, że z jej doświadczenia wynika, iż najczęściej sprawcy cyberprzestępstw dopuszczają się ich właśnie po to, by osiągnąć korzyści majątkowe, a także popełniane są często przeciwko integralności i dostępności informacji.

Brak optymizmu

Choć w cyberbezpieczeństwie trudno przewidzieć, co może naprawdę stać się w nawet niedalekiej przyszłości, nasi rozmówcy zgodnie stwierdzają, że można zakładać, iż skala ataków ransomware będzie rosła. Powód jest prosty: pieniądze.

Tak też uważa Łukasz Bromirski z Cisco, który ocenia, że ataków będzie coraz więcej i o coraz większej wartości. Według niego po pierwsze dlatego, że pomimo tego, iż waluty elektroniczne są uważane za czystą spekulację, to jednak cały czas rosną, nawet po chwilowym spadku.

„Po drugie, przez ostatnie siedem-osiem lat stworzono cały ekosystem finansowy oparty na ransomware. Tak jak w latach 90. mieliśmy >>hakowanie dla przyjemności<< lub żeby >>się pokazać<<, tak teraz mamy hakowanie po to, by zarobić pieniądze. Części, z zajmujących się tym ludzi nadal nie udało się złapać, dlatego chętnych będzie coraz więcej. >>Praniem<< w ten sposób pieniędzy zainteresowały się różnego rodzaju zorganizowane organizacje przestępcze, powstały też proste narzędzia do budowy własnego złośliwego oprogramowania, co pozwala podejrzewać, że osoby o coraz mniejszej wiedzy będą mogły postawić tego typu szkodliwe rozwiązanie. Część z nich zostanie złapana i ukarana, ale część nie” - podkreśla.

Dodaje, że nie możemy zakładać, że będzie lepiej, bo na razie trudno znaleźć pojedyncze zjawisko, które pozwoli tak założyć.

„Jest z roku na rok coraz gorzej: jeśli chodzi o skalę, liczbę ataków. FBI w swoim raporcie o cyberprzestępczości w ogóle nie wspomniało o ransomware, prawdopodobnie dlatego, że coraz trudniej jest dokładnie ustalić ile firm zapłaciło okup i w jakiej wartości. Czasami główną przyczyna jest po prostu ryzyko utraty reputacji, a czasami prawny problem ujawnienia, że negocjowało się z podmiotami objętymi sankcjami" - podsumowuje ekspert.

Judyta Kasperkiewicz, prawniczka, zajmująca się na co dzień sprawami z zakresu cyberbezpieczeństwa, uważa, że jesteśmy w stanie obserwować zmieniające się tendencje w świecie cyberprzestępczym, ale jego prawdziwej skali nie możemy poznać.

„Przestępcy zdali sobie sprawę, że już nie muszą kraść, dokonywać rozboju lub decydować się na pobicia, aby osiągnąć korzyść majątkową. Przypuszczam, że równie często lub w porównywalnej skali jak przestępstwa popełnione w celu osiągnięcia korzyści majątkowej, tak i inne z cyberprzestępstw są popełniane, tj. przestępstwa zniewag czy zniesławień popełniane w internecie, które często nie trafiają do sądów. Ich ofiary pozostają nieświadome swoich praw, często boją się lub po prostu z obawy przed rozgłosem nie chcą walczyć o swoje prawa” - puentuje.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.