#CyberMagazyn: Czy płacić okup za ataki ransomware? „Nie negocjuje się z terrorystami”

9 października 2021, 10:05
okup1
Fot. John McArthur/Unsplash
CyberDefence24
CyberDefence24

Skala ataków ransomware rośnie na całym świecie. Cyberprzestępcom chodzi o jedno: pieniądze. Część ofiar godzi się na płacenie okupu, aby odzyskać dostęp do danych. Jednak eksperci mówią jasno: z hakerami nie należy wchodzić w układy, podobnie jak nie negocjuje się z terrorystami. A płacenie danin za ransomware jedynie napędza cyberprzestępczy rynek.

Oprogramowanie ransomware blokujące dostęp do danych informatycznych ofiar to od kilku lat coraz częściej wykorzystywana przez cyberprzestępców metoda atakowania ofiar. W pierwszej połowie 2021 roku liczba ataków ransomware osiągnęła globalnie poziom przekraczający 7,3 mln incydentów.

Według danych firmy Palo Alto Networks w 2020 roku najczęściej wykorzystywanymi wariantami ransomware były Ryuk, Maze, Defray, WastedLocker, GandCrab + REvil, NetWalker, DoppelPaymer, Dharma, Phobos i Zeppelin.

Kosztowny ransomware

Obecnie na celowniku cyberprzestępców korzystających z ransomware znajdują się głównie firmy oraz całe sektory gospodarki, a koszty tych ataków lawinowo rosną.

Przykładem mogą być banki. Globalne firmy świadczące usługi finansowe wydały średnio ponad 2 mln dolarów na odbudowę infrastruktury po ataku ransomware w 2020 roku – wynika z danych Sophos. To wyższe kwoty niż średnia dla innych sektorów gospodarki i biznesu.

Z kolei w 2020 roku dokonano cyberataków na ponad 1,7 tys. szkół i uczelni działających w Stanach Zjednoczonych – wynika z analiz Comparitech. To wzrost o 39 proc. w porównaniu z 2019 rokiem. W sumie koszty działania hakerów w amerykańskim segmencie edukacji mogły kosztować zaatakowane placówki 6,6 mld dolarów.

Kluczowym elementem w ataku ransomware jest żądanie zapłacenia cyberprzestępcom okupu w zamian za obietnicę przywrócenia dostępu do zablokowanych danych. I część podmiotów godzi się na płacenie.

Palo Alto Networks podaje w swoim raporcie (na podstawie danych z USA, Kanady i Europy), że średnia wartość okupu płaconego przez firmy wzrosła ze 115 123 dol. w 2019 roku do 312 493 dol. w 2020 roku, co stanowi wzrost o 171 proc. w ujęciu rocznym.

Tymczasem, jak zauważają analitycy, cyberprzestępcy stają się coraz bardziej zachłanni. W 2020 roku, najwyższe żądanie ransomware wzrosło do 30 mln dol. Eksperci podkreślają, że żądania okupu związane z ransomware Maze w 2020 roku wyniosły średnio 4,8 mln dol., co stanowi znaczny wzrost w porównaniu ze średnią 847 344 dolarów we wszystkich rodzinach ransomware w ub.r.

Nie płaci się terrorystom

To oczywiste, że autorom ataków ransomware chodzi jedynie o pieniądze. Kluczowe jest pytanie, czy należy ulegać ich żądaniom i zapłacić okup, aby odzyskać zablokowane dane i zapewnić sobie spokój. W rozmowach z CyberDefence24.pl eksperci mają jednoznaczną opinię, że hakerom nie należy płacić. Jednym z nich jest Aleksander P. Czarnowski, szef Avetins i specjalista segmentu cyberbezpieczeństwa.

„Krótka odpowiedź na pytanie czy płacić okup autorom ataków ransomware brzmi: nie, nie należy” – stwierdza stanowczo Aleksander P. Czarnowski. - „Z tego samego powodu co nie negocjuje się z terrorystami. Nie należy płacić, ponieważ to tylko finansuje machinę dalszych ataków. Po drugie, jak można wierzyć przestępcom, którzy posuwają się do zwykłego szantażu często ignorując dobro i zdrowie ludzi? Tak się dzieje w przypadku ataków na szpitale. Każdy kto wierzy, że taki przestępca nigdy nie powróci i nie powtórzy szantażu jest bezgranicznie – podkreślam to z całą mocą – naiwny”.

Ekspert zadaje w rozmowie z nami dwa istotne pytania: Jak sprawdzić czy w odszyfrowanych danych nie umieszczono złośliwego oprogramowania? Jak zagwarantować, że proces odszyfrowania danych przebiegł pomyślnie i nie zostały one uszkodzone?

„Czasami zmiana jednego bitu może prowadzić do fatalnych w skutkach awarii” – ostrzega Czarnowski. - „Tak jak centrum przetwarzania danych po pożarze uważa się za obszar stracony w którym nie można kontynuować od razu przetwarzania, tak samo powinno się traktować >>odzyskane<< dane po ataku ransomware. Za co więc się płaci przestępcom? Za czasowy dostęp do swoich danych w nieznanym stanie. Przy okazji warto zwrócić uwagę na inny problem, który także w moje ocenie napędza czarny rynek: programy typu bug bounty. Skoro ktoś chce zapłacić legalnie określoną kwotę za odkrycie podatności, to dlaczego mamy wierzyć, że przestępcy nie zaoferują wyższej kwoty? Dlatego w większości przypadków uważam programy bug bounty za złe rozwiązanie, które nie podnosi bezpieczeństwa długofalowo”.

Nasz rozmówca zaznacza, że statystyki dotyczące zarówno liczby ataków ransomware w Polsce, jak i kwestii płacenia okupów za nie są łatwe do ustalenia.

„Taki danymi powinny dysponować CERT-y utworzone w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa – zaznacza Czarnowski. - Nie umniejszając jednak ich roli – gdyż są to bardzo potrzebne organizacje – należy zwrócić uwagę, że oficjalne statystyki nigdy nie będą w pełni miarodajne, więc nie uzyskamy z nich pełnego obrazu. Nadal wiele ataków – zwłaszcza tych, które nie dotyczą infrastruktury krytycznej – jest zamiatanych pod dywan i nigdzie nie zgłaszanych. Nie każdy atak ransomware jest celowy – często to automaty, wybierające po prostu słabo zabezpieczony system. Atakujący nie ma pojęcia, kto jest rzeczywistym celem ataku”.

Zdaniem eksperta działa tutaj efekt skali: na setki, tysiące lub miliony zainfekowanych systemów zawsze znajdzie się ktoś, kto zapłaci okup, napędzając tym samym całą machinę.

„Należy zauważyć tutaj istotną dysproporcję pomiędzy kosztem ataku, kwotą okupu, a kosztami ścigania” – podkreśla Czarnowski. - „Otóż bariera wejścia dla atakującego (z perspektywy finansowej) jest niezwykle niska, dla ofiary zazwyczaj w najlepszym wypadku wysoka, a koszty ścigania mogą być niezwykle drogie. Ta dysproporcja stawia atakujących – niestety! - w uprzywilejowanej pozycji”.

CERT: W Polsce 350 ataków ransomware

Idąc za sugestią Aleksandra P. Czarnowskiego zapytaliśmy Zespół CERT Polska o skalę ataków ransomware w naszym kraju i o to, jak w Polsce wygląda kwestia płacenia cyberprzestępcom.

„Od momentu wejścia w życie Ustawy o Krajowym Systemie Cyberbezpieczeństwa obsłużyliśmy w CERT Polska ponad 350 incydentów, gdzie zostało wykorzystane złośliwe oprogramowanie szyfrujące typu ransomware” – wskazuje dla CyberDefence24.pl CERT Polska. - „Najczęściej dotkniętym podmiotem była osoba fizyczna (280 przypadków), natomiast dużo dalej znajdują się podmioty publiczne (60 przypadków). Zdarzały się też jednostkowe przypadki skutecznych ataków względem operatorów usługi kluczowej, a także dostawcy usługi cyfrowej”.

Podobnie jak ekspert z Avetins, ośrodek stanowczo odradza płacenie za ataki ransomware i wyjaśnia jakie są racjonalne przyczyny takiego postępowania.

„Dla każdego ataku złośliwym oprogramowaniem typu ransomware, zaleceniem CERT Polska jest niepłacenie okupu” – zaznaczają eksperci. - „Firmy (rzadziej osoby) kierujące się rachunkiem biznesowym lub też koniecznością powodowaną przez potrzebę kontynuacji procesów biznesowych niestety bardzo często przystępują do negocjacji z przestępcami. Poza przypadkami zakończonymi sukcesem (które rzadko przebijają się do przestrzeni publicznej) znane są liczne sprawy krajowe, gdzie finalnie, mimo opłacenia ustalonej z przestępcami kwoty, nie doszło do skutecznego odwrócenia szyfrowania”.

Przyczyn może być kilka, ale do najczęstszych można zaliczyć nieuczciwość ze strony atakujących, zakłócenie działania ich infrastruktury, czy też skuteczne operacje organów ścigania i zatrzymanie sprawców.

„Ten z ostatnich przytoczonych powodów pozwala często, przy skutecznej współpracy systemu, na wytworzenie bezpłatnych narzędzi deszyfrujących dla wszystkich ofiar które zetknęły się z konkretną rodziną ransomware” – wyjaśnia CERT. - „Szanse na bezkosztowe odwrócenie szyfrowania dają też błędy popełnione na etapie implementowania kryptografii. Niestety przypadek ten, wobec postępującej profesjonalizacji grup przestępczych jest coraz rzadszy. Oczywiście samo niepłacenie okupu w przypadku tego typu ataku nie rozwiąże naszych krajowych problemów cyberbezpieczeństwa, a już na pewno problemu nienależycie dbających o to podmiotów. W każdym razie, zmusi przestępców do zmiany stosowanego modelu biznesowego, a to potrwa. Czas ten na pewno powinien zostać wykorzystać przez te podmioty, które niestety nie zabrały się jeszcze za cyberbezpieczeństwo na poważnie".

Uległość to budowanie popytu

U Kamila Sadkowskiego, starszego specjalisty ds. cyberbezpieczeństwa w ESET także pojawia się porównanie autorów ataków ransomware do terrorystów, z którymi nie wchodzi się w żadne układy.

„Zdecydowanie odradzamy płacenie okupu cyberprzestępcom” – zaczyna krótko Kamil Sadkowski. - „Powodem dla takiego podejścia jest brak pewności, że po zapłaceniu okupu odzyskamy zaszyfrowane dane, a cyberprzestępcy nie udostępnią ich w sieci. Najlepiej kierować się zasadą: z terrorystami nie negocjujemy”.

Według specjalisty z ESET płacenie okupu podtrzymuje przy życiu model biznesowy cyberprzestępców i stymuluje ich do dalszych nielegalnych działań w cyberprzestrzeni.

„Ujmując to kategoriami ekonomicznymi – w ten sposób budujemy popyt dla przestępczej działalności – wyjaśnia Sadkowski. - „A że jest to łakomy kąsek, pokazuje zjawisko, nasilające się w ostatnim czasie, gdy stojące za atakami ransomware grupy cyberprzestępcze żądają dwóch okupów. Pierwszego za odszyfrowanie danych, a drugiego za niepublikowanie wykradzionych danych w sieci. Konsekwencją niezapłacenia tego drugiego żądania, będzie publiczny wyciek wykradzionych plików”.

Jak zaznacza nasz rozmówca poza tym znane są przypadki, w których firmy decydowały się zapłacić okup bez przeprowadzenia należytego audytu bezpieczeństwa własnej sieci i stacji roboczych. Przestępcy wykorzystywali odkryte wcześniej luki ponownie. Zaszyfrowane pierwotnie dane wprawdzie odzyskiwano, ale na krótko. Cyberprzestępcy zaatakowali kolejny raz - szyfrując dane firmowe i żądając kolejnego okupu.

„Niestety, jeśli nie posiadamy aktualnej kopii zapasowej danych, przechowywanej w niezależnej, niedotkniętej atakiem lokalizacji, to niezapłacenie okupu może wiązać się z trwałą utratą ważnych danych” – przyznaje Sadkowski. - „Warto jednak podkreślić, że niekiedy możliwe jest odszyfrowanie danych bez płacenia okupu, gdy twórcy oprogramowania ransomware popełnili błędy w implementacji mechanizmów kryptograficznych”.

Nie tak prosto „nie zapłacić”

Tomasz Pietrzyk, szef zespołu inżynierów systemowych w regionie EEUR w Palo Alto Networks rzuca nieco inne światło na kwestie związane z okupem za ransomware.

„Oczywiście teoretycznie najprostsza odpowiedź to >>nie płacić<<” - przyznaje Tomasz Pietrzyk. - „Płacenie okupu to potwierdzenie dla cyberprzestępców, że ich >>biznes<< się opłaca. A tym samym nakręca to spiralę kolejnych ataków. Ich celem jest zarabianie pieniędzy - tak długo jak udaje się je pozyskać, tak długo będą trwały takie ataki. W praktyce jednak decyzja o niepłaceniu może oznaczać znacznie większe straty dla ofiary ataku. I zawsze jest to indywidualna decyzja uzależniona też od możliwości odzyskania danych i przywrócenia systemów do działania (np. zależnie od dostępności aktualnego backupu danych, dostępności narzędzi do odszyfrowania danych zaszyfrowanych przez dany typ ransomware, posiadania ubezpieczenia od skutków cyberataku)”.

Pietrzyk zaznacza, że wiele ofiar ataków ransomware decyduje się jednak wnieść opłatę, bo utrata danych byłaby dla nich jeszcze bardziej kosztowna. Jednak sprawa nie jest tak oczywista, jak może się wydawać.

„Zapłacenie okupu ma krótko i długofalowe skutki” – ocenia ekspert. - „Krótkofalowe, to możliwość odzyskania danych po otrzymaniu klucza do ich deszyfracji od atakującego. Warto jednak pamiętać o przypadkach, w których pomimo wniesienia opłaty taki klucz nigdy nie został udostępniony albo nie pozwolił na skuteczne odszyfrowanie danych. Skutki długofalowe, to przede wszystkim utwierdzanie atakujących w przekonaniu, że ich >>pomysł na biznes<< jest skuteczny. W efekcie nasilają się kampanie ransomware i są bardziej wyrafinowane, aby ominąć zabezpieczenia. Dzięki płaconym okupom atakujących stać na dopracowanie swoich metod i narzędzi, które wykorzystują w atakach”.

Zdaniem naszego rozmówcy, warto tu również zwrócić uwagę na relatywnie nową strategię zastraszania ofiar ataku przez cyberprzestępców - przed zaszyfrowaniem danych, także kradną je.

„W sytuacji kiedy ofiara ataku zwleka lub nie chce wnieść okupu otrzymuje groźbę upublicznienia tych danych, co może prowadzić do jeszcze groźniejszych konsekwencji - np. utraty zaufania wśród klientów, opublikowania danych podlegających ochronie RODO (co może prowadzić do dotkliwych kar), a także upublicznienia własności intelektualnej co wpływa na biznes zaatakowanej firmy” – przyznaje Pietrzyk.

Ekspert przyznaje, że niestety Palo Alto Networks nie ma opracowań na ten temat skoncentrowanych na Polsce ataków ransomware.

„Niemniej z naszych doświadczeń, rozmów z klientami i partnerami wynika, że ataki ransomware nie są kierowane na jakieś rodzaje instytucji i firm bardziej niż na inne – zaznacza Pietrzyk. - „Oczywiście zdarzają się ataki celowane - ofiary wybierane są pod kątem potencjalnego wpływu utraty danych na ich działalność, a więc pod kątem potencjalnej gotowości do wniesienia okupu. Ale w większości przypadków mamy do czynienia z kampaniami, które prowadzone są w dużej skali dla zwiększenia szans powodzenia. Wysyłane są tysiące e-maili z zainfekowanym załącznikiem lub/i złośliwymi adresami URL, w nadziei, że dużo odbiorców otworzy załącznik bądź kliknie w link. Informacje o atakach ransomware pochodzą zarówno od dużych firm, instytucji publicznych, jak i z małych organizacji i od osób indywidualnych”.

Według Pietrzyka zdarzały się także przypadki, w których atak ransomware był de facto zakończeniem bardziej specyficznego, ukrytego ataku - po spenetrowaniu sieci ofiary ataku, wyciągnięciu z niej interesujących danych, wykonywana jest szyfracja dysków i danych, co ma ukryć prawdziwą intencję atakującego i upodobnić celowany, dobrze przygotowany atak do „powszechnie spotykanych” ataków ransomware.

Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
Krzysio
sobota, 9 października 2021, 20:26

Negocjuje, negocjuje tylko się nieprzyznaje. Nie negocjować to może Putin, Łukaszenka i im podobni, najwyżej zabiją terrorystów razem z zakładnikami. W demokracji nie ma wyjścia :)

Tweets CyberDefence24