Każdego dnia odnotowuje się setki tysięcy ataków ransomware. Globalnie w 2019 roku do ataku szyfrującego dochodzi co 14 sekund. W ciągu kilku ostatnich lat nastąpiła jednak radykalna zmiana w jego kierunkach. Bardziej niż prywatni użytkownicy narażone są firmy, szpitale i instytucje państwowe. Tylko w połowie tego roku ransomware przyniósł przedsiębiorcom straty w wysokości 11,5 mld dolarów. Xopero Software analizuje rynek cyberprzestępstw i przybliża sposoby na zabezpieczenie danych.
Ofiarą złośliwego oprogramowania może paść każdy – od pojedynczego użytkownika, po całe miasta. Jeszcze w tym roku głośno było o ataku ransomware na Baltimore – największe miasto w stanie Maryland, w Stanach Zjednoczonych. Atak kosztował je 18,2 miliona dolarów. Z podobnym problemem tylko w tym roku zmierzyło się 70 amerykańskich instytucji rządowych i lokalnych.
Z raportu Beazley Group wynika, że aż 71% ofiar ataków ransomware to małe i średnie przedsiębiorstwa. Dlaczego ataki na ten sektor są tak popularne? – Przede wszystkim skupia on największą ilość przedsiębiorstw, więc najłatwiej do niego trafić. Dodajmy do tego jeszcze fakt, że bezpieczeństwo w tego typu firmach, często jest traktowane pobłażliwie, co przekłada się na brak odpowiednich zabezpieczeń, czy scenariuszy na wypadek ataku – tłumaczy Grzegorz Bąk z Xopero Software – W chwili, gdy dane, krytyczne z biznesowego punktu widzenia, zostają zaszyfrowane, jedyną drogą do dalszego funkcjonowania dla takich firm jest zapłata okupu. Przestępcy obierają MŚP za cel, bo mają świadomość, że jest dużo większe prawdopodobieństwo na zwrot z inwestycji – dodaje.
Ransomware bierze Twoje dane na zakładników. Zapłacisz okup?
Ransomware to złośliwe oprogramowanie, które za pomocą różnych wektorów ataku (najczęściej maili phishingowych) rozprzestrzenia się w sieciach i szyfruje dane. Hakerzy traktują pliki jak zakładników, próbując wyłudzić okup w zamian za odszyfrowanie danych (nazwa ransomware pochodzi od słów: okup i oprogramowanie). Kto jest najbardziej skory do zapłaty? Firmy, które przechowują wrażliwe informacje, szpitale, urzędy czy instytucje finansowe. A czy warto płacić? Niekoniecznie. Należy pamiętać, że zapłata okupu nie daje żadnej gwarancji na odzyskanie danych – podejmuje się tu ryzyko na własną rękę. W innym przypadku ilość skradzionych informacji i ich wrażliwość może powodować konieczność lub chociaż słuszność zapłaty haraczu. Przykładowo, w ataku ransomware na Atlantę przestępcy żądali 52 tys. dolarów. Miasto nie ugięło się i zapłaciło…2,6 mln za przywrócenie systemów. Z drugiej strony nasuwa się pytanie, czy po otrzymaniu zapłaty, przestępcy rzeczywiście udostępniliby miastu deszyfrator?
Pierwszy ransomware na…dyskietce
Za datę „narodzin” ransomware uznaje się grudzień 1989 roku, a za jego „ojca” uważany jest dr Joseph Popp. Z wykształcenia biolog, z zainteresowania…haker. Do swojego ataku wykorzystał zainfekowane dyskietki. Firma Poppa, PC Cyborg Corporation, wysłała 20 tys. tych nośników do uczestników konferencji Światowej Organizacji Zdrowia poświęconej AIDS (stąd nazwa PC Cyborg lub AIDS), firmom i instytucjom. Zawierały one ankietę oceniającą ryzyko zarażenia wirusem HIV, która uruchamiała wirusa szyfrującego dane. Po 90. restarcie komputera na monitorze wyświetlał się komunikat o konieczności uruchomienia drukarki. Po jej włączeniu drukował się list z żądaniem okupu – 189 dolarów za odszyfrowanie danych, które miały zostać przekazane na tajemnicze konto w Panamie.
Duża rodzina ransomware
Ransomware przeżywa swoje wzloty i upadki, ale jednego nie można mu odebrać – wciąż pozostaje w czołówce zagrożeń dla przedsiębiorców. Od czasów pojawienia się bitcoina nie ma miesiąca, w którym nie dochodzi do głośnego ataku – rodzina ransomware stale powiększa się o jego nowe odmiany. Do dziś 98% okupów płacone jest w kryptowalucie.
Najbardziej spektakularne ataki? CryptoLocker – który zapoczątkował wielki powrót ransomware w 2013 roku zarabiając w ciągu dwóch miesięcy 27 milionów dolarów, a także późniejsze SamSam, NotPetya, WannaCry, Ryuk, GrandCrab, BadRabbit. Niektóre z nich bez przerwy pojawiają się w nagłówkach gazet. Jak chociażby Ryuk, który w ciągu kilku ostatnich tygodniu zaatakował hiszpańskie firmy Prosegur czy Everis, a wcześniej Virtual Care Provider – korporację, która współpracuje z ośrodkami intensywnej opieki medycznej i domami opieki w USA.
30 lat po narodzinach ransomware, wciąż dochodzi do spektakularnych ataków, a firmy nadal nie są na nie odpowiednio przygotowane narażając się na ogromne straty. Już w połowie 2019 roku podano informację, że ransomware wyrządził szkód na 11,5 miliarda dolarów, a liczba ta nadal rośnie.
3 sposoby na obronę
Jak uchronić się przed atakiem szyfrującym? Możemy mówić tu o trzech liniach obrony. Pierwszą z nich jest profilaktyka i ostrożność w sieci, drugą – porządny i aktualizowany antywirus. Podstawą jest także rozwiązanie do tworzenia kopii zapasowych i odtwarzania awaryjnego, które pozwoli ustrzec się przed skutkami ataków.
Rozwiązania do backupu i disaster recovery pozwalają na szybkie odzyskanie danych z dowolnego momentu, uniknięcie przestoju i zapewnienie ciągłości działania biznesu. Według badań każdy 1 dolar przeznaczony na plan odtwarzania awaryjnego, przynosi firmom 4 dolary oszczędności w momencie utraty danych lub cyberataku – mówi Grzegorz Bąk, presales engineer z Xopero Software.