Ransomware, czyli szkodliwe oprogramowanie szyfrujące dane na komputerach, staje się jednym z najpoważniejszych zagrożeń dla użytkowników internetu, a wykorzystujący je przestępcy działają w coraz bardziej wyrafinowany sposób. Według raportu Kaspersky Lab co dziesiąty tego typu atak wymierzony jest w sektor biznesowy.
O tym, że sektor biznesowy staje się coraz atrakcyjniejszym celem hakerów świadczą dane z badania przeprowadzonego przez Kaspersky Security Network. Wynika z nich, że w okresie obejmującym lata 2015–2016 przeprowadzono sześć razy więcej cyberataków skierowanych w firmy, niż w analogicznym okresie 2014–2015 (wzrost z 27 000 do 158 000). Zdecydowaną część cyberataków stanowią ataki wykorzystujące oprogramowanie ransomware.
Niestety nic nie wskazuje na to, aby ten negatywny trend miał wyhamować. Dlaczego? Dla przestępców to dochodowy biznes. Zdają sobie sprawę z tego, że działalność zaatakowanej firmy może zostać sparaliżowana. Natomiast niewielka ilość czasu, jaką pozostawiają ofiarom na wpłatę okupu, wywiera tak dużą presję, że wiele firm ulega warunkom cyberprzestępców.
Czym jest oprogramowanie ransomware?
Ransomware to rodzaj złośliwego oprogramowania, które po dostaniu się do komputera infekuje go, blokując dostęp do systemu operacyjnego lub plików. Odzyskanie kontroli nad urządzeniem wymaga klucza deszyfrującego, który przestępcy udostępnią pod warunkiem wpłacenia okupu. Zwykle pozostawiają swoim ofiarom 48-72 godziny na wpłacenie pieniędzy.
Oprogramowanie ransomware różni się od siebie stopniem zaawansowania, a co za tym idzie, może w różnym stopniu oddziaływać na sprzęt. Starsze wersje wykorzystują mniej zaawansowane algorytmy do szyfrowania i możliwe jest ich usunięcie przy użyciu dobrego programu antywirusowego. Jednak bardziej zaawansowane mechanizmy przyczynią się do utraty praktycznie wszystkich danych, a nawet mogą ingerować w zasoby sieciowe przedsiębiorstwa.
Jak działają cyberprzestępcy?
Choć tego typu narzędzia szyfrujące nieustannie ewoluują, schemat działania cyberprzestępców zwykle pozostaje ten sam. Zainfekowany plik (np. Word, PDF czy zip) najczęściej przesyłany jest za pośrednictwem załączników do wiadomości e-mail. Przestępcy, chcąc nakłonić odbiorców do otworzenia wiadomości, podszywają się pod znane firmy, z których usług na co dzień korzystamy, takie jak: firmy kurierskie, instytucję Poczty Polskiej, operatora energii elektrycznej, firmy telekomunikacyjne bądź sklepy internetowe, i przekonują, że załącznik zawiera rachunek do zapłacenia, zaległą fakturę, numer listu przewozowego lub inny ważny dokument. W przypadku gdy odbiorca zainfekowanej wiadomości otworzy taki załącznik, na jego urządzeniu automatycznie uruchamia się mechanizm instalacji złośliwego oprogramowania.
Kiedy użytkownik odkrywa, że nie może uzyskać dostępu do danych na swoim komputerze, otrzymuje wiadomość e-mail od przestępcy lub wyświetla mu się komunikat, informujący o konieczności uiszczenia opłaty za klucz prywatny umożliwiający odszyfrowanie zainfekowanego urządzenia. W wiadomości zwykle podany jest również termin ważności „oferty” złożonej przez hackera. Oznacza to, że po upływie tego terminu klucz zostanie zniszczony, a wszystkie dane bezpowrotnie utracone.
Warto jednak zauważyć, że wpłacenie okupu nie daje gwarancji odzyskania wszystkich danych. Mimo obietnic składanych przez cyberprzestępców proces odblokowywania nie zawsze działa poprawnie. Możemy zatem stracić nie tylko dane, ale i pieniądze.
Jednocześnie należy pamiętać, że choć nadal najpopularniejszym źródłem infekcji są załączniki do wiadomości e-mail, to cyberprzestępcy wykorzystują także inne metody ataku. W tym fałszywe reklamy na zhakowanych stronach internetowych lub pliki pobierane z niebezpiecznych źródeł.
Co zrobić, jeżeli zostaliśmy ofiarą cyberataku?
Po pierwsze, należy zachować spokój i sprawdzić z jakim rodzajem zagrożenia mamy do czynienia. Wśród cyberprzestępców są zarówno wysokiej klasy eksperci, jak i amatorzy, którzy będą chcieli tylko przestraszyć swoje ofiary. Oznacza to, że być może istnieje możliwość przywrócenia sprawności urządzania przy wykorzystaniu ogólnodostępnych narzędzi. Jeżeli nie jesteś pewien jak powinieneś w takiej sytuacji postąpić, skontaktuj się ze specjalistą.
Po drugie, nie wpłacaj pochopnie okupu. Twoje pieniądze przyczyniają się do finansowania kolejnych ataków. Nigdy też nie będziesz mieć gwarancji, że cyberprzestępcy po wyłudzeniu pieniędzy wywiążą się ze zobowiązań i odeślą Ci klucz prywatny umożliwiający odszyfrowanie wszystkich danych. Dodatkowo należy pamiętać, że spełnienie oczekiwań hakerów zwiększa szanse kolejnych ataków na Twoje dane w przyszłości.
Co jeszcze możemy zrobić?
- Regularnie wykonuj kopie zapasowe
Ta zasada powinna dotyczyć wszystkich ważnych plików. Jednocześnie trzeba pamiętać, że firmowe dane powinny posiadać kopię nie tylko w chmurze (o ile nie ma przeciwskazań), ale również na dodatkowym nośniku danych, który na stałe jest odizolowany od komputera. Przywrócenie systemu w takiej sytuacji pozwoli zaoszczędzić zarówno czas, jak i pieniądze.
- Nie otwieraj załączników do wiadomości pochodzących z nieznanych i niezufanych źródeł
Załączniki to główna przyczyna infekcji wykorzystujących oprogramowanie ransomware, dlatego bądź rozważny, korzystając z poczty elektronicznej. Jeżeli otrzymasz wiadomość z nieznanego lub podejrzanego źródła nie otwieraj załącznika, nie klikaj również w linki w tego typu wiadomościach. Pamiętaj, że przestępcom zależy właśnie na tym, żeby Cię skłonić do otworzenia zainfekowanego załącznika, więc ostrożnie traktuj wiadomości, których tytuł i/lub treść sugerują, że dołączony do wiadomości plik jest dokumentem wysokiej rangi.
- Zwróć uwagę na pisownię wiadomości
Nie otwieraj załączników w wiadomościach, które zawierają rażące błędy ortograficzne lub stylistyczne. W takim przypadku nadawca prawdopodobnie posłużył się translatorem do przetłumaczenia treści zapisanych w innym języku.
- Uważaj na wyskakujące okienka zachęcające do pobrania plików lub oprogramowania.
Jeżeli trafisz na stronę o wątpliwej reputacji, nawet przypadkowo, uważaj na pojawiające się na niej wyskakujące okienka. Mogą one zawierać reklamy darmowego oprogramowania, komunikaty o nagrodach i inne treści pozornie wyglądające na wartościowe i atrakcyjne. Intencją nadawcy takich reklam jest skłonienie odbiorców do działania. Nie daj się zwieść pozorom. Jeden nieostrożny ruch może spowodować nieodwracalne szkody na Twoim komputerze.
- Pamiętaj o regularnych aktualizacjach systemu operacyjnego, oprogramowania antywirusowego oraz innych aplikacji
Dostawcy popularnych systemów operacyjnych i antywirusowych, przeglądarek oraz aplikacji przykładają ogromną wagę do zapewnienia użytkownikom maksymalnego poziomu bezpieczeństwa, stąd z chwilą pojawienia się „dziur” w systemie, które mogą stanowić ryzyko narażenia na infekcję, niemal natychmiast reagują, wydając stosowną „łatkę”. Nie ignoruj zatem komunikatów informujących o dostępnych aktualizacjach.
- Korzystaj z zaawansowanych rozwiązań zapewniających bezpieczeństwo
Wiele firm korzysta z darmowego oprogramowania antywirusowego, uważając je za dostateczną ochronę. Z całą pewnością zapewnia ono podstawowy poziom bezpieczeństwa, jednak nie radzi sobie z bardziej zaawansowanymi zagrożeniami. Warto zapoznać się z dostępnymi na rynku specjalistycznymi rozwiązaniami, takimi jak Malwarebytes Anti-Malware, chroniącymi przed złośliwym oprogramowaniem, programami szpiegującymi i rootkitami. Przy niewielkich nakładach finansowych można osiągnąć nieporównywalnie wyższy poziom ochrony.
Jak się zabezpieczyć przed atakami?
Jeżeli na Twoim komputerze znajdują się wartościowe dane, to jesteś potencjalnym celem dla cyberprzestępców. Do tego typu danych zaliczamy: dokumenty księgowe, zlecenia, zamówienia klientów, dokumenty prawne, projekty graficzne, ważne pliki tekstowe itp. Choć tego typu informacje mogą nie mieć żadnej wartości rynkowej, to dla Ciebie są podstawą prowadzenia działalności biznesowej. W przypadku użytkowników domowych – mogą stanowić wartość sentymentalną.
Pierwszą zasadą ochrony przed złośliwym oprogramowaniem jest już sama świadomość użytkownika o możliwości wystąpienia zagrożenia i jego konsekwencjach. W przypadku firm zatrudniających wielu pracowników ważna jest ich edukacja w tym zakresie.
Pamiętaj! Najnowsze wersje złośliwego oprogramowania mogą działać bardzo dyskretnie. Pozostają na Twoim komputerze w uśpieniu do czasu, aż zgromadzą wystarczającą ilość poufnych danych lub zaatakują więcej urządzeń.
Nie ryzykuj! Przyczyną większości incydentów zagrażających bezpieczeństwu firmowych danych jest błąd ludzki. Zadbaj o cyberodporność firmy i jej pracowników.