Czym jest ransomware?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje ważne pliki przechowywane na dysku lokalnym i sieciowym oraz żąda okupu za ich rozszyfrowanie. Hakerzy tworzą tego typu oprogramowanie w celu wyłudzenia pieniędzy przez szantaż.

Oprogramowanie ransomware jest zaszyfrowane, co oznacza, że nie da się zdobyć klucza, a jedynym sposobem na odzyskanie informacji jest przywrócenie ich z kopii zapasowej.

Sposób działania oprogramowania ransomware sprawia, że jest ono wyjątkowo szkodliwe. Inne rodzaje malware niszczą lub kradną dane, ale nie zamykają drogi do ich odzyskania. Natomiast w przypadku ransomware, jeśli zaatakowany podmiot nie ma kopii zapasowej danych, aby je odzyskać, musi zapłacić okup. Zdarza się, że firma płaci okup, a haker i tak nie przekazuje klucza do rozszyfrowania.

Ważne informacje na temat celów ataku oprogramowania ransomware

Program typu ransomware rozpoczyna działanie od przeskanowania lokalnych i sieciowych magazynów danych w poszukiwaniu plików do zaszyfrowania. Na cel obiera pliki, które uzna za ważne dla firmy lub osoby prywatnej. Zaliczają się do nich także pliki kopii zapasowych, które mogłyby posłużyć do odzyskania informacji. Poniżej znajduje się lista niektórych typów plików poszukiwanych przez ransomware:

  • Microsoft Office: .xlsx, .docx, i .pptx oraz starsze wersje
  • Obrazy: .jpeg, .png, .jpeg, .gif 
  • Rysunki techniczne: .dwg 
  • Dane: .sql i .ai
  • Wideo: .avi, .m4a, .mp4
     

Różne rodzaje oprogramowania ransomware biorą na cel różne typy plików, ale istnieje pewien zbiór wspólny. Większość programów ransomware szuka plików Microsoft Office, ponieważ firmy często przechowują w nich najważniejsze informacje. Zaszyfrowanie ważnych plików zwiększa szansę na uzyskanie okupu.

Wiadomość ransomware

Phishingowe wiadomości e-mail często zawierają oprogramowanie ransomware

Oprogramowanie ransomware różni się od innych rodzajów malware tym, co robi po aktywacji. Do jego uruchomienia najczęściej dochodzi, gdy użytkownik otworzy załącznik lub kliknie łącze w phishingowej wiadomości elektronicznej. Następnie złośliwe oprogramowanie zostaje pobrane z serwera znajdującego się pod kontrolą hakera.

Po pobraniu ransomware może pozostać uśpiony na dysku sieciowym użytkownika lub zostać uruchomiony bezpośrednio na zainfekowanym komputerze. Gdy zostanie uruchomiony, skanuje dostępne sieciowe i lokalne magazyny danych w poszukiwaniu docelowych typów plików, a następnie je szyfruje. Szyfrowanie może być symetryczne lub asymetryczne, choć wiele nowoczesnych ransomware stosuje obie metody.

Atakujący żądają okupu

Atakujący zawsze żądają okupu w kryptowalucie, najczęściej wybierają bitcoiny. Ten sposób pobierania zapłaty zmniejsza ryzyko zostania złapanym. Ponadto hakerzy ukrywają swoje serwery za anonimową siecią TOR, aby uniemożliwić swoją identyfikację.

Kiedy ransomware zaszyfruje pliki, wyświetla specjalną wiadomość przeznaczoną dla firmy. Atakujący domaga się w niej zapłaty w zamian za przekazanie klucza pozwalającego rozszyfrować pliki. Wysokość okupu może wynosić zarówno kilkaset dolarów, jak i kilka milionów dolarów. Jeśli ofiara nie zapłaci od razu, wysokość okupu wzrasta.

Czasami zdarzają się ataki z podwójnym szantażem. Haker domaga się zapłaty za uwolnienie plików i jednocześnie publikuje listę wszystkich organizacji, które padły jego ofiarą, ale odmówiły zapłaty. Dodatkowy szantaż jest silnym bodźcem do zapłaty okupu, ponieważ firmy wolą uniknąć szkód wizerunkowych marki.

Ransomware ewoluuje

Programy typu ransomware różnią się między sobą sposobem szyfrowania danych i metodą uniemożliwiającą ofierze uzyskanie klucza deszyfrującego. Starsze wersje wykorzystywały asymetryczne szyfrowanie na kliencie lub serwerze albo proste szyfrowanie symetryczne. Nowsze są skuteczniejsze, ponieważ łączą obie te metody.

Szyfrowanie symetryczne

Szyfrowanie symetryczne jest już rzadko stosowane jako jedyna metoda. Polega ono na użyciu jednego klucza zarówno do szyfrowania, jak i rozszyfrowywania. Klucz jest często przechowywany w lokalnym systemie. W związku z tym specjaliści i badacze mogą go znaleźć i rozszyfrować dane bez płacenia okupu. Dlatego obecnie hakerzy częściej stosują podejście hybrydowe.

Asymetryczne szyfrowanie po stronie klienta

Szyfrowanie asymetryczne polega na użyciu klucza publicznego do zaszyfrowania danych i klucza prywatnego do ich rozszyfrowania. Jedną z popularnych metod szyfrowania jest RSA wykorzystywana między innymi przez protokół HTTPS. Metoda RSA jest wolniejsza niż szyfrowanie symetryczne i wymaga zaszyfrowania plików przed wysłaniem klucza prywatnego na serwer.

Po zakończeniu pracy program wysyła klucz prywatny na serwer przestępcy i usuwa go z pamięci lokalnej. Istnieje jednak ryzyko, że komputer zostanie odłączony od Internetu, zanim zakończy się szyfrowanie. W takim przypadku klucz prywatny nie zostanie wysłany na serwer atakującego, przez co ten nie będzie miał możliwości zażądać okupu.

Asymetryczne szyfrowanie po stronie serwera

Asymetryczne szyfrowanie po stronie serwera rozwiązuje problem szyfrowania po stronie klienta przez szyfrowanie plików, gdy komputer przechodzi w tryb online. Serwer hakera generuje parę kluczy: prywatny i publiczny oraz szyfruje pliki za pomocą klucza publicznego serwera.

Po otrzymaniu okupu haker przesyła ofierze klucz prywatny do rozszyfrowania danych. W tym przypadku haker ryzykuje, że ofiara przechwyci klucz prywatny podczas jego przesyłania i udostępni go innymi zaatakowanym przedsiębiorstwom, czyniąc oprogramowanie ransomware bezużytecznym.

Szyfrowanie hybrydowe

Atakujący odkryli, że stare wersje ransomware były podatne na ataki, więc stworzyli rozwiązanie hybrydowe. W tej wersji program generuje dwa zestawy kluczy i taki łańcuch szyfrowania rozwiązuje dawne problemy. Łańcuch szyfrowania działa następująco:

  1. Klucz symetryczny szyfruje pliki.
  2. Program generuje parę kluczy po stronie klienta. Klucz publiczny klienta zostaje użyty do zaszyfrowania pliku klucza symetrycznego.
  3. Program generuje parę kluczy na serwerze. Klucz publiczny serwera szyfruje klucz prywatny klienta, który zostaje wysłany do atakującego.
  4. Kiedy ofiara zapłaci okup, klucz prywatny serwera pozwala rozszyfrować klucz prywatny klienta, a ten z kolei trafia do firmy, gdzie następuje odwrócenie łańcucha szyfrowania.
     

Kopie zapasowe jako ochrona przed ransomware

Najlepszym sposobem na ochronę przed ransomware jest tworzenie kopii zapasowych. Pliki przechowywane lokalnie i na dysku sieciowym są podatne na ataki. Dlatego dobrym miejscem do ich przechowywania jest chmura wyposażona w ochronę przed skanowaniem przez ransomware. Wyjątkiem jest sytuacja, gdy magazyn w chmurze zostanie zmapowany, jako dysk lokalny lub podfolder.

Aby nie dopuścić do spustoszenia spowodowanego przez ransomware, najlepiej jest to zmienić zawczasu. Większość ataków rozpoczyna się od przypadkowego pobrania przez ofiarę programu lub uruchomienie złośliwego skryptu.

Użytkowników można powstrzymać przed pobieraniem ransomware na dwa sposoby. Jeden z nich polega na filtrowaniu zawartości w oparciu o DNS, a drugi – na zastosowaniu w poczcie elektronicznej zabezpieczeń, wykorzystujących sztuczną inteligencję, do poddawania plików kwarantannie. Filtrowanie zawartości bazujące na DNS blokuje użytkownikom dostęp do stron WWW znajdujących się na czarnej liście. Natomiast filtry poczty elektronicznej przesyłają złośliwą treść i załączniki przeznaczone do kwarantanny do przeglądu przez administratora.

Ponadto zawsze należy łączyć oprogramowanie antywirusowe z machine learning i monitorowaniem zachowań na wszystkich urządzeniach, w tym także mobilnych. Dobre oprogramowanie antywirusowe wykrywa ransomware, zanim dotrze ono do pamięci i zaszyfruje pliki. Program antywirusowy zawsze powinien być zaktualizowany, aby był w stanie skutecznie wykrywać także najnowsze zagrożenia.

Ransomware atakuje tysiące użytkowników

Ataki z wykorzystaniem oprogramowania ransomware dotykają tysiące użytkowników na całym świecie. W niektórych przypadkach wirus szkodzi dalej, nawet po tym, jak ofiara nabierze przekonania, że niebezpieczeństwo minęło. Oprogramowanie antywirusowe rozpoznaje wiele starszych wersji, ale hakerzy ciągle opracowują nowe typy, aby uniknąć wykrycia.

Na przykład w latach 2018 i 2019 ransomware o nazwie Ryuk wyłączał funkcję przywracania systemu Windows. To uniemożliwiało przywrócenie stanu systemu operacyjnego do wcześniejszego punktu przywracania. Celem ataków programem Ryuk były firmy, w związku z czym hakerzy żądali okupu w wysokości setek tysięcy dolarów.

Inne rodzaje oprogramowania ransomware to CryptoLocker, WannaCry i Petya. Spowodowały one przerwy w działaniu globalnej infrastruktury, co miało wpływ na działalność nawet banków i agencji rządowych. Wirus WannaCry obrał za cel komputery z systemem operacyjnym Windows i wykorzystywał exploit opracowany przez United States National Security Agency (NSA) do skanowania dysków w otwartych sieciach, aby zaszyfrować znajdujące się na nich pliki.

Przykładami oprogramowania ransomware, które pozostaje w systemie są Gandcrab, SamSam, Zeppelin i REvil. Choć istnieją nowsze warianty, to malware nadal stanowi poważne zagrożenie i może zniszczyć cały system korporacyjny.

This is an image of different security layers that can feed into XDR


Źródło: David Sancho - Senior Threat Researcher - Trend Micro

Ransomware wciąż stanowi zagrożenie

Ataki ransomware są wymierzone w firmy każdej wielkości i mogą sparaliżować ich działalność, jeśli firmy te nie tworzą kopii zapasowych swoich danych. Wiedza na temat tego, jak działa oprogramowanie ransomware i jaki może mieć wpływ na działanie firmy, pozwala przygotować lepszą linię obrony. Najlepszym sposobem na powstrzymanie ataku jest edukacja użytkowników, uruchomienie programu antywirusowego na wszystkich urządzeniach i zablokowanie użytkownikom dostępu do złośliwych wiadomości e-mail.

Powiązane informacje o testach Pharming

image

Raport Trend Micro o zagrożeniach cybernetycznych w połowie roku 2024

Złośliwi aktorzy zawsze szukają nowych technologii do nadużycia, ważnych wydarzeń na świecie do wykorzystania oraz źle zarządzanych i podatnych na ataki zasobów, które mogą narazić na szwank

image

Jak zespół Trend Micro Managed Detection and Response wstrzymał atak ransomware Play

Korzystając z platformy Trend Micro Vision One, nasz zespół MDR był w stanie szybko zidentyfikować i powstrzymać próbę włamania z użyciem oprogramowania ransomware Play.

Powiązane badania

Powiązane artykuły