Ransomware coraz popularniejszym narzędziem cybeprzestępców

"Różne typy złośliwego oprogramowania określanego jako ransomware mają jedną cechę wspólną - blokują dostęp do systemu lub danych użytkownika znajdujących się na twardym dysku urządzenia - często za pomocą szyfrowania. Cyberprzestępcy tworzący tego typu malware żądają następnie okupu za odblokowanie komputera lub deszyfrację danych" - wyjaśnia Michał Jarski kierujący wschodnioeuropejskim oddziałem japońskiej firmy Trend Micro.

Ekspert wyjaśnia, że cyberprzestępcy stosują różne socjotechniczne warianty ataków typu ransomware. Złośliwe oprogramowanie przypomina często darmowy program antywirusowy, na którego reklamę użytkownik może trafić podczas surfowania. Po jego pobraniu i zainstalowaniu, program rozpoczyna błyskawiczne szyfrowanie dysku lub blokadę komputera. Inną metodą jest stosowanie tzw. scareware - malware, który wyświetla fałszywy komunikat przypominający informację o nałożeniu kary lub nakaz wydawany przez prokuraturę. Urządzenie użytkownika jest odblokowywane dopiero po zapłaceniu domniemanego mandatu. Jednym z groźniejszym typów ransomware jest złośliwe oprogramowanie, które w kilka minut po instalacji szyfruje dane na dysku użytkownika.

Z raportu firmy Trend Micro dotyczącego bezpieczeństwa pt. „Nowe zagrożenia wymagają nowych strategii reagowania” wynika, że w 2015 r. wzrosła liczba ataków crypto-ransomware. Stanowiły one aż 83 proc. wszystkich przypadków użycia ransomware.

"Wysokość okupu w zależności od okoliczności zawiera się zwykle w przedziale od 200 do 200 tys. dolarów. Przestępcom zależy na jak najszybszym otrzymaniu okupu, korzystają bowiem zwykle z podstawionych serwerów, które mogą działać nie dłużej niż kilka dni - każdy dzień funkcjonowania zwiększa szanse na ich namierzenie" - tłumaczy Jarski.

"Dlatego właśnie interfejs programów ransomware często wyposażony jest w sekcję pomocy czy też poradnika, który krok po kroku wyjaśnia sposoby przekazania przestępcom okupu - założenie portfela Bitcoin i przeprowadzenia transferu" - dodaje Jarski.

Ekspert Trend Micro wskazuje spam e-mail lub fałszywą reklamę online jako najczęstsze wektory ataku złośliwego oprogramowania typu ransomware. "Według naszych badań większość zainfekowanych to nie wykonywalne programy np. typu exe, ale proste pliki pakietu Office czy dokumenty PDF. Nieświadomy użytkownik musi jedynie otworzyć taki załącznik, by program automatycznie rozpoczął szyfrowanie dysku lub też zablokował jego komputer" - ostrzega przedstawiciel Trend Micro.

Jarski przekonuje, że najskuteczniejszą metodą obrony przed ransomware jest wykonywanie częstych kopii zapasowych danych. Należy także unikać otwierania załączników oraz klikania linków na stronach, które nie budzą naszego zaufania. Nie należy także ignorować aktualizacji, które służą między innymi łataniu luk systemowych - ransomware korzysta właśnie ze słabości i luk, aby móc przejąć kontrolę nad komputerem ofiary.

"Utrzymanie najwyższego poziomu bezpieczeństwa w systemach osobistych i firmowych wymaga dostosowania się do nowych zagrożeń, takich jak ataki ransomware. Aby skutecznie chronić dane, należy przede wszystkim stosować rzeczywisty, działający backup. Stanowi on niezawodne zabezpieczenie w sytuacji, w której wszystkie inne formy ochrony zawiodą. Bardzo niepokojący jest fakt, że dziś utworzenie kopii zapasowych jest wciąż bagatelizowane w wielu organizacjach” - dodaje Jarski.

Trend Micro zwraca uwagę na ciągłą działalność cyberprzestępców posługujących się ransomware. Popularny Angler Exploit Kit generuje 30 mln dol. przychodu miesięcznie. W tzw. Dark Web pojawią się także oferty wynajmu modułów złośliwego oprogramowania w modelu ransomware-as-a-service, gdzie twórcy malware oferują wypożyczenie kompletnej infrastruktury do przeprowadzenia takiego ataku - nawet już za kilkadziesiąt dolarów.

łum/ jbr/