Immusec
PL | EN
Aktualności

Ataki ransomware – czy ktoś może czuć się bezpieczny?

05.12.2018
|
IMMUSEC
Udostępnij:

 

Szkodliwe oprogramowanie szantażujące coraz częściej atakuje nie tylko światowe koncerny, prężnie działające znane firmy czy instytucje państwowe. Celem ataków stają się również niewielkie przedsiębiorstwa, od których usiłuje się wyłudzić okup. Niedawno ofiarą cyberprzestępców padła moskiewska kolejka linowa.

Mieszkańcy Moskwy zyskali nową usługą transportową – kolejkę linową, która miała być alternatywą dla innych środków komunikacji w mieście. Okazało się, że jej systemy zostały zaatakowane przez cyberprzestępców. Komputery powiązane z usługą kolejki zostały zaatakowane przez ransomware, żądający okupu w bitcoinach za odszyfrowanie zawartości dysków twardych. W wyniku ataku kolejka została kompletnie sparaliżowana na kilka dni.

Jak podaje portal antyweb.pl wiadomość została odebrana przez nieznanego pracownika Moscow Cable Cars – spółki zarządzającej usługą transportową. Wysokość haraczu miała być zależna od czasu, w jakim Moscow Cable Cars zdecyduje się zapłacić przestępcom. To nie pierwszy raz, gdy usługa transportowa pada ofiarą cyberataku. W San Francisco doszło do infekcji HDDCRyptorem, który spowodował poważne trudności w funkcjonowaniu transportu publicznego. Przez kilka dni pasażerowie mogli z niego korzystać za darmo.

 

Ransomware, czyli blokada systemu i próba wyłudzenia okupu

Ransomware to oprogramowanie szantażujące, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, najczęściej za pomocą technik szyfrujących, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Najprostsze typy oprogramowania szantażującego zakładają blokadę na system, która jest stosunkowo łatwa do zlikwidowania dla doświadczonych użytkowników komputera. Jednakże bardziej zaawansowane formy ransomware szyfrują pliki ofiary, uniemożliwiając ich normalny odczyt i żądają okupu w zamian za deszyfrację. Jeśli cyberprzestępcy działają sprawnie, to niestety przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

Oprogramowanie szantażujące jest wirusem wprowadzanym do systemu na przykład poprzez pobrany plik lub w wyniku luki w usłudze sieciowej. Wtedy uruchomiony zostaje szkodliwy kod. Jedną z wykonywanych operacji może być wyświetlanie fałszywego ostrzeżenia, rzekomo wysłanego przez np. przez organy ścigania, zawierającego informacje, że system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu.

 

NotPetya

Na szkodliwą działalność cyberprzestępców są narażone także instytucje publiczne i przedsiębiorstwa. Pokazał to głośny atak ransomware o nazwie NotPetya. Na początku na terenie Rosji złośliwe oprogramowanie zostało rozesłane przez serwery aktualizacyjne programu M.E.Doc, autorstwa ukraińskiej firmy software’owej. Hakerzy włamali się do nich i w paczkach instalacyjnych nowej wersji pakietu biurowego zaimplementowali ransomware. Niebawem wirus rozprzestrzenił się na niemal cały świat, największe szkody powodując na Ukrainie oraz w Rosji. Straty szacuje się w milionach dolarów – znacząco ucierpiały m.in. firmy spedycyjne oraz kurierskie. Ofiarami padły także organizacje we Francji, w Stanach Zjednoczonych, a także w Polsce. NotPetya zaatakował także fabrykę słodyczy Mondelēz Polska z Bielan Wrocławskich, gdzie w tym czasie prowadzone były prace nad nowymi recepturami znanych marek czekolad i ciastek.

Cyberataki są szczególnie niebezpieczne dla instytucji publicznych oraz całych systemów informatycznych należących do państwa. W samym listopadzie doszło do ataków na zasoby rządowe USA i Niemiec. Jednak ofiarami stały się w tych przypadkach także firmy prywatne. Cyberprzestępcy wykorzystują ransomware do ataków na tak strategiczne jednostki, nie tylko z uwagi na cenne informacje, które mogą zdobyć, lecz także na wysokość okupów.

 

WannaCry

To oprogramowanie ransomware, znane również jako WannaCrypt lub WanaCrypt0r 2.0. Fala cyberataków z jego udziałem miała miejsce w maju 2017, kiedy to zainfekowanych zostało ponad 300 tys. komputerów w 99 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim). Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie. W ataku ucierpiała Telefónica, główny operator usług telekomunikacyjnych w krajach hiszpańsko- i portugalskojęzycznych, Wielkiej Brytanii i Niemczech, i kilka innych dużych przedsiębiorstw w Hiszpanii, a także części brytyjskiej narodowej służby zdrowia, firmy logistyczne i transportowe jak Fedex oraz Deutsche Bahn, oraz banki (głównie w Azji) i producenci samochodów (m.in. Renault i Nissan). W Rosji zainfekowanych zostało wówczas ponad 1000 komputerów w ministerstwie spraw wewnętrznych, agencji zarządzania sytuacjami kryzysowymi (EMERCOM) oraz w przedsiębiorstwie telekomunikacyjnym MegaFon. Do 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD. Wanna Cry dotarł także do Polski, atakując ponad tysiąc urządzeń.

 

CryptoLocker atakuje przedsiębiorstwa

Pierwszym znanym oprogramowaniem szantażującym, wykorzystującym kryptografię, był „AIDS”, znany jako „PC Cyborg”, napisany w 1989. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji o wygaśnięciu licencji użytkownika na korzystanie z konkretnych plików. Ofiara była proszona o dokonanie wpłaty.

Przypadki ransomware „żądających” wygórowanych kwot nasiliły się w 2005 roku. Pod koniec 2013 roku zaatakowało oprogramowanie szyfrujące pod nazwa CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników.

W październiku 2016 roku pracownicy drukarni z Międzychodu otworzyli fałszywego maila z fakturą od sieci komórkowej i kliknęli w zawarty w nim link, instalując wirus CryptOLOcker, który wykradł i zablokował 20-letnie archiwum firmy. Od odczytania wiadomości minęła niecała godzina, a tysiące danych zostały zaszyfrowane bez możliwości ich dalszego otwarcia na ośmiu komputerach. W zamian za dane hakerzy zażądali okupu w bitcoinach. Właściciele zastanawiali się nad zamknięciem firmy, gdyż stracili dorobek 20 lat pracy. Na szczęście informatykom udało się opanować sytuację.

 

Jak się ochronić przed ransomware?

CryptoLocker trafia na skrzynki pocztowe wielu firm oraz prywatnych osób. Czasem w postaci fikcyjnej elektronicznej faktury, informacji o przesyłce pocztowej, przelewie bankowym czy wiadomości od znajomego. Jak się można się chronić przed atakiem ransomware?

Po pierwsze należy wykonywać cykliczne aktualizacje systemowe. Po drugie warto także wyposażyć się w antywirus z silnikiem analizy heurystycznej, tzn. takim, który jest w stanie wykryć złośliwe oprogramowanie nie tylko na podstawie normalnych definicji i sygnatur wirusów. Należy przy tym pamiętać, że twórcy szkodliwego oprogramowania stale ulepszają swoje „produkty”, co zmusza ekspertów od ochrony do stałego dotrzymywania im kroku. Warto także, aby antywirus lub firewall posiadał tzw. sandbox, czyli odseparowane środowisko, w którym można bezpiecznie otworzyć plik i sprawdzić jego zawartość oraz działanie.

Przede wszystkim należy klikać w wiadomości e-mailowe z rozsądkiem. Jeśli nie spodziewamy się danego komunikatu, informacji czy faktury, to warto przemyśleć otwieranie takiego e-maila. Bardzo dobrą praktyką jest systematyczne robienie kopii zapasowych, które zmniejszy ryzyko trwałej utraty danych w wyniku ataku. Warto również przeprowadzić testy bezpieczeństwa, które wykryją luki w zabezpieczeniach.

 

Źródła:

https://antyweb.pl/kolejka-moskwa-ransomware/
https://gloswielkopolski.pl/miedzychod-atak-cyberprzestepcow-hakerzy-zainfekowali-20letnie-archiwum-firmy-i-zadaja-okupu/ar/10733172

Udostępnij:

Twitter @IMMUSEC

Nasze biura

offices

Kontakt:

ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com