Internet posiada dwa oblicza. Jedno jasne, które obrazuje korzystanie na co dzień przez miliony osób z jego zasobów, w zakresie rozrywki i pracy. I drugie, ciemne, z którą stykamy się każdego dnia, ale najczęściej nie zdajemy sobie z tego sprawy. Mamy tu na myśli zjawisko ransomware.
Pisząc o ciemnej stronie internetu, można mieć na myśli wiele negatywnych skojarzeń. Dla przykładu, zjawisko nagminnie spotykane w korzystaniu z poczty elektronicznej: świadome dostarczanie do skrzynek odbiorczych poczty elektronicznej spamu, czyli niechcianych wiadomości. Jednak główną ciemną stronę internetu stanowi cyberprzestępczość, innymi słowy zagrożenia, na jakie codziennie narażone są komputery podłączone do globalnej sieci. Cyberprzestępczość wiąże się z szerokim zakresem czynników zewnętrznych, na jakie jesteśmy narażeni surfując po sieci. Wiele osób stosuje jakiś rodzaj zabezpieczeń i posiada zainstalowane na swoim komputerze oprogramowanie antywirusowe. To minimum bezpieczeństwa nie chroni w 100% od dzisiaj spotykanych metod ataków. Jednak posiadanie antywirusa, nawet darmowego, to absolutna konieczność. Wirusy komputerowe to jedno z najbardziej znanych zagrożeń, niestety obecnie niejedyne.
Ransomware - internetowa forma przestępczości
Od samego początku internet stanowił zagrożenie dla funkcjonowania podłączonych do niego komputerów. Różnego rodzaju hakerzy wręcz prześcigali się w metodach ataków: ”wypuszczając na rynek” coraz bardziej zaawansowane wirusy, trojany i innego rodzaju szkodliwe oprogramowanie. Towarzyszyła temu z drugiej strony konieczność obrony, w postaci pierwszych systemów typu Internet Security, których głównym elementem składowym były programy antywirusowe.
Faktem jest, że pierwsze wirusy komputerowe nie czyniły wielkich spustoszeń i w skali porównawczej do dzisiejszych ataków stanowiły coś w rodzaju niewinnego psikusa. Najczęstsze w owym czasie zdarzenia to: zablokowanie programu, zawieszenie komputera, jego nagłe wyłączenie i wiele podobnych. Z czasem przestępcy stawali się coraz bardziej „zaawansowani”, doświadczając swoje ofiary coraz dotkliwej. Pojawiły się wirusy, które uszkadzały pliki, kasowały zawartość dyskietek czy twardych dysków, uszkadzały lub trwale blokowały system operacyjny w sposób wymagający ponownej instalacji programowania systemowego itp. Wraz z rozwojem internetu i sposobów jego wykorzystania, już nie blokowanie albo samo kasowanie plików było istotne. Pojawiły się nowe generacje zagrożeń. Szpiegostwo, wykradanie danych, włamania do systemów firmy, przejmowanie zdalnego nadzoru nad komputerami bez wiedzy właścicieli. To jest obecne najbardziej pożądany obszar działania cybeprzestępców i oblicze zagrożeń. Oprogramowanie ogólnie definiowane jako złośliwe to obecnie obok wirusów również spyware, adware, malware, trojany, exploity, a na samej górze tej listy są dzisiaj ataki typu ransomware.
Powód? Zawsze ten sam - pieniądze
Musimy zdawać sobie sprawę, że dzisiaj przestępcy działający w internecie nie robią psikusów, dla pochwalenia się czy próżnej sławy. Skala ataków ma tylko jeden podstawowy wymiar, a są nim pieniądze. Realne dochody dla grup przestępczych pozyskiwane z ataków są liczone w milionach dolarów. Trzeba uzmysłowić sobie, że za atakiem na system komputerowy np. w firmie, nie stoi dzisiaj jedna osoba, ale rodzaj struktury na wzór organizacji o charakterze mafijnym. Cybermafie to ogromny i bardzo poważny problem, nie tylko w skali biznesu np. dużych firm. Stanowią one realne zagrożenie dla funkcjonowania państw, atakując najważniejsze elementy ich systemu, takie jak branżę energetyczną, telekomunikacyjną czy sektor finansowy, głównie banki. Są też ważnym ogniwem tzw. wojny informacyjnej. Niezbicie dowiodły tego konflikty na Ukrainie czy wojna z Państwem Islamskim. Wykorzystywanie metod dezinformacji stanowiło ważny czynnik w grze o pozyskanie zwolenników dla swojej sprawy, przez zainteresowane strony. Cybarmafie są świetnie przygotowane, mają w swoich szeregach nie tylko zręcznych programistów, ale psychologów, specjalistów od social media i innych dziedzin. Po co? Przygotowując atak, grupy przestępcze bardzo dobrze analizują środowisko, wiedzą o organizacji bardzo dużo w zakresie poznania jej wewnętrznej struktury. Osób odpowiadających za określone funkcje w firmie np. członków zarządu, głównych menedżerów, czy osób odpowiedzialnych za finanse np. główną księgową. Przy przygotowaniu ataku typu ransomware, wykorzystuje się najsłabsze ogniwo. Niestety nadal jest nim człowiek. Ludzie są zawsze największym zmartwieniem wszelkich systemów bezpieczeństwa, ponieważ od ich zachowania zależy bezpieczeństwo firmowych zasobów.
Skutecznie sami obniżamy poziom bezpieczeństwa, głównie przez ułatwianie sobie życia. Korzystamy z różnych serwisów, gdzie pozostawimy np. nasze loginy, hasła, nie siląc się specjalnie z ich wyrafinowanym i skomplikowanym nazwaniem. Co więcej, aby pamiętać, zapisujemy je na kartkach lub np. w telefonie. Smartfon stał się powiernikiem naszych tajemnic, zapisujemy notatki i informacje dotyczące np. logowania do kont bankowych. Niestety loginy i hasła do serwisów są łakomym kąskiem. Wiele osób stosuje jedno hasło do różnych miejsc. W ten sposób, wyciek jednego hasła, może zaowocować dostępem atakującego do kolejnych usług. Urządzenia mobilne niestety wiodą prym w liczbie wejść i włamań, wykradania informacji. Choć nadal najwięcej incydentów ma miejsce z wykorzystaniem komputerów stacjonarnych.
Ransomware największym wyzwaniem
Czubkiem góry lodowej w skali zagrożeń jest obecnie ransomware, który przez większość ekspertów ds. bezpieczeństwa określany jest wprost mianem największego ryzyka i wyzwania dla specjalistów zajmujących się problematyką bezpieczeństwa. Na czym polega atak, który stanowi takie zagrożenie. Wynikiem jest zaszyfrowanie zasobów na dyskach firmowych komputerów w firmie. Największym problemem jest jego skala, ponieważ zaszyfrowaniu ulegają wszelkie najważniejsze rodzaje pików firmowych takich jak: dokumenty, zdjęcia, skany, piliki dźwiękowe, filmowe etc. Słowem wszelkiego rodzaju dokumentacja, z jaką mamy najczęściej do czynienia w środowisku biznesowym. Czy zaszyfrowane piki można jakoś odzyskać? Owszem, są dwie możliwości. Możemy je odczytać, jeżeli posiadamy kopię zapasową tzn. backup danych z serwerów przechowujących kopie zapasowe dokumentacji. Jeżeli nie mamy kopii bezpieczeństwa, pozostaje druga metoda, odzyskamy piki jeżeli zapłacimy okup.
Jak przebiega atak ransomware?
Przebieg ataku można opisać w następujący sposób. Aby nastąpiło zaszyfrowanie lub zablokowanie komputera, musi zostać uruchomione złośliwe oprogramowanie. Najczęściej do rozpowszechniania złośliwego kodu wykorzystywana jest poczta elektroniczna. E-mail, najczęściej o bardzo niewinnej i niewzbudzającej podejrzeń treści, np. rachunku za energię lub telefon komórkowy, zawiera załącznik, który wygląda jak typowy dokument np. arkusz kalkulacyjny czy plik PDF. Może to być też plik typu archiwum lub inny. Kolejną metodą jest stosowanie linka do przekierowania, też za pośrednictwem e-maila, do innej zainfekowanej kodem strony. Otwarcie załącznika lub kliknięcie w link przekierowujący powoduje zainfekowanie naszego komputera i w konsekwencji rozpoczyna się proces szyfrowania lub blokowania plików. Potem program umieszcza w komputerze notatkę. Podana jest instrukcja, co trzeba zrobić, aby odzyskać pliki. Zwykle przestępcy domagają się przelania pieniędzy na konto w banku elektronicznym i w zamian obiecują, że udostępnią klucz oraz instrukcję jak odszyfrować dane. Najnowsza wersja ransomware o nazwie Jigsaw idzie jeszcze dalej. Otóż pliki są szyfrowane, a w informacji dostajemy wiadomość, że jeżeli okup nie zostanie wpłacony, na trwałe zostaną skasowane z komputera. Na poparcie pogróżek, co pewien czas, pewna partia danych jest trwale usuwana. Nawet uiszczenie opłaty nie przywróci już usuniętych plików. Ma to na celu uwiarygodnienia determinacji hackerów oraz przyspieszenie decyzji wpłacenia okupu.
Jak się ustrzec przed atakami typu ransomware?
Najgorszy w atakach ransomware jest brak ostrzeżenia, że atak właśnie ma miejsce. Niestety, nadal większość nawet płatnych antywirusów ma problem z wczesnym wykryciem złośliwego kodu. Kiedy dowiemy się o ataku, pliki na dyskach mamy zaszyfrowane. Po drugie atak i zapłacenie okupu wcale nie zabezpiecza nas przed kolejnym takim incydentem. Znany jest przypadek szpitala, który trzykrotnie uległ atakowi ransomware, płacąc za każdym razem okup w wysokości kilkudziesięciu tysięcy Euro. Jak można się ustrzec przed tym zagrożeniem? Stosując zasadę umiarkowanego zaufania i zdrowego rozsądku. Na przykład jeżeli dostajemy pocztę z mailem, co do którego mamy podejrzenia, nie otwierajmy go od razu. Sprawdźmy skąd został nadany np. z jakiej domeny. W rachunku za prąd domena nadawcy powinna pochodzić z Polski. Często też przestępcy stosują różnego rodzaju automatyczne programy tłumaczące do przygotowania treści listu. Jeżeli w treści są popełniane typowe błędy stylistyczne czy językowe, powinno to wzmóc naszą czujność.