Nawet komisariaty policji w USA płaciły okup cyberprzestępcom

Oprogramowanie wymuszające okup znajdowało się w wielu czołowych pakietach exploitów wykrywanych w 2015 r. i stało się efektywnym sposobem wyłudzania pieniędzy od firm, instytucji i użytkowników indywidualnych. Badania przeprowadzone przez centrum McAfee Labs ("McAfee Labs Threats Report: March 2015") wykazały, że liczba nowych przypadków zagrożeń ransomware wzrosła w ostatnim kwartale aż o 26 proc. w porównaniu z tym samym okresem rok wcześniej. Analiza ataku pod nazwą Crypto Wall 3 przeprowadzona w październiku 2015 r. przez badaczy z McAfee Labs wykazała, że tylko jedna kampania ransomware wygenerowała przychody z okupów na poziomie 325 mln dol.

- Niepokojące wyniki raportu to ważny sygnał ostrzegawczy dla nas wszystkich – mówi Arkadiusz Krawczyk, country manager w Intel Security Poland – Zwracamy uwagę szczególnie na zagrożenia ransomware typu open source i ransomware as a service (jako usługa), które pozostają dla cyberprzestępców najbardziej lukratywnymi formami ataku – podkreśla.

Oprogramowanie policyjne i kryptograficzne

Firma F-Secure zauważa natomiast, że różne rodziny oprogramowania typu ransomware stosują różne metody blokowania urządzeń, ale zwykle można je przypisać do kategorii oprogramowania „policyjnego” bądź „kryptograficznego”.

Policyjne oprogramowanie do wymuszania okupu uniemożliwia dostęp do urządzenia i danych, po czym wyświetla komunikat rzekomo pochodzący od organów ścigania i informujący użytkownika, że złamał jakieś prawo i musi zapłacić karę, zanim będzie mógł znów używać zainfekowanego urządzenia. Natomiast kryptograficzne oprogramowanie do wymuszania okupu szyfruje zawartość urządzenia, zasadniczo uniemożliwiając używanie urządzenia lub treści do czasu zapłacenia okupu za klucze deszyfrujące.

Analitycy F- Secure w swym raporcie odnotowali, że choć w 2015 r. zmniejszyła się liczba detekcji oprogramowania policyjnego, kilka rodzin kryptograficznych zyskało na popularności, przez co ogólne zagrożenie ze strony oprogramowania wymuszającego okup pozostało na niezmienionym poziomie. I tak rodzina oprogramowania policyjnego Browlock nie zdominowała statystyk detekcji tak jak w 2014 r., choć na początku ub.r. nadal pozostawała na tyle rozpowszechniona, że reprezentowała więcej detekcji, niż jakakolwiek inna rodzina w ciągu całego roku.

Natomiast kilka wariantów oprogramowania kryptograficznego zwiększało swoją aktywność w ciągu roku. Cryptowall rozwinął skrzydła i przyćmił kilka rodzin policyjnych wyróżniających się w 2014 r.. Przez większość miesięcy był najbardziej aktywną rodziną kryptograficzną. Zarówno Crowti, jak i Teslacrypt uaktywniły się w ostatnim kwartale roku, zajmując bardziej poczesne miejsce w krajobrazie zagrożeń. Ogólnie rzecz biorąc, w 2015 r. kryptograficzne oprogramowanie wymuszające okup było aktywniejsze niż rok wcześniej.

Badacze F-Secure zauważyli, że kampanie kryptograficzne mają przygotowaną infrastrukturę, która zachęca do zapłacenia okupu; ofiary otrzymują klucze deszyfrujące po uiszczeniu opłaty. Natomiast napastnicy stojący za kampaniami policyjnymi zwykle po prostu przyjmują okup i nie pomagają ofiarom w usunięciu infekcji. Ponieważ twórcy oprogramowania kryptograficznego często pomagają ofiarom, a ich żądania są dość rozsądne, FBI zaleca firmom, żeby po prostu zapłaciły okup w razie infekcji. Warto podkreślić, że w 2015 r. nawet kilka komisariatów policji (np. komisariat policji w Tewksbury w stanie Massachusetts w USA) zastosowało się do tej rady i zapłaciło internetowym przestępcom setki dolarów w celu odblokowania systemów. Takie historie pokazują zarówno skuteczność oprogramowania wymuszającego okup, jak i znaczenie powstrzymywania ataków, zanim dojdzie do infekcji.

F-Secure podkreśla, że nadal rośnie aktywność oprogramowania wymuszającego okup i trend ten prawdopodobnie utrzyma się w 2016 r. Kampanie ransomware są coraz lepiej zorganizowane i bardziej wyrafinowane, a samo oprogramowanie działa coraz podstępniej. Kryptograficzne oprogramowanie wymuszające okup to  jedno z najbardziej destrukcyjnych narzędzi, z jakim branża cyberbezpieczeństwa miała do czynienia ostatnimi czasy. Pliki są szyfrowane hurtowo w urządzeniu użytkownika, a jedynym sposobem na ich odzyskanie jest zapłacenie przestępcom za klucz deszyfrujący. Od niedawna programy te potrafią szyfrować dane na niezmapowanych udziałach sieciowych, przez co sieją spustoszenie w firmowych sieciach. Okup za jeden zainfekowany system czasem przekracza 400 dolarów.

Jak walczyć z ransomeware?

Intel Security zastanawia się, czy jest coś, co firmy mogą zrobić, żeby przeciwstawić się zagrożeniom wymuszającym okupy?  Według Intel Security najskuteczniejszym sposobem jest ścisła współpraca i aktywność przedsiębiorstw w zakresie udostępniania informacji o zagrożeniach (CTI – cyber-threat intelligence). Centrum McAfee Labs zbadało, jak do tego zagadnienia podchodzi 500 specjalistów ds. cyberbezpieczeństwa z Ameryki Północnej, Azji i Europy. Ankietowani odpowiadali na pytania sprawdzające wiedzę na temat informacji o zagrożeniach w cyberprzestrzeni, opinie o ich wartości dla bezpieczeństwa firmy i głównych przeszkodach na drodze do wdrożenia takich procedur w ramach strategii zabezpieczających.

Ankieta pokazała, że dziś tylko 42 proc. ankietowanych specjalistów ds. cyberbezpieczeństwa korzysta z udostępnianych informacji o zagrożeniach cybernetycznych. Spośród tej liczby aż 97 proc. uważa, że dzięki nim można zapewnić firmie lepszą ochronę. Jednak gros firm niechętnie dzieli się informacjami o tym, że padły ofiarą cyberataku. Największą barierą w udostępnianiu danych o cybernetycznych zagrożeniach są polityka firmy (54 proc.), przepisy branżowe (24 proc.) oraz brak informacji o sposobie ich wykorzystania (24 proc.)

Tymczasem w badaniu Intel Security aż (91 proc) ankietowanych wykazała zainteresowanie tego typu informacjami o ukierunkowaniu branżowym. Chodzi o sektory takie jak usługi finansowe czy infrastruktura krytyczna, które są celem najbardziej wysublimowanych ataków i mogłyby najbardziej skorzystać na współpracy w ramach CTI. Dziś 72 proc. ankietowanych uważa, że najistotniejsze i najchętniej udostępniane przez firmy są informacje o złośliwym oprogramowaniu, na drugim miejscu wymieniona została reputacja adresów URL (58 proc.), następnie reputacja zewnętrznych adresów IP (54 proc.), reputacja certyfikatów (43 proc.) oraz reputacja plików (37 proc.).

- Biorąc pod uwagę determinację, jaką wykazują się cyberprzestępcy, udostępnianie informacji o zagrożeniach może się stać użytecznym narzędziem w próbie przechylenia szali zwycięstwa na stronę walczących z atakami – uważa Vincent Weafer, wiceprezes McAfee Labs, Intel Security. – Nasza ankieta pokazuje, że aby efektywnie wykorzystać potencjał udostępnianych informacji o zagrożeniach, trzeba najpierw pokonać przeszkody w postaci polityki firmowej, ograniczeń regulacyjnych, ryzyka związanego z odpowiedzialnością prawną i braku wiedzy dotyczącej wdrożeń - podsumowuje.