Ransomware, czyli złośliwe oprogramowanie, które szyfruje dane na urządzeniach i żąda okupu, ma już ponad 30 lat. Nic więc dziwnego, że taktyki cyberprzestępców wykorzystujących ten malware ewoluują. Wszystko dlatego, że i narzędzia zabezpieczające są dziś coraz skuteczniejsze w walce ze skutkami ransomware.
Analitycy zwracają uwagę na to, że przestępcy odchodzą obecnie od klasycznej strategii szyfrowania danych i żądania okupu. W zamian znajdują inne sposoby na czerpanie zysków z tego złośliwego oprogramowania. Na jakie rozwiązania się decydują?
Klasyczne oprogramowanie ransomware
Tradycyjne oprogramowanie ransomware jest wykorzystywane przez przestępców do infiltracji sieci docelowych i wyszukiwania cennych lub krytycznych danych biznesowych. Następnie umożliwia oszustom zaszyfrowanie danych i przesyła żądanie okupu. W zamian za zapłacenie go przestępcy obiecują dostarczyć klucz deszyfrujący, który pozwala odzyskać stracone informacje. Często obietnica ta nie jest spełniana.
– Środki bezpieczeństwa przeciwko ransomware ewoluują. Podobnie zresztą jak taktyki cyberprzestępców wykorzystujących to oprogramowanie. System kopii zapasowych zapewnia dziś dobrą ochronę przed ransomware. Zaatakowane firmy mogą wyczyścić zaszyfrowane dane i odzyskać je z kopii zapasowej bez płacenia okupu. W odpowiedzi przestępcy opracowali oprogramowanie, które coraz lepiej radzi sobie z wyszukiwaniem i naruszaniem systemów backupu. To dlatego najbardziej zaawansowane rozwiązania do tworzenia kopii zapasowych przechowują w pełni zaszyfrowane pliki tych kopii i maskują je, aby zapobiec wykryciu przez ransomware. – wyjaśnia Michał Zalewski, inżynier w Barracuda Networks, firmie, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Nowy sposób zarabiania na ransomware
Przejęcie kontroli nad danymi atakowanej firmy i odcięcie jej wszelkich możliwości dostępu do tych danych staje się zbyt skomplikowane. Przestępcy odchodzą więc od tradycyjnych technik szyfrowania kluczowych zasobów informacyjnych atakowanego.
Okazało się bowiem, że znacznie łatwiej jest po prostu skopiować i ukraść dane, a następnie zażądać zapłaty za ich nieupublicznianie. Lub zaoferować je na sprzedaż w Darknecie, czyli ukrytej, niewidocznej dla standardowych przeglądarek sieci.
Tak właśnie zrobił jeden z przestępców z danymi skradzionymi podczas włamania do Volvo Cars w grudniu ubiegłego roku. Warto zauważyć, że w przypadku tych nowych technik monetyzacji nie ma znaczenia, czy zaatakowana firma nadal ma swoje dane. Liczy się tylko to, że przestępcy też je mają. – mówi Michał Zalewski.
Wysokie koszty naruszenia danych
Szyfrowanie nadal jest wykorzystywane, ale nie stanowi już centralnej części wysiłków cyberprzestępców zamierzających zarobić na ransomware. Oczywiście, jeśli atakujący nadal są w stanie zniszczyć lub zaszyfrować dane firmy, jednocześnie kradnąc je, będą próbowali je odsprzedać tej firmie. Jednak obecnie największym zagrożeniem nie jest utrata krytycznych danych, a ich naruszenie i ujawnienie.
– Koszty poważnego naruszenia danych mogą być dziś astronomiczne – średnio w 2022 roku osiągnęły 4,35 mln USD, a w USA nawet 9,44 mln USD. To zachęca zaatakowane firmy do zapłacenia cyberprzestępcom, nawet jeśli doświadczenie pokazuje, że często prowadzi to tylko do kolejnych żądań zapłaty. – dodaje ekspert z Barracuda Networks.
Tylko kompleksowe zabezpieczenia są skuteczne
Ransomware może infiltrować sieć przy użyciu wielu różnych wektorów, a nawet ich kombinacji. Oznacza to, że aby zapobiec przedostawaniu się oprogramowania ransomware do systemów, należy zastosować kompleksowy, zintegrowany zestaw rozwiązań i platform do ochrony poczty e-mail, aplikacji, ruchu sieciowego, interakcji internetowych i danych, niezależnie od tego, gdzie się znajdują.
Oczywiście wciąż kluczową rolę odgrywa backup, który pozwoli odzyskać stracone dane. Jednak kopia zapasowa wspiera firmę przede wszystkim w odpowiedniej reakcji na atak i minimalizowaniu jego skutków. Sztuką jest jednak zapobieżenie temu atakowi. W tym pomogą zabezpieczenia poczty, aplikacji i sieci, które ochronią firmową infrastrukturę przed złośliwym oprogramowaniem. – podsumowuje Michał Zalewski.