Po raz pierwszy od czterech lat spada liczba cyberataków typu ransomware, czyli ataków dla okupu. Nie oznacza to, że zagrożenie minęło - hakerzy po prostu zmienili taktykę. Uderzają rzadziej, ale coraz celniej.
Ten artykuł czytasz w ramach bezpłatnego limitu

12 maja 2017 r. w godzinach wieczornych czasu polskiego media na całym świecie zaczęły alarmować o bezprecedensowym, potężnym cyberataku. Liczby rosły lawinowo – po kilku godzinach mówiło się o ok. 45 tys. ataków w co najmniej 74 krajach, następnego dnia – już o 75 tys. w 99 krajach. Sytuację udało się opanować dopiero po czterech dniach, a ostateczną liczbę zainfekowanych komputerów oszacowano na ponad 300 tys. w 150 krajach świata. W Polsce wirus zaatakował „tylko” 1,2 tys. urządzeń – operatorzy sieci internetowych przezornie zablokowali w urządzeniach ruch na używanym przez robaka porcie 445.

Atak wszędzie przebiegał w ten sam sposób: po uruchomieniu komputera na monitorze wyświetlał się komunikat informujący użytkownika, że jego pliki zostały zaszyfrowane i jeśli chce je odzyskać, musi wpłacić w ciągu trzech dni 300 dol. Potem „promocja” się kończyła, a cena wzrastała dwukrotnie. Ofiary miały tydzień na podjęcie decyzji – później pliki miały być bezpowrotnie skasowane. Okup można było wpłacić na jeden z trzech wirtualnych „portfeli”. Przelewy w bitcoinach są praktycznie niemożliwe do wyśledzenia.

Choć atak wirusa WannaCry – jak wkrótce okrzyknęły go media – nie był ani pierwszym, ani ostatnim atakiem tego typu, z pewnością był największy i najbardziej niebezpieczny. W Rosji zainfekował tysiąc komputerów MSW, a w Wielkiej Brytanii sparaliżował służbę zdrowia. W niektórych krajach nie działały bankomaty.

To nie porno, to ransomware

Ataki z użyciem ransmoware, czyli wirusów do wymuszenia okupu (ang. ransom oznacza okup ) mają długą historię. Pierwszy miał miejsce już w 1991 r. – sprawca rozesłał kilkanaście tysięcy zainfekowanych dyskietek tradycyjną pocztą. Hakerzy coraz bardziej doskonalili swoje metody, jednak przełom przyniosło upowszechnienie kryptowalut. Umożliwiło to przelewanie okupu w „bezpieczny” dla przestępców sposób.

W latach 2013-2014 r. Cryptolocker zainfekował ponad pół miliona komputerów i zebrał ok. 27 mln dol. okupu. W 2015 r. SamSam zaatakował m.in. transport publiczny w stanie Colorado, urzędy w mieście Atlanta i wiele amerykańskich szpitali. Wyrządzone przez niego szkody szacowano na ok. 30 mln dol. (Atlanta nie chciała zapłacić 51 tys. dol. okupu, dlatego wydała kilka milionów na przywrócenie danych). W tym samym roku Fusob zaatakował urządzenia mobilne. Był łaskawy dla obywateli krajów postsowieckich, bo nie działał na urządzeniach, w których język systemu operacyjnego posługiwał się cyrylicą.

Jeszcze do niedawna firmy niechętnie przyznawały się do tego, że padły ofiarą ataków. Od maja zeszłego roku taki obowiązek nakłada na nie RODO, czyli przepisy o ochronie danych osobowych. Na ujawnianiu ataków nie zależy też osobom prywatnym – tym bardziej, że np. Fusob zasadzał się na swoje ofiary na stronach pornograficznych, podszywając się pod odtwarzacz wideo. Wiele współczesnych ransomware infiltruje też treści użytkowników przed ich zaszyfrowaniem, co może stać się podstawą do późniejszego szantażu.

Haker doradzi ci, jak zapłacić okup

– W opinii publicznej utrwalił się obraz hakera jako młodego chłopaka w bluzie z kapturem. Tymczasem cybergangi to porządnie zorganizowane firmy – tłumaczy Ireneusz Wiśniewski z firmy F5 Poland. Według niego przeciętny haker jest trybikiem w korporacji z elastycznymi warunkami pracy i dużymi możliwościami rozwoju. Cybergangi mają sieci partnerskie, handlowców, badaczy rynku i rekruterów. Niektóre mają nawet centra telefoniczne, zapewniające kontakt z ofiarami ataków.

Ataki nie takie proste jak kiedyś

I nagle aktywność hakerów spada. W swoim corocznym raporcie CERT Orange Polska eksperci Orange zauważają, że po raz pierwszy od dwóch lat ataków jest mniej – w 2018 r. miało być ich niemal 20 proc. mniej niż w roku poprzednim. Identycznych danych (spadek o 20 proc.) dostarcza raport przygotowywany przez Symantec. Spadek o 30 proc. odnotował też Kaspersky Lab, porównując lata 2017-18 do 2016-17.

Eksperci Orange wskazują na kilka przyczyn. Pierwszy to – paradoksalnie – popularność szkodliwego oprogramowania. „O ransomware stało się głośno nie tylko w świecie bezpieczeństwa IT. Publiczne media poruszały ten temat w wiadomościach, powstały specjalne programy, a portale internetowe regularnie zamieszczały newsy o bieżących kampaniach i zestawy porad, jak chronić się przed infekcją” – argumentują.

Kolejne powody: wzrost popularności tzw. cryptojackingu (wykorzystywania zainfekowanych komputerów do „kopania” kryptowalut bez wiedzy właścicieli sprzętu), spadek opłacalności przeprowadzania ataków (poniesione koszty vs. potencjalne zyski) czy przenoszenie danych przez użytkowników do chmury.

Przegrupowanie szyków

Czy hakerzy są w odwrocie? Nic bardziej mylnego. Ataki ransomware nie zniknęły, tylko zmieniły swoją formę – stały się mniej masowe i bardziej ukierunkowane. W ten sposób sprawcy maksymalizują zyski. Orange powołuje się na przykład ataku SamSam.

„Zamiast masowych infekcji były ukierunkowane kampanie, zamiast natychmiastowych działań po zainfekowaniu była stopniowa inwigilacja i identyfikacja najbardziej wrażliwych danych i najkrytyczniejszych systemów”. SamSam nie przypadkiem zaatakował infrastrukturę rządową i służby zdrowia. To właśnie te instytucje są najsłabiej przygotowane na cyberataki na całym świecie. Na początku maja NIK alarmował, że w ponad 60 proc. skontrolowanych urzędów brakowało systemowego podejścia do bezpieczeństwa informacji. Firma doradcza KPMG szacowała w kwietniu tego roku, że zaledwie połowa polskich firm ma procedury na wypadek cyberataku.

Wnioski ekspertów Orange potwierdzają firmy Symantec. Łączna liczba ataków ransomware w ubiegłym roku spadła, ale o 12 proc. wzrosła liczba ataków przeciwko firmom, które na komputerach przechowują dużo cenniejsze dane niż osoby prywatne (a przy tym dysponują dużo większymi zasobami finansowymi).

Ostatni wielki atak ransomware miał miejsce zaledwie dwa miesiące temu, w marcu tego roku. Wirus LockerGoga sparaliżował giganta branży aluminium, Norsk Hydro, który zatrudnia 35 tys. ludzi w 50 krajach. Firma poinformowała, że „dysponuje kopiami bezpieczeństwa”, co mogło sugerować, że nie zamierza ulegać szantażystom.

Producenci łączą systemy informatyczne z automatyką przemysłową, co naraża na atak maszyny i całe procesy produkcyjne. A wiele systemów zarządzających maszynami powstało wiele lat temu, przed pojawieniem się obecnych zagrożeń. "Aktualizacje nie zawsze są możliwe, ponieważ wiele systemów musi działać przez całą dobę. System wart miliony i zaprojektowany na dziesięciolecia pracy nie może w łatwy sposób zostać zastąpiony nowym” – komentowała F-Secure po ataku na Norsk Hydro.

Ile zapłacisz za odblokowanie rozrusznika serca?

Rozwój ransomware jest napędzany przez tzw. internet rzeczy – rośnie liczba podłączonych do sieci urządzeń, które mogą stać się przedmiotem ataku.

„Urządzenia internetu rzeczy są potencjalnym celem dla każdego ataku ransomware, ponieważ z założenia są ze sobą połączone, a w przypadku wielu z nich wyraźnie brakuje jakiejkolwiek formy zabezpieczeń” – czytamy w raporcie amerykańskiego think tanku Institute for Critical Infrastructure Technology o alarmującym tytule „Zwalczanie blitzkriegu ransomware”. A jego autorzy pytają: „Ile jesteście w stanie zapłacić za usunięcie ransomware z rozrusznika serca?

icon/Bell Czytaj ten tekst i setki innych dzięki prenumeracie
Wybierz prenumeratę, by czytać to, co Cię ciekawi
Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich.
Komentarze
Zaloguj się
Chcesz dołączyć do dyskusji? Zostań naszym prenumeratorem