Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Epidemia ransomware

Atak typu ransomware polega na blokowaniu komputera ofiary za pomocą szkodliwego programu i żądaniu okupu, który ma odblokować zaszyfrowane dane. Europol odnotował lawinowy wzrost zgłoszeń tego przestępstwa w ciągu ubiegłego roku, a w samym ostatnim kwartale 2016 r. liczba zgłoszeń wzrosła o ponad 150% w porównaniu z trzecim kwartałem.

Zespół CERT Polska, wchodzący w skład Narodowego Centrum Cyberbezpieczeństwa (patrz: ramka „NC Cyber”) ostrzega, że ofiarą ransomware może stać się każda instytucja. Europol, powołując się na szacunkowe dane jednej z firm oferujących oprogramowanie antywirusowe, podaje liczbę 718 tys. ofiar w latach 2015–2016 (w latach 2013–2014 było to 131 tys.). Kwoty okupu są zróżnicowane, ale średnia wynosi kilkaset dolarów. W omawianym okresie przestępcom zależało na tym, by zainfekować jak najwięcej komputerów, więc przeważnie ataki nie były precyzyjne.

Do ataku zwykle wykorzystywany jest e-mail zawierający odpowiednio spreparowany załącznik lub link. Załącznik może udawać nieszkodliwy plik, np. zdjęcie albo dokument PDF, który potencjalna ofiara ma otworzyć. Cyberprzestępcy często stosują zabiegi socjotechniczne, takie jak wyświetlanie fałszywych komunikatów pochodzących rzekomo od miejscowych organów egzekwujących prawo. Otwarcie załącznika powoduje pobranie wirusa. Drugim popularnym sposobem ataku jest podkładanie szkodliwego kodu na stronach internetowych lub w reklamach. Jeśli program zostanie pobrany, instaluje się na komputerze lub urządzeniu mobilnym i szyfruje dane, pozbawiając właściciela dostępu do nich. Przestępcy zostawiają też komunikat z adresem e-mail lub innym sposobem kontaktu w sprawie okupu. Eksperci radzą, by w takim wypadku nie płacić żądanej sumy, ponieważ nie ma pewności odblokowania danych (np. program może być wadliwy), a ponadto płacenie napędza rynek ransomware. Najlepszym rozwiązaniem jest podjęcie próby odszyfrowania danych. Między innymi na stronie projektu No More Ransom (patrz: ramka „No More Ransom”) można znaleźć porady, instrukcje oraz narzędzia deszyfrujące, które pomagają walczyć z ransomware.

O skali wzrostu zagrożenia ransomware świadczą liczby. W ubiegłym roku pojawiło się aż 197 rodzin tego rodzaju szkodliwego oprogramowania (rok wcześniej odkryto zaledwie 44 rodziny). Najnowsze wyliczenia ekspertów jednej z firm oferujących oprogramowanie antywirusowe wskazują, że w pierwszym kwartale 2017 r. została już niemalże osiągnięta ilość ransomware z drugiej połowy 2016 r.!

Co ciekawe, na podstawie zachowania przestępców w ostatnich miesiącach eksperci wyciągają wniosek, że zmienia się strategia ataków. Zamiast typowych dla ransomware masowych kampanii coraz częściej możemy mieć do czynienia z precyzyjnie wymierzonymi atakami na wybrane instytucje. Można też zaobserwować coraz większe zróżnicowanie ataków na bankomaty oraz systemy bankowe. Za ich pośrednictwem przestępcy są w stanie uzyskać dostęp do informacji umożliwiających identyfikację osób i danych uwierzytelniających, które można następnie wykorzystać w celu włamywania się do środowisk IT różnych organizacji.


No More Ransom

Projekt No More Ransom został zainicjowany w lipcu 2016 r. przez holenderską Policję, Europol, a także firmy Intel Security oraz Kaspersky Lab. Wyznacza on nowy model współpracy w walce z ransomware między organami ścigania i sektorem prywatnym. Od momentu uruchomienia projektu liczba partnerów z całego świata stale rośnie. To pokazuje, że ransomware jest problemem na skalę globalną, który musi być i z pewnością będzie rozwiązany dzięki takiej współpracy. Statystyki pokazują, że platformę projektową najczęściej odwiedzają użytkownicy pochodzący z Rosji, Holandii, Stanów Zjednoczonych, Włoch i Niemiec. Obecnie strona www.nomoreransom.org jest dostępna w 14 językach i zawiera 39 darmowych narzędzi do deszyfrowania. Od grudnia 2016 r., dzięki narzędziom dostępnym nieodpłatnie na platformie, ponad 10 000 ofiar na całym świecie było w stanie odszyfrować swoje zainfekowane urządzenia.


NC Cyber

Narodowe Centrum Cyberbezpieczeństwa działa w strukturach NASK i składa się z czterech pionów: badawczo-rozwojowego, operacyjnego, szkoleniowego i analitycznego. W ramach pionu operacyjnego działa zespół CERT Narodowy, czyli zespół, który m.in. reaguje na incydenty bezpieczeństwa w Sieci. Do tej pory, co wykazały dwa raporty NIK, podstawową słabością w zakresie cyberbezpieczeństwa był brak wymiany informacji między instytucjami zajmującymi się ochroną cyberprzestrzeni. Dlatego NCC ma sprawiać, że te instytucje będą się szybko wymieniać informacjami, wspólnie pracować nad cyberbezpieczeństwem i reagować na wszelkie incydenty związane z zagrożeniami tak, aby było to najbardziej efektywne.

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej