Ataki, podczas których cyberprzestępcy blokują dane i żądają okupu za rozszyfrowanie lub szantażują ujawnieniem ich, są jednym z największych zagrożeń zarówno dla dużych firm, jak i małych przedsiębiorstw. W ostatnich latach są coraz bardziej wyrafinowane, a co za tym idzie skuteczniejsze1. W ostatnich tygodniach ofiarą takiego ataku padła największa na świecie franczyzowa rozlewnia Coca-Coli. Firma zdecydowała się zapłacić okup2. Czy to słuszna decyzja? Co zrobić, kiedy naszą organizację spotka atak ransomware? W jaki sposób nie dopuścić do takiej sytuacji? Na te pytania odpowiadają eksperci ESET.
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane użytkownika i żąda okupu w zamian za ich odszyfrowanie. Może zaatakować urządzenia osobiste, takie jak komputery i smartfony, ale także sieci firmowe. Rozprzestrzenia się na różne sposoby np. przez e-maile. Okazją dla przestępców jest również niezaktualizowane oprogramowanie. Bardzo często poprawki wprowadzane przez firmy są związane właśnie z bezpieczeństwem. Moment, w którym widzimy powiadomienie o koniecznej aktualizacji i klikamy przycisk „przypomnij mi później” to otwarcie drzwi cyberprzestępcom.
Przestępcy monitorują publicznie zgłaszane, nowe luki w zabezpieczeniach. Następnie skanują internet w poszukiwaniu podatnych systemów i próbują zidentyfikować firmy, które z nich korzystają. Z tej puli wybierają cele, od których mają największą szansę uzyskać okup. Następnie włamują się do wybranych sieci, kradną lub szyfrują dane i wymuszają opłaty.
- Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma zdecyduje się opłacić okup, wygrali, ponieważ uzyskali znaczną sumę pieniędzy. Jeżeli organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również przyniesie korzyść finansową przestępcom – opowiada Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Ataki typu ransomware zdarzają się bardzo często, jednak o istotnej części z nich nawet nie wiemy. Wiele firm czy instytucji nie mówi publicznie o tym, że stały się ofiarami cyberprzestępców – zwłaszcza jeżeli zdecydowały się opłacić okup. Na celownik cyberprzestępców w tym roku trafiły m.in. największa na świecie franczyzowa rozlewnia Coca-Coli FEMSA, Sony czy Royal Mail. W Polsce zaatakowane zostały m.in. system Śląskiej Karty Usług Publicznych.
Ransomware to usługa
O popularności ataków ransomware może świadczyć fakt, że zostały już przekształcone w usługę biznesową – oczywiście niezgodną z prawem. RaaS, czyli Ransomware as a Service to model biznesowy cyberprzestępczości, w którym operatorzy piszą oprogramowanie, a inne podmioty płacą za przeprowadzanie ataków przy jego użyciu. RaaS jest podobny do modelu oprogramowania jako usługi (SaaS), ale zamiast oferować legalny software, oferuje ransomware.
RaaS ułatwia cyberprzestępcom przeprowadzanie ataków, nawet jeśli nie mają oni żadnych umiejętności technicznych. Ponadto, sprawia, że ataki są bardziej opłacalne, ponieważ można na nich zarobić bez konieczności inwestowania w rozwój własnego oprogramowania.
Czy warto negocjować z przestępcami?
Firmom zdarza się zapłacić okup. Tak było w przypadku wspomnianej wcześniej rozlewni Coca-Coli. Początkowo przestępcy żądali od niej 12 milionów dolarów, jednak po negocjacjach zgodzili się nie udostępniać części danych po zapłacie 1,5 miliona dolarów. Inaczej zachował się Royal Mail. Instytucja nie zdecydowała się zapłacić szantażystom, co zaowocowało opublikowaniem skradzionych danych.
Jak pokazują badania, aż 80% zaatakowanych firm decyduje się zapłacić przestępcom. Okazuje się jednak, że 21% organizacji, które wpłaciły żądany okup, nie powstrzymała szantażystów od publikacji danych, które chciała ochronić3.
- I tu właśnie widać sedno problemu: ransomware wykorzystują przestępcy, czyli osoby, które nagminnie i celowo łamią zasady. Czasami wydaje się, że zapłacenie im to jedyny sposób, aby uniknąć dużego kryzysu lub strat biznesowych przewyższających żądaną sumę pieniędzy. Jednak nikt nie może zagwarantować nam, że po wpłaceniu okupu otrzymamy z powrotem dostęp do naszych danych, a one same nie zostaną sprzedane lub opublikowane. Co więcej, opłacając okupy, firmy przyczyniają się do rozwoju cyberprzestępczości, ponieważ sprawiają, że takie działania są opłacalne – komentuje Kamil Sadkowski.
Czasami okupy bywają opłacane z polis ubezpieczeniowych. Warto jednak pamiętać, że w takich sytuacjach zwykle ubezpieczyciele podnoszą firmom składki. Poza tym coraz więcej firm ubezpieczeniowych decyduje się na wyłączenie ransomware ze swoich pakietów ochronnych.
Co zrobić po ataku ransomware?
Jeżeli firma stanie się ofiarą ataku typu ransoware, powinna natychmiast wykonać kilka najważniejszych kroków:
- Odłączyć zaatakowane urządzenie od reszty sieci. W praktyce oznacza to natychmiastowe odłączenie go od prądu.
- Dowiedzieć się jak najwięcej o ataku: jak został zainicjowany, jak się rozprzestrzenia i czy możliwe jest odzyskanie danych z kopii zapasowych.
- Podjąć kluczową decyzję: czy atak rozprzestrzenia się na tyle szeroko i szybko, że warto na pewien czas wstrzymać procesy biznesowe? Takie rozwiązanie może zdecydowanie ograniczyć zasięg ataku.
- Bezzwłocznie zaktualizować systemy bezpieczeństwa, jak i pozostałe oprogramowanie na wszystkich sprzętach działających w firmie, nie zapominając o urządzeniach mobilnych.
- Najlepiej jednak byłoby nigdy nie musieć zadawać sobie pytania: „płacić czy nie płacić?”. W tym celu warto na bieżąco dbać o zabezpieczenia w firmie. Najistotniejsze są tu właśnie aktualizacje zarówno programów zabezpieczających, jak i wszystkich innych systemów, które działają na firmowych urządzeniach. To właśnie na tego rodzaju luki bezpieczeństwa czyhają przestępcy i są w stanie szybko je wykorzystać – dodaje Kamil Sadkowski.
Warto również korzystać z wielowarstwowych rozwiązań zabezpieczających, które mogą wykryć i zablokować atak. Nie wolno zapominać o szkoleniu swoich pracowników w zakresie identyfikacji oszustw internetowych. Kluczowe jest również tworzenie kopii zapasowych danych i stosowaniu strategii odzyskiwania ich po ewentualnej awarii czy ataku.
Jak w wielu innych sytuacjach życiowych sprawdza się tu maksyma: lepiej zapobiegać niż leczyć. Aby zminimalizować ryzyko ataku ransomware, nie warto chodzić na skróty. Najlepszą ochroną jest kompleksowe podejście do cyberbezpieczeństwa i proaktywne działania w tym zakresie oraz traktowanie go jako nierozłącznego elementu rozwoju biznesu.
1https://digitalsecurityguide.eset.com/en-us/ransomware-what-are-the-trends-in-2023
2https://next.gazeta.pl/next/7,151243,30182278,hakerzy-wykradli-dane-coca-cola-zaplacila-okup-ale-tylko-za.html
3https://www.forbes.com/sites/daveywinder/2023/05/30/the-sobering-truth-about-ransomware-for-the-80-percent-who-paid-up/?sh=120032e39f64