Co to jest oprogramowanie wymuszające okup?
Dowiedz się więcej o oprogramowaniu wymuszającym okup, o jego sposobie działania i o tym, jak chronić siebie i swoją firmę przed tego typu cyberatakami.
Definicja oprogramowania wymuszającego okup
Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania (malware), za pomocą którego atakujący grozi ofierze zablokowaniem dostępu do danych i systemów o krytycznym znaczeniu lub ich zniszczeniem, jeśli ta nie zapłaci okupu. Dawniej za pomocą oprogramowania wymuszającego okup atakowane były w większości osoby prywatne, ale ostatnio powszechniejszym i trudniejszym w profilaktyce i usuwaniu zagrożeniem stało się oprogramowanie wymuszające okup obsługiwane przez człowieka, używane do ataków na organizacje. Podczas ataku z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka grupa atakujących wspólnie wykorzystuje swoją inteligencję, aby uzyskać dostęp do sieci firmowej organizacji. Niektóre ataki tego typu są na tyle zaawansowane, że atakujący określają kwotę okupu na podstawie przechwyconych wewnętrznych dokumentów finansowych firmy.
Ataki z użyciem oprogramowania wymuszającego okup w wiadomościach
Niestety doniesienia o zagrożeniach związanych z oprogramowaniem wymuszającym okup często pojawiają się w serwisach informacyjnych. Niedawne głośne ataki z użyciem oprogramowania wymuszającego okup miały wpływ na infrastrukturę krytyczną, opiekę zdrowotną i dostawców usług IT. Coraz śmielsze ataki sprawiają, że ich skutki stają się mniej przewidywalne. Tutaj przytoczono kilka ataków z użyciem oprogramowania wymuszającego okup i opisano ich skutki dla organizacji, które padły ich ofiarą:
- W marcu 2022 r. ofiarą oprogramowania wymuszającego okup stał się system pocztowy Grecji . Atak tymczasowo zakłócił dostarczanie poczty i wpłynął na realizację transakcji finansowych.
- Jedna z największych linii lotniczych w Indiach doświadczyła ataku z użyciem oprogramowania wymuszającego okup w maju 2022 r. Zdarzenie doprowadziło do opóźnień i odwołań lotów, a także setek pozostawionych pasażerów.
- W grudniu 2021 roku duża firma z branży zarządzania zasobami ludzkimi padła ofiarą ataku z użyciem oprogramowania wymuszającego okup, którego celem był system zarządzania listami płac i urlopami dla klientów korzystających z jej usług w chmurze.
- W maju 2021 roku amerykański ropociąg musiał zostać zamknięty, aby zapobiec kolejnym naruszeniom zabezpieczeń po ataku na dane osobowe tysięcy pracowników firmy z użyciem oprogramowania wymuszającego okup. Jego skutki spowodowały gwałtowny wzrost cen gazu na całym wschodnim wybrzeżu.
- Niemiecka firma zajmująca się dystrybucją chemikaliów padła ofiarą ataku z użyciem oprogramowania wymuszającego okup w kwietniu 2021 r. Wykradziono dane ponad 6000 osób, obejmujące ich daty urodzenia, numery ubezpieczenia społecznego i numery prawa jazdy, a także pewne dane dotyczące zdrowia.
- Największy dostawca mięsa na świecie stał się celem ataku z użyciem oprogramowania wymuszającego okup w maju 2021 r. Po tymczasowym wyłączeniu jej strony internetowej i wstrzymaniu produkcji firma ostatecznie zapłaciła 11 milionów dolarów okupu w Bitcoinach.
Jak działa oprogramowanie wymuszające okup?
Ataki z użyciem oprogramowania wymuszającego okup polegają na przejęciu kontroli nad danymi lub urządzeniami osób prywatnych bądź organizacji w celu wymuszenia zapłaty. W przeszłości najczęściej zdarzały się ataki socjotechniczne, jednak ostatnio popularne wśród przestępców stało się oprogramowanie wymuszające okup obsługiwane przez człowieka, oferujące im potencjalnie ogromny zysk.
Ataki socjotechniczne z użyciem oprogramowania wymuszającego okup
Podczas tych ataków wykorzystuje się wyłudzanie informacji (phishing)— czyli technikę oszustwa polegającą na przybraniu przez atakującego tożsamości wiarygodnej firmy czy witryny internetowej — i podstępem skłania się ofiarę do kliknięcia linku lub otwarcia załącznika z wiadomości e-mail umożliwiającego zainstalowanie na jej komputerze oprogramowania wymuszającego okup. Elementem tych ataków są często niepokojące wiadomości mające wzbudzić w ofierze strach i tym samym skłonić ją do nieracjonalnego działania. Cyberprzestępca może na przykład, podszywając się pod znany bank, wysłać wiadomość e-mail z powiadomieniem, że konto adresata wiadomości zostało zablokowane z powodu podejrzanej aktywności, i poleceniem kliknięcia linku w wiadomości e-mail w celu rozwiązania problemu. Kliknięcie linku powoduje zainstalowanie oprogramowania wymuszającego okup.
Oprogramowanie wymuszające okup obsługiwane przez człowieka
Atak z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka rozpoczyna się często od wykradzionych poświadczeń konta. Gdy napastnicy uzyskają w ten sposób dostęp do sieci organizacji, wykorzystują przejęte konto do zdobycia poświadczeń kont o szerszych zakresach dostępu oraz do poszukiwania danych i systemów krytycznych dla działania firmy, a więc dających szanse na wymuszenie dużej kwoty pieniędzy. Następnie instalują oprogramowanie wymuszające okup ukierunkowane na te poufne dane i systemy krytyczne dla działania firmy, na przykład szyfrując kluczowe pliki, tak aby organizacja straciła do nich dostęp do czasu zapłaty okupu. Cyberprzestępcy na ogół domagają się płatności w kryptowalutach, co umożliwia zachowanie anonimowości.
Przestępcy działający w ten sposób biorą na cel duże organizacje, które są w stanie zapłacić znacznie więcej niż przeciętny człowiek, a kwoty okupu bywają liczone w milionach dolarów. Ze względu na wysokie koszty związane z włamaniem na taką skalę wiele organizacji decyduje się zapłacić okup, zamiast narażać się na wyciek poufnych danych lub ryzyko kolejnych ataków cyberprzestępców, choć zapłata nie gwarantuje, że uda się im zapobiec.
W miarę wzrostu liczby ataków z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka przestępcy stojący za atakami stają się coraz lepiej zorganizowani. W rzeczywistości wiele operacji z użyciem oprogramowania wymuszającego okup wykorzystuje obecnie model oprogramowania wymuszającego okup jako usługi, co oznacza, że grupa przestępcza programistów tworzy oprogramowanie wymuszające okup, a następnie zatrudnia innych cyberprzestępców, aby włamali się oni do sieci organizacji i zainstalowali to oprogramowanie. Zyski są dzielone między obiema grupami w ustalonych proporcjach.
Różne typy ataków z użyciem oprogramowania wymuszającego okup
Oprogramowanie wymuszające okup ma dwie główne postacie: szyfrującą i blokującą.
Szyfrujące oprogramowanie wymuszające okup
W przypadku ataku na osobę lub organizację z użyciem szyfrującego oprogramowania wymuszającego okup napastnicy szyfrują poufne dane lub pliki ofiary, uniemożliwiając dostęp do nich do czasu zapłacenia żądanego okupu. Po zapłaceniu okupu ofiara teoretycznie powinna otrzymać klucz szyfrowania, umożliwiający odzyskanie dostępu do plików i danych. Jednak nawet zapłata okupu nie gwarantuje, że cyberprzestępca wyśle ofierze klucz szyfrowania lub zrezygnuje z kontroli nad danymi. Tzw. doxware to szczególny rodzaj szyfrującego oprogramowania wymuszającego okup — po zaszyfrowaniu prywatnych informacji ofiary przestępcy grożą ofierze ich publicznym udostępnieniem, licząc na to, że zapłaci ona okup, aby uniknąć wstydu lub kompromitacji.
Blokujące oprogramowanie wymuszające okup
Atak z użyciem blokującego oprogramowania wymuszającego okup powoduje zablokowanie dostępu do urządzenia, przez co ofiara nie może się do niego zalogować. Na ekranie urządzenia ofiara zobaczy żądanie okupu z wyjaśnieniem, że urządzenie zostało zablokowane oraz instrukcją zapłaty w celu odzyskania dostępu. Ten rodzaj oprogramowania wymuszającego okup zazwyczaj nie wykorzystuje szyfrowania, a więc gdy ofiara odzyska dostęp do urządzenia, jej poufne dane i pliki będą bezpieczne.
Reagowanie na atak z użyciem oprogramowania wymuszającego okup
Jeśli padniesz ofiarą ataku z użyciem oprogramowania wymuszającego okup, masz szansę na uzyskanie pomocy i usunięcie go.
Uważaj z płaceniem okupu
Chociaż perspektywa usunięcia problemu przez zapłatę okupu może być kusząca, nie ma żadnej gwarancji, że przestępcy dotrzymają słowa i oddadzą Ci dostęp do danych. Specjaliści w dziedzinie bezpieczeństwa i przedstawiciele wymiaru sprawiedliwości zalecają, aby ofiary ataków z użyciem oprogramowania wymuszającego okup nie płaciły okupu, gdyż w ten sposób bezpośrednio wspierają działalność przestępców, a ponadto narażają się na podobne zagrożenia w przyszłości. Jeśli okup został już zapłacony, jak najszybciej skontaktuj się z bankiem — jeśli zapłacono kartą kredytową, bank może być w stanie zablokować płatność.
Odizoluj zainfekowane dane
Najszybciej, jak to możliwe, odizoluj zainfekowane dane, aby zapobiec rozprzestrzenieniu się oprogramowania wymuszającego okup w Twojej sieci.
Uruchom oprogramowanie chroniące przed złośliwym kodem
Często oprogramowanie wymuszające okup udaje się usunąć, jeśli masz zainstalowany program chroniący przed złośliwym kodem. Gdy już wybierzesz renomowane rozwiązanie chroniące przed złośliwym kodem, takie jak Microsoft Defender, pamiętaj, że należy je regularnie aktualizować i mieć zawsze włączone, aby zapewnić ochronę przed najnowszymi atakami.
Zgłoś atak
Zgłoś atak miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych są to lokalne biura terenowe FBI, IC3 lub tajne służby. Choć nie rozwiąże to najbardziej palącego problemu, jest to ważny krok, ponieważ te instytucje aktywnie śledzą i monitorują różne ataki. Szczegółowe informacje o tym, co Cię spotkało, mogą stanowić dla nich ważny element szerszego śledztwa, które doprowadzi do wykrycia i ukarania sprawcy lub grupy sprawców.
Ochrona przed oprogramowaniem wymuszającym okup
Ponieważ ataków z użyciem oprogramowania wymuszającego okup jest coraz więcej, a ogromna część danych osobowych użytkowników jest przechowywana w formie cyfrowej, ataki te mogą mieć potencjalnie druzgocące skutki. Na szczęście są sposoby, aby Twoje życie cyfrowe pozostało w Twoich rękach. Zobacz, jak zapewnić sobie spokój umysłu dzięki aktywnej ochronie przed oprogramowaniem wymuszającym okup.
Zainstaluj oprogramowanie chroniące przed złośliwym kodem
Najlepszą formą ochrony jest zapobieganie. Wiele ataków z użyciem oprogramowania wymuszającego okup można wykryć i zablokować za pomocą zaufanej usługi chroniącej przed złośliwym oprogramowaniem, na przykład Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender XDR czy Microsoft Defender dla Chmury. Gdy używasz programu chroniącego przed złośliwym kodem, urządzenie najpierw skanuje wszystkie pliki lub linki, które próbujesz otworzyć, aby sprawdzić, czy są one bezpieczne. Jeśli plik lub witryna internetowa zawiera złośliwy kod, program chroniący przed złośliwym kodem ostrzega o tym i sugeruje, aby ich nie otwierać. Programy te mogą również usuwać oprogramowanie wymuszające okup z urządzenia, które już zostało zainfekowane.
Zapewnij regularne szkolenia
Dzięki regularnym szkoleniom pracownicy zdobywają aktualne informacje o sposobie rozpoznawania oznak wyłudzania informacji i innych ataków z użyciem oprogramowania wymuszającego okup. Uczą się nie tylko bezpieczniejszych praktyk w pracy, ale także sposobów na zapewnienie sobie bezpieczeństwa podczas korzystania z urządzeń osobistych.
Przejdź do chmury
Przeniesienie danych do usługi w chmurze, takiej jak usługa kopii zapasowych w chmurze platformy Azure lub kopia zapasowa magazynu blokowych obiektów blob platformy Azure, umożliwia łatwe tworzenie kopii zapasowych danych w celu zwiększenia ich bezpieczeństwa. W przypadku jakiegokolwiek naruszenia tych danych przez oprogramowanie wymuszające okup usługi te umożliwiają ich natychmiastowe i kompleksowe odzyskanie.
Wprowadź model Zero Trust
Model Zero Trust ocenia wszystkie urządzenia i użytkowników pod kątem ryzyka, zanim umożliwi im dostęp do aplikacji, plików, baz danych i innych urządzeń, zmniejszając prawdopodobieństwo, że złośliwa tożsamość lub urządzenie będą mogły uzyskać dostęp do zasobów i zainstalować oprogramowanie wymuszające okup. Wykazano na przykład, że wdrożenie uwierzytelniania wieloskładnikowego, jednego ze składników modelu Zero Trust, zmniejsza skuteczność ataków na tożsamość o ponad 99 procent. Aby ocenić etap dojrzałości modelu Zero Trust w swojej organizacji, przeprowadź Ocenę dojrzałości modelu Zero Trust firmy Microsoft.
Dołącz do grupy wymiany informacji
Grupy wymiany informacji, często organizowane według branży lub lokalizacji geograficznej, zachęcają organizacje o podobnej strukturze do wspólnej pracy nad rozwiązaniami do zapewniania cyberbezpieczeństwa . Grupy oferują również organizacjom różne korzyści, takie jak reagowanie na zdarzenia i usługi kryminalistyki cyfrowej, wiadomości o najnowszych zagrożeniach oraz monitorowanie publicznych zakresów adresów IP i domen.
Przechowuj kopie zapasowe offline
Czasami oprogramowanie wymuszające okup próbuje odszukać i usunąć wszelkie posiadane przez Ciebie kopie zapasowe online, dlatego warto także przechowywać aktualną kopię zapasową poufnych danych offline, która będzie regularnie testowana w celu upewnienia się, że można ją przywrócić w razie jakiegokolwiek ataku z użyciem oprogramowania wymuszającego okup. Niestety kopia zapasowa offline nie rozwiąże problemu w przypadku ataku z użyciem szyfrującego oprogramowania wymuszającego okup, ale może być dobrym narzędziem, jeśli użyto blokującego oprogramowania wymuszającego okup.
Regularnie aktualizuj oprogramowanie
Oprócz aktualizowania wszystkich rozwiązań chroniących przed złośliwym kodem (rozważ wybranie opcji automatycznych aktualizacji) pamiętaj o pobieraniu i instalowaniu wszelkich pozostałych aktualizacji systemu i poprawek oprogramowania, gdy tylko będą dostępne. Pomoże to zminimalizować wszelkie luki w zabezpieczeniach, które cyberprzestępca może wykorzystać w celu uzyskania dostępu do Twojej sieci i urządzeń.
Opracuj plan reagowania na zdarzenia
Podobnie jak posiadanie planu ewakuacji na wypadek pożaru domu zapewnia bezpieczeństwo i lepsze przygotowanie, tak utworzenie planu reagowania na zdarzenia informującego o tym, co zrobić w przypadku ataku z użyciem oprogramowania wymuszającego okup, zapewni Ci praktyczne kroki do wykonania w przypadku różnych scenariuszy ataków, co pozwoli jak najszybciej przywrócić normalne i bezpieczne działanie.
Uzyskaj pomoc w ochronie wszystkiego dzięki rozwiązaniom zabezpieczającym firmy Microsoft
Microsoft Sentinel
Uzyskaj pełny widok całego przedsiębiorstwa dzięki natywnemu dla chmury rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).
Microsoft Defender XDR
Zabezpiecz punkty końcowe, tożsamości, pocztę e-mail i aplikacje za pomocą rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR).
Microsoft Defender dla Chmury
Chroń swoje środowiska wielochmurowe i hybrydowe od chwili rozpoczęcia ich tworzenia aż do pełnego działania.
Microsoft Defender Threat Intelligence
Poznaj sposób myślenia cyberprzestępców i stosowane przez nich narzędzia, korzystając z kompletnej, stale aktualizowanej mapy Internetu.
Walcz z zagrożeniami związanymi z oprogramowaniem wymuszającym okup
Wyprzedzaj zagrożenia, używając funkcji automatycznego przerywania ataków i reagowania w rozwiązaniach zabezpieczających firmy Microsoft.
Raport firmy Microsoft na temat ochrony zasobów cyfrowych
Zapoznaj się z aktualnym stanem zagrożeń i sposobami tworzenia cyfrowej ochrony.
Utwórz program ochrony przed oprogramowaniem wymuszającym okup
Dowiedz się, jak firma Microsoft utworzyła optymalny stan odporności na oprogramowanie wymuszające okup, aby wyeliminować tego rodzaju oprogramowanie.
Skorzystaj z podręcznika, aby zablokować oprogramowanie wymuszające okup
Przedstaw i zwizualizuj rolę poszczególnych osób w procesie blokowania oprogramowania wymuszającego okup.
Często zadawane pytania
-
Niestety ofiarą ataku z użyciem oprogramowania wymuszającego okup może paść niemal każdy, kto jest obecny online. Częstymi celami cyberprzestępców są zarówno urządzenia osobiste, jak i sieci firmowe.
Jednak zainwestowanie w rozwiązania proaktywne, takie jak usługi ochrony przed zagrożeniami, to realny sposób, aby zapobiec zainfekowaniu sieci lub urządzeń przez oprogramowanie wymuszające okup. Z tego względu osoby i organizacje, które jeszcze przed wystąpieniem ataku korzystają z programów chroniących przed złośliwym kodem i innych protokołów zabezpieczeń, takich jak model Zero Trust, są najmniej narażone na ataki z użyciem oprogramowania wymuszającego okup.
-
Tradycyjne ataki z użyciem oprogramowania wymuszającego okup polegają na skłonieniu użytkownika podstępem do użycia spreparowanej zawartości, na przykład otwarcia zainfekowanej wiadomości e-mail lub odwiedzenia niebezpiecznej witryny internetowej, co prowadzi do zainstalowania oprogramowania wymuszającego okup na urządzeniu.
W przypadku ataku z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka grupa napastników bierze na cel organizację i atakuje jej poufne dane, najczęściej używając kradzionych poświadczeń.
Zazwyczaj, niezależnie od tego, czy jest to atak socjotechniczny, czy obsługiwany przez człowieka, użytkownik lub organizacja otrzymuje żądanie okupu, zawierające informacje o tym, jakie dane zostały wykradzione i ile trzeba zapłacić, aby je odzyskać. Niestety zapłata okupu nie gwarantuje, że dane zostaną faktycznie zwrócone, ani nie zapobiega kolejnym atakom w przyszłości.
-
Skutki ataku z użyciem oprogramowania wymuszającego okup mogą być katastrofalne. Ofiary, zarówno osoby prywatne, jak i organizacje, mogą czuć się zmuszone do zapłaty wysokiego okupu bez żadnej gwarancji, że dane zostaną zwrócone lub że nie nastąpią kolejne ataki. Ujawnienie poufnych informacji organizacji przez cyberprzestępców może narazić na szwank jej reputację i podważyć wiarygodność. Ponadto, w zależności od rodzaju ujawnionych danych i wielkości organizacji, może się zdarzyć, że nawet tysiącom osób będzie grozić kradzież tożsamości i inne cyberprzestępstwa.
-
Cyberprzestępcy infekujący urządzenia ofiar oprogramowaniem wymuszającym okup chcą pieniędzy. Najczęściej żądają okupu w kryptowalutach, które zapewniają anonimowość i utrudniają śledzenie transakcji. W przypadku ataku socjotechnicznego z użyciem oprogramowania wymuszającego okup, którego celem jest osoba prywatna, kwota okupu może wynosić kilkaset czy kilka tysięcy dolarów. Od organizacji atakowanych z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka cyberprzestępcy mogą żądać nawet kilku milionów dolarów. W tych bardziej zaawansowanych atakach na organizacje przestępcy wykorzystują czasem poufne dane finansowe przechwycone w wyniku włamania do sieci, aby określić kwotę okupu, na zapłatę której może sobie ich zdaniem pozwolić dana organizacja.
-
Ofiary powinny zgłaszać ataki z użyciem oprogramowania wymuszającego okup miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych są to lokalne biura terenowe FBI , IC3 lub tajne służby. Specjaliści w dziedzinie bezpieczeństwa i przedstawiciele wymiaru sprawiedliwości zalecają, aby ofiary nie płaciły okupu — jeśli okup został już zapłacony, jak najszybciej skontaktuj się z bankiem i miejscowymi organami ścigania. Jeśli zapłacono kartą kredytową, bank może być w stanie zablokować płatność.
Obserwuj rozwiązania zabezpieczające firmy Microsoft