Ataki, podczas których cyberprzestępcy blokują dane i żądają okupu za rozszyfrowanie lub szantażują ujawnieniem ich, są jednym z największych zagrożeń zarówno dla dużych firm, jak i małych przedsiębiorstw. W ostatnich latach są coraz bardziej wyrafinowane, a co za tym idzie skuteczniejsze[1]. W ostatnich tygodniach ofiarą takiego ataku padła największa na świecie franczyzowa rozlewnia Coca-Coli. Firma zdecydowała się zapłacić okup[2]. Czy to słuszna decyzja? Co zrobić, kiedy naszą organizację spotka atak ransomware? W jaki sposób nie dopuścić do takiej sytuacji? Na te pytania odpowiadają eksperci ESET.
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane użytkownika i żąda okupu w zamian za ich odszyfrowanie. Może zaatakować urządzenia osobiste, takie jak komputery i smartfony, ale także sieci firmowe. Rozprzestrzenia się na różne sposoby np. przez e-maile. Okazją dla przestępców jest również niezaktualizowane oprogramowanie. Bardzo często poprawki wprowadzane przez firmy są związane właśnie z bezpieczeństwem. Moment, w którym widzimy powiadomienie o koniecznej aktualizacji i klikamy przycisk „przypomnij mi później” to otwarcie drzwi cyberprzestępcom.
Przestępcy monitorują publicznie zgłaszane, nowe luki w zabezpieczeniach. Następnie skanują internet w poszukiwaniu podatnych systemów i próbują zidentyfikować firmy, które z nich korzystają. Z tej puli wybierają cele, od których mają największą szansę uzyskać okup. Następnie włamują się do wybranych sieci, kradną lub szyfrują dane i wymuszają opłaty.
– Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma zdecyduje się opłacić okup, wygrali, ponieważ uzyskali znaczną sumę pieniędzy. Jeżeli organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również przyniesie korzyść finansową przestępcom – opowiada Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Ataki typu ransomware zdarzają się bardzo często, jednak o istotnej części z nich nawet nie wiemy. Wiele firm czy instytucji nie mówi publicznie o tym, że stały się ofiarami cyberprzestępców – zwłaszcza jeżeli zdecydowały się opłacić okup. Na celownik cyberprzestępców w tym roku trafiły m.in. największa na świecie franczyzowa rozlewnia Coca-Coli FEMSA, Sony czy Royal Mail. W Polsce zaatakowany został m.in. system Śląskiej Karty Usług Publicznych.
Ransomware to usługa
O popularności ataków ransomware może świadczyć fakt, że zostały już przekształcone w usługę biznesową – oczywiście niezgodną z prawem. RaaS, czyli Ransomware as a Service to model biznesowy cyberprzestępczości, w którym operatorzy piszą oprogramowanie, a inne podmioty płacą za przeprowadzanie ataków przy jego użyciu. RaaS jest podobny do modelu oprogramowania jako usługi (SaaS), ale zamiast oferować legalny software, oferuje ransomware.
RaaS ułatwia cyberprzestępcom przeprowadzanie ataków, nawet jeśli nie mają oni żadnych umiejętności technicznych. Ponadto, sprawia, że ataki są bardziej opłacalne, ponieważ można na nich zarobić bez konieczności inwestowania w rozwój własnego oprogramowania.
Czy warto negocjować z przestępcami?
Firmom zdarza się zapłacić okup. Tak było w przypadku wspomnianej wcześniej rozlewni Coca-Coli. Początkowo przestępcy żądali od niej 12 milionów dolarów, jednak po negocjacjach zgodzili się nie udostępniać części danych po zapłacie 1,5 miliona dolarów. Inaczej zachował się Royal Mail. Instytucja nie zdecydowała się zapłacić szantażystom, co zaowocowało opublikowaniem skradzionych danych.
Jak pokazują badania, aż 80% zaatakowanych firm decyduje się zapłacić przestępcom. Okazuje się jednak, że 21% organizacji, które wpłaciły żądany okup, nie powstrzymała szantażystów od publikacji danych, które chciała ochronić[3].
– I tu właśnie widać sedno problemu: ransomware wykorzystują przestępcy, czyli osoby, które nagminnie i celowo łamią zasady. Czasami wydaje się, że zapłacenie im to jedyny sposób, aby uniknąć dużego kryzysu lub strat biznesowych przewyższających żądaną sumę pieniędzy. Jednak nikt nie może zagwarantować nam, że po wpłaceniu okupu otrzymamy z powrotem dostęp do naszych danych, a one same nie zostaną sprzedane lub opublikowane. Co więcej, opłacając okupy, firmy przyczyniają się do rozwoju cyberprzestępczości, ponieważ sprawiają, że takie działania są opłacalne – komentuje Kamil Sadkowski.
Czasami okupy bywają opłacane z polis ubezpieczeniowych. Warto jednak pamiętać, że w takich sytuacjach zwykle ubezpieczyciele podnoszą firmom składki. Poza tym coraz więcej firm ubezpieczeniowych decyduje się na wyłączenie ransomware ze swoich pakietów ochronnych.
[1] https://digitalsecurityguide.eset.com/en-us/ransomware-what-are-the-trends-in-2023
[2] https://next.gazeta.pl/next/7,151243,30182278,hakerzy-wykradli-dane-coca-cola-zaplacila-okup-ale-tylko-za.html
[3] https://www.forbes.com/sites/daveywinder/2023/05/30/the-sobering-truth-about-ransomware-for-the-80-percent-who-paid-up/?sh=120032e39f64