Ransomware. (Nie)nowe oblicze cyberprzestępczości

Przeczytaj także: Zagrożenia internetowe: McAfee o prognozach na 2015 rok

Ataki hybrydowe. IoT na celowniku

Jak wskazuje David Maciejak z firmy Fortinet, dotychczas można było wyszczególnić dwa podstawowe rodzaje oprogramowania ransomware. Pierwszy to blokujący normalne korzystanie z komputera, drugi zaś szyfrujący dane. W ostatnim czasie coraz częściej jednak pojawiają się ataki łączące te oba typy. Istnieje na przykład oprogramowanie, które blokuje dostęp do wybranych stron internetowych do momentu przekazania cyberprzestępcom okupu.

Zaciera się też granica pomiędzy urządzeniami będącymi celem ataków ransomware. Znane są przypadki mobilnego oprogramowania, zdolnego atakować zarówno komputery, jak i smartfony. Duża popularność systemu Android prowadzi również do coraz częstszego infekowania urządzeń Internetu Rzeczy (IoT) – w tym telewizorów Smart TV. W tym ostatnim ich przypadku infekujące oprogramowanie żąda na przykład przekazania karty podarunkowej do sklepu iTunes na określoną kwotę, w celu odblokowania dostępu do finałowego meczu Pucharu Stanleya.

Według danych firmy Gartner w 2016 r. z siecią połączonych będzie 6,4 miliarda urządzeń, a liczba ta będzie rosnąć, osiągając do 2020 r. 21 miliardów. Każde z tych urządzeń może się potencjalnie stać celem ataku.

Ewolucja ransomware

Ponieważ złośliwe oprogramowanie ewoluuje, to migracja ransomware na inteligentne urządzenia jest naturalnym procesem. Większe tempo ewolucji wynika z jednej prostej przyczyny – ofiary płacą przestępcom okupy. Mowa tu nie o wszystkich ofiarach, ale o liczbie wystarczającej, aby ten proceder nieustannie przynosił dochody.

– Zdołaliśmy zarejestrować poziomy ruch próbek oprogramowania z rodzin SamSam i ZCryptor. Niektóre ich szczepy cechuje dziś zachowanie bardziej typowe dla robaków, tj. zdolność do samodzielnego rozprzestrzeniania się w pobliskich sieciach. Jeśli porównamy ten proces z biologiczną ewolucją opisaną w teorii Darwina, dostrzeżemy podobieństwo do etapu, na którym pierwsze stworzenia zaczęły opuszczać zbiorniki wodne, przenosząc się na ląd, aby badać nowe terytoria – tłumaczy David Maciejak.

Jak zauważa Maciejak, model biznesowy twórców ransomware przypomina ten znany z dużych korporacji, cyberprzestępcy przeznaczają bowiem znaczą część pozyskanych środków na rozwój i badania.

Celem nawet elektrownia jądrowa?

Infekcje oprogramowaniem ransomware już dziś są prawdziwą plagą, a ten stan może jeszcze ulec pogorszeniu. Wciąż istnieje jedna domena, która dotychczas pozostawała nietknięta przez ransomware. Są to przemysłowe systemy sterowania (ICS), czyli oprogramowanie, które możemy znaleźć na przykład w zakładach produkcji artykułów chemicznych czy elektrowniach jądrowych.

– Już istniejące oprogramowanie ransomware jest zdolne przeprowadzić tego typu atak. Wystarczy, aby został on skierowany we właściwe miejsce. Całkiem realne wydaje się więc przeprowadzenie w najbliższych miesiącach ataku na obiekty, które mogą stanowić niezwykle dochodowy cel dla twórców ransomware. Przykładowo od szpitali czy klinik żąda się wyższych okupów, ponieważ są one bardziej skłonne wyłożyć pieniądze, by uniknąć fatalnych skutków działalności cyberprzestępców. Wystarczy wyobrazić sobie, ile rządy byłyby w stanie zapłacić za uniknięcie konsekwencji ataku na elektrownię jądrową – ostrzega David Maciejak.

Ransomware w chmurze

By przetrwać, ransomware musi podążać za cennymi danymi. Zatem kolejnym celem ataków może być chmura obliczeniowa, w której przechowywane są ogromne ilości wrażliwych informacji.

W ostatnim czasie firma Apple ogłosiła zwiększenie pojemności bezpłatnych kont w serwisie iCloud z 20 do 150 GB. Tego typu zmiany oznaczają, że już za kilka lat (lub nawet miesięcy) niemal wszystkie nasze dane będą zapisywane w chmurze w czasie zbliżonym do rzeczywistego. Nietrudno zatem wyobrazić sobie sytuację, w której cyberprzestępcy znajdą sposób na wykorzystanie interfejsu API do zaszyfrowania naszych danych w chmurze i zażądania okupu za ich odblokowanie.

Dobre praktyki ochrony przed atakami ransomware obejmują regularne tworzenie kopii danych, przechowywanie ich na odrębnych urządzeniach odłączonych od sieci, dzielenie posiadanych sieci na strefy bezpieczeństwa — tak aby infekcja w jednej strefie nie mogła w łatwy sposób przedostać się do innej — oraz opracowanie planów awaryjnych, pozwalających na funkcjonowanie systemu w czasie usuwania skutków ataku.