Wszystko o atakach ransomware
Oprogramowanie ransomware trafiło na pierwsze strony gazet w 2021 roku i nadal będzie o nim głośno w 2022 roku. Być może słyszałeś historie o atakach na duże firmy, organizacje lub agencje rządowe, a może jako osoba fizyczna doświadczyłeś ataku ransomware na własne urządzenie.
Jest to poważny problem i przerażająca perspektywa, gdy wszystkie pliki i dane są przetrzymywane jako zakładnicy, dopóki nie zapłacisz. Jeśli chcesz dowiedzieć się więcej o tym zagrożeniu, czytaj dalej, aby dowiedzieć się o różnych formach oprogramowania ransomware, o tym, jak się nim zarazić, skąd pochodzi, kogo atakuje i co możesz zrobić, aby się przed nim chronić.
Czym jest oprogramowanie ransomware?
Definicja oprogramowania ransomware
Ransom malware, czyli oprogramowanie wymuszające okup, to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do ich systemu lub osobistych plików i żąda zapłaty okupu w celu odzyskania dostępu. Podczas gdy niektórzy ludzie mogą pomyśleć "wirus zablokował mój komputer", oprogramowanie ransomware byłoby zazwyczaj klasyfikowane jako inna forma złośliwego oprogramowania niż wirus.
Najwcześniejsze warianty oprogramowania ransomware zostały opracowane pod koniec lat 80. ubiegłego wieku, a płatność miała być wysyłana pocztą tradycyjną. Obecnie autorzy oprogramowania ransomware nakazują wysyłanie płatności za pośrednictwem kryptowaluty lub karty kredytowej, a atakujący atakują osoby fizyczne, firmy i organizacje wszelkiego rodzaju. Niektórzy autorzy oprogramowania ransomware sprzedają usługę innym cyberprzestępcom, co jest znane jako Ransomware-as-a-Service lub RaaS.
Ataki ransomware
Jak dokładnie sprawca zagrożenia przeprowadza atak ransomware? Po pierwsze, musi uzyskać dostęp do urządzenia lub sieci. Posiadanie dostępu umożliwia im wykorzystanie złośliwego oprogramowania potrzebnego do zaszyfrowania lub zablokowania urządzenia i danych. Oprogramowanie ransomware może zainfekować komputer na kilka różnych sposobów
Jak mogę zarazić się oprogramowaniem ransomware?
- Malspam: Aby uzyskać dostęp, niektórzy aktorzy zagrożeń używają spamu, w którym wysyłają wiadomość e-mail ze złośliwym załącznikiem do jak największej liczby osób, sprawdzając, kto otworzy załącznik i "złapie przynętę". Złośliwy spam to niechciane wiadomości e-mail, które są wykorzystywane do dostarczania złośliwego oprogramowania. Wiadomości e-mail mogą zawierać załączniki z pułapkami, takie jak pliki PDF lub dokumenty Word. Może również zawierać linki do złośliwych stron internetowych.
- Złośliwa reklama: Inną popularną metodą infekcji jest złośliwa reklama. Malvertising, czyli złośliwa reklama, to wykorzystanie reklam internetowych do dystrybucji złośliwego oprogramowania przy niewielkiej lub zerowej interakcji użytkownika. Podczas przeglądania sieci, nawet legalnych witryn, użytkownicy mogą zostać przekierowani na serwery przestępców bez konieczności klikania reklam. Serwery te katalogują szczegóły dotyczące komputerów ofiar i ich lokalizacji, a następnie wybierają złośliwe oprogramowanie najlepiej nadające się do dostarczenia. Często tym złośliwym oprogramowaniem jest ransomware. Malvertising często wykorzystuje zainfekowaną ramkę iframe lub niewidoczny element strony internetowej, aby wykonać swoją pracę. Ramka iframe przekierowuje na stronę docelową exploita, a złośliwy kod atakuje system ze strony docelowej za pośrednictwem zestawu exploitów. Wszystko to dzieje się bez wiedzy użytkownika, dlatego często określa się to jako drive-by-download.
- Spear phishing: Bardziej ukierunkowanym sposobem ataku ransomware jest spearphishing. Przykładem spear phishingu może być wysyłanie wiadomości e-mail do pracowników określonej firmy, twierdząc, że dyrektor generalny prosi o wypełnienie ważnej ankiety pracowniczej lub że dział HR wymaga pobrania i przeczytania nowej polityki. Termin "whaling" jest używany do opisania takich metod ukierunkowanych na osoby decyzyjne wysokiego szczebla w organizacji, takie jak dyrektor generalny lub inni członkowie kadry kierowniczej.
- Inżynieria społeczna: Malspam, malvertising i spear phishing mogą i często zawierają elementy inżynierii społecznej. Podmioty stanowiące zagrożenie mogą wykorzystywać inżynierię społeczną, aby nakłonić ludzi do otwierania załączników lub klikania linków, podając się za legalne - niezależnie od tego, czy wydaje się, że pochodzą od zaufanej instytucji, czy znajomego. Cyberprzestępcy wykorzystują socjotechnikę w innych rodzajach ataków ransomware, takich jak podszywanie się pod FBI w celu przestraszenia użytkowników do zapłacenia im pewnej sumy pieniędzy za odblokowanie ich plików. Innym przykładem socjotechniki może być sytuacja, w której osoba atakująca zbiera informacje z publicznych profili użytkownika w mediach społecznościowych na temat jego zainteresowań, często odwiedzanych miejsc, wykonywanej pracy itp. i wykorzystuje niektóre z tych informacji do wysłania wiadomości, która wygląda znajomo, mając nadzieję, że klikniesz, zanim zdasz sobie sprawę, że nie jest to legalne.
Szyfrowanie plików i żądanie okupu
Niezależnie od tego, z której metody korzysta sprawca zagrożenia, po uzyskaniu dostępu oprogramowanie ransomware (zwykle aktywowane przez ofiarę klikającą łącze lub otwierającą załącznik) szyfruje pliki lub dane, aby nie można było uzyskać do nich dostępu, a następnie zobaczysz wiadomość z żądaniem zapłaty okupu za przywrócenie tego, co zostało zabrane. Często atakujący żąda zapłaty za pomocą kryptowaluty.
Rodzaje oprogramowania ransomware
Trzy główne typy oprogramowania ransomware obejmują scareware, blokady ekranu i szyfrujące oprogramowanie ransomware:
- Scareware: Scareware, jak się okazuje, wcale nie jest takie straszne. Obejmuje nieuczciwe oprogramowanie zabezpieczające i oszustwa związane z pomocą techniczną. Możesz otrzymać wyskakującą wiadomość twierdzącą, że wykryto złośliwe oprogramowanie i jedynym sposobem na pozbycie się go jest zapłacenie. Jeśli nic nie zrobisz, prawdopodobnie nadal będziesz bombardowany wyskakującymi okienkami, ale twoje pliki są zasadniczo bezpieczne. Legalny program cyberbezpieczeństwa nie zabiegałby o klientów w ten sposób. Jeśli nie masz jeszcze oprogramowania tej firmy na swoim komputerze, to nie będzie ono monitorować cię pod kątem infekcji ransomware. Jeśli posiadasz oprogramowanie zabezpieczające, nie będziesz musiał płacić za usunięcie infekcji - już zapłaciłeś za oprogramowanie, które wykonuje to zadanie.
- Blokady ekranu: Uaktualnij do pomarańczowego alertu terrorystycznego dla tych facetów. Gdy oprogramowanie ransomware blokujące ekran dostanie się na komputer, oznacza to całkowite zablokowanie dostępu do komputera. Po uruchomieniu komputera pojawia się pełnowymiarowe okno, któremu często towarzyszy oficjalnie wyglądająca pieczęć FBI lub Departamentu Sprawiedliwości Stanów Zjednoczonych z informacją, że na komputerze wykryto nielegalną działalność i należy zapłacić grzywnę. FBI nie zablokuje jednak dostępu do komputera ani nie zażąda zapłaty za nielegalną działalność. Gdyby podejrzewali cię o piractwo, pornografię dziecięcą lub inne cyberprzestępstwa, przeszliby przez odpowiednie kanały prawne.
- Szyfrujące oprogramowanie ransomware: To są naprawdę paskudne rzeczy. Są to faceci, którzy przechwytują twoje pliki i szyfrują je, żądając zapłaty w celu odszyfrowania i ponownego dostarczenia. Powodem, dla którego ten rodzaj oprogramowania ransomware jest tak niebezpieczny, jest fakt, że gdy cyberprzestępcy zdobędą twoje pliki, żadne oprogramowanie zabezpieczające ani przywracanie systemu nie będzie w stanie ich przywrócić. Chyba że zapłacisz okup - w większości przypadków już ich nie ma. A nawet jeśli zapłacisz, nie ma gwarancji, że cyberprzestępcy zwrócą ci te pliki.
Mac ransomware
Nie chcąc pozostać poza grą ransomware, autorzy złośliwego oprogramowania Mac wypuścili w 2016 roku pierwsze oprogramowanie ransomware dla systemów operacyjnych Mac . Nazywany KeRanger, ransomware zainfekował aplikację o nazwie Transmission, która po uruchomieniu skopiowała złośliwe pliki, które działały cicho w tle przez trzy dni, aż do detonacji i zaszyfrowania plików. Na szczęście wbudowany w Apple program anty-malware XProtect wydał aktualizację wkrótce po wykryciu ransomware, która blokowała jego infekowanie systemów użytkowników. Niemniej jednak ransomware Mac nie jest już teoretyczne.
Po KeRanger pojawiły się Findzip i MacRansom, oba odkryte w 2017 roku. Niedawno, w 2020 roku, pojawiło się coś, co wyglądało jak ransomware(ThiefQuest, aka EvilQuest), ale okazało się, że w rzeczywistości było to coś, co nazywa się "wycieraczką". Udawał on oprogramowanie ransomware jako przykrywkę dla faktu, że eksfiltrował wszystkie dane użytkownika i chociaż szyfrował pliki, nigdy nie miał sposobu, aby użytkownicy mogli je odszyfrować lub skontaktować się z gangiem w sprawie płatności.
Mobilne oprogramowanie ransomware
Dopiero wraz z pojawieniem się niesławnego CryptoLockera i innych podobnych rodzin w 2014 roku, oprogramowanie ransomware pojawiło się na szeroką skalę na urządzeniach mobilnych. Mobilne oprogramowanie ransomware zazwyczaj wyświetla komunikat, że urządzenie zostało zablokowane z powodu jakiegoś rodzaju nielegalnej działalności. Komunikat stwierdza, że telefon zostanie odblokowany po uiszczeniu opłaty. Mobilne oprogramowanie ransomware jest często dostarczane za pośrednictwem złośliwych aplikacji i wymaga uruchomienia telefonu w trybie awaryjnym i usunięcia zainfekowanej aplikacji w celu odzyskania dostępu do urządzenia mobilnego.
Kto jest celem twórców ransomware?
Kiedy oprogramowanie ransomware zostało wprowadzone (a następnie ponownie wprowadzone), jego początkowymi ofiarami były pojedyncze systemy (czyli zwykli ludzie). Jednak cyberprzestępcy zaczęli zdawać sobie sprawę z jego pełnego potencjału, gdy wprowadzili oprogramowanie ransomware do firm. Ransomware było tak skuteczne przeciwko firmom, zatrzymując produktywność i powodując utratę danych i przychodów, że jego autorzy skierowali większość swoich ataków w ich stronę.
Do końca 2016 r. 12,3 proc. globalnych wykryć w przedsiębiorstwach dotyczyło oprogramowania ransomware, podczas gdy tylko 1,8 proc. wykryć wśród konsumentów na całym świecie dotyczyło oprogramowania ransomware. Do 2017 r. 35 proc. małych i średnich firm doświadczyło ataku ransomware. Do czasu globalnej pandemii w 2020 r. zagrożenie nadal istnieje: Gangi ransomware zaatakowały szpitale i placówki medyczne oraz opracowały nowe taktyki, takie jak "podwójne wymuszenie", w których atakujący są w stanie wyłudzić więcej pieniędzy, grożąc wyciekiem poufnych danych niż odszyfrowaniem zaszyfrowanych komputerów. Niektóre grupy ransomware oferują swoje usługi innym, korzystając z modelu Ransomware-as-a-Service lub RaaS.
Raport dotyczący oprogramowania ransomware w małych i średnich firmach.
Pod względem geograficznym ataki ransomware nadal koncentrują się na rynkach zachodnich, z Wielką Brytanią, Stanami Zjednoczonymi i Kanadą jako trzema głównymi krajami docelowymi. Podobnie jak w przypadku innych podmiotów stanowiących zagrożenie, autorzy oprogramowania ransomware podążają za pieniędzmi, więc szukają obszarów, które mają zarówno szerokie zastosowanie komputerów PC, jak i względne bogactwo. W miarę jak rynki wschodzące w Azji i Ameryce Południowej przyspieszają wzrost gospodarczy, należy spodziewać się tam również wzrostu liczby oprogramowania ransomware (i innych form złośliwego oprogramowania).
Jak mogę usunąć ransomware?
Mówi się, że uncja prewencji jest warta funta kłaków. Jest to z pewnością prawda, jeśli chodzi o oprogramowanie ransomware. Jeśli atakujący zaszyfruje twoje urządzenie i zażąda okupu, nie ma gwarancji, że je odszyfruje, niezależnie od tego, czy zapłacisz, czy nie.
Dlatego tak ważne jest, aby być przygotowanym na atak ransomware. Dwa kluczowe kroki, które należy podjąć to:
- Zainstaluj oprogramowanie zabezpieczające, zanim zostaniesz zaatakowany przez ransomware
- Tworzenie kopii zapasowych ważnych danych (plików, dokumentów, zdjęć, filmów itp.).
Jeśli zostaniesz zainfekowany oprogramowaniem ransomware, najważniejszą zasadą jest, aby nigdy nie płacić okupu. (Jest to obecnie rada zatwierdzona przez FBI.) Wszystko to zachęca cyberprzestępców do przeprowadzania dodatkowych ataków na ciebie lub kogoś innego.
Jedną z potencjalnych opcji usuwania oprogramowania ransomware jest możliwość odzyskania niektórych zaszyfrowanych plików za pomocą bezpłatnych deszyfratorów. Dla jasności: nie wszystkie rodziny ransomware mają stworzone dla nich deszyfratory, w wielu przypadkach dlatego, że ransomware wykorzystuje zaawansowane i wyrafinowane algorytmy szyfrowania.
A nawet jeśli istnieje deszyfrator, nie zawsze jest jasne, czy jest on przeznaczony dla właściwej wersji złośliwego oprogramowania. Nie chcesz dalej szyfrować swoich plików za pomocą niewłaściwego skryptu deszyfrującego. Dlatego przed podjęciem jakichkolwiek prób należy zwrócić szczególną uwagę na samą wiadomość z żądaniem okupu lub zasięgnąć porady specjalisty ds. bezpieczeństwa/informatyki.
Inne sposoby radzenia sobie z infekcją ransomware obejmują pobranie produktu zabezpieczającego znanego z remediacji i uruchomienie skanowania w celu usunięcia zagrożenia. Możesz nie odzyskać swoich plików, ale możesz mieć pewność, że infekcja zostanie usunięta. W przypadku ransomware blokującego ekran może być konieczne pełne przywrócenie systemu. Jeśli to nie zadziała, możesz spróbować uruchomić skanowanie z rozruchowej płyty CD lub dysku USB.
Jeśli chcesz spróbować udaremnić infekcję szyfrującym oprogramowaniem ransomware w akcji, musisz zachować szczególną czujność. Jeśli zauważysz, że twój system zwalnia bez wyraźnego powodu, wyłącz go i odłącz od Internetu. Jeśli po ponownym uruchomieniu złośliwe oprogramowanie będzie nadal aktywne, nie będzie w stanie wysyłać ani odbierać instrukcji z serwera dowodzenia i kontroli. Oznacza to, że bez klucza lub sposobu na wyciągnięcie płatności złośliwe oprogramowanie może pozostać bezczynne. W takim przypadku należy pobrać i zainstalować produkt zabezpieczający i przeprowadzić pełne skanowanie.
Jednak te opcje usuwania oprogramowania ransomware nie będą działać we wszystkich przypadkach. Jak wspomniano powyżej, konsumenci powinni aktywnie bronić się przed oprogramowaniem ransomware, instalując oprogramowanie zabezpieczające, takie jak Malwarebytes Premiumoraz tworząc kopie zapasowe wszystkich ważnych danych. W przypadku firm, dowiedz się więcej o rozwiązaniach biznesowych Malwarebytes , które obejmują wykrywanie, zapobieganie i przywracanie oprogramowania ransomware.
Jak chronić się przed oprogramowaniem ransomware?
Security Eksperci zgadzają się, że najlepszym sposobem ochrony przed oprogramowaniem ransomware jest zapobieganie jego wystąpieniu.
Przeczytaj o najlepszych sposobach zapobiegania infekcji ransomware.
Chociaż istnieją metody radzenia sobie z infekcją ransomware, są one w najlepszym razie niedoskonałymi rozwiązaniami i często wymagają znacznie większych umiejętności technicznych niż przeciętny użytkownik komputera. Oto, co zalecamy robić, aby uniknąć skutków ataków ransomware.
Pierwszym krokiem w zapobieganiu ransomware jest zainwestowanie w niesamowite cyberbezpieczeństwo - program z ochroną w czasie rzeczywistym, który został zaprojektowany w celu udaremnienia zaawansowanych ataków złośliwego oprogramowania, takich jak ransomware. Należy również zwrócić uwagę na funkcje, które zarówno chronią podatne programy przed zagrożeniami (technologia anty-exploit), jak i blokują ransomware przed przetrzymywaniem plików jako zakładników (komponent anty-ransomware ). Na przykład klienci korzystający z wersji premium Malwarebytes for Windows byli chronieni przed wszystkimi głównymi atakami ransomware w 2017 roku.
Następnie, choć może to być bolesne, należy regularnie tworzyć bezpieczne kopie zapasowe danych. Zalecamy korzystanie z pamięci masowej w chmurze, która obejmuje szyfrowanie wysokiego poziomu i uwierzytelnianie wieloskładnikowe. Możesz jednak kupić USB lub zewnętrzny dysk twardy, na którym możesz zapisywać nowe lub zaktualizowane pliki - pamiętaj tylko, aby fizycznie odłączyć urządzenia od komputera po utworzeniu kopii zapasowej, w przeciwnym razie mogą one również zostać zainfekowane oprogramowaniem ransomware.
Następnie należy upewnić się, że systemy i oprogramowanie są zaktualizowane. Epidemia ransomware WannaCry wykorzystała lukę w oprogramowaniu Microsoft. Chociaż firma wydała poprawkę do luki w zabezpieczeniach w marcu 2017 r., wiele osób nie zainstalowało aktualizacji - co pozostawiło ich otwartymi na atak. Zdajemy sobie sprawę, że trudno jest być na bieżąco ze stale rosnącą listą aktualizacji oprogramowania i aplikacji używanych w codziennym życiu. Dlatego zalecamy zmianę ustawień, aby włączyć automatyczną aktualizację.
Wreszcie, bądź na bieżąco. Jednym z najczęstszych sposobów infekowania komputerów oprogramowaniem ransomware jest inżynieria społeczna. Poinformuj siebie(i swoich pracowników, jeśli jesteś właścicielem firmy), jak wykrywać złośliwy spam, podejrzane strony internetowe i inne oszustwa. A przede wszystkim zachowaj zdrowy rozsądek. Jeśli coś wydaje się podejrzane, prawdopodobnie takie jest.
Jak oprogramowanie ransomware wpływa na moją firmę?
GandCrab, SamSam, WannaCry, NotPetya - to różne rodzaje oprogramowania ransomware, które mocno uderzają w firmy. W rzeczywistości ataki ransomware na firmy wzrosły o 88% w drugiej połowie 2018 r., ponieważ cyberprzestępcy odchodzą od ataków skoncentrowanych na konsumentach. Cyberprzestępcy zdają sobie sprawę, że duży biznes przekłada się na duże zyski, atakując szpitale, agencje rządowe i instytucje komercyjne. Podsumowując, średni koszt naruszenia danych, w tym środki zaradcze, kary i wypłaty za oprogramowanie ransomware, wynosi 3,86 miliona dolarów.
Większość przypadków ransomware w ostatnim czasie została zidentyfikowana jako GandCrab. Po raz pierwszy wykryty w styczniu 2018 r., GandCrab przeszedł już kilka wersji, ponieważ autorzy zagrożenia utrudniają obronę przed ransomware i wzmacniają jego szyfrowanie. Szacuje się, że GandCrab zebrał już około 300 milionów dolarów w płatnych okupach, z indywidualnymi okupami w wysokości od 600 do 700 000 dolarów.
W innym znaczącym ataku, który miał miejsce w marcu 2018 r., oprogramowanie ransomware SamSam sparaliżowało miasto Atlanta, blokując kilka podstawowych usług miejskich - w tym gromadzenie dochodów i system prowadzenia dokumentacji policyjnej. W sumie atak SamSam kosztował Atlantę 2,6 miliona dolarów.
Biorąc pod uwagę falę ataków ransomware i związane z nimi ogromne koszty, teraz jest dobry czas, aby mądrze chronić swoją firmę przed oprogramowaniem ransomware. Omówiliśmy ten temat bardzo szczegółowo wcześniej, ale oto krótki przegląd sposobów ochrony firmy przed złośliwym oprogramowaniem.
- Tworzenie kopii zapasowych danych. Zakładając, że masz dostępne kopie zapasowe, zaradzenie atakowi ransomware jest tak proste, jak wyczyszczenie i ponowne obrazowanie zainfekowanych systemów. Warto przeskanować kopie zapasowe, aby upewnić się, że nie zostały zainfekowane, ponieważ niektóre programy ransomware są zaprojektowane do wyszukiwania udziałów sieciowych. W związku z tym dobrze byłoby przechowywać kopie zapasowe danych na bezpiecznym serwerze w chmurze z szyfrowaniem wysokiego poziomu i uwierzytelnianiem wieloskładnikowym.
- Aktualizuj oprogramowanie. Oprogramowanie ransomware często opiera się na zestawach exploitów w celu uzyskania nielegalnego dostępu do systemu lub sieci (np. GandCrab). Dopóki oprogramowanie w sieci jest aktualne, ataki ransomware oparte na exploitach nie mogą ci zaszkodzić. W związku z tym, jeśli Twoja firma działa na nieaktualnym lub przestarzałym oprogramowaniu, jesteś narażony na ryzyko ransomware, ponieważ twórcy oprogramowania nie wydają już aktualizacji zabezpieczeń. Pozbądź się porzuconego oprogramowania i zastąp je oprogramowaniem nadal wspieranym przez producenta.
- Edukuj swoich użytkowników końcowych w zakresie złośliwego spamu i tworzenia silnych haseł. Przedsiębiorczy cyberprzestępcy stojący za Emotetem wykorzystują dawnego trojana bankowego jako narzędzie do dostarczania oprogramowania ransomware. Emotet polega na złośliwym spamie, aby zainfekować użytkownika końcowego i zdobyć przyczółek w sieci. Po wejściu do sieci Emotet zachowuje się jak robak, rozprzestrzeniając się z systemu na system przy użyciu listy popularnych haseł. Ucząc się, jak wykrywać złośliwą pocztę i wdrażając uwierzytelnianie wieloskładnikowe, użytkownicy końcowi będą o krok przed cyberprzestępcami.
- Zainwestuj w dobrą technologię cyberbezpieczeństwa. Malwarebytes Na przykład Endpoint Detection and Response zapewnia funkcje wykrywania, reagowania i naprawiania za pośrednictwem jednego wygodnego agenta w całej sieci. Możesz również poprosić o bezpłatną wersję próbną technologii anty-ransomwareMalwarebytes , aby dowiedzieć się więcej o naszej technologii ochrony przed ransomware.
Co zrobić, jeśli już padłeś ofiarą oprogramowania ransomware? Nikt nie chce mieć do czynienia z oprogramowaniem ransomware po fakcie.
- Sprawdź, czy istnieje deszyfrator. W niektórych rzadkich przypadkach możesz być w stanie odszyfrować swoje dane bez płacenia, ale zagrożenia ransomware stale ewoluują w celu utrudnienia odszyfrowania plików, więc nie rób sobie nadziei.
- Nie płać okupu. Od dawna zalecamy, aby nie płacić okupu, a FBI (po kilku rozmowach) zgadza się z tym. Cyberprzestępcy nie mają skrupułów i nie ma gwarancji, że odzyskasz swoje pliki. Co więcej, płacąc okup pokazujesz cyberprzestępcom, że ataki ransomware działają.
Historia ataków ransomware
Pierwsze oprogramowanie ransomware, znane jako PC Cyborg lub AIDS, zostało stworzone pod koniec lat 80-tych. PC Cyborg szyfrował wszystkie pliki w katalogu C: po 90 restartach, a następnie żądał od użytkownika odnowienia licencji poprzez wysłanie 189 dolarów pocztą na adres PC Cyborg Corp. Zastosowane szyfrowanie było wystarczająco proste do odwrócenia, więc stanowiło niewielkie zagrożenie dla osób znających się na komputerach.
Z kilkoma wariantami pojawiającymi się w ciągu następnych 10 lat, prawdziwe zagrożenie ransomware pojawiło się na scenie dopiero w 2004 roku, kiedy to GpCode wykorzystał słabe szyfrowanie RSA do przetrzymywania osobistych plików dla okupu.
W 2007 roku WinLock zapowiadał pojawienie się nowego typu oprogramowania ransomware, które zamiast szyfrować pliki, blokowało ludziom dostęp do ich komputerów. WinLock przejmował ekran ofiary i wyświetlał obrazy pornograficzne. Następnie żądał zapłaty za ich usunięcie za pośrednictwem płatnej wiadomości SMS.
Wraz z rozwojem rodziny ransomware Reveton w 2012 roku pojawiła się nowa forma ransomware: ransomware dla organów ścigania. Ofiary były blokowane na pulpicie i pokazywana im była oficjalnie wyglądająca strona, która zawierała dane uwierzytelniające organów ścigania, takich jak FBI i Interpol. Oprogramowanie ransomware twierdziło, że użytkownik popełnił przestępstwo, takie jak włamanie do komputera, pobieranie nielegalnych plików, a nawet udział w pornografii dziecięcej. Większość rodzin ransomware dla organów ścigania wymagała zapłacenia grzywny w wysokości od 100 do 3000 dolarów za pomocą karty przedpłaconej, takiej jak UKash lub PaySafeCard.
Przeciętni użytkownicy nie wiedzieli, co z tym zrobić i wierzyli, że naprawdę są przedmiotem śledztwa prowadzonego przez organy ścigania. Ta taktyka socjotechniczna, obecnie określana jako domniemana wina, sprawia, że użytkownik kwestionuje swoją niewinność i zamiast być wezwanym do działania, z którego nie jest dumny, płaci okup, aby wszystko zniknęło.
W 2013 roku CryptoLocker ponownie zaprezentował światu szyfrujące oprogramowanie ransomware - tylko tym razem było ono znacznie bardziej niebezpieczne. CryptoLocker wykorzystywał szyfrowanie klasy wojskowej i przechowywał klucz wymagany do odblokowania plików na zdalnym serwerze. Oznaczało to, że odzyskanie danych bez zapłacenia okupu było praktycznie niemożliwe.
Ten rodzaj szyfrującego oprogramowania ransomware jest nadal używany, ponieważ okazał się niezwykle skutecznym narzędziem do zarabiania pieniędzy przez cyberprzestępców. Duże epidemie oprogramowania ransomware, takie jak WannaCry w maju 2017 r. i Petya w czerwcu 2017 r., wykorzystywały szyfrujące oprogramowanie ransomware do usidlenia użytkowników i firm na całym świecie.
Pod koniec 2018 r. Ryuk wkroczył na scenę ransomware z mnóstwem ataków na amerykańskie publikacje informacyjne, a także na Onslow Water and Sewer Authority w Karolinie Północnej. Co ciekawe, docelowe systemy zostały najpierw zainfekowane Emotetem lub TrickBotem, dwoma trojanami kradnącymi informacje, które są obecnie wykorzystywane do dostarczania innych form złośliwego oprogramowania, takich jak na przykład Ryuk. Dyrektor Malwarebytes Labs , Adam Kujawa, spekuluje, że Emotet i TrickBot są wykorzystywane do znajdowania wartościowych celów. Gdy system zostanie zainfekowany i oznaczony jako dobry cel dla ransomware, Emotet/TrickBot ponownie infekuje system Ryuk.
W 2019 r. przestępcy stojący za oprogramowaniem ransomware Sodinokibi (domniemanym odgałęzieniem GandCrab) zaczęli wykorzystywać dostawców usług zarządzanych (MSP) do rozprzestrzeniania infekcji. W sierpniu 2019 r. setki gabinetów dentystycznych w całym kraju odkryły, że nie mogą już uzyskać dostępu do danych swoich pacjentów. Atakujący wykorzystali skompromitowanego dostawcę usług zarządzanych, w tym przypadku firmę zajmującą się oprogramowaniem do prowadzenia dokumentacji medycznej, aby bezpośrednio zainfekować ponad 400 gabinetów dentystycznych korzystających z oprogramowania do prowadzenia dokumentacji.
Również w 2019 r. witryna Malwarebytes odkryła rodzinę oprogramowania ransomware Maze. Według raportu Malwarebytes"2021 State of Malware Report", "Maze wykraczał poza przetrzymywanie danych jako zakładników - zawierał dodatkową groźbę publicznego udostępnienia zakodowanych danych, jeśli okup nie zostanie zapłacony". Innym gangiem ransomware, który po raz pierwszy pojawił się w tym samym roku, jest REvil, znany również jako "Sodin" lub "Sodinokibi". REvil, wyrafinowany gang ransomware, wykorzystuje model Ransomware-as-a-Service (RaaS) do sprzedaży innym, którzy chcą używać ich oprogramowania do przeprowadzania ataków ransomware.
W 2020 roku na scenie pojawiła się kolejna nowa rodzina oprogramowania ransomware o nazwie Egregor. Uważa się, że jest to poniekąd następca rodziny ransomware Maze, ponieważ wielu cyberprzestępców, którzy pracowali z Maze, przeszło na Egregor. Podobnie jak Maze, Egregor wykorzystuje atak "podwójnego wymuszenia", w którym zarówno szyfruje pliki, jak i kradnie dane od ofiary, które grożą opublikowaniem w Internecie, chyba że okup zostanie zapłacony.
Podczas gdy ataki ransomware na osoby fizyczne stanowią problem od kilku lat, ataki ransomware na firmy, szpitale i systemy opieki zdrowotnej, szkoły i okręgi szkolne, samorządy lokalne i inne organizacje trafiły na pierwsze strony gazet w 2021 roku. Od Colonial Pipeline, przez dużego producenta mięsa JBS, po Steamship Authority, największą usługę promową w Massachusetts, atakujący ransomware pokazali, że są w stanie i chcą zakłócić funkcjonowanie dużych firm, które dostarczają towary codziennego użytku, takie jak benzyna, żywność i transport.
Przez cały 2021 rok widzieliśmy nagłówek po nagłówku dużych ataków ransomware na duże firmy i organizacje (zobacz sekcję wiadomości powyżej, aby przeczytać o wielu z nich). W połowie roku rząd USA oświadczył, że oprogramowanie ransomware ma być badane jak terroryzm i stworzył stronę internetową StopRansomware.gov, aby zebrać informacje na temat powstrzymywania i przetrwania ataków ransomware.
Co przyniesie reszta 2021 i 2022 roku w krajobrazie zagrożeń ransomware? Chociaż nie wiemy, będziemy tutaj, aby informować Cię na bieżąco. Zaglądaj na tę stronę, aby otrzymywać przyszłe aktualizacje i śledź blogMalwarebytes Labs , aby uzyskać najnowsze informacje na temat cyberbezpieczeństwa.