Ransomware

Ransomware
Polecane artykuły


Ransomware (oprogramowanie szantażujące) - słowo to wywodzi się z połączenia dwóch angielskich słów; ransom - okup, software - oprogramowanie. Ransomware wlicza się do klasy złośliwego oprogramowania służącego do uzyskania zysku finansowego[1].

Ransomware w odróżnieniu od wirusów wykorzystywanych w trakcie ataków typu z ang. hacking - kradzież danych nie jest przeznaczony do pozyskiwania dostępu do komputera czy systemu informatycznego w celu uzyskania danych, ale po to aby zablokować część lub całość funkcjonalności systemu operacyjnego posiadacza, lub zaszyfrowania części lub całości danych będących na urządzeniu ofiary. Urządzenie zaatakowane przez ransomware zmusza użytkownika do zapłacenia haraczu, w zamian za przywrócenie kontroli nad systemem operacyjnym i dostępem do danych. Wirus ten zakłóca pracę systemu komputerowego, co sprawia, że staje się on niezdatny do użytku. Następnie sprawcy wysyłają użytkownikowi żądanie okupu, pragnąć pieniędzy w zamian za przywrócenie kontroli nad systemem, lub uzyskanie dojścia do zaszyfrowanych danych.

Podział ransomware

  • blokujące część lub całość funkcji systemu. Takie ransomware blokuje ofierze dostęp do urządzenia, programów oraz zmniejsza jego moc obliczeniową, wskutek tego staje się ono często bezużyteczne,
  • szyfrujące część lub całość danych. Ten typ ransomware szyfruje dyski i ich zawartość, uniemożliwia tym samym użytkownikowi otwieranie plików czy uruchamianie aplikacji[2].

Sposoby działania ransomware

Jest wiele sposób za pomocą, których cyberprzestępcy infekują urządzenia złośliwym oprogramowaniem, wymuszającym okup. Do najczęściej wykorzystywanych sposobów dochodzi z użyciem,

  • spamu i socjotechniki. Ataki socjotechniczne są jedną z metod działania cyberprzestępców, polegają one na wywarciu wpływu lub manipulacji użytkownika danego systemu. Socjotechnika jest wykorzystywana, aby pozyskać dane od osób wewnątrz pewnej organizacji, albo zainfekować ją złośliwym oprogramowaniem. Odpowiednio dobrze przygotowana wiadomość e-mail podszywająca się pod zaufany podmiot i docierająca do nieświadomego pracownika gwarantuje wysokie prawdopodobieństwo skuteczności ataku,
  • ataków typu z ang. Drive by download. Sposób ten polega na tym, że do kodu strony internetowej wszczepiany jest złośliwy skrypt, który zawiera odnośnik do witryny mającej szkodliwe oprogramowanie. Po wejściu na tak zmodyfikowaną stronę następuje przekierowanie do szkodliwego adresu, które jest niewidoczne dla użytkownika, a także uruchomienie kodu zwanego exploitem i kolejno pobranie i instalacja szkodliwego oprogramowania na urządzeniu ofiary. Ataki Drive-by download te są bardzo popularne, ponieważ charakteryzują się prostotą działania i dużą skutecznością,
  • stron internetowych. Użytkownicy Internetu nieświadomie wchodzą na strony internetowe, które mają na celu infekowanie komputerów, a także pobierają pliki z niezaufanych źródeł[3].

Atak WannaCry

12 maja 2017 roku ransomware – WannaCry zaatakował ponad 150 krajów, infekując przy tym ponad 250 tys. ofiar w ciągu tylko 2 dni. Zainfekowane komputery dostały nową tapetę oraz okno z komunikatem o ataku. Ransomware komunikował się z zainfekowanymi osobami w 28 różnych językach. W okienku z komunikatem użytkownik został poinformowany o tym, że jego pliki zostały zaszyfrowane, aby odzyskać te dane musi zapłacić 300 dolarów (w bitcoinach). Jeśli nie wykona tego w przeciągu 3 dni, kwota haraczu wzrośnie do 600 dolarów. Jeżeli ofiara nie zapłaci przestępcom w ciągu 7 dni, to na zawsze straci możliwość odzyskania swoich danych. Ofiarami ataku WannaCry zostały podmioty prywatne i publiczne; do najważniejszych z nich należą: National Health Service, Nissan i Renault, Telefonica, FedEx, VTB (Rosyjski bank), RZD (Rosyjskie koleje), Shaheen Airlines (Pakistańskie linie lotnicze) i wiele innych[4].

Atak Petya

Wiele instytucji publicznych i przedsiębiorstw na Ukrainie i w kilku innych krajach w Europie 27 czerwca 2017 roku zostało zaatakowanych przez cyberprzestępców z użyciem wirusa typu ransomware Petya. W skutecznie zaatakowanych komputerach wirus ten zachował się jak klasyczny ransomware - zablokował dostęp do komputera szyfrując dane i wyświetliła się wiadomość z żądaniem zapłacenia okupu 300 USD w bitcoinach w zamian za odblokowanie urządzenia. Jednakże główną szkodliwością wirusa Petya była jego specyficzna cecha multiplikowania się w kolejnych urządzeniach połączonych w sieci. Kiedy wirus efektywnie zainfekuje komputer wyszukuje inne komputery w sieci danego podmiotu i je infekuje. wskutek tego wirus Petya szybko rozprzestrzenił się w firmach funkcjonujących w jednej grupie kapitałowej lub w oddziałach danego przedsiębiorstwa połączonych konkretnym wewnętrznym systemem informatycznym[5].

Bibliografia

Przypisy

  1. Liska A., Gallo T. (2016), Ransomware. Defending Against Digital Extortion, O’Reilly Media, USA, s. 3
  2. Botezatu B.(2018), Czym jest ransomware? Przewodnik zapoznawczy cz.I, "Bitdefender"
  3. Skóra R.(2018), Ransomware - jako zagrożenie dla cyberbezpieczeństwa. Analiza przypadku ataku Wannacry, “Securo” nr 5. Cyberbezpieczeństwo w XXI wieku, Warszawa, s. 40-41
  4. Skóra R.(2018), Ransomware - jako zagrożenie dla cyberbezpieczeństwa. Analiza przypadku ataku Wannacry, “Securo” nr 5. Cyberbezpieczeństwo w XXI wieku, Warszawa, s. 44-45
  5. Prokopowicz D., Gwoździewicz S.(2017), Analiza bezpieczeństwa ochrony systemów informatycznych w kontekście globalnego cyberataku ransomware przeprowadzonego w dniu 27 czerwca 2017 r., (w:) S. Gwoździewicz, K. Tomaszycki (red.), Prawne i społeczne aspekty cyberbezpieczeństwa, Międzynarodowy Instytut Innowacji “Nauka – Edukacja –Rozwój” w Warszawie, s. 66-67

Autor: Magdalena Kurcz