Ransomware to rodzaj złośliwego oprogramowania, na który narażone są urządzenia osobiste, takie jak komputery i smartfony, ale także firmowe sieco. Przestępcy kodują dane i żądają okupu w zamian za ich odszyfrowanie. Ransomware rozprzestrzenia się na różne sposoby np. przez mejle. Okazją do hakerskich poczynań jest również niezaktualizowane oprogramowanie.
– Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma zdecyduje się opłacić okup, wygrali, ponieważ uzyskali znaczną sumę pieniędzy. Jeżeli organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również przyniesie przestępcom finansową korzyść – opowiada Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Ataki typu ransomware zdarzają się bardzo często, ale wiele firm i instytucji nie informuje publicznie, że padły ich ofiarami – zwłaszcza jeżeli zdecydowały się zapłacić okup. Na celowniku przestępców w tym roku znalazła się m.in. największa na świecie franczyzowa rozlewnia Coca-Coli, która po negocjacjach zapłaciła okup. Natomiast instytucja Royal Mail nie uległa szantażystom, co skończyło się opublikowaniem skradzionych danych.
Negocjacje z hakerem
Z raportu Veeam „Raport globalny 2023. Trendy ransomware” wynika, że aż 80 proc. zaatakowanych firm decyduje się na zapłacenie okupu. Okazuje się jednak, że w znacznej części przypadków mimo wpłaty szantażyści opublikowali dane, które firma chciała ochronić. Zdarzyło się to w 21 proc. badanych organizacji.
– I tu właśnie widać sedno problemu: ransomware wykorzystują przestępcy, czyli osoby, które nagminnie i celowo łamią zasady. Czasami wydaje się, że zapłacenie im to jedyny sposób, aby uniknąć dużego kryzysu lub strat biznesowych przewyższających żądaną sumę pieniędzy. Jednak nikt nie może zagwarantować nam, że po wpłaceniu okupu otrzymamy z powrotem dostęp do naszych danych, a one same nie zostaną sprzedane lub opublikowane. Co więcej, opłacając okupy, firmy przyczyniają się do rozwoju cyberprzestępczości, ponieważ sprawiają, że takie działania są opłacalne – komentuje Kamil Sadkowski.
Zdarza się, że okupy są opłacane z polis ubezpieczeniowych. Trzeba jednak pamiętać, że w takich sytuacjach zwykle ubezpieczyciele podnoszą firmom składki. Poza tym coraz częściej wyłączają to zagrożenie z pakietów ochronnych.
Ataki ransomware są tak częste i skuteczne, że przestępcy poszli krok dalej i przekształcili ich część w niezgodną z prawem usługę biznesową – RaaS, czyli Ransomware as a Service. To model biznesowy, w którym operatorzy piszą oprogramowanie, a inne podmioty płacą za przeprowadzanie ataków przy jego użyciu. Nazwa przywołuje skojarzenie z modelem oprogramowania jako usługi (SaaS), jednak RaaS, zamiast oferować legalny software, daje ransomware.
Porady ekspertów
Co zrobić, gdy firma stanie się ofiarą ataku ransomware? Zgodnie z zaleceniami specjalistów ds. cyberbezpieczeństwa, po pierwsze należy niezwłocznie odłączyć zaatakowane urządzenie od reszty sieci. Drugi krok – trzeba zdobyć jak największą wiedzę na temat incydentu, m.in. jak został zainicjowany, jak się rozprzestrzenia i czy możliwe jest odzyskanie danych z kopii zapasowych. Należy zadać sobie pytanie: czy atak rozprzestrzenia się na tyle szeroko i szybko, że warto na pewien czas wstrzymać procesy biznesowe? Warto dodać, że takie rozwiązanie może zdecydowanie ograniczyć jego zasięg. Poza tym firma powinna jak najszybciej zaktualizować systemy bezpieczeństwa, jak i pozostałe oprogramowanie na wszystkich sprzętach działających w firmie – także urządzeniach mobilnych.
– Najlepiej jednak byłoby nigdy nie musieć zadawać sobie pytania „płacić czy nie płacić?”. W tym celu warto na bieżąco dbać o zabezpieczenia w firmie. Najistotniejsze są tu aktualizacje, zarówno programów zabezpieczających, jak i wszystkich innych systemów, które działają na firmowych urządzeniach. To właśnie na tego rodzaju luki bezpieczeństwa czyhają przestępcy i są w stanie szybko je wykorzystać – zwraca uwagę Kamil Sadkowski.
Oczywiście – jak w wielu innych życiowych sytuacjach – lepiej zapobiegać niż leczyć. Dlatego warto korzystać z wielowarstwowych rozwiązań zabezpieczających, które mogą wykryć i zablokować atak. Konieczne są też szkolenia pracowników dotyczące metod identyfikacji e-oszustw. Nie wolno zapominać także o tworzeniu kopii zapasowych danych i stosowaniu strategii odzyskiwania ich po ewentualnej awarii lub ataku.
