Pravi je to scenarij iz noćne more za svakog IT menadžera: primiti telefonski poziv tijekom kojega ga obavještavaju da su stotine računala u tvrtki zaražene ransomwareom, ucjenjivačkim softverom, zbog čega su kritični i za posao ključni sustavi tvrtke sada nedostupni a ugroženo je i kompletno poslovanje same organizacije. Upravo to dogodilo se jednoj velikoj tvrtki početkom ove godine. Ona je postala žrtvom pažljivo planiranog i izvršenog napada ransomwareom. Istraga Symanteca utvrdila je kako se radilo o savršenom primjeru sve češćih napada koji specifično ciljaju tvrtke. Istovremeno dok većina kriminalnih grupa ransomwareom napada široke skupine korisnika, ne birajući ciljeve, dio ovih grupa namjerno cilja pojedine organizacije kako bi onemogućili njihovo dnevno poslovanje i kako bi bili u poziciji zahtijevati velike otkupnine. Mnogi ovi napadi koriste istu razinu znanja i ekspertize koju vidimo kod cyberšpijunaže i s njom povezanih napada te se u napadu koriste alati i sredstva koji zloupotrebljavaju sigurnosne propuste u softveru, kao što se koriste i legitimna softverska pomagala, a sve s ciljem provaljivanja u mrežnu infrastrukturu organizacije. Napadači u našem primjeru nisu bili ništa drugačiji te su pristup tvrtkinoj mreži dobili kroz zloupotrebu nezakrpane ranjivosti na jednom od njezinih servera. Korištenjem javnog dostupnih hakerskih alata, napadači su skenirali mrežu žrtve i zarazili što je bilo moguće više računala s dotad nepoznatom varijantom ransomwarea. Ovaj je napad prouzročio znatne probleme u poslovanju organizacije, ali stvari su mogle biti još i puno gore. Na sreću, ključni sustavi ponovno su brzo osposobljeni a većina kriptiranih podataka koje je ransomware napao mogla se vratiti iz sigurnosnih kopija.
Iako su ove vrste napada još uvijek rijetke, sada je kroz niz primjera dokazano kako su itekako moguće te se pred kriminalnim skupinama koje ih provode sad otvaraju posve nove potencijalne mogućnosti da od bogatih organizacija iznude otkupnine, što bi ih moglo motivirati da u povećanoj mjeri nastave s ovom vrstom napada.
Zabrinjavajući trendovi
Symantecov najnoviji izvještaj o ransomwareu otkriva kako se u slučaju ucjenjivačkog zloćudnog softvera radi o jednoj od najvećih prijetnji s kojom se danas suočavaju i tvrtke i pojedinci. Prošla, 2015. godina, bila je u ovom pogledu rekordna te je otkriveno više od 100 novih obitelji ransomwarea. Većina otkrivenog ransomwarea sada pripada skupini opasnijih vrsti ove prijetnje: radi se o crypto-ransowmareu koji kriptira (zaključava) sve datoteke žrtve sa snažnom, u pravilu neprobojnom enkripcijom.
Prosječan iznos ucjene sada je više nego dvostruko veći nego ranije i iznosi 679 američkih dolara, dok je krajem 2015. iznosio 294 dolara. Ove smo godine također zabilježili i nov rekord u pogledu visine otkupnine kada je prijetnja znana pod imenom 7ev3n-HONE$T (Trojan.Cryptolocker.AD) tražila otkupninu u visini od 13 bitcoina po zaraženom računalu (što je, po tečaju na datum otkrivanja u siječnju 2016., iznosilo oko 5083 dolara po računalu!).
Tko je najviše ugrožen? Sjedinjene Američke Države nalaze se na vrhu popisa zemalja u kojima se bilježi najviše napada ransomwareom te se ondje događa ukupno 31 posto infekcija. Među top 10 zemalja nalaze se još i Italija, Japan, Nizozemska, Njemačka, Ujedinjeno Kraljevstvo, Kanada, Belgija, Indija te Australija. Većina žrtava ransomwarea i dalje su pojedinci (57 posto), ali predviđanja dugoročnih trendova daju naznačiti kako broj napada ucjenjivačkim zloćudnim softverom na tvrtke raste polako ali sigurno te bi se ovaj omjer uskoro mogao i promijeniti. Servisni sektor gospodarstva, s ukupno 38 posto infekcija svih organizacija, na vrhu je najviše ugrožene vrste tvrtki. Nakon njega slijede tvrtke u proizvodnom sektoru (17 posto infekcija) kao i organizacije koje djeluju u sektorima financija, osiguranja i nekretnina (10 posto) i javna administracija (također 10 posto).
Savjeti za tvrtke i pojedinačne korisnike
• Nove varijacije ucjenjivačkog softvera pojavljuju se gotovo na dnevnoj bazi. Neka vaš sigurnosni softver uvijek bude nadograđen na najnoviju verziju jer se jedino tako možete zaštititi od ove vrste prijetnji. • Vaš operacijski sustav i sav drugi softver mora uvijek biti nadograđen na najnoviju verziju. Nadogradnje softvera često sadrže upravo zakrpe kojima se eliminiraju novootkrivene ranjivosti u softveru, a upravo bi njih inače mogli iskoristiti hakeri koji vas žele zaraziti ransomwareom. • Elektronička pošta jedan je od najčešćih izvora zaraze. Obrišite svaku poruku elektroničke pošte koju primite a koja vam djeluje sumnjivo, posebice ukoliko ona sadrži poveznice ili privitke. • Budite posebno sumnjičavi oko svakog privitka u formatu datoteka Microsoftovog Officea koji vas pokušava nagovoriti da omogućite izvođenje makro naredbi kako biste vidjeli sadržaj dokumenta. Osim u slučajevima kada ste apsolutno sigurni da je to stvarna poruka elektroničke pošte iz izvora kojem vjerujete, nikada nemojte omogućiti izvođenje makro naredbi već odmah obrišite tu poruku. • Stvaranje sigurnosnih kopija podataka najučinkovitiji je način za borbu protiv infekcije ransomwareom. Napadači su u prednosti nad svojim žrtvama zato što kriptiraju njima vrijedne datoteke koje potom postaju nedostupne. Ako žrtva ima sigurnosnu kopiju, tada može iz nje povratiti ove podatke nakon uklanjanja infekcije.
Savjeti za zaštitu Usvajanje pristupa zaštiti na više razina smanjuje šansu za infekciju ransomwareom. Symantec nudi sveobuhvatnu strategiju koja štiti od ove vrste napada na tri razine: 1. Prevencija: Sigurnost elektroničke pošte, prevencija upada u mrežu, nadzor datoteka koje se preuzimaju, zaštita web preglednika, proaktivna zaštita od sigurnosnih prijetnji. 2. Onesposobljavanje: Napredno antivirusno rješenje koje otkriva sigurnosne prijetnje temeljem potpisa i s heurističkim funkcijama koje podrazumijevaju strojno učenje, uključujući SONAR i Sapient. 3. Reakcija: Specijalizirani timovi za odgovor na sigurnosne incidente pomažu organizacijama da saniraju posljedice napada ransomwareom.