fbpx
vida usługi it katowice
Kontakt
vida usługi it katowice

Czym są ataki ransomware?

Udostępnij

Ataki ransomware stały się coraz poważniejszym zagrożeniem dla organizacji.  Wpływają nie tylko na bezpieczeństwo danych, ale także na zarządzanie, operacje, finanse, relacje z klientami i opinię publiczną oraz wiele innych aspektów.

 

Rosnąca popularność ataków ransomware i ich potencjał do wyrządzania szkód (od zamykania szkół po zakłócenia w świadczeniu opieki zdrowotnej), wywołały szersze dyskusje na temat zwalczania tego zagrożenia.

 

Dla organizacji chcących chronić się przed ransomware ważne jest zrozumienie, czym ono jest, jak i dlaczego ewoluuje oraz jakie środki można podjąć, aby je zatrzymać. Proaktywne działania przeciw atakom ransomware pomagają firmom chronić cenne dane i zapewnić ciągłość swoich operacji.

Co to jest ransomware?

Ransomware to złośliwe oprogramowanie (malware), które wykorzystuje szyfrowanie danych, aby wymusić na organizacjach zapłatę wysokich okupów. Po dokonaniu płatności, atakujący teoretycznie przywracają dostęp do danych lub je odszyfrowują, używając klucza deszyfrującego.

Ataki ransomware często zaczynają się od taktyki inżynierii społecznej, takiej jak e-maile phishingowe lub ataki metodą wodopoju, które wciągają użytkowników w pobranie złośliwego oprogramowania. Atakujący mogą następnie zażądać płatności w kryptowalucie, kartami kredytowymi lub przelewami bankowymi.

Przeczytaj również: Jak rozpoznać phishing? Przykłady phishingu w Polsce

W większości ataków ransomware szyfrowanie ogranicza dostęp do krytycznych plików, systemów i aplikacji. Odmowa lub brak zapłaty żądanej kwoty może skutkować trwałym zablokowaniem tych zasobów lub wyciekiem cennych danych na wstydliwe strony, czy czarne rynki.

Obecnie ataki ransomware stanowią najpoważniejsze zagrożenie cybernetyczne dla przedsiębiorstw i instytucji, zarówno pod względem finansowym, jak i informacyjnym. Według danych dotyczących ransomware pochodzących od FBI Stanów Zjednoczonych z działu Internet Crime Complaint Center (IC3), łączna suma strat z ataków ransomware zgłoszonych do IC3 wyniosła 30 miliardów dolarów w samym 2020 roku. W 2021 roku średnia żądana kwota w Stanach Zjednoczonych i Kanadzie wzrosła trzykrotnie, z 450 tysięcy do 1,2 miliona dolarów. Te liczby nadal rosną wraz ze wzrostem skali i zaawansowania ataków ransomware.

Jak działa ransomware?

Dla cyberprzestępców tworzenie i dystrybucja ransomware nie jest skomplikowana. Funkcje szyfrowania potrzebne do działania ransomware istnieją natywnie na maszynach z systemem Windows oraz na urządzeniach opartych na Unix, takich jak macOS czy Linux. Cyberprzestępcy mogą również korzystać z projektów open-source lub kupować gotowe złośliwe oprogramowanie od dostawców typu Ransomware-as-a-Service (RaaS), takich jak SMAUG RaaS czy Shifr RaaS. Te portale stają się coraz bardziej powszechne i łatwo dostępne dla mniej doświadczonych hakerów.

Gdy cyberprzestępcy mają już swoje ransomware, muszą jedynie zdecydować, jak je rozprowadzić. Typowe wektory infekcji obejmują taktyki inżynierii społecznej, takie jak e-maile phishingowe czy złośliwe pliki pobrane ze stron internetowych. Atakujący mogą również dostarczać złośliwe oprogramowanie poprzez fałszywe instalatory oprogramowania lub za pomocą skryptów na specjalnie skonstruowanych stronach internetowych.

Gdy staniesz się ofiarą i upoważnisz złośliwy plik, proces szyfrowania odbywa się w tle. Niestety często możesz nie zdawać sobie sprawy, że padłeś ofiarą oszustwa i twój system jest zainfekowany. Niektóre ransomware mogą opóźniać proces szyfrowania, tworząc okno czasowe dla cyberprzestępców, dzięki czemu mogą zamaskować swoje działania i utrudnić zespołowi ds. bezpieczeństwa śledzenie ataku.

Jednak nie każde ransomware wymaga interakcji użytkownika. Na przykład, ransomware SamSam, które pojawiło się w 2016 roku, atakowało słabe hasła na podłączonych urządzeniach, a niektóre odmiany ransomware mogą wykorzystać luki zero-day, aby uruchomić się bez interakcji użytkownika.

Dodatkowo popularna luka w Oracle WebLogic Server pozwoliła atakującym na wysyłanie ransomware bezpośrednio na komputery i uruchamianie go bez interakcji użytkownika. Częstotliwość i skala takich ataków nadal rosną, a szacuje się, że koszt ataków ransomware może osiągnąć 265 miliardów dolarów do 2031 roku. Dużo prawda?

SentinelOne Singularity XDR
Poznaj rozwiązanie, które wykorzystuje sztuczną inteligencję i uczenie maszynowe, aby odpowiednio wcześniej wykryć ransomware!
Sprawdzam!

Przykłady ataków ransomware na świecie

 

Ataki ransomware nadal zagrażają firmom na całym świecie, a atakujący stale ewoluują swoje taktyki, aby zmaksymalizować wpływ. W ostatnich latach miało miejsce kilka głośnych ataków ransomware, które spowodowały znaczne szkody i zakłócenia. Szczególnie istotne i pouczające przykłady ostatnich ataków ransomware obejmują:

 

  • Colonial Pipeline: W maju 2021 roku doszło do ataku ransomware na Colonial Pipeline, jednego z największych rurociągów paliwowych w Stanach Zjednoczonych. Atak spowodował poważne zakłócenia w dostawach paliwa na całym wschodnim wybrzeżu, prowadząc do paniki wśród konsumentów i niedoborów paliwa. Gang ransomware DarkSide przyznał się do ataku, a firma podobno zapłaciła 4,4 miliona dolarów, aby odzyskać dostęp do swoich systemów.
  • Merseyrail: Również w maju 2021 roku atak ransomware skierowany na brytyjskiego operatora kolejowego Merseyrail spowodował poważne zakłócenia w usługach. Atakujący, którzy prawdopodobnie należą do grupy BlackMatter, zażądali 10 milionów dolarów okupu w zamian za klucz deszyfrujący. Atak doprowadził do odwołania setek pociągów i dotknął tysiące pasażerów.
  • Kaseya: W lipcu 2021 roku atak ransomware skierowany na dostawcę oprogramowania Kaseya dotknął ponad 1000 firm. Atakujący, uważani za rosyjskojęzyczną grupę REvil, wykorzystali lukę w oprogramowaniu VSA firmy Kaseya, aby rozprzestrzenić ransomware na swoich klientów. Atakujący zażądali 70 milionów dolarów okupu za uniwersalny klucz deszyfrujący.
  • Rząd Kostaryki: W kwietniu 2022 roku Kostaryka ogłosiła stan wyjątkowy po tym, jak kilka instytucji rządowych ucierpiało w wyniku ataków ransomware. Rosyjska grupa ransomware Conti przyznała się do ataku i zaszyfrowała setki gigabajtów wrażliwych informacji. Ostatecznie Kostaryka odmówiła zapłacenia okupu, a atakujący ujawnili 50% zaszyfrowanych danych publicznie.
  • Szpital John Hopkins: W kwietniu 2023 roku, znany szpital John Hopkins padł ofiarą złożonego ataku ransomware, który spowodował poważne zakłócenia w funkcjonowaniu szpitala. Cyberprzestępcy zablokowali dostęp do systemów informatycznych, w tym do elektronicznych kart pacjentów, co wywołało opóźnienia w leczeniu i diagnostyce.
  • Optus: We wrześniu 2022 roku australijska firma telekomunikacyjna Optus padła ofiarą ataku ransomware, który doprowadził do zaszyfrowania danych 11,2 miliona klientów, w tym wrażliwych informacji, takich jak adresy, dane paszportowe i daty urodzenia. Pojedynczy cyberprzestępca przyznał się do ataku, opublikował 10 000 skradzionych danych online i zagroził dalszym wyciekiem, jeśli firma nie zapłaci okupu w wysokości 1 miliona dolarów. Jednakże napastnik wkrótce wycofał żądanie okupu i usunął skradzione dane.
  • Royal Mail: Rok 2023 rozpoczął się atakiem grupy LockBit na Royal Mail, narodową pocztę Wielkiej Brytanii. Atak sparaliżował międzynarodową wysyłkę poczty, pozostawiając miliony listów i paczek w systemie firmy. Dodatkowo strona śledzenia przesyłek, system płatności online i kilka innych usług również zostały sparaliżowane. W centrum dystrybucji Royal Mail w Irlandii Północnej drukarki zaczęły drukować charakterystyczne pomarańczowe noty z okupem od LockBit. Grupa zagroziła, że opublikuje skradzione dane w Internecie, jeśli okup nie zostanie zapłacony. Organizacja Royal Mail odmówiła zapłaty, więc dane zostały opublikowane.
Zapytaj specjalistę o rozwiązania chroniące przed ransomware!

Jak rozprzestrzenia się ransomware?

 

Zrozumienie, jak rozprzestrzenia się ransomware, jest kluczowe dla firm, aby podjąć odpowiednie kroki w celu ochrony swoich sieci, urządzeń i danych przed potencjalnymi atakami.

Phishing i inżynieria społeczna

Ataki ransomware mogą się rozprzestrzeniać za pomocą phishingu i taktyk inżynierii społecznej. Cyberprzestępcy używają wyrafinowanych metod, aby zmusić ofiary do pobrania złośliwych załączników lub kliknięcia w niebezpieczne linki.

E-maile phishingowe, zaprojektowane tak, by wyglądały na realistyczną korespondencję od zaufanych źródeł, wabią niczego nieświadomych odbiorców do kliknięcia w link lub pobrania złośliwego załącznika. Te e-maile mogą wydawać się pochodzić od banku, partnera biznesowego lub agencji rządowej i często stosują socjotechnikę, aby wywołać poczucie pilności lub strachu, skłaniając ofiarę do szybkiego działania.

 

Oprócz phishingu, ataki inżynierii społecznej mogą również rozprzestrzeniać ransomware. Ataki inżynierii społecznej mogą przybierać różne formy np. rozmowy telefonicznej. Często polegają na manipulowaniu ofiarą i zmuszeniu jej do ujawnienia wrażliwych informacji lub pobrania złośliwego oprogramowania. Te ataki wykorzystują ludzkie słabości i często polegają na podszywaniu się pod osobę z autorytetem lub dobrze nam znaną, taką jak administrator IT, dostawca oprogramowania lub nasz szef.

 

Firmy mogą edukować swoich pracowników za pomocą szkolenia “Cyberbezpieczny Pracownik” , które pomaga uczestnikom rozpoznawać i unikać ataków phishingowych. Wdrożenie środków bezpieczeństwa, takich jak wieloskładnikowe uwierzytelnianie, filtry spamowe i regularne aktualizacje oprogramowania, również może pomóc w zapobieganiu infekcjom ransomware.

okKoala testy phishingowe
Testy phishingowe dla firm
Przeprowadź kontrolowane i zaawansowane testy phishingowych, które naśladują realne ataki!
Sprawdzam!

Zhakowane strony internetowe i ataki drive-by

 Ransomware może rozprzestrzeniać się przez zhakowane strony internetowe i ataki drive-by. Atakujący wykorzystują luki w kodzie strony lub tworzą fałszywe strony, które wyglądają na prawdziwe. Następnie wstrzykują złośliwy kod, który infekuje odwiedzających, gdy klikną w link lub wejdą na stronę.

 

Ataki drive-by automatycznie pobierają i instalują złośliwe oprogramowanie na urządzeniu użytkownika, często bez jego wiedzy. Dlatego ważne jest, aby firmy aktualizowały wszystkie oprogramowania i systemy, oraz szkoliły pracowników, aby rozpoznawali i unikali podejrzanych stron i pobrań.

 

Malvertising

 Malvertising, czyli złośliwe reklamy, to technika, w której cyberprzestępcy umieszczają złośliwe oprogramowanie w legalnych reklamach internetowych. Gdy użytkownicy klikną na taką reklamę, są przekierowywani na stronę, która pobiera i instaluje złośliwe oprogramowanie na ich komputerze.

 

Ataki malvertisingu często celują w strony o dużym ruchu, używając zaawansowanych technik, by uniknąć wykrycia. Jedną z metod jest atak „watering hole”, w którym hakerzy kompromitują legalną stronę, a zainfekowane reklamy mogą następnie atakować użytkowników. Inna metoda to „drive-by download”, w której złośliwa reklama automatycznie instaluje ransomware na komputerze użytkownika.

 

Firmy mogą się chronić, używając adblockerów, aktualizując oprogramowanie antywirusowe i edukując pracowników o ryzyku klikania na nieznane linki i reklamy.

Zestawy malware

 Zestawy malware to pakiety narzędzi i skryptów, które służą do tworzenia złośliwego oprogramowania. Są dostępne na dark webie i mogą być używane nawet przez osoby o ograniczonych umiejętnościach technicznych do tworzenia i rozprowadzania malware, w tym ransomware.

 

Cyberprzestępcy wykorzystują zestawy malware wraz z inżynierią społeczną, aby nakłonić użytkowników do kliknięcia w złośliwy link lub otwarcia złośliwego załącznika. Po zainstalowaniu malware może ono zainfekować cały system i rozprzestrzenić się na inne komputery w sieci.

 

Zestawy malware zawierają techniki ukrywania, by uniknąć wykrycia przez antywirusy, oraz instrukcje, jak omijać zabezpieczenia takie jak zapory ogniowe. Są stale ulepszane i wydawane z nowymi funkcjami i zdolnościami do ukrywania się.

Pobieranie zainfekowanych plików i aplikacji

 Atakujący mogą oszukiwać użytkowników, umieszczając złośliwy kod w pozornie legalnych plikach i aplikacjach, a następnie zachęcając do ich pobrania. Mogą rozpowszechniać zainfekowane wersje popularnego oprogramowania, które po instalacji uruchamia ransomware. Często stosują taktyki inżynierii społecznej, maskując zainfekowane pliki jako aktualizacje, łatki bezpieczeństwa czy kuszące oprogramowanie.

 

Atakujący mogą także używać platform do udostępniania plików lub sieci P2P do rozpowszechniania zainfekowanych plików, co może skutkować nieświadomym pobraniem ransomware przez użytkowników.

 

Firmy mogą się bronić, pobierając oprogramowanie z renomowanych źródeł, regularnie je aktualizując, szkoląc pracowników w rozpoznawaniu podejrzanych pobrań oraz korzystając z antywirusów i antymalware do skanowania potencjalnych zagrożeń.

Wiadomości i media społecznościowe

 Atakujący wykorzystują zaufanie i ciekawość użytkowników, aby skłonić ich do klikania w złośliwe linki lub pobierania zainfekowanych plików. Mogą to robić za pomocą wiadomości od znajomego lub fałszywego konta. Ransomware jest często ukrywane jako link, załącznik, zdjęcie lub film, które wydają się pochodzić od znajomego lub współpracownika.

 

Cyberprzestępcy mogą również używać grafiki wektorowej (SVG), by omijać filtry rozszerzeń. Po otwarciu takiego pliku, ofiara może zostać przekierowana na stronę, która zachęca do instalacji złośliwego oprogramowania, które rozprzestrzenia się na kontakty ofiary.

 

Ransomware może także być rozpowszechniane za pomocą oszustw phishingowych na platformach społecznościowych, np. w wiadomości od rzekomej znanej marki lub organizacji. Aby uniknąć takich ataków, firmy mogą szkolić pracowników w rozpoznawaniu podejrzanych linków i załączników oraz utrzymywać aktualne oprogramowanie bezpieczeństwa i tworzyć kopie zapasowe krytycznych danych.

Ataki typu Brute Force na RDP

 W ataku typu Brute Force, cyberprzestępcy próbują wielu kombinacji haseł, aż znajdą poprawne. Atakujący często wykorzystują tę metodę, aby zaatakować punkty końcowe protokołu zdalnego pulpitu (RDP), zazwyczaj znajdujące się na serwerach lub stacjach roboczych, które pracownicy wykorzystują do zdalnego połączenia się z siecią korporacyjną.

 

Atakujący muszą najpierw zidentyfikować punkt końcowy RDP celu, aby przeprowadzić atak typu Brute Force. Następnie używają zautomatyzowanego oprogramowania do wypróbowania różnych kombinacji haseł, aż znajdą właściwe, co daje im dostęp do sieci celu.

 

Atak typu Brute Force może odnieść sukces, jeśli cel używa słabych haseł, takich jak „password123” lub „admin123”. Firmy mogą narzucić politykę stosowania silnych haseł, wymagając skomplikowanych haseł z mieszaniną liter dużych i małych liter, liczb i symboli oraz wdrożyć uwierzytelnianie wieloskładnikowe, aby zmniejszyć ryzyko ataku typu Brute Force.

Ransomware wieloplatformowe

 Ransomware wieloplatformowe to złośliwe oprogramowanie zdolne do zainfekowania wielu systemów operacyjnych, takich jak Windows, macOS i Linux. Po zainfekowaniu urządzenia ransomware może przemieszczać się po sieci do innych podłączonych urządzeń, szyfrując pliki w miarę postępu. Może się rozprzestrzeniać na różne urządzenia, niezależnie od rodzaju urządzenia czy systemu operacyjnego, który jest uruchomiony.

Zapytaj specjalistę o rozwiązania chroniące przed ransomware!

Ochrona przed ransomware

 Ochrona przed ransomware obejmuje różne metody i techniki zapobiegania, wykrywania i łagodzenia skutków ataków ransomware. Środki te obejmują regularne tworzenie kopii zapasowych, segmentację sieci, korzystanie z Endpoint protection platforms (EPP), edukację pracowników oraz odpowiednio zaprojektowane plany reagowania na incydenty.

 

Strategia ochrony przed ransomware jest kluczowa dla minimalizacji ryzyka padnięcia ofiarą ataku, który może prowadzić do kosztownego przestoju, utraty produktywności, kradzieży lub naruszenia poufnych informacji. Może również zaszkodzić reputacji organizacji i prowadzić do utraty zaufania klientów.

 

Niestety, zapłacenie okupu nie zawsze skutkuje bezpiecznym zwrotem danych i może zachęcać do dalszych ataków. Wykrywanie i usuwanie ransomware to istotny aspekt cyberbezpieczeństwa, którego firmy nie mogą sobie pozwolić zignorować. Skuteczne usuwanie jest kluczowym krokiem, który umożliwia szybkie odzyskanie i pomaga firmom wrócić do normalności oraz kontynuować swoje działania, niezależnie od skali lub głębokości skutków ataku.

 Przeczytaj również:

 

Wykrywanie i zapobieganie z SentinelOne

 Dla firm, które chcą kompleksowego i aktywnego rozwiązania cyberbezpieczeństwa, które wykryje i powstrzyma ataki ransomware, platforma Singularity XDR od SentinelOne zapewnia ochronę punktu końcowego, pełną widoczność, skuteczną ochronę i szybką reakcję.

 

SentinelOne Singularity XDR wykorzystuje sztuczną inteligencję i uczenie maszynowe, aby zapewnić firmom lepszą ochronę całej ich infrastruktury IT. Może wykryć ransomware wcześniej, zanim spowoduje duże szkody, automatycznie izolować zainfekowane systemy i przywracać kopie zapasowe, minimalizując wpływ na działalność.

 

Platforma Singularity XDR pozwala firmom szybko wykrywać i reagować na podejrzane aktywności, monitorować sieć pod kątem podatności, pomagając zamykać luki w bezpieczeństwie, zanim cyberprzestępcy je wykorzystają.

 

Rozwiązań na rynku jest mnóstwo! Każda organizacja jest inna i ma inne potrzeby, dlatego, zanim zdecydujesz się na konkretne rozwiązanie, to koniecznie skontaktuj się z naszym specjalistą ds., bezpieczeństwa. Dlaczego? Pomoże Ci dobrać odpowiednie rozwiązanie, które będzie szyte na miarę Twojego biznesu. Zadbaj o cyberbezpieczeństwo już dziś!

Jakie rozwiązanie do ochrony przed ransomware wybrać?
Zapytaj Specjalistę bezpłatnie!

FAQ

Ransomware to rodzaj złośliwego oprogramowania, które blokuje dostęp do danych w systemie komputerowym, żądając od ofiary okupu za ich odblokowanie. To zagrożenie wpływa na organizacje poprzez szyfrowanie danych, co wymusza zapłatę wysokich sum za ich odszyfrowanie.

Ransomware może się rozprzestrzeniać na kilka sposobów, w tym przez e-maile phishingowe, ataki inżynierii społecznej, zhakowane strony internetowe oraz złośliwe reklamy. Cyberprzestępcy często stosują socjotechniki, aby skłonić ofiary do pobrania złośliwego oprogramowania.

Ochrona przed ransomware wymaga podejmowania różnych środków, takich jak regularne tworzenie kopii zapasowych danych, edukacja pracowników na temat cyberbezpieczeństwa, stosowanie wieloskładnikowego uwierzytelnienia, aktualizacje oprogramowania, implementacja platformy cyberbezpieczeństwa.

Zapłacenie okupu nie zawsze skutkuje odzyskaniem dostępu do danych. Często cyberprzestępcy nie przestrzegają swoich obietnic, a zapłata może zachęcać ich do dalszych ataków.

Ataki ransomware mogą powodować poważne zakłócenia w działaniu organizacji, prowadząc do strat finansowych, utraty produktywności oraz uszkodzenia reputacji. Według danych z IC3, straty związane z ransomware mogą być ogromne, osiągając dziesiątki miliardów dolarów rocznie.

Sprawdź nasze usługi

Szkolenie
ESET
EarlyBird - 199 zł netto
Cyberbezpieczny
pracownik
Zwiększ bezpieczeństwo IT swojej firmy poprzez cyberedukację pracowników
szkolenie
Forti
Trade Up
Skorzystaj z rabatu 45% na nowe urządzenie!
Bezpłatne
Konsultacje FortiGate
Sprawdź czy w pełni wykorzystujesz możliwości urządzenia FortiGate w swojej firmie

Zobacz również

Webinar NIS2
Zapisz się!
szkolenie bezpieczny pracownik w IT

Ludzie są najcenniejszą wartością Twojej organizacji

Zwiększ bezpieczeństwo IT firmy poprzez cyberedukację pracowników. Postaw na szkolenie CyberBezpieczny Pracownik!

Dowiedz się więcej

Zaufali nam

Poprzedni
Następny
Sprawdź jak ocenili nas klienci
5/5
251 opinii z Google

Case Study

Blog

Polecane produkty

Szkolenia

Webinary

Śledź nas:

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz: