Ransomware, hoțul de fișiere. Ce este acest atac și cum poate fi prevenit

9 octombrie 2020: publicația The Register tocmai aflase că Software AG, o mare companie IT germană, a fost atacată cu ransomware. Firma a dezvăluit că atacul a început în 3 octombrie și s-a soldat cu scurgeri de date de pe serverele centrale. Nu au fost afectate serviciile către clienți, dar Software AG a fost nevoită să închidă sistemele interne, conform regulamentului organizației.

Pagina Web creată de atacatori a fost populată cu imagini ale pașapoartelor angajaților, cu note interne, facturi și anuare de contacte. Aceste materiale conțineau indicii care vizau clienții din SUA și Canada. Specialiștii în criminalitate informatică au identifcat atacul ca fiind varianta Clop Ransomware.

Ce este ransomware

Acest tip de atac a devenit unul dintre cele mai întâlnite în securitatea digitală. Anul 2020 a constituit o perioadă propice dezvoltării ransomware-ului, mai ales asupra companiilor mari. Atacurile sunt tot mai complexe și implică tehnici sofisticate prin care se profită de computere și sisteme digitale.

Spre deosebire de alte tipuri de atacuri, ransomware este un tip de malware care preia controlul computerului, prin criptarea fișierelor cestuia. După criptare, nu mai puteți accesa fișierele fără să aveți cheia privată de decriptare. De obicei, se răspândește prin e-mailuri rău intenționate care vă cer să descărcați un fișier atașat. Descărcarea lansează un program care vă infectează sistemul. În afară de e-mail-ul ransomware, vă puteți infecta și prin anunțuri rău intenționate pe site-uri compromise.

După infectarea unui sistem, ransomware-ul blochează fiecare fișier de date pe care îl poate găsi, utilizând o criptare puternică. Apoi afișează o notă care solicită o răscumpărare (de obicei plătibilă în criptomonede) pentru a decripta fișierele și a restabili accesul la sistemul afectat. Cu toate acestea, experții în securitate avertizează că plata răscumpărării nu garantează că veți obține instrumentul de deblocare sau cheia de decriptare necesare pentru a recâștiga accesul la sistem. Unele ransomware păstrează fișierele criptate după plata inițială, cerând și mai mulți bani și amenințând cu ștergerea datelor.

Cele mai mari atacuri ransomware

Potrivit companiei de securitate Datto, atacurile de acest tip declanșează la companii pierderi de 75 de miliarde de dolari pe an. Costul mediu al unui atac este de 133 de mii de dolari, potrivit estimărilor firmei Sophos.

WannaCry

Taiwan Semiconductor Manufacturing Company, principalul furnizor pentru Apple iPhone, a recunoscut că o variantă a atacului WannaCry i-a închis fabrica în august 2018 și pierderile au fost de 3% din veniturile companiei.

TeslaCrypt

Până în 2016, TeslaCrypt a reprezentat 48% dintre atacurile ransomware globale. Principalele victime au fost jocurile video. În martie și mai 2016, unii utilizatori din India au fost atacați de TeslaCrypt.

Petya

Apărut în 2016, este un atac folosit pentru a declanșa alte atacuri în lanț, prin care li se bloca utilizatorilor accesul la calculatoarele personale. Petya cripta o parte din hard-disk, cea care controlează locurile unde sunt stocate fișierele și cea care se ocupa de pornirea calculatorului. Au fost atacați: guvernul Ucrainei, bănci, sisteme naționale de alimentare cu electricitate, organizații din SUA, Danemarca și Franța.

SimpleLocker

Este un ransomware bazat pe sistemul de operare pentru smartphone Android, care a apărut la sfârșitul anului 2015. SimpleLocker cripta fișierele de pe telefoane, pentru a elibera un program ce putea cu greu să fie detectat de sistemele de securitate tradiționale. Acest atac a pornit în Europa de Est, dar a făcut victime și în SUA.

Ransomware-ul pentru mobil, în creștere

Atacurile iau în considerare faptul că aproape toată populația planetei folosește un telefon mobil inteligent, cu acces la Internet. Cele mai noi atacuri vizează deci smartphone-urile. Luna aceasta, Microsoft a tras alarma despre o variantă de ransomware mai sofisticată decât celelalte. Aceasta are un mecanism nou de afișare a alertei privind cererea de bani, tehnici avansate de evitare a detectărilor și chiar o componentă de tip machine-learning care se adaptează în funcție de fiecare telefon țintit.

Nota de cerere a plății, care conține și unele amenințări la adresa utilizatorului (Foto: Microsoft.com)

AndroidOS/MalLocker.B a fost detectat de Microsoft Defender for Endpoint. El a fost instalat pe site-uri la întâmplare și a circulat în forumuri online, folsind tehnici de inginerie socială, inclusiv sub aparența unor aplicații populare, jocuri „sparte” sau jucători.

Și ransomware-ul pe mobil blochează accesul la fișiere, dar de obicei face asta acoperind întregul ecran al telefonului cu o notă prin care se cere răscumpărarea; acest ecran te împiedică să faci ceva pe telefon, chiar și după repornirea lui. Google a adăugat o protecție sporită în această situație, în Android 10. De aceea este bine să-ți ții telefonul actualizat tot timpul.

Tehnicile de prevenire și combatere

Este greu să luptați cu un ransomware dacă nu aveți cunoștințe medii despre calculatoare și/sau sisteme de operare pentru smartphone-uri. Uneori, atacurile nu pot fi prevenite nici de către specialiștii în securitate informatică. Iată însă câteva măsuri pe care le puteți lua:

Împiedicați executarea atacului

Chiar dacă programul ransomware a fost instalat pe calculator, el poate fi împiedicat să ruleze. O soluție ar fi să setați să se instaleze pe computer numai programe semnate digital. Astfel, veți ști că numai programele autorizate au dreptul să folosească resursele sistemului. Dacă folosiți Windows, apelați la Microsoft Group Policy Management Console sau instalați AppLocker, un program prin care decideți ce aplicații au voie să se execute pe calculator.

Întrerupeți canalul comandă-și-control

Această măsură de securitate îi împiedică pe atacatori să stabilească o cale de comunicare cu calculatorul victimei. În acest scop, puteți folosi platforme precum: Tanium, FireEye, Cylance, Carbon Black.

Protejați sistemele

Mai ales organizațiile trebuie să se implice mai mult în întărirea metodelor de securitate pe servere și pe calculatoarele angajaților. Computerele trebuie echipate cu programe anti-malware și firewall-uri. Pe parcurs, sistemele trebuie menținute la zi și orice breșă de securitate trebuie rezolvată imediat.

În afară de aceste metode, una care este recomandată chiar dacă nu vă confruntați cu atacuri informatice este să faceți cópii de rezervă ale datelor din toată organizația. De asemenea, nu strică să organizați din când în când cursuri intensive cu angajații, în care să-i învățați lucruri de bază despre securitatea informatică.

Foto: Christiaan Colen (Visual hunt) CC BY-SA