„Uwaga, cyberzłodziej!” Od phishingu po ransomware
Technologie zmieniły obraz współczesnej rzeczywistości – także tej przestępczej. Co prawda dalej można stracić portfel w tramwaju, ale częściej złodziej będzie próbował przeprowadzić atak na Twoje konto bankowe w bankowości internetowej niż zaryzykuje napad na bank w klasycznym stylu. Zasadniczy powód jest prosty – w banku nie ma już kasy pancernej wypchanej gotówką. Klienci operują w większości pieniądzem cyfrowym a to wymaga od złodzieja dostosowania swoich metod do panującej sytuacji.
Atak phishingowy
Tak więc prędzej od prehistorycznego: „Ręce do góry! To jest napad! Wszyscy na ziemię!” zetkniemy się z SMS-em o treści: „z powodu niedopłaty nastąpi wyłączenie prądu” bądź z prośbą o 50 groszy, aby Twoja przesyłka mogła do Ciebie trafić.
Takie działanie to „phishing” czyli oszustwo polegające na próbie wyłudzenia danych dostępowych do finansów zaatakowanego. Nazwa pochodzi od angielskiego słowa „fishing” czyli „łowienie ryb”. Tak jak w wędkarstwie mamy do czynienia z przygotowaniem zanęty, zarzuceniem haczyka i cierpliwym czekaniu na połów. Łowiący zna zachowanie ryb i wykorzystuje tę wiedzę do łowienia niewinnych ofiar.
Według badań kanadyjskiego rządu przeprowadzonych na potrzeby projektu GetCyberSafe, dziennie rozsyłanych jest ponad 156 milionów e-maili zawierających scam phishingowy. Ponad 16 milionów przedostaje się przez filtry poczty, 8 milionów zostaje otwartych, a 800 tysięcy klikniętych. Z tego 80 tysięcy użytkowników daje się ostatecznie nabrać i podaje swoje dane dostępów.
Co za połów! I to wszystko podczas jednego zanęcenia.
Banki są najczęściej wykorzystywane jako przynęta w łowieniu naiwnych. Większość phishingowych maili zawiera właśnie informacje o tym, że z naszym kontem bankowym jest coś nie w porządku. Np., że jeśli nie zaktualizujemy informacji czy nie wykonamy jakiegoś działania w bankowości elektronicznej (oczywiście podając swoje hasła, loginy) zostanie nam zablokowany dostęp. Komunikaty o tym, że bank nigdy nie prosi w ten sposób o podanie danych wrażliwych trafiają w próżnię. Obok banków „wędkarze” powołują się również na inne instytucje związane, mniej lub bardziej, z naszymi finansami. Tymi z branż energetycznej, gazowej, firm kurierskich itp.
Modus operandi
Po kliknięciu w umieszczony w wiadomości link zostaniemy przeniesieni na stronę łudząco podobną do tej, której używamy normalnie do logowania. Tak naprawdę jest to atrapa, której głównym zadaniem jest uzyskanie naszego loginu i hasła. Kiedy dostęp zostanie otwarty, cyberprzestępcy mają nas na widelcu, zupełnie jak prawdziwy wędkarz rybę na haczyku.
Podobnie, jak w przypadku afrykańskich spadków, niespodziewanych wygranych w loteriach, w których w ogóle nie braliśmy udziału najprostszą metodą uniknięcia kłopotów jest skorzystanie ze zdrowego rozsądku i zignorowanie tego typu wiadomości. Wystarczy zwrócić większą uwagę na to, co otwieramy, w co klikamy.
Nie należy pobierać żadnych załączników znajdujących się w podejrzanych wiadomościach. Zwłaszcza, że żadne z instytucji finansowych lub podobnych nie wysyłają nam maili informacyjnych z załącznikami. Po uruchomieniu pliku z takiej wiadomości możemy zostać zainfekowani całą chmarą złośliwych robaków. Mogą one poczynić równie wielkie szkody, jak podstawione strony internetowe.
Przytoczone powyżej dane pokazują ogromną skalę tego typu oszustw. Wielu ludzi jest atakowana, ale na szczęście niewielka liczba daje się nabrać. Inny rodzaj cyberprzestępstwa nie dotyka osób prywatnych, jego szkodliwość i straty jakie wywołuje są o wiele większe.
Ransomware
Wymuszenie okupu to według definicji prawnej sytuacje, w których ten sam sprawca najpierw zabiera rzecz, a następnie wymusza okup. Czyli żąda korzyści majątkowej w zamian za zwrot tej rzeczy.
Nowoczesne wymuszanie okupu to właśnie ransomware – zbitka dwóch angielskich wyrażeń: ransom „okup” i software „oprogramowanie”.
Haker włamuje się do systemu komputerowego firmy, blokuje go lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące). Następnie żąda okupu za przywrócenie stanu pierwotnego.
Bardziej zaawansowane formy ransomware stosują technikę zwaną kryptowirusowym wymuszeniem. Szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt i żądają okupu w zamian za deszyfrację danych. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego, który uzyskiwany jest od hakera za okup, jest praktycznie niemożliwe.
Typowy atak ransomware rozpoczyna się najczęściej od „zhakowania” skrzynki szeregowego pracownika firmy. Pandemia i praca zdalna sprzyjają przestępcom, korzystają na poluzowaniu reżimu bezpieczeństwa oraz na mniejszej czujności pracownika. Jeśli kliknie on w przesłany link – otwiera na oścież drzwi do systemu firmy.
Cyberprzestępcy w ciągu kilku następnych tygodni, spokojnie buszują po systemie, szukają i znajdują luki, słabe punkty, niszczą kopie zapasowe. Wszystko po to, aby jak najlepiej przygotować się do ostatecznego ciosu.
Czytaj także: Rosyjscy hakerzy z Conti zhakowani!
Atak na Colonial Pipeline
Najgłośniejszym ostatnio przypadkiem były wydarzenia z 7 maja 2021 r. Colonial Pipeline , amerykański system rurociągów naftowych, doznał cyberataku ransomware , który dotknął skomputeryzowany sprzęt zarządzający rurociągiem. Firma Colonial Pipeline Company wstrzymała wszystkie operacje związane z rurociągami, aby powstrzymać atak. Nadzorowana przez FBI firma zapłaciła kwotę, której zażądała grupa hakerów DarkSide (równowartość 4,4 mln USD w bitcoinach). Po otrzymaniu okupu hakerzy dostarczyli firmie Colonial Pipeline Company narzędzie informatyczne w celu przywrócenia systemu.
Atak spowodował panikę zakupową. Na stacjach benzynowych zaczęły pojawiać się niedobory paliwa i ogromne kolejki. Obszary od Karoliny Południowej do południowej Wirginii zostały najmocniej dotknięte. Średnie ceny paliw wzrosły do najwyższego poziomu od 2014 roku, osiągając ponad 3 dolary za galon. Całe zamieszanie doprowadziło do tego, że prezydent USA Joe Biden 9 maja ogłosił stan wyjątkowy.
Firma analityczna Elliptic, opublikowała raport dotyczący portfela bitcoin pokazujący, że w ciągu ostatniego roku na rzecz podmiotów skupionych wokół organizacji cyberprzestępczej, powiązanej z rosyjskim rządem – DarkSide wpłacono 90 milionów dolarów. Okupy w bitcoinach, pochodziły z 47 różnych portfeli.
Według publikacji DarkTracer 2226 organizacji ofiar od maja 2019 r. 99 organizacji zostało zainfekowanych złośliwym oprogramowaniem DarkSide. To sugeruje, że około 47% ofiar zapłaciło okup, a średnia płatność wyniosła 1,9 miliona dolarów.
Z danych przedstawionych przez firmę Veeam w Data Protection Trends Report wynika, że w ubiegłym roku nawet 69% dużych firm w Europie Środkowo-Wschodniej padło ofiarą ataków ransomware. Aż 7 na 10 ofiar straciło co najmniej część danych, z czego średnio 1/3 nie udało się odzyskać.
Z badanie wynika także że ataki stają się coraz skuteczniejsze. Firmy w Europie Środkowo-Wschodniej, które stały się ofiarami, nie były w stanie odzyskać średnio nawet 32% utraconych danych. Co czwarta mogła odzyskać ich najwyżej 40%. Z kolei połowa dużych przedsiębiorstw wskutek ransomware’u doświadczyła przestoju w działalności.
Rządy walczą, cena rośnie
Innym celem hakerów specjalizujących się w atakach ransomware są instytucje rządowe. Są one narażone są na zaawansowane trwałe zagrożenia (APT), które często pozostają niewykryte w systemach ofiary przez miesiące, a nawet lata. Te wyrafinowane i złożone ataki zazwyczaj koncentrują się na celach o dużej wartości, a ich celem jest długotrwała kradzież informacji.
Z dających się przewidzieć względów informacje o atakach na te instytucje nie są publicznie rozpowszechniane. O ich nasileniu, skali i sposobach walki z nimi, możemy się domyślać z informacji pośrednich. Na przykład takich, że stawki okupów za odszyfrowanie danych poszły ostro w górę. Taką informację przekazała firma zajmująca się tworzeniem oprogramowania antywirusowego Bitdefender . Zdaniem analityków jest to odpowiedź gangów ransomware na działania podejmowane właśnie przez instytucje rządowe, traktujące w tej chwili ataki ransomware na równi z terroryzmem.
„Przeprowadzenie ataku jest w tej chwili bardziej ryzykowne i kosztowne, napastnicy przenoszą się z dużych firm na mniejsze, aby pozostać poza radarem organów ścigania” – zauważa Mariusz Politowicz z firmy Marken. I podkreśla, że wojna w Ukrainie przyniesie ze sobą niespotykaną do tej pory liczbę cyberataków. „W tym też tych realizowanych za pomocą oprogramowania ransomware” – dodaje.
Czytaj także: Paraliż kanadyjskiego miasteczka po ataku ransomware