Ataki ransomware stanowią poważne wyzwanie dla firm i indywidualnych użytkowników. Wykorzystują zaawansowane algorytmy szyfrowania i nowe strategie szantażu. Mija właśnie 35 lat od pierwszego odnotowanego ataku tego typu oraz 20 lat od pojawienia się jego współczesnej, kryminalnej formy. Od tego czasu ransomware przeszło spektakularną ewolucję, przeistaczając się z eksperymentalnego narzędzia wykorzystywanego przez hakerów w jedno z największych zagrożeń w sieci.
– Pierwszy atak ransomware miał miejsce w 1989 roku, kiedy na dyskietkach z ankietą, która rzekomo miała oceniać ryzyko zachorowania na AIDS, zaimplemntowano konia trojańskiego. Po 90 uruchomieniach komputera złośliwe oprogramowanie szyfrowało pliki, żądając okupu w formie czeku gotówkowego. Mimo że sprawcę zidentyfikowano, nie został on ukarany przez sąd. Trudności w dystrybucji złośliwego oprogramowania i odbieraniu płatności w czasach przed internetem sprawiały, że próby te często kończyły się fiaskiem – informuje Martin Lee, lider Cisco Talos w EMEA.
Ryzyko związane z „kryptowirusem” — złośliwym oprogramowaniem wykorzystującym szyfrowanie do przeprowadzania ataków opartych na wymuszeniu, które żądają zapłaty w zamian za klucz deszyfrujący — zostało dostrzeżone przez badaczy dopiero w 1996 roku. Zidentyfikowali oni nie tylko powagę tego zagrożenia, ale także kluczowe mechanizmy obronne: skuteczne oprogramowanie antywirusowe oraz regularne tworzenie kopii zapasowych systemu. Te wczesne przewidywania stały się podstawą strategii ochrony przed tym, co później miało stać się jednym z najbardziej rozpowszechnionych rodzajów cyberataków — ransomware.
Trudne początki
W grudniu 2004 roku odkryto pierwsze dowody na użycie kryminalnego ransomware – GPCode, którym atakowano użytkowników w Rosji poprzez załączniki w e-mailach podszywające się pod oferty pracy. Złośliwe oprogramowanie szyfrowało wybrane pliki na komputerze ofiary, początkowo wykorzystując proste algorytmy szyfrowania, które łatwo łamano. Wkrótce jednak przestępcy zaczęli stosować zaawansowaną enkrypcję kluczem publicznym, co znacząco utrudniało odzyskanie danych.
GPCode stał się inspiracją dla kolejnych wariantów ransomware. Wczesne ataki miały jednak istotną słabość: brak łatwego i anonimowego sposobu na pobieranie okupu bez ujawniania tożsamości sprawcy. Z czasem, cyberprzestępcy zaczęli stosować bardziej zaawansowane metody, takie jak wymuszanie kontaktu z ofiarami poprzez połączenia telefoniczne lub nakłanianie ich do zakupu produktów przez Internet, a następnie przesyłania żądań okupu w zamian za instrukcje deszyfrujące.
Kryptowaluty wspierają ransomware
Na pomoc przyszły wirtualne kantory, które stały się sposobem na przelewanie pieniędzy poza standardowym systemem bankowym, umożliwiając przestępcom odbiór okupu z zachowaniem anonimowości. Jednak ta metoda okazała się nieskuteczna na dłuższą metę, ponieważ była łatwa do wykrycia przez organy ścigania.
Dopiero pojawienie się kryptowalut, takich jak bitcoin, zapewniło przestępcom skuteczny sposób na otrzymywanie okupu z zachowaniem pełnej anonimowości. Pierwszym głośnym przykładem wykorzystania kryptowalut był CryptoLocker w 2013 roku, który stał się przełomowym momentem w ewolucji ransomware, nadając mu biznesowy wymiar. Od tego czasu kryptowaluty stały się standardem dla grup ransomware, zwiększając skalę i skuteczność ich działań.
Ekosystem partnerów
Na początku lat 2010-tych hakerzy preferowali własne metody dystrybucji malware, takie jak wysyłanie wiadomości spamowych, przejmowanie stron internetowych czy współpraca z operatorami botnetów, którzy instalowali złośliwe oprogramowanie na dużej liczbie skompromitowanych systemów.
Z czasem ekosystem ransomware zaczął profesjonalizować się dzięki pojawieniu się specjalistycznych dostawców, którzy oferowali swoje usługi, dzieląc się niektórymi zadaniami związanymi z przeprowadzaniem ataków. Tworząc ekosystem partnerów, twórcy ransomware mogli skupić się na rozwoju lepszego oprogramowania, delegując dystrybucję malware mniej wykwalifikowanym grupom, które koncentrowały się na technikach inżynierii społecznej.
Przestępcy opracowali zaawansowane portale dla swoich partnerów, które umożliwiały im mierzenie sukcesów oraz dostęp do nowych funkcji ułatwiających przeprowadzanie ataków i zbieranie okupu. Początkowo ataki te przyjmowały model masowej dystrybucji malware, mając na celu zainfekowanie jak największej liczby użytkowników, jednak z czasem to również uległo zmianie.
Walka z większymi graczami
W 2016 roku zidentyfikowano nową odmianę ransomware, SamSam, która była dystrybuowana według innego modelu. Zamiast koncentrować się na jak największej liczbie infekcji, celowano w konkretne instytucje, domagając się dużych sum okupu. Grupa przestępcza łączyła techniki hakowania z ransomware, starając się wniknąć do systemów organizacji. Następnie instalowano ransomware na kluczowych komputerach, aby maksymalizować zakłócenia w całej organizacji.
Ta innowacja zmieniła rynek ransomware. Aktorzy zagrożeń odkryli, że bardziej opłaca się celować w duże instytucje, zakłócając ich działalność i domagając się wyższych sum okupów, niż szyfrować urządzenia osób fizycznych. Cyberprzestępcy zaczęli też szybko priorytetyzować określone sektory przemysłowe, ze względu na ich rentowność i posiadanie wrażliwych informacji – dlatego służba zdrowia stała się częstym celem.
Współczesny ransomware
W listopadzie 2019 roku ataki ransomware weszły na jeszcze wyższy poziom dzięki oprogramowaniu Maze, które wprowadziło metodę podwójnego szantażu. Przestępcy nie tylko szyfrowali dane ofiar, ale także wykradali poufne informacje, grożąc ich ujawnieniem, co stawiało osoby zarządzające firmami w obliczu podwójnego ryzyka – utraty dostępu do danych i strat reputacyjnych.
Na przestrzeni lat pojawiło się też wiele imitacji ransomware. Widzieliśmy fałszywe ataki ransomware, które po prostu przedstawiają żądanie okupu, nie zadając sobie trudu zaszyfrowania danych, mając nadzieję, że ofiary zapłacą bez względu na wszystko.
– Wcześniej, w 2017 roku, ransomware WannaCry i NotPetya pokazały, jak destrukcyjne mogą być tego typu ataki. WannaCry automatycznie rozprzestrzeniało się między systemami, jednak ograniczony jeszcze wówczas sposób płatności z wykorzystaniem portfeli bitcoin utrudnił przestępcom identyfikację ofiar, które zapłaciły okup. Z kolei NotPetya, choć przypominało ransomware, w rzeczywistości działało bardziej jak narzędzie destrukcyjne – usuwając krytyczne dane, co czyniło odzyskanie plików niemożliwym nawet po zapłaceniu okupu” – komentuje Martin Lee.
Lekcje dla firm i branży
W 2024 roku krajobraz IT znacząco się od tego w 1989 czy 2004 – zaawansowane zabezpieczenia i lepsze łatanie luk sprawiają, że bezpośrednie infekcje systemów są trudniejsze. Jednak słabe hasła stosowane przez użytkowników nadal stanowią furtkę dla przestępców. Mimo to, nie pozostajemy bezbronni.
Działania organów ścigania doprowadziły do aresztowania i oskarżenia wielu operatorów ransomware. Inni, którzy uniknęli aresztowania, zostali poddani międzynarodowym sankcjom, a infrastruktura używana przez nich do koordynowania ataków i ich portfele kryptowalutowe zostały przejęte.
Rozwój technologii pozwala wykrywać próby szyfrowania plików i skuteczniej reagować na zagrożenia. Mimo że niektóre rodzaje złośliwego oprogramowania mogą zostać niezauważone przez programy antywirusowe, nowoczesne systemy ochrony punktów końcowych nieustannie poszukują dowodów na to, że nieznane programy próbują szyfrować pliki bez zezwolenia.
Piętą achillesową ransomware są kopie zapasowe. Dane, które są kopiowane i przechowywane offline, mogą być używane do przywracania plików, które w przeciwnym razie zostałyby uszkodzone i utracone, eliminując w ten sposób potrzebę płacenia okupu za ich odzyskanie. Sukces ransomware w ciągu ostatnich 35 lat jest również historią niepowodzenia powszechnej adopcji rozwiązań do tworzenia kopii zapasowych w celu przywracania plików.
Eksperci są zdania, że ransomware w najbliższych latach nie zniknie z listy cyberzagrożeń. Jest opłacalny, a przestępcy opracowują jego nowe techniki. Branża cyberbezpieczeństwa odpowiada na to swoimi innowacjami, tworząc nowe narzędzia ochrony. Walka trwa.
Czytaj także:
Czy płacić hakerom? – ISPortal
22 mln dolarów okupu ransomware – ISPortal
