Ransomware 2016, czyli pełen sukces cyberprzestępcy

Przeczytaj także: Jakie złośliwe programy atakują polskie sieci na początku 2025 roku?

Mijający rok udowodnił, w jak dużym stopniu znaczenie ma RaaS, czyli innymi słowy ransomware-jako-usługa. Ten model biznesowy to doskonałe rozwiązanie dla mniej ambitnych cyberprzestępców, którzy nie posiadają dostatecznych umiejętności lub chęci, aby opracować zagrożenie na własną rękę. Z pomocą przychodzą im doświadczeni i bardziej zaawansowani koledzy po fachu, oferujący sprzedaż unikatowo zmodyfikowanych wersji programów. Zakupione oprogramowanie jest następnie rozprzestrzenianie za pomocą spamu i stron internetowych, a twórca wirusa za swoją "przysługę" otrzymuje prowizję.

„Wszystko wskazuje na to, że klasyczny ‘afiliowany’ model biznesowy działa równie skutecznie w przypadku oprogramowania ransomware, jak w przypadku innych rodzajów szkodników. Ofiary często płacą okup, więc pieniądze zasilają system. W efekcie obserwujemy nowe szkodliwe programy kryptograficzne pojawiające się niemal każdego dnia” — powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

Jak ewoluował ransomware w 2016 roku

Wiemy już, że 2016 roku ransomware nie odpuszczało ani na chwilę. Spokoju nie mieli użytkownicy na całym świecie, przy czym wycelowane w nich ataki z miesiąca na miesiąc stawały się bardziej dotkliwe i wyrafinowane

• Ataki na firmy przybrały na częstotliwości. Z danych Kaspersky Lab wynika, że dotkniętych incydentami z użyciem ransomware dotkniętych zostało 20 proc. firm na świecie, a jedna na pięć mniejszych firm nie odzyskała dostępu do swoich plików, nawet po zapłaceniu okupu.
• Nie wszystkie branże ucierpiały w równym stopniu, Widać tu spore zróżnicowanie, jednak badanie Kaspersky Lab dowodzi, że trudno o wskazanie sektora o najniższym ryzyku: najwyższy współczynnik ataków wynosi około 23% (edukacja), najniższy natomiast 16% (handel detaliczny i rozrywka).
• „Edukacyjne” oprogramowanie ransomware, stworzone w celu zapewnienia administratorom narzędzia do symulacji ataków przy użyciu tego typu zagrożeń, zostało szybko i bezwzględnie wykorzystane przez przestępców, przyczyniając się do powstania, miedzy innymi, zagrożeń DED Cryptor i Fantom.
• Nowe podejście do ataków z wykorzystaniem ransomware, zaobserwowane po raz pierwszy w 2016 r., obejmowało szyfrowanie całego dysku ofiary zamiast poszczególnych plików — przykładem jest tutaj Petya. Dcryptor, znany również jako Mamba, posunął się krok dalej, blokując cały dysk twardy, przy czym atakujący łamali hasła przy użyciu metody siłowej w celu uzyskania zdalnego dostępu do maszyny ofiary.
• Oprogramowanie ransomware o nazwie Shade ujawniło zdolność do zmiany podejścia do ofiary: jeśli zainfekowany komputer był związany z usługami finansowymi, pobierało i instalowało oprogramowanie szpiegujące zamiast szyfrować pliki ofiary.
• Nastąpił znaczący wzrost liczby niewyrafinowanych trojanów ransomware niskiej jakości odznaczających się niedociągnięciami w programowaniu i niedbałymi komunikatami dotyczącymi okupu — co zwiększało prawdopodobieństwo tego, że ofiary nigdy nie odzyskają swoich danych.

Na szczęście w 2016 roku świat zaczął łączyć siły w celu odparcia ataków. Projekt No More Ransom, który został uruchomiony w lipcu, łączy organy ścigania i producentów z branży bezpieczeństwa w celu śledzenia i rozbijania dużych rodzin oprogramowania ransomware, pomagając ofiarom odzyskać swoje dane i podkopać lukratywny model biznesowy przestępców.
Najnowsze produkty Kaspersky Lab są wyposażone w zaawansowane funkcje wspomagające walkę z oprogramowaniem ransomware. Ponadto firma udostępnia także darmowe narzędzie Kaspersky Anti-Ransomware Tool for Business, które może być pobierane i wykorzystywane przez wszystkie firmy niezależnie od stosowanego rozwiązania bezpieczeństwa.