eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetZa kulisami ataków ransomware

Za kulisami ataków ransomware

2017-06-16 00:40

Za kulisami ataków ransomware

Ransomware WannaCry © zephyr_p - Fotolia.com

PRZEJDŹ DO GALERII ZDJĘĆ (4)

Ransomware to już epidemia - alarmowali w minionym roku specjaliści od bezpieczeństwa IT. I niestety - nie pomylili się. Przypieczętowaniem tych ostrzeżeń był bez wątpienia majowy atak WannaCry, na skutek którego ucierpieli nie tylko prywatni użytkownicy, ale także - zdawać by się mogło - dobrze chronione organizacje jak chociażby brytyjska służba zdrowia czy rosyjski resort spraw wewnętrznych. Widać zatem, że ransomware nie jest żadnym novum, ale mimo to ciągle przysparza wielu problemów. Jak tego rodzaju ataki wyglądają od środka? Jak się przed nimi chronić?

Przeczytaj także: Ewolucja złośliwego oprogramowania I kw. 2017

SophosLabs, jednostka badawcza firmy Sophos, postanowił wziąć pod lupę najbardziej aktywne rodziny ransomware i ataki, których zdołały one dokonać od października 2016 do kwietnia 2017. Niżej przedstawiony wykres nie obejmuje ataku WannaCry, do którego doszło 12 maja br., a więc już po zakończeniu analizy. Mimo to umożliwia on unaocznić tendencje w działalności cyberprzestępczej oraz sformułować wnioski na przyszłość. Podstawą analizy były dane pochodzące z wyszukiwarek zainstalowanych na komputerach klientów.

Badanie Sophos Labs dowiodło, że zdecydowanie najbardziej aktywnymi rodzinami ransomware były Cerber i Locky. Pierwszy z nich był odpowiedzialny za połowę ataków, do których doszło w analizowanym okresie, drugi - za przeszło jedną czwartą.

Analiza dowodzi również, że Cerber uprzykrzał życie użytkownikom mutując na przeróżne sposoby, co miało na celu obejście zabezpieczeń antywirusowych i sandboxów. Jedna z jego najefektywniejszych wersji rozprzestrzeniała się za pomocą e-maili, które udawały wiadomości zawiadamiające o przesyłce kurierskiej.

fot. mat. prasowe

Aktywność rodzin ransomware

Cerber był odpowiedzialny za połowę ataków ransomware, Locky natomiast za ponad jedną czwartą.


Ransomware Locky wykorzystywał nieco inną taktykę rozprzestrzeniania się, a jego najbardziej charakterystyczną cechą było zmienianie nazw plików w zainfekowanych komputerach i zmiana ich rozszerzenia na .locky.

Kraje, które są najbardziej narażone na ataki ransomware to Wielka Brytania, Belgia, Holandia i Stany Zjednoczone. Wśród 10 najbardziej zagrożonych państw znajdują się również: Włochy, Francja, Niemcy, Australia i Kanada. W Polsce, podobnie jak w Szwajcarii, Danii, Finlandii, Czechach czy na Węgrzech, współczynnik zagrożenia jest relatywnie niski i wynosi zaledwie 1%. Największy w ostatnich latach wzrost liczby ataków ransomware zanotowano na początku marca bieżącego roku. Niedługo później aktywność hakerów spadła, by znów wzrosnąć w okolicach 5. kwietnia.

fot. mat. prasowe

Kraje najbardziej narażone na ataki ransomware

Kraje, które są najbardziej narażone na ataki ransomware to Wielka Brytania, Belgia, Holandia i Stany Zjednoczone.


SophosLabs zbadał również metody infekowania komputerów przez ransomware i ich ewolucję w okresie kwiecień 2016 – kwiecień 2017. Wykryto, że złośliwe oprogramowanie tego typu wykorzystuje różne luki w zabezpieczeniach i chętnie wykorzystuje m.in. spam e-mail, malvertisement sieciowy (reklamy zainfekowane ransomware) i zainfekowane pliki do pobrania. Najbardziej rozpowszechnioną metodą rozprzestrzeniania były w tym czasie załączniki e-mail, w szczególności pliki PDF i dokumenty pakietu Office. Większość ataków hackerskich przy użyciu plików o rozszerzeniu innym niż .exe powiązana była w jakiś sposób z ransomware. W grudniu 2016 zaobserwowano jednak duży spadek ilości złośliwego spamu.

fot. mat. prasowe

Ewolucja ransomware w okresie kwiecień 2016 – kwiecień 2017

Najbardziej rozpowszechnioną metodą rozprzestrzeniania były załączniki e-mail, w szczególności pliki PDF i dokumenty pakietu Office.


Wnioski na przyszłość


Zabezpieczenie przed ransomware nie polega tylko na implementowaniu najnowszych rozwiązań ochrony sieciowej. Dobre praktyki w zakresie bezpieczeństwa IT, w tym regularne szkolenia dla pracowników, są istotnymi elementami każdej konfiguracji zabezpieczeń. Każda organizacja powinna upewnić się, że postępuje zgodnie z 9 kluczowymi zasadami:
  1. Należy regularnie tworzyć kopie zapasowe danych i przechowywać ją poza siecią. Istnieją dziesiątki innych niż ransomware sposobów, które mogą spowodować zniknięcie plików m.in. pożar, powódź, kradzież, upuszczony laptop lub nawet przypadkowe usunięcie. Kopia zapasowa powinna być zaszyfrowana tak, aby uniemożliwić dostanie się plików w niepowołane ręce.
  2. Domyślnym ustawieniem systemu Windows jest wyłączenie rozszerzenia plików. Włączenie rozszerzeń znacznie ułatwia wykrywanie podejrzanych typów plików takich jak np. JavaScript, które nie byłyby zwykle wysyłane między członkami organizacji.
  3. W przypadku konieczności otwarcia pliku JavaScript należy zrobić to rozważnie. Otwarcie JavaScript w Notatniku blokuje go przed uruchomieniem złośliwego skryptu i pozwala zbadać zawartości pliku.
  4. Nie włączaj makr w załącznikach dokumentów otrzymanych za pośrednictwem poczty elektronicznej. Firma Microsoft świadomie wyłączyła domyślne autouzupełnianie makr kilka lat temu jako środek bezpieczeństwa. Wiele infekcji polega na przekonaniu użytkownika do włączania makr z powrotem, nie należy więc tego robić.
  5. Należy zachować ostrożność przed nieznanymi załącznikami. Żaden użytkownik nie powinien otwierać dokumentu, dopóki nie jest pewny jego zawartości. Większość plików zawierających ransomware nie może zostać uruchomiona, póki nie zrobi tego sam użytkownik komputera.
  6. Nie należy przyznawać sobie większych uprawnień logowania niż to konieczne i nie należy pozostawać zalogowanym jako administrator dłużej niż to konieczne. Należy unikać przeglądania, otwierania dokumentów lub wykonywania innych regularnych czynności podczas pracy jako administrator.
  7. Należy regularnie instalować łatki lub aktualizacje programów. Złośliwe oprogramowanie, które wykorzystuje inną metodę rozprzestrzeniania niż infekcję za pośrednictwem dokumentów, często polega na błędach w popularnych programach, w tym pakietu Microsoft Office, przeglądarkach, Flash i innych.

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: