Išpirkos reikalaujanti programinė įranga (ransomware): apibrėžimas ir istorija

Sužinokite, kas yra ransomware: istorija, žymiausios atakos (CryptoLocker, WannaCry), jų poveikis ir praktiniai patarimai, kaip apsaugoti duomenis nuo išpirkos reikalaujančios programinės įrangos.

Išpirkos reikalaujanti programinė įranga yra kenkėjiškų programų rūšis. Ji apriboja prieigą prie užkrėstos kompiuterio sistemos arba joje saugomų duomenų (dažnai naudojant šifravimo metodus) ir reikalauja sumokėti išpirką kenkėjiškos programos kūrėjui (-ams). Tai daroma tam, kad apribojimas būtų pašalintas. Kai kurios išpirkos reikalaujančios programinės įrangos formos užšifruoja sistemos kietajame diske esančius failus. Kitos gali tiesiog užblokuoti sistemą ir rodyti pranešimus, kuriais siekiama įtikinti naudotoją sumokėti.

Išpirkos reikalaujanti programinė įranga pirmiausia išpopuliarėjo Rusijoje. Dabar išpirkos reikalaujančios programinės įrangos sukčiai naudojami tarptautiniu mastu. 2013 m. birželį "McAfee" pranešė, kad per pirmuosius tris 2013 m. mėnesius surinko daugiau kaip 250 000 unikalių išpirkos reikalaujančių programų pavyzdžių. Tai daugiau nei dvigubai daugiau nei praėjusiais metais. 2013 m. pabaigoje pasirodęs išpirkos reikalaujančios programinės įrangos kirminas "CryptoLocker", prieš valdžios institucijoms jį pašalinant, surinko apie 3 mln.

2017 m. gegužę visame pasaulyje išplito išpirkos reikalaujanti programinė įranga "WannaCry". Ji truko keturias dienas ir paveikė daugiau kaip 200 000 kompiuterių 150 šalių. Išpirkos suma kada nors buvo sumokėta tik apie 130 000 JAV dolerių (USD), tačiau ataka paveikė daug didelių įmonių ir organizacijų. Nuo "WannaCry" smarkiai nukentėjo Jungtinės Karalystės nacionalinė sveikatos apsaugos tarnyba (NHS). Ligoninės negalėjo pasiekti savo failų, todėl buvo atšaukta daugybė operacijų, o pacientus teko atsisakyti priimti. NHS kilo ypatingas pavojus, nes ji naudojo operacinės sistemos "Windows" versiją "Windows XP", kurios "Microsoft" nebepalaikė. Tai reiškė, kad "Microsoft" nesiuntė šios "Windows" versijos saugumo atnaujinimų, todėl ji tapo atvira "WannaCry" virusui. Kitos sistemos buvo paveiktos, nors jose buvo naudojamos naujesnės "Windows" versijos, nes jų naudotojai dar nebuvo įdiegę naujausių saugumo atnaujinimų. Nors virusas "WannaCry" nebuvo sukurtas taip, kad iš tikrųjų pažeistų kompiuterius ar jų failus, dėl jo buvo iššvaistyta daug laiko ir pinigų, o tai rodo, koks pažeidžiamas pasaulis vis dar yra dėl išpirkos reikalaujančių programų atakų.

Trumpa istorija ir pagrindiniai etapai

Išpirkos reikalaujančios programos reiškinys nėra naujas. Pirmieji dokumentuoti atvejai siekia pabaigos 1980–1990 metų, pavyzdžiui, 1989 m. žinomas "AIDS Trojan" (dar vadinamas "PC Cyborg"), kuris reikalavo išpirkos fiziniu būdu siųsti pinigus. Tačiau šiuolaikinis šifravimu pagrįstas ransomware išsivystė gerokai vėliau, kai tapo prieinamos stiprios kriptografinės bibliotekos ir anoniminės mokėjimo priemonės, tokios kaip kriptovaliutos.

Svarbūs istorijos etapai:

• Late 2000s–2012: atsiranda „locker“ tipo programos, kurios blokuoja prieigą prie ekrano ar sistemos (užrakina darbalaukį).
• 2013 m.: crypto-ransomware (pvz., CryptoLocker) pradeda naudoti stiprų šifravimą ir Bitcoin mokėjimus — tai ženkliai padidina nusikaltėlių sėkmę.
• 2017 m.: masinės atakos, ypač WannaCry ir vėliau NotPetya, parodė globalų pavojų ir trūkumus programinės įrangos atnaujinimo praktikoje.
• 2019–2021 m.: atsiranda „Ransomware-as-a-Service“ (RaaS) modeliai, taip pat nauja taktika – duplo reketas (double extortion), kai prieš šifruodami – išsitraukiama ir nutekinama konfidenciali informacija.

Žinomos atakos ir naujesnės tendencijos

Be jau minėto CryptoLocker ir "WannaCry", vėlesnės svarbios bangos apėmė grupes ir šeimas, tokias kaip REvil (Sodinokibi), Maze, Conti, Ryuk, LockBit ir kt. Kai kurios atakos tiksliai nukreiptos į:

• viešojo sektoriaus institucijas (savivaldybės, valstybės agentūros),
• kritinę infrastruktūrą ir sveikatos priežiūros įstaigas,
• įmones, teikiančias paslaugas (MSP), kad per tiekėjus patekti pas klientus.

Taktikos, kurios tapo įprastos:

• RaaS — nusikaltėliai parduoda arba nuomoja programinę įrangą bei infrastruktūrą partneriams (affiliates).
• Dviguba prievarta (double extortion) — prieš užšifruodami pavogia duomenis ir grasina juos viešinti, jei nebus sumokėta papildoma išpirka.
• Tiekimo grandinės atakos — kompromituojami programinės įrangos arba paslaugų tiekėjai, kad per juos patekti pas daug klientų.
• Expertojiška orientacija — aukšto lygio išpuoliai prieš bankus, ligonines, energetikos sektorių, universitetus ir kt.

Prevencija: kaip sumažinti riziką

Sėkminga apsauga reikalauja tiek techninių, tiek organizacinių priemonių. Pagrindinės rekomendacijos:

• Reguliarūs ir patikimi duomenų atsarginiai kopijavimai (backup) — saugokite kopijas ne tik tinkle, bet ir atskirai (offline arba kituose neprieinamuose tinkluose). Testuokite atkūrimą.
• Sistemos ir programų atnaujinimai — laiku diegti saugumo pataisas (patch). Daugelis masinių atakų išnaudoja jau žinomas spragas.
• Tinklo segmentavimas — atskirkite kritines sistemas nuo darbo stočių, sumažinkite lateral movement galimybes.
• Antivirusinė ir EDR sprendimai — naudokite šiuolaikinius sprendimus, kurie gali aptikti ir blokuoti kenksmingą elgesį.
• Mažiausių privilegijų principas — vartotojams suteikite tik būtinas teises, neleiskite naudoti administratoriaus paskyrų kasdienėms užduotims.
• Dviejų veiksnių autentifikavimas (MFA) — ypač prie nuotolinių prieigų, el. pašto ir valdymo konsolių.
• Mokymai ir saugumo kultūra — darbuotojų mokymai identifikuoti phishingus ir pavojingus failus/nuorodas.

Jei įtariate užkrėtimą — ką daryti

Reaguokite greitai ir sistemingai. Pagrindiniai žingsniai:

• Atjunkite užkrėstą įrenginį nuo tinklo ir interneto, kad užkirstumėte kelią tolimesniam plitimui.
• Neišjunginėkite įrenginio, jei reikia išsaugoti įrodymus — pasitarkite su incidentų valdymo specialistais.
• Informuokite IT saugumo komandą arba tiekėją / incidentų reagavimo tarnybą.
• Praneškite atitinkamoms teisėsaugos institucijoms arba nacionaliniam CERT (computer emergency response team).
• Nedelsiant neatsiskaitinėkite su išpirkos reikalaujančiais asmenimis be profesionalių patarimų — mokėjimas negarantuoja duomenų grąžinimo ir remia nusikalstamą veiklą.
• Jei turite atsargines kopijas, pasiruoškite atkūrimo planą. Atkurkite sistemas palaipsniui ir stebėkite saugumo indikatorius.

Teisinės, etinės ir verslo pasekmės

Išpirkos mokėjimas kelia daug teisinių ir etinių problemų. Mokant išpirką:

• gali būti finansuojamos nusikalstamos grupuotės;
• nėra jokių garantijų, kad duomenys bus visiškai atkurti ar nebus nutekinti;
• kai kuriose šalyse yra teisinių apribojimų arba pranešimų apie incidentą prievolė verslui;
• verslui kyla reputacijos praradimo, reguliacinės sankcijos ir finansinės žalos rizika.

Išvados

Išpirkos reikalaujanti programinė įranga išliko vienu iš didžiausių kibernetinio saugumo iššūkių dėl savo ekonominio modelio, technologinių priemonių ir nusikalstamų tinklų evoliucijos. Efektyvi apsauga reikalauja daugiasluoksnės saugumo strategijos: techninių priemonių, aiškių verslo procedūrų, darbuotojų mokymo ir parengtų reagavimo planų. Laiku atnaujinami sprendimai, patikimos atsarginės kopijos ir greita incidentų reakcija ženkliai sumažina riziką ir nuostolius.

Klausimai ir atsakymai

K: Kas yra išpirkos reikalaujanti programinė įranga?

K: Kaip išpirkos reikalaujanti programinė įranga išpopuliarėjo?

K: Kiek unikalių išpirkos reikalaujančios programinės įrangos pavyzdžių 2013 m. surinko "McAfee"?

K: Kokia apytikrė suma buvo surinkta iš "CryptoLocker" prieš ją pašalinant?

K: Kas nutiko per 2017 m. "WannaCry" ataką?

Klausimas: Kodėl kai kurios sistemos vis dar buvo paveiktos, nors jose buvo įdiegtos naujesnės "Windows" versijos?

K: Kokį poveikį "WannaCry" padarė žmonėms ir organizacijoms visame pasaulyje?

Paieška pagal raidę