Cyberprzestępcy zarabiają miliony na ransomware

ofiara_ransomware
Wielu internautów spotkało się w ostatnim okresie z komunikatem "Ten system operacyjny został zablokowany ze względów bezpieczeństwa". Winę za to ponosi szkodliwe oprogramowanie, znane pod nazwą ransomware.

Atak polega na zablokowaniu komputera ofiary za pomocą szkodliwego programu, a odblokowanie ma nastąpić po zapłaceniu okupu. Aby skłonić ofiary do uiszczenia opłaty, cyberprzestępcy często stosują zabiegi socjotechniczne, takie jak wyświetlanie fałszywych komunikatów pochodzących rzekomo od miejscowych organów egzekwujących prawo, np. policji. Komunikaty te zwykle zawierają pouczenia w rodzaju: „Przeglądałeś niedozwolone materiały, musisz zapłacić grzywnę”.

Firma Symantec zaobserwowała w ostatnich dwóch latach wzrost liczby profesjonalnych cybergangów używających ransomware. Ta oszukańcza działalność, mająca na celu przejęcie komputera ofiary i wyłudzenie pieniędzy poprzez szantaż, rozwijała się w następujący sposób:

  • Oprogramowanie ransomware pojawiło się w roku 2009, najpierw w Rosji i Europie Wschodniej. Następnie rozprzestrzeniło się na Europę Zachodnią, Stany Zjednoczone i wiele innych krajów, powodując liczne infekcje i niepokój wśród użytkowników.
  • Profesjonalne cybergangi używają inteligentnego, szkodliwego oprogramowania, które po zainstalowaniu na komputerze użytkownika rozpoznaje kraj jego zamieszkania (po adresie IP) i wyświetla w jego języku komunikat z logo miejscowego organu władzy.
  • Ransomware całkowicie blokuje komputer, a użytkownik odnosi wrażenie, że jedynym sposobem przywrócenia jego funkcji jest zapłacenie „grzywny”.
  • Tworzone są różne warianty tego szkodliwego oprogramowania z niewielkimi zmianami w kodzie, co ułatwia mu pokonanie zabezpieczeń. Jeden z głównych wariantów został wykryty 500 000 razy w ciągu 18 dni.

5 milionów dolarów rocznie

Specjaliści przeanalizowali sposób, w jaki przestępcy uzyskują pieniądze. Przez miesiąc badali szczegółowo jeden konkretny atak — 2,9% zaatakowanych użytkowników zapłaciło haracz. Może się wydawać, że to niewiele, ale przestępcy osiągnęli znaczne zyski:

  • W ciągu miesiąca zostało zainfekowanych 68 000 komputerów
  • Koszt odblokowania komputera waha się zwykle od 60 do 200 USD
  • W ciągu miesiąca przestępcy mogli zarobić do 394 000 USD.

Jednak biorąc pod uwagę liczbę różnych wariantów ransomware i gangów stosujących te ataki, szacuje się, że od ofiar wyłudzanych jest około 5 mln dolarów rocznie.

Więcej informacji o ransomware

  • Ransomware występuje najczęściej na podejrzanych stronach internetowych i jest wprowadzany do komputera techniką drive-by download, stealth download lub po kliknięciu przez użytkownika zainfekowanej reklamy. Zdarza się również dystrybucja za pośrednictwem poczty elektronicznej.
  • W roku 2012 oprogramowanie ransomware było często wykorzystywane we Francji, Niemczech, Wielkiej Brytanii i Stanach Zjednoczonych.
  • Komunikaty zmieniają się w czasie. Cyberprzestępcy używają różnych zabiegów, aby oszukać nieświadomych użytkowników (socjotechnika). We wczesnych wariantach był używany zablokowany ekran, zawierający ilustracje pornograficzne, co miało zawstydzać użytkowników i skłaniać ich do zapłacenia haraczu. Obecnie najczęściej pokazywane są symbole graficzne organów egzekwujących prawo, np. policji.
  • Stosowane są coraz bardziej zaawansowane techniki — kod wbudowany w programy ransomware umożliwia na przykład wyświetlanie komunikatu we właściwym języku i z właściwym logo organu władzy.
  • Nawet jeśli ofiara zapłaci haracz, przestępcy często nie odblokowują systemu. Jedynym pewnym sposobem przywrócenia funkcji komputera jest usunięcie szkodliwego oprogramowania.

screen_ransomware

Jak chronić się przed zainfekowaniem ransomware?
  • Należy mieć zainstalowane oprogramowanie zabezpieczające, koniecznie z aktualną subskrypcją. Codziennie pojawiają się tysiące nowych wariantów szkodliwego oprogramowania. Stare definicje wirusów nie dają prawie żadnego zabezpieczenia.
  • Oprogramowanie zainstalowane w systemie powinno być uaktualnione. Dotyczy to systemu operacyjnego, przeglądarki i wszystkich modułów dodatkowych wykorzystywanych przez nowoczesną przeglądarkę. Jednym z najbardziej rozpowszechnionych nośników infekcji jest złośliwy eksploit, który wykorzystuje luki w zabezpieczeniach oprogramowania. Bieżąca aktualizacja oprogramowania minimalizuje prawdopodobieństwo, że system ma lukę w zabezpieczeniach.
  • Należy wykorzystywać pełny zestaw funkcji ochronnych dostępnych w oprogramowaniu zabezpieczającym.

Więcej informacji na temat ransomware znaleźć można w dokumencie dostępnym pod tym adresem: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf.

Realizacja: SIPLEX Studio