/ Artykuły

Miliard dolarów okupu, czyli co warto wiedzieć o ransomware

Ula Sas

8 min. czytania

Już w roku 2022, na polskiej stronie rządowej pojawiła się informacja, że ransomware to jedno z najpoważniejszych zagrożeń w cyberprzestrzeni. Niestety, dwa lata później ataki tego typu nie dość, że nie straciły na popularności, to jeszcze coraz częściej dotykają instytucji publicznych, takich jak szpitale, szkoły i ratusze. Hakerzy stopniowo zwiększają też kwoty okupu, a efektem ataku może być nie tylko utrata zaszyfrowanych danych, ale także ich wyciek.

Z tego artykułu dowiesz się:

Definicja i podstawowe fakty o ransomware

Na język polski słowo „ransomware” przetłumaczylibyśmy jako oprogramowanie wymuszające okup. Jest to definicja, która od razu zdradza, jakiego efektu możemy się spodziewać: grupy przestępcze posługujące się atakami ransomware oczekują od ofiary pieniędzy.

Ransomware należy do rodziny złośliwego oprogramowania i najczęściej występuje pod postacią trojana, czyli wyspecjalizowanego wirusa komputerowego wprowadzanego do systemu przez samą ofiarę ataku – poprzez pobranie załącznika maila lub podłączenia nieznanego urządzenia (np. pendrive’a). Hakerzy mogą też wykorzystać lukę w zabezpieczeniach sieciowych lub podatność w oprogramowaniu, ale według raportu z 2019, aż 94% ataków wykorzystujących złośliwe oprogramowanie rozpoczyna się w skrzynce mailowej ofiary.

Tu wypada wspomnieć o najbardziej spektakularnym przypadku ransomware rozpowszechniającego się dzięki luce systemowej, a mianowicie o WannaCry, który od maja 2017 roku atakował urządzenia z systemem operacyjnym Windows. Opracowany przez amerykańską agencję bezpieczeństwa exploit EternalBlue, został wykradziony i upubliczniony przez hakerów, co doprowadziło do zaatakowania ponad 300 tysięcy komputerów w 99 krajach. Ofiarami WannaCry stały się między innymi brytyjska służba zdrowia, firma kurierska FedEx i niemieckie koleje.

Warto wiedzieć, że nie każdy program ransomware szyfruje pliki znajdujące się na dysku ofiary. Ponieważ ataki te bazują przede wszystkim na strachu, zdarzają się przypadki, w których system jest blokowany, a na ekranie pojawia się stosowna wiadomość na temat okupu, ale blokadę da się zlikwidować bez ryzyka dla zawartości komputera. Niemniej jednak większość współczesnych ataków wykorzystuje trudne do złamania szyfry, a niespełnienie żądań hakerów skutkuje nie tylko utratą danych, ale coraz częściej również ich wyciekiem.

Nietrudno zgadnąć, dlaczego ataki ransomware cieszą się niesłabnącą popularnością, bo w końcu przynoszą przestępcom niemałe pieniądze. Źródła podają, że tylko w pierwszej połowie 2024 roku hakerzy wyłudzili w ten sposób ponad 459 milionów dolarów. Dlatego nie dziwi, że liczba grup hakerskich zajmujących się ransomware wzrosła aż o 56% względem zeszłego roku. Stale wzrasta też wysokość pojedynczych okupów.

Zaskakująca historia ransomware

Pierwszy udokumentowany atak ransomware został przeprowadzony w początkach 1989 roku za pomocą trojana AIDS – nazwa jest tu nieprzypadkowa, bowiem zaatakowano konferencję WHO poświęconą właśnie tej chorobie. Atakujący domagał się przesłania 189 dolarów pocztą tradycyjną na adres skrytki pocztowej w Panamie, ale atak okazał się nieszczególnie udany, bo z powodu błędów programistycznych, jedyne, co zostało zaszyfrowane, to nazwy plików.

Kolejny krok w historii ransomware przyniósł rok 2006 i trojan Archievus, który jako pierwszy wykorzystywał szyfrowanie RSA. Rozprowadzano go za pomocą spamu i złośliwego oprogramowania umieszczanego na stronach internetowych, co sprawiło, że był to pierwszy taki atak, który możemy nazwać masowym. Ale i w tym wypadku hakerzy się nie przyłożyli – bardzo szybko okazało się, że wszystkie ofiary otrzymują dokładnie to samo hasło do odblokowania plików.

W zasadzie do roku 2010 ransomware nie cieszył się szczególną popularnością, ponieważ ciężko go było zmonetyzować. Owszem, powstawały nowe szczepy wirusów komputerowych, w tym również trojanów, ale ponieważ odbieranie okupów było niewygodne i wiązało się z nieproporcjonalnym do zysków ryzykiem, hakerzy stawiali raczej na inne typy malware’u.

Ale potem pojawił się Bitcoin… To dzięki kryptowalutom przestępcy uzyskali dostęp do dyskretnego i szybkiego sposobu na odbieranie pieniędzy od ofiar. Znacznie łatwiej było też taki okup „wyprać”, bo mimo że w blockchainie pozostaje ślad cyfrowy, to wielokrotnie przesyłane z portfela do portfela kwoty są dużo trudniejsze do wyśledzenia, niż przelew bankowy lub przesyłka w skrytce pocztowej.

Dlatego w 2012 roku pojawiła się pierwsza usługa Ransomware‑as‑a‑Service. Tak jak w przypadku legalnych modeli biznesowych, RaaS polega na oferowaniu usług technologicznych podmiotom, którym brakuje wiedzy technicznej lub odpowiednich narzędzi do przeprowadzenia planowanych działań. W tym wypadku mamy oczywiście do czynienia z grupami hakerskimi tworzącymi złośliwe aplikacje lub fragmenty kodu i oferującymi dostęp do nich mniej obeznanym technicznie przestępcom, którzy wcześniej nie mieli tak łatwego sposobu na zaistnienie w cyberprzestrzeni.

Rok później do gry wchodzi CryptoLocker, który, rozprzestrzeniany z wykorzystaniem botnetów, trafiał do skrzynek mailowych na całym świecie. Odbiorcy wiadomości, nakłaniani odpowiednimi socjotechnikami, otwierali załącznik z trojanem i stawali przed wyborem – zapłacenie okupu lub utrata zaszyfrowanych danych. Okupy były wtedy jeszcze stosunkowo niskie, więc większość zaatakowanych osób decydowała się na tę pierwszą opcję.

Kolejne lata przyniosły rozwój i specjalizację oprogramowania ransomware, które szyfrowało już nie tylko dane, ale całe dyski i tym samym uniemożliwiało dostęp do plików systemowych. W 2018 pojawił się GrandCrab, który oprócz szyfrowania oferował również ekstrakcję danych i plików, mogących następnie posłużyć do dalszych ataków lub tym skuteczniejszego nakłonienia ofiary do dokonania płatności. Wkrótce też w darkwebie pojawiły się strony z danymi pozyskiwanymi właśnie w ten sposób.

Od 2020 roku obserwujemy zmianę taktyki grup ransomware. Hakerzy celowo wybierają organizacje, które stać na zapłacenie wysokiego okupu, oraz takie, które nie mogą sobie pozwolić na niedostępność. Dlatego coraz częściej atakowane są firmy związane z przemysłem i ochroną zdrowia oraz biznesy z branży technologicznej. Równocześnie popularna staje się też taktyka „potrójnego wymuszenia”, która zakłada, że haker najpierw wymusza okup za klucz pozwalający na odszyfrowanie dysków, następnie grozi wyciekiem danych, które wcześniej wykradł, a na koniec albo kontaktuje się z osobami, których dane posiada, albo wraca do oryginalnej ofiary i informuje, że w zanadrzu ma kolejny atak, np. DDoS, którego można uniknąć płacąc kolejny okup.

Po pandemii coraz popularniejsi stają się też tzw. Initial Access Brokers, którzy handlują dostępami do sieci firmowych, ułatwiając wdrożenie początkującym hakerom i wspierając rozwój RaaS.

Martwi Cię ryzyko ataku ransomware?

Przeprowadzimy drobiazgowy audyt i zaproponujemy rozwiązania, które poprawią bezpieczeństwo Twojej infrastruktury.

Nie daj się zaskoczyć

Powody stale rosnącej popularności ransomware

Poniżej zebrałam siedem najbardziej oczywistych powodów wzrostu popularności ataków ransomware:

  1. Ransomware to wciąż najbardziej dochodowy cyberatak – w 2023 roku kwota wyłudzona od ofiar przy użyciu ransomware przekroczyła miliard dolarów
  2. Ransomware wiąże się ze stosunkowo niskim ryzykiem – grupy hakerskie często operują z regionów, które nie mają odpowiednich umów (np. ekstradycyjnych) z atakowanym krajem, a kryptowaluty ułatwiają ukrycie pozyskanych w atakach funduszy
  3. Ransomware staje się coraz bardziej wyrafinowany – postęp technologiczny sprawił, że szyfry używane przez hakerów są w zasadzie niemożliwe do złamania, a oprogramowanie może pozostawać niewykryte na dyskach ofiar całymi miesiącami, a nawet latami
  4. Ransomware wykorzystuje najsłabsze ogniwo – najczęściej jest to człowiek podatny na socjotechnikę, ale nie bez znaczenia jest też fakt, że wiele firm w niedostatecznym stopniu dba o swoje cyberbezpieczeństwo (brak MFA to jeden z czołowych czynników ułatwiających ataki)
  5. Ransomware najczęściej kończy się płatnością okupu przez ofiarę – wiele organizacji woli zapłacić i mieć spokój, nie biorąc pod uwagę, że 78% firm, które zapłaciły pierwszy okup, pada ofiarą kolejnych ataków ransomware
  6. Ransomware jest dostępny dla każdego – dzięki Ransomware‑as‑a‑Service, przestępcy nie muszą mieć żadnych umiejętności technicznych, żeby skorzystać z „dobrodziejstw” ataku
  7. Ransomware korzysta z braku DRP i szkoleń pracowników – brak szkoleń z phishingu, regularnych backupów oraz wdrożonych i przetestowanych planów zarządzania kryzysowego zazwyczaj oznacza, że firma zapłaci okup, bo nie będzie w stanie opanować incydentu

Jak zabezpieczyć biznes przed atakami ransomware?

Mimo świadomości realnego zagrożenia ze strony gangów ransomware, wiele organizacji wciąż w zbyt małym stopniu zabezpiecza się przed potencjalnymi atakami. Wynika to z wielu przesłanek, z których najbardziej szkodliwą zdaje się być przekonanie o tym, że firma jest zbyt mała, by skusić hakerów. Jednak tak naprawdę problem leży jeszcze głębiej – wiele biznesów traktuje cyberbezpieczeństwo jako działanie jednorazowe, a nie jako proces.

Zabezpieczenia przed atakami ransomware można podzielić na dwie kategorie – podstawowe i proaktywne. Poniżej znajdziesz elementy podstawowej strategii cyberbezpieczeństwa, które mogą pomóc uchronić Twój biznes przed skutecznym atakiem ransomware:

  • Szkolenia pracowników z cyberbezpieczeństwa, które zmniejszą ryzyko udanego ataku socjotechnicznego – często już sama świadomość zagrożeń wystarczy, by pracownik oparł się atakom takim jak phishing, czy tailgating
  • Spójna strategia nadawania dostępów i zarządzania nimi, która ograniczy ryzyko wykorzystania przez hakerów danych dostępowych znalezionych w wyciekach – najlepiej, jeśli dodatkowo wszystkie konta pracownicze domyślnie wymagają wieloskładnikowego uwierzytelnienia, a te z najwyższym poziomem uprawnień, wykorzystują klucze sprzętowe, np. YubiKey
  • Regularne aktualizacje oprogramowania i stałe zarządzanie podatnościami, które zminimalizuje ryzyko skutecznego wykorzystania przez hakerów znanych luk w systemach – nawet jeśli patch łatający daną podatność jest jeszcze niedostępny, sama wiedza o jej istnieniu podnosi szansę na zablokowanie ataku w porę
  • Monitoring 24/7/365, który pozwoli na szybki czas reakcji i wyizolowanie incydentu odpowiednio wcześnie, by nie zagroził całej infrastrukturze firmy, a także na zauważenie nietypowych zachowań użytkowników, mogących wskazywać na próby wydobycia danych z systemu
  • Regularne backupy przechowywane w różnych lokalizacjach, również offline, które zabezpieczą dostęp do danych i sprawią, że stosunkowo szybko będzie można przywrócić system do stanu sprzed ataku
  • Przetestowany i zoptymalizowany Disaster Recovery Plan, który pozwoli na sprawne zarządzanie kryzysowe już od momentu wykrycia ataku
  • Filtrowanie wiadomości przychodzących do skrzynek mailowych, które wyłapie większość niebezpiecznych załączników (ale nie może być traktowane jako alternatywa dla szkoleń)
  • Poprawnie skonfigurowany VPN wykorzystywany zwłaszcza do połączeń z usługami sieciowymi, co utrudni hakerom przejęcie tych połączeń i wykorzystanie ich do zaatakowania organizacji

Zabezpieczenia podstawowe to absolutne minimum, przy którym możesz uznać, że Twój biznes jest przygotowany na obronę przed ransomware. Ale pamiętaj, że wszystkie działania, które tu wymieniłam muszą być wykonywane regularnie lub – jak w przypadku monitoringu – bez przerwy.

Jeśli chodzi o zabezpieczenia proaktywne, to głównie jest to monitorowanie darkwebu pod kątem wczesnego wykrywania zagrożeń – wycieki haseł dostępowych lub danych osobowych, informacje o znanych podatnościach (zwłaszcza tych chętnie wykorzystywanych przez przestępców) oraz dyskusje na darkwebowych forach, które mogą zdradzić cele kolejnych ataków.

Monitoring serwerów 24/7/365

Bo szybki czas reakcji na atak ransomware to podstawa!

Wybierz bezpieczeństwo

Co robić w trakcie ataku ransomware?

Jeśli atak już trwa, a organizacja nie wprowadziła wcześniej odpowiednich zabezpieczeń, to szanse na całkowite odparcie ataku są niewielkie. Niemniej jednak, nie znaczy to, że nie warto próbować.

Na początek zapoznaj się z radami ogólnymi:

  • Pamiętaj, by trakcie ataku nie podejmować żadnych pochopnych decyzji – nawet jeśli zapłacisz okup, nie masz gwarancji, że hakerzy spełnią obietnicę odszyfrowania plików
  • Staraj się, żeby komunikacja z hakerami przebiegała w sposób regularny i możliwie wyważony
  • Zachowaj treść komunikatu od przestępców i zwróć się o pomoc do specjalistów, którzy mogą pomóc w oszacowaniu ryzyka i w negocjacjach
  • Koniecznie odwiedź stronę NoMoreRansom.org – znajdziesz tam narzędzia deszyfrujące dla wielu typów ransomware, być może również dla tego, którego użyto w ataku na Twoją firmę

Kroki, które należy podjąć w momencie wykrycia ataku:

  1. Natychmiast odłącz wszystkie zainfekowane urządzenia od Internetu – pamiętaj, że mogą to być nie tylko serwery, a dostęp do sieci może być również bezprzewodowy lub przy wykorzystaniu sieci komórkowej; w skrajnych przypadkach rozważ odłączenie od Internetu wszystkich sprzętów i systemów firmowych
  2. Zresetuj wszystkie dostępy, szczególnie te z najwyższym poziomem uprawnień – pamiętaj, żeby uprzednio ze 100% pewnością potwierdzić, że nie odcinasz dostępu również sobie
  3. Wyczyść zainfekowane sprzęty z zachowaniem odpowiednich środków bezpieczeństwa i ponownie zainstaluj na nich system operacyjny
  4. Jeśli dysponujesz aktualną kopią zapasową, przed jej przywróceniem sprawdź, czy jest wolna od złośliwego oprogramowania – pamiętaj, że hakerzy mogli zainfekować Twoje systemy z wyprzedzeniem, co oznacza, że najświeższe backupy mogą nie być bezpieczne
  5. Podłącz urządzenia do sieci internetowej, aby pobrać niezbędne programy i aktualizacje, w tym oprogramowanie antywirusowe
  6. Zainstaluj program antywirusowy i przeskanuj urządzenia – pamiętaj, by wcześniej pobrać wszystkie aktualizacje
  7. Ponownie podłącz urządzenia do sieci firmowej – pamiętaj o stałym monitorowaniu ruchu sieciowego, by móc szybko wyłapać wszelkie anomalie, które mogłyby świadczyć o tym, że urządzenie wciąż jest zainfekowane

Warto też podzielić się informacjami o ataku z organizacją taką jak CERT. Taka wymiana wiedzy to nie tylko pomoc innym firmom, które mogą znaleźć się na celowniku hakerów, ale przede wszystkim wzmocnienie szans na namierzenie atakujących i wyeliminowanie ich z cyberprzestępczej gry. Doniesienia o kolejnych przejęciach serwerów i aresztowaniach ze strony połączonych sił policyjnych i Interpolu dają nadzieję na ograniczenie ataków ransomware, choć z pewnością nie stanie się to z dnia na dzień.

Skutki ataków ransomware dla biznesu

Efekty ataków ransomware mogą być odczuwalne nawet wiele miesięcy po samej akcji hakerów, a ich spektrum może obejmować znacznie więcej elementów niż same skutki finansowe, związane z okupem. Oto najczęstsze skutki dla firm prywatnych, na które zwraca się uwagę w kontekście ataków:

  • Uszczuplenie środków finansowych firmy o kwotę okupu – niewątpliwie jest to pierwszy i najbardziej widoczny skutek ataku ransomware, a jego dotkliwość zależy od zasobności kont atakowanego biznesu
  • Wyciek danych osobowych klientów – w zależności od branży i sposobu przechowywania danych przez firmę, możemy mieć do czynienia z niegroźnym incydentem lub z ogromnym zagrożeniem dla prywatności i bezpieczeństwa klientów
  • Kradzież i/lub ujawnienie tajnych informacji dotyczących biznesu – skutek szczególnie dotkliwy w przypadku firm, których wartość w znacznym stopniu opiera się o tzw. know‑how
  • Wyciek danych pracowników i partnerów – tak jak w przypadku danych osobowych klientów, skala problemu zależy od ilości i typu danych, które firma przechowuje i przetwarza
  • Przestój w funkcjonowaniu firmy – jak w przypadku każdego innego ataku hakerskiego, organizacja na pewien czas traci źródło dochodu, a więc skutkiem jest strata finansowa
  • Zwolnienia pracowników i kadry kierowniczej – jako możliwa konsekwencja utraty środków finansowych i przestoju w działaniu firmy
  • Koszty przywrócenia systemów do działania – nie możemy pominąć dodatkowych kosztów, które firma poniesie, jeśli nie współpracuje na stałe z zespołem adminów i będzie ich musiała znaleźć „na cito”
  • Opóźnienie dostaw – jeśli hakerzy zaszyfrują bazę danych z adresami i informacjami kontaktowymi klientów, a firma nie tworzy jej regularnych kopii zapasowych, wysyłka produktów może być znacznie opóźniona i spowodować ogromne…
  • Straty wizerunkowe – w perspektywie czasu, to właśnie ten skutek ataku może stać się najdotkliwszy dla biznesu, dlatego niezwykle ważna jest możliwie transparentna komunikacja z klientami na temat incydentu
  • Koszty prawne – poczynając od kar, które może nałożyć na firmę UODO, a kończąc na pozwach cywilnych od klientów, których dane osobowe wyciekły

Lista oczywiście nie jest zamknięta i może obejmować wiele innych konsekwencji, w szczególności takich, które są specyficzne dla danego typu działalności. W zależności od branży, waha się też dotkliwość wymienionych powyżej skutków ataku – np. dla organizacji związanej ze służbą zdrowia lub finansami wyciek danych osobowych okaże się zwykle znacznie poważniejszy, niż w przypadku firmy sprzedającej produkty cyfrowe klientom korporacyjnym.

Stała współpraca z zespołem adminów

Twoi programiści podziękują Ci za wsparcie w zakresie bezpieczeństwa infrastruktury.

Sprawdź jak możemy pomóc

Najbardziej spektakularne przykłady ataków ransomware

Atak na Colonial Pipeline w 2021

Colonial Pipeline odpowiada za dostawy 45% paliwa (w tym gazu, oleju opałowego i pochodnych ropy naftowej) na Wschodnie Wybrzeże Stanów Zjednoczonych. W maju 2021 roku firma została zaatakowana przez grupę hakerską DarkSide, co doprowadziło do prawie tygodniowej blokady rurociągu zaopatrującego mieszkańców Południowego Wschodu – 17 stanów wprowadziło stan wyjątkowy. Okup w wysokości 4,4 milionów dolarów został opłacony w ciągu kilku godzin, z czego ponad połowę udało się potem odzyskać. Źródła podają, że włamania dokonano przy pomocy zhakowanych danych dostępowych do przestarzałej sieci VPN.

Atak na Kostarykę w 2022

W kwietniu 2022 grupa hakerska Conti rozpoczęła wielomiesięczne ataki ransomware na instytucje rządowe Kostaryki. Jako pierwsze, celem przestępców padło Ministerstwo Finansów – przejęte dane uwierzytelniające pozwoliły hakerom na zarażenie całego systemu malwarem. Następnie przestępcy przypuścili ataki na kolejne ministerstwa. Prezydent Kostaryki odmówił zapłacenia okupu w wysokości 10 milionów dolarów, co doprowadziło do ujawnienia przez hakerów prawie 672 GB wykradzionych danych. Atak zmusił kraj do zamknięcia wielu systemów rządowych, co doprowadziło do wstrzymania handlu i ograniczenia wielu usług, w tym płatności rządowych. Ich przywrócenie zajęło miesiące.

Atak na British Library w 2023

Grupa hakerska Rhysida, odpowiedzialna za wiele innych ataków, między innymi na szpitale w USA i instytucje rządowe w Portugalii, w październiku 2023 zaatakowała jedną z największych bibliotek na świecie. Za odblokowanie systemów informatycznych i zwrot wykradzionych danych zażądano 20 bitcoinów (równowartość ok. 596 tysięcy funtów), a kiedy instytucja odmówiła, hakerzy wrzucili do Internetu prawie 600 GB skradzionych materiałów (między innymi kontrakty i dane osobowe pracowników biblioteki). Przywrócenie systemów zajęło British Library miesiące i kosztowało prawie 7 milionów funtów. Oficjalnie podano, że atakujący najprawdopodobniej użyli phishingu, spear‑phishingu albo ataku brute‑force, który był możliwy dzięki pozyskanym wcześniej danym dostępowym osób trzecich i brakowi MFA w systemach bibliotecznych.

Przykładów takich spektakularnych ataków jest niestety znacznie więcej, ale chciałam zwrócić Twoją szczególną uwagę na wektory powyższych ataków. W każdym z tych przypadków atak rozpoczynał się od przejęcia danych uwierzytelniających, które następnie umożliwiały hakerom skopiowanie wielu gigabajtów danych i zablokowanie systemów. Pokazuje to, jak niewiele trzeba, żeby narazić się na atak ransomware i jak ważne są zabezpieczenia wprowadzane na najbardziej podstawowym poziomie.

Czy ograniczenia w wypłacaniu okupów pomagają w zmniejszaniu ilości ataków ransomware?

Odpowiedź na to pytanie jest niezwykle trudna i może minąć dużo czasu, zanim poznamy pełną skalę konsekwencji takiego prawodawstwa. Obowiązek zgłaszania incydentów z zakresu cyberbezpieczeństwa wprowadziły już między innymi Stany Zjednoczone, Indie i Unia Europejska. Ta ostatnia ma też dodatkowo przepisy regulujące obowiązek informowania o wyciekach danych (RODO). Natomiast jeśli mowa o zgłaszaniu płatności za ransomware, to na razie przymus taki wprowadziła wyłącznie Australia i dotyczy on firm przekraczających roczny obrót w wysokości 3 milionów dolarów australijskich. Z kolei Wielka Brytania chce podobne prawo wprowadzić od 2025 roku.

W przypadku prawodawstwa australijskiego, niezgłoszenie płatności poczynionej na rzecz przestępców w przeciągu 72 godzin może skutkować dodatkowym obciążeniem finansowym w postaci dość kosztownego mandatu (18 tysięcy dolarów australijskich). Sama ustawa jest nieco szersza i wprowadza na przykład minimalne standardy zabezpieczeń dla podmiotów zaangażowanych w łańcuch dostaw urządzeń łączących się z Internetem (tzw. smart devices), ale dyskusja dotycząca projektu ustawy skupiała się w zasadzie wyłącznie na elemencie przymusu w kwestii ransomware.

Co Australia (a wkrótce również UK) chcą osiągnąć w ten sposób? Oba kraje mają w ostatnich latach ogromny problem z atakami ransomware, więc główną motywacją jest tu oczywiście doprowadzenie do zmniejszenia ilości takich incydentów i poprawienie strategii, które mogłyby zabezpieczać firmy i instytucje w sposób systemowy. Z perspektywy rządów istotne jest poznanie skali zjawiska, bo cyberataki na firmy prywatne są zgłaszane znacznie rzadziej, niż pokazują to szacunkowe dane dotyczące cyberprzestępstw. Z kolei pieniądze przekazywane hakerom w formie okupu można podciągnąć pod finansowanie przestępczości zorganizowanej, więc ważne jest, by kraje znały pełne dane na ten temat.

Przedsiębiorcy najczęściej nie decydują się na zgłoszenie ataku z powodu potencjalnych strat wizerunkowych albo obawiając się kontroli ze strony instytucji państwowych. Co do zasady, jeśli firmę stać na zapłacenie hakerom, to mimo wielu przeciwwskazań, najprawdopodobniej ten okup zapłaci, licząc na to, że w najgorszym wypadku uniknie w ten sposób przynajmniej wycieku danych. W momencie, w którym płatność będzie należało zgłosić, część organizacji nie ugnie się wobec żądań przestępców, biorąc pod uwagę szersze spektrum możliwych rezultatów wynikających z poddania się szantażowi.

Na tym etapie rozważanie skutków takich ustaw to głównie gdybanie, ale jeśli kolejne kraje postanowią przyjąć podobne prawodawstwo, być może wkrótce okaże się czy takie regulacje mają jakikolwiek realny wpływ na liczbę ataków ransomware. A jeśli mają, to czy jest on taki, jak oczekiwany, czy wręcz przeciwnie.

Przy okazji warto wspomnieć, że kilka krajów rozważało wprowadzenie całkowitego zakazu płacenia okupów, ale dotychczas nie zdecydowano się na to nawet w przypadku instytucji publicznych, takich jak szpitale i szkoły.

Przyszłość ransomware i wpływ AI

Na przyszłość ransomware wpływ będzie miało co najmniej kilka czynników, przy czym na pewno nie można tu pominąć ciągłego rozwoju sztucznej inteligencji. Dotychczas mogliśmy zaobserwować praktycznie nieprzerwany wzrost popularności tych ataków, ze szczególnym uwzględnieniem usługi Ransomware‑as‑a‑Service i kolejne lata raczej nie przyniosą drastycznych zmian w tym zakresie.

Grupy ransomware wciąż poszerzają swój arsenał, który na początku opierał się w znacznej mierze na wpływie psychologicznym – zastraszenie nie tylko odcięciem od danych, ale również ich ujawnieniem, a także wzbudzenie w ofierze poczucia pilności sprawiało, że nieprzygotowana na atak organizacja była skłonna szybko zapłacić okup i „mieć to z głowy”. Obecnie ataki socjotechniczne wciąż są podstawą dla działania hakerów, ale możemy zaobserwować również inne trendy.

Hakerzy coraz chętniej polegają na wbudowanych narzędziach administracyjnych, co sprawia, że ataki dużo trudniej wykryć. Przy tym, coraz częściej ataki przeprowadzane są w nocy, kiedy pracownicy działu IT nie mogą odpowiednio szybko zareagować. Zmieniła się też długość osi czasu ataków – dzięki rozwojowi technologii, atakujący potrzebują coraz mniej czasu, żeby przejść od pierwszego dostępu do pobrania danych i zaszyfrowania dysków, co znacznie utrudnia szybkie wykrycie i reakcję, która mogłaby atak, jeśli nie zupełnie zablokować, to przynajmniej ograniczyć.

Za kolejny trend możemy też uznać postępujące poczucie bezkarności. Coraz częściej w wyniku ataków do sieci wyciekają dane medyczne (w tym obrazy), a atakowane są nawet organizacje non‑profit. Hakerzy dzielą się też danymi dostępowymi z innymi grupami, jednocześnie coraz częściej krytykując ofiary i oskarżając je o celowe zaniedbania w kwestii cyberbezpieczeństwa.

Z kolei wspomniana wyżej sztuczna inteligencja wpływa na cyberprzestępczość zarówno negatywnie, jak i pozytywnie. Powszechność narzędzi opartych o wielkie modele językowe (LLM) pozwala hakerom na zwiększenie skuteczności już na etapie phishingu, bo wiadomości trafiające do ofiar (zwłaszcza tych nieanglojęzycznych) nie wyglądają już nieprofesjonalnie, i nie są pełne dziwnych struktur gramatycznych i literówek. Wkrótce po tym, jak świat poznał zalety ChatGPT, stworzono narzędzia dedykowane właśnie przestępcom.

Oczywiście AI pomaga też tworzyć samo oprogramowanie ransomware, co jeszcze bardziej obniża próg wejścia dla grup przestępczych niezwiązanych wcześniej tak bardzo ze światem Internetu. Na szczęście ten miecz jest obosieczny, bo sztuczna inteligencja poprawiła też możliwości wczesnego wykrywania ransomware. Jedna z testowanych aplikacji opartych o AI osiągnęła aż 99% wykrywalności ataków.

Większość ekspertów komentujących znaczenie sztucznej inteligencji dla rozwoju ransomware jest zgodna co do tego, że jej wpływ jest zdecydowanie przeceniany, a AI jest przede wszystkim szansą na usprawnienie narzędzi chroniących przed cyberzagrożeniami.

Podsumowanie

O ransomware i jego wpływie na krajobraz cyberbezpieczeństwa można napisać całe tomy, więc potraktuj proszę ten artykuł jako zaledwie wstęp do znacznie szerszego tematu. Niemniej mam nadzieję, że udało mi się przybliżyć Ci w tym tekście zarówno skalę zagrożenia, jak i sposoby na uniknięcie go. Pamiętaj, że jeśli brak Ci wiedzy specjalistycznej lub umiejętności to zawsze warto zwrócić się po pomoc do firmy, która od lat z sukcesem zabezpiecza biznesy, takie jak Twój.

Ula Sas

O autorze

Ula Sas

Marketing Specialist Consultant w Centurii. Osoba, z którą porozmawiasz o cyberbezpieczeństwie i DevOpsach z tą samą łatwością, co o teorii kolorów. W równoległym życiu ilustruje książki dla dzieci i projektuje grafiki. Prywatnie mól książkowy i żeglarka jachtowa.

Zobacz także

Zobacz więcej