Wyobraź sobie, że ktoś przychodzi do twojego domu, zamyka najcenniejsze rzeczy w sejfie i nie podaje ci szyfru. W mniej więcej takich słowach wypowiedział się na temat ransomware Oliver Friedrichs, były dyrektor w firmie Symantec, zajmującej się cyberbezpieczeństwem. Od tamtej pory minęło dwadzieścia lat, lecz problem ze złośliwymi atakami tego rodzaju wcale się nie zestarzał – jest wręcz przeciwnie.

Czym właściwie jest ransomware?

 

Nazwa tego ataku pochodzi od angielskiego określenia ransom, oznaczającego okup, i doskonale oddaje jego charakter: cyberprzestępca blokuje dostęp do systemu operacyjnego albo plików, na przykład poprzez ich zaszyfrowanie, a następnie żąda pieniędzy za zdjęcie blokady. Blokada – czy też szyfr – jest zazwyczaj bardzo skuteczna i na dobrą sprawę nie da się jej zdjąć bez klucza deszyfrującego, który posiada tylko haker.

 

Początki ransomware z dzisiejszej perspektywy sprawiają wrażenie egzotycznych, bo większości z nas trudno sobie wyobrazić „dystrybucję” złośliwego oprogramowania na dyskietkach… Tak zaś właśnie było w przypadku pierwszego znanego programu o takim działaniu, który nosił nazwę AIDS. Owszem; skojarzenia ze straszną chorobą są zupełnie na miejscu – AIDS został opracowany przez absolwenta Harvardu, doktora Josepha Poppa, który poza skłonnościami do infekowania cudzych komputerów miał dużą wiedzę na temat HIV. Po zaprogramowaniu swego narzędzia zniszczenia, Popp – pod płaszczykiem firmy o nazwie PC Cyborg Corporation – rozesłał co najmniej dziesięć tysięcy koni trojańskich na dyskietkach 5,25 cala do wielu osób i instytucji na całym świecie, obierając za cel przede wszystkim te, które miały związek z badaniami nad AIDS. Po uruchomieniu zamieszczonego na dyskietce programu, na ekranie wyświetlała się na pozór niewinna ankieta, mająca na celu oszacowanie ryzyka zarażenia wirusem HIV. Dopiero po wielu kolejnych restartach komputera użytkownik dostawał komunikat o konieczności włączenia drukarki, ta zaś beznamiętnie drukowała list z żądaniem okupu w wysokości 189 dolarów – ceny za odszyfrowanie plików. Ciąg dalszy tej historii pozostaje niejasny do dziś: podejrzewa się między innymi, że autor wrednego programu chciał się zemścić na środowisku naukowym za nieprzyjęcie go do WHO. Niezależnie od powodów, na podstawie opinii psychiatrów został on uznany za niepoczytalnego, co jest o tyle kontrowersyjne, że później pozwolono mu kontynuować badania naukowe.

 

Cyfrowy szantaż naszych czasów

 

Rzecz jasna rozsyłanie złośliwego oprogramowania na dyskietkach dawno odeszło do lamusa, lecz hakerom nie brak pomysłów na uprzykrzanie nam życia. Ransomware może trafić do naszego komputera między innymi poprzez:

  • specjalnie spreparowane załączniki e–mailowe, które zawierają na pozór niegroźne faktury czy potwierdzenia nadania przesyłki,
  • zainfekowane strony internetowe lub reklamy (tzw. malvertising),
  • zarażone nośniki USB, które nadal stanowią popularny sposób rozprzestrzeniania wirusów w sieciach firmowych.

 

Może się wydawać, że najbardziej łakomym kąskiem dla specjalistów od ransomware są bogate instytucje, lecz na ich celowniku jest nawet szary Kowalski. Żyjemy w epoce, w której coraz więcej danych, fotograficznych wspomnień i dokumentów istnieje wyłącznie w wersji cyfrowej, a ich utrata boli równie mocno jak kradzież dóbr materialnych. Nic więc dziwnego, że nawet osoby prywatne decydują się wysupłać pieniądze na ich odzyskanie. Na ogół są to pieniądze wirtualne – co nie znaczy, że mniej wartościowe – bo hakerzy wolą posługiwać się walutami takimi jak bitcoin, by uniemożliwić śledzenie przepływu gotówki. Złośliwy program, gdy już nas dopadnie i dokona swego dzieła w postaci zaszyfrowania plików, wyświetla komunikat z żądaniem okupu. Aby presja psychologiczna była jeszcze większa, komunikatowi niejednokrotnie towarzyszy licznik odmierzający czas do bezpowrotnej utraty plików. W wielu przypadkach jest to zwykły blef, lecz okazuje się na tyle skuteczny, że ofiara ataku decyduje się zapłacić.

 

Według jednej z romantyzujących hakerstwo teorii, prawdziwy haker nie naraża na szwank infrastruktury ani instytucji odpowiedzialnych za nasze życie i zdrowie. Jeśli teoria ta jest słuszna, to znaczy, że ewidentnie istnieją hakerzy nieprawdziwi, którzy nie mają podobnych skrupułów. Na przykład w 2022 roku ofiarą ataku padł Instytut Centrum Zdrowia Matki Polki w Łodzi. Zgodnie z oficjalnym oświadczeniem administracji szpitala, złośliwy program o nazwie LockBit 3.0 zaszyfrował serwery zapasowe i mógł doprowadzić do wycieku wrażliwych danych, przypuszczalnie także objętych tajemnicą lekarską informacji o pacjentach. Rok później grupa kryjąca się pod nazwą RA World zaatakowała systemy firmy ALAB Laboratoria – jednej z największych polskich sieci laboratoriów diagnostycznych. Ponieważ instytucja nie ugięła się pod żądaniami okupu, hakerzy opublikowali część wrażliwych danych – według szacunków przedstawionych przez specjalistów z CERT Polska, wyciek mógł dotyczyć nawet ponad 200 tysięcy osób.

 

Czy decyzja o niepłaceniu okupu jest słuszna? Według niektórych ekspertów – tak, zwłaszcza że sypnięcie pieniędzmi nie zawsze skutkuje odzyskaniem danych, a ponadto może rozzuchwalać sprawców, jednakże w pewnych sytuacjach wybór nie jest zupełnie oczywisty. W 2021 roku operator amerykańskiej sieci rurociągów paliwowych Colonial Pipeline uległ hakerom i już kilka godzin po ataku zapłacił okup w wysokości prawie pięciu milionów dolarów w walucie bitcoin. Przerwa w działaniu sieci – głównego źródła paliwa samochodowego i lotniczego w dużej części USA – trwała sześć dni i doprowadziła do paniki rynkowej oraz skokowego wzrostu cen benzyny. Według informacji opublikowanej przez amerykański Departament Sprawiedliwości, kilka miesięcy później FBI udało się odzyskać część bitcoinów użytych do zapłacenia okupu.

 

Jak się bronić?

 

Obawiam się, że lista zaleceń w tej sekcji mogłaby wyglądać bardzo podobnie jak w wielu innych wpisach na temat cyberzagrożeń. Jak zwykle, najsłabszym ogniwem jest człowiek, powinniśmy więc zachowywać ostrożność, a jednocześnie dbać o aktualizowanie systemu operacyjnego i programów zabezpieczających, bo hakerzy bezlitośnie wykorzystują pozostawiane luki. W pierwszym odruchu chciałem uporządkować poniższe sugestie według ich ważności, lecz przypomniały mi się dawne dzieje i treningi karate tradycyjnego, którego pięć głównych zasad zaczynało się od: „Po pierwsze”. Tak, wszystkie są równie istotne!

  • Po pierwsze, aktualizuj system i oprogramowanie.
  • Po pierwsze, rób kopie zapasowe na zewnętrznym nośniku.
  • Po pierwsze, nie ufaj wiadomościom z nieznanych źródeł i o podejrzanej treści.
  • Po pierwsze, używaj programów antywirusowych i antymalware.
  • Po pierwsze, bądź na bieżąco z nowymi metodami postępowania hakerów i ucz się ich sztuczek.

 

Cyberprzestępcy robią się coraz sprytniejsi; my też powinniśmy. Starajmy się nie wpuszczać do cyfrowego domu złoczyńców, którzy niby nie kradną, ale za to żądają pieniędzy za odzyskanie dostępu do naszej własności. A jeśli już wpuścimy – to zaś każdemu się może zdarzyć, bo przestępcy nieustannie doskonalą swoje modus operandi – dbajmy o robienie kopii zapasowych najcenniejszych danych. Może to mało romantyczne, ale skuteczne i oszukujmy się – oni też nie są romantykami.