Historia zagrożenia typu Ransomware: przeszłość, teraźniejszość i przyszłość

Przyglądamy się historii ransomware i ewolucji tego szkodliwego oprogramowania na przestrzeni lat.

Nagły i rozległy atak złośliwego oprogramowania WannaCry w maju 2017 r. zdobył sobie nagłówki w mediach na całym świecie i wprowadził nowe wyrażenie do powszechnego użytku publicznego – ransomware.

W cyberprzestrzeni i kręgach specjalistów od technologii ransomware od dawna było dobrze znanym terminem. W rzeczywistości w ciągu ostatniej dekady, ransomware prawdopodobnie było najbardziej istotnym i rozpowszechnionym zagrożeniem internetowym. Według danych liczbowych rządu Stanów Zjednoczonych, ataki ransomware od 2005 roku przewyższają liczbę włamań do baz danych online.

Być może fakt, że ataki ransomware nie były tradycyjnie wykonywane w skali globalnej, pomógł utrzymać poza zainteresowaniem ogólnej opinii publicznej. WannaCry zmienił to wszystko. Wpływając na ponad 300 000 komputerów na całym świecie, WannaCry trafił na nagłówki gazet między innymi paraliżując pracę znaczących instytucji, w tym krajowej służby zdrowia (National Health Service – NHS) w Wielkiej Brytanii.

Jeśli WannaCry był rodzajem cyberataku na wielką skalę, zdolnego zwrócić na siebie uwagę całego świata, to może on stanowić wskaźnik przyszłych rzeczy, które niedługo nas czekają. Ponieważ robaki wykorzystywane do rozpowszechniania ransomware stały się coraz bardziej wyrafinowane, a sposoby ich dystrybucji bardziej wydajne, rośnie znacząco prawdopodobieństwo większych i groźniejszych ataków .

W tym artykule przyjrzymy się historii ransomware, śledząc rozwój tego oprogramowania aż do chwili, gdy wyłoniło się ono z cienia jako jedno z największych zagrożeń dla bezpieczeństwa internetowego XXI wieku. Przeanalizujemy główne incydenty, różne stosowane metody, główne innowacje prowadzące do niedawnego szeregu globalnych ataków, zanim ostatecznie zajmiemy się tym, czego możemy się spodziewać w przyszłości.

Czym tak naprawdę jest ransomware?

Na początek kilka definicji. Ransomware zalicza się do klasy złośliwego oprogramowania przeznaczonego specjalnie dla uzyskania zysku finansowego. Ale w przeciwieństwie do wirusów używanych podczas ataków typu „hacking” ransomware nie jest przeznaczone do uzyskiwania dostępu do komputera lub systemu informatycznego w celu kradzieży danych z niego. Nie stara się też wyłudzać pieniędzy, jak to ma miejsce w przypadku różnych fałszywych programów antywirusowych typu „scareware” i phishingu.

Niestety dla ofiar efekty ransomware są niezwykle realne i namacalne.

Ransomware zakłóca działanie systemu komputerowego, czyniąc go niezdatnym do użytku. Sprawcy następnie wysyłają właścicielowi żądanie okupu, oczekując pieniędzy w zamian za cofnięcie dokonanych zmian.

Większość przykładów ransomware’a zalicza się do jednej z dwóch kategorii. Niektóre wirusy ransomware blokują użytkownikowi dostęp do urządzenia, zamrażając CPU, przejmując system weryfikacji użytkownika lub stosując jakąś podobną metodę. Inne typy ransomware, zwykle nazywane crypto-ransomware, będą szyfrować dyski i ich zawartość, co uniemożliwia otwarcie folderów i plików lub uruchamianie programów.

W większości przypadków po wykonaniu zadania przez ransomware w systemie, spowoduje to również wysłanie wiadomości z żądaniem okupu. Może ona pojawić się na ekranie zablokowanego systemu lub w przypadku ataku typu kryptograficznego może być ona nawet wysłana pocztą elektroniczną lub komunikatorem do ofiary.

Prehistoryczne dzieje ransomware

AIDS Trojan

Pierwszy powszechnie uznany wypadek ransomware faktycznie poprzedza pojawienie się zagrożeń online, które znamy dzisiaj o prawie dwadzieścia lat. W 1989 r. naukowiec z Harvardu, Joseph L. Popp, uczestniczył w konferencji Światowej Organizacji Zdrowia dotyczącej AIDS. Przygotowując się na konferencję, stworzył 20 tysięcy dyskietek, aby wysłać do delegatów, których zatytułował „Informacje na temat AIDS – dyskietki wprowadzające”.

Co niepodejrzewający niczego delegaci nie zdawali sobie sprawy z faktu, że dyskietki zawierały wirus komputerowy, który po tym, gdy reszta zawartości dyskietki została uruchomiona, przez jakiś czas ukrywał się na komputerze ofiary. Po 90 ponownym uruchomieniu wirus rozpoczął swoje działanie, natychmiast zaszyfrował pliki i poukrywał katalogi. Na ekranie został wyświetlony komunikat informujący użytkownika, że jego system zostanie przywrócony do normalności po wysłaniu 189 dolarów do skrzynki pocztowej w Panamie.

Inteligencja dr Poppa wyprzedziła swój czas, a potrzebne było kolejne 16 lat, zanim ktokolwiek przejąłby pałeczkę jego pomysłu na ransomware i uruchomił ją w erze internetu. Sam Popp został aresztowany, ale nigdy nie stanął przed sądem ze względu na zły stan zdrowia psychicznego.

2005: rok zero

Zanim pojawiły się kolejne przykłady ransomware, dr Joseph L Popp został już dawno zapomniany, a świat informatyki został znacząco przekształcony przez internet. Pomimo wszystkich swoich zalet internet sprawił, że rozprzestrzenianie się wszelkiego rodzaju złośliwego oprogramowania stało się znacznie łatwiejsze dla cyberprzestępców, a kolejne lata umożliwiły programistom opracowanie znacznie bardziej wydajnych metod szyfrowania niż te stosowane przez dr Poppa.

GPCoder

Jednym z pierwszych przykładów rozpowszechniania się ransomware online był trojan GPCoder. Po raz pierwszy zidentyfikowano go w 2005 r., GPCoder infekował systemy Windows i celował w pliki z konkretnymi rozszerzeniami. Po ich znalezieniu pliki zostały zapisane w zaszyfrowanej formie, a oryginały zostały usunięte z systemu. Nowe, zaszyfrowane pliki były całkowicie nieczytelne, a użycie silnego szyfrowania RSA-1024 sprawiło, że próby ich odblokowania były bardzo mało prawdopodobne. Na ekranie głównym użytkownika wyświetlona została wiadomość kierująca ofiarę do pliku.txt umieszczonego na pulpicie, zawierającego szczegółowe informacje na temat sposobu zapłacenia okupu i odblokowania uszkodzonych plików.

Archievus

Tego samego roku, gdy GPCoder został zidentyfikowany, na scenie pojawił się inny trojan wykorzystujący 1024-bitowe szyfrowanie RSA. Zamiast koncentrować się na konkretnych plikach wykonywalnych i rozszerzeniach plików, Archievus po prostu zaszyfrował wszystko w folderze Moje dokumenty komputera ofiary. Teoretycznie oznaczało to, że ofiara mogła nadal używać komputera i plików przechowywanych w innych folderach. Ale ponieważ większość osób przechowuje wiele najważniejszych plików, w tym dokumenty robocze, domyślnie w folderze Moje dokumenty, efekt nadal był piorunujący.

Aby pozbyć się efektów działania Archievusa, ofiara została skierowana na stronę internetową, na której musiała kupić 30-cyfrowe hasło – nie ma praktycznie żadnego prawdopodobieństwa jego odgadnięcia.

2009 – 2012: wymuszanie gotówki

Zajęło to trochę czasu, aby te wczesne formy ransomware online zyskiwały uznanie w cyberprzestępczym podziemie. Zyski z trojanów takich jak GPCoder i Archievus były stosunkowo niskie, głównie dlatego, że zostały one łatwo wykryte i usunięte przez oprogramowanie antywirusowe, co oznaczało, że ich okres przydatności do zarabiania pieniędzy był dość krótki.

Ogólnie rzecz biorąc, cyberprzestępcy w tamtych czasach woleli trzymać się standardowych włamań, phishingu i oszukiwania ludzi za pomocą fałszywych oszustw przeciwwirusowych.

Pierwsze oznaki zmian pojawiły się w 2009 roku. W tym roku znany wirus „scareware” zwany Vundo zmienił taktykę i zaczął działać jako ransomware. Wcześniej Vundo infekował systemy komputerowe, a następnie uruchomił własny alert bezpieczeństwa, zachęcają użytkowników do fałszywej naprawy. Jednakże w 2009 r. analitycy zauważyli, że Vundo zaczął szyfrować pliki na komputerach ofiar, sprzedając prawdziwe programy pozwalające je odblokować.

Był to pierwszy sygnał, że hakerzy zaczęli dostrzegać pieniądze możliwe do uzyskania dzięki ransomware. Dzięki rozprzestrzenianiu się anonimowych platform płatniczych online coraz łatwiej było otrzymywać okup na skalę masową. Oczywiście samo wyrafinowanie oprogramowania ransomware rosło.

Do 2011 roku strumyk ten zamienił się w prawdziwą rzekę. W pierwszym kwartale tego roku wykryto 60 000 nowych ataków ransomware. Do pierwszego kwartału 2012 roku liczba ta wzrosła do 200 000. Pod koniec 2012 r. badacze firmy Symantec szacowali, że czarny rynek ransomware wart jest 5 milionów USD.

Trojan WinLock

W 2011 r. pojawiła się nowa forma ransomware. Trojan WinLock jest uważany za pierwszy powszechny przykład tego, co zostało nazwane ransomware typu „Locker”. Zamiast szyfrować pliki na urządzeniu ofiary, trojan po prostu uniemożliwia zalogowanie się do urządzenia.

Trojan WinLock rozpoczął tendencję do tworzenia ransomware, które naśladowało prawdziwe produkty, wykorzystując starą taktykę scareware. Zainfekowane systemy Windows wykorzystywały własny system Aktywacji produktów Windows, blokując użytkowników dopóki nie wykupili oni klucza aktywacyjnego. Aby dodać więcej wiarygodności oszustwu, komunikat wyświetlany na fałszywym ekranie Aktywacji faktycznie informował ofiarę, że ich system Windows musi zostać ponownie aktywowany z powodu nadużycia finansowego, a następnie kierował ją do międzynarodowego numeru telefonu, aby rozwiązać ten problem. Numer telefonu opisywany był jako bezpłatny, ale w rzeczywistości powodował naliczenie wysokiego rachunku, który prawdopodobnie trafiał do kieszeni przestępców stojących za szkodliwym oprogramowaniem.

Reveton i „policyjne” ransomware

Istotną zmianą na temat naśladowania produktów standardoweego oprogramowania, aby oszukać ofiary i zmusić je do płacenia za fałszywe subskrypcji, było pojawienie się tak zwanego „policyjnego” ransomware. W przypadków tych ataków złośliwe oprogramowanie powodowało zainfekowanie systemów i wyświetlanie wiadomości pochodzących od organów ścigania i władz państwowych , stwierdzając, że zostały one użyte w celu nielegalnej działalności. Urządzenie zostanie zamknięte w charakterze „konfiskaty”, dopóki nie zostanie zapłacona jakaś łapówka lub grzywna.

Przykłady tego typu ransomware były często rozpowszechniane przez witryny z pornografią, usługi udostępniania plików i wszelkie inne platformy internetowe, które mogłyby być wykorzystane do potencjalnie nielegalnych celów. Pomysł polegał na tym, że żeby ofiara nie miała żadnych wątpliwości co do autentyczności komunikatu i zapłaciła grzywnę, zanim zdążyła racjonalnie myśleć o tym, czy groźba oskarżenia była prawdziwa, czy też nie.

Aby ataki wydały się bardziej autentyczne i groźne, ransomware policyjne było często dostosowywane do lokalizacji ofiary, wyświetlało jej adres IP lub w niektórych przypadkach także obraz na żywo z własnej kamery internetowej, co miało oznaczać, że ofiary były obserwowane i monitorowane.

Jednym z najbardziej znanych przykładów ransomware policyjnej był Reveton. Rozprzestrzeniane początkowo w Europie odmiany Revetona stały się rozpowszechnione na tyle, aby pojawiać się także w Stanach Zjednoczonych, gdzie ofiary zostały poinformowane, że były pod nadzorem FBI i muszą zapłacić 200 dolarów grzywny, aby urządzenie zostało odblokowane. Płatność była dokonywana za pośrednictwem elektronicznych usług prepaid, takich jak MoneyPak i Ukash. Ta taktyka została skopiowana przez inne policyjne ransomware, takie jak Urausy i Kovter.

2013 – 2015: powrót do szyfrowania

W drugiej połowie 2013 r. pojawił się nowy wariant crypto-ransomware, który postawił nowe wyzwanie w walce o cyberbezpieczeństwo. CryptoLocker zmienił grę w ransomware na wiele nowych sposobów. Po pierwsze, nie przeszkadzał on w cyberprzestrzeni stosującym dawne taktyki oprogramowaniu scareware lub policyjnym ransomware. Programiści CryptoLocker byli bardziej bezpośredni w tym, co robią, wysyłając ordynarną wręcz wiadomość do ofiar, że wszystkie ich pliki zostały zaszyfrowane i zostaną usunięte, jeśli okup nie zostanie zapłacony w ciągu trzech dni.

Po drugie, CryptoLocker wykazał, że zdolności cyberprzestępców wykorzystujących szyfrowanie może być znacznie większe niż te dostępne do tej pory, gdy pierwsze crypto-ransomware pojawiło się prawie dziesięć lat wcześniej. Korzystając z serwerów C2 w ukrytej sieci Tor, programiści CryptoLockera mogli wygenerować 2048-bitowe, publiczne i prywatne klucze szyfrujące RSA, aby zainfekować pliki o określonych rozszerzeniach. Działało to jako podwójne powiązanie – każdy, kto szuka klucza publicznego jako podstawy do wypróbowania sposobu rozszyfrowania plików, będzie zmagał się z ukryciem danych w sieci Tor, a prywatny klucz przechowywany przez programistów był niezwykle silny.

Po trzecie, CryptoLocker złamał nowe granice sposobem swojego rozpowszechniania. Infekcja rozprzestrzeniła się początkowo przez botnet z Gameover Zeus, sieć zainfekowanych komputerów zombie, używanych specjalnie do rozprzestrzeniania złośliwego oprogramowania przez Internet. Dlatego też CryptoLocker oznaczał pierwszy przykład ransomware rozprzestrzeniający się za pośrednictwem zainfekowanych stron. Jednak CryptoLocker rozprzestrzeniał się także poprzez typowy phishing, a zwłaszcza wiadomości e-mail wysyłane do firm, które wyglądały jak skarga klienta.
Wszystkie te cechy stały się dominującą cechą ataków ransomware, na którą wpływ miała skuteczność CryptoLockera. Skoro żądał 300 dolarów jednorazowo za odszyfrowanie zainfekowanych systemów, to uważa się, że jego twórcy zarobili aż 3 miliony dolarów.

Onion i bitcoiny

CryptoLocker został w dużej mierze opanowany w 2014 roku, kiedy botnet Gameover Zeus został usunięty, ale do tego czasu powstało dużo imitatorów gotowych przejąć pałeczkę. CryptoWall był najbardziej znaczącym następcą, działając na tej samej zasadzie szyfrowania kluczy publicznych i prywatnych algorytmem RSA, generowanym za osłonąsieci Tor i rozprowadzany za pomocą oszustw wyłudzających informacje.

Router „cebulowy” (onion), znany powszechnie jako Tor, zaczął odgrywać coraz większą rolę w rozwoju i dystrybucji ransomware. Nazywany tak z uwagi na sposób, w jaki kieruje ruch internetowy wokół złożonej globalnej sieci serwerów, co przypomina nieco warstwy cebuli, Tor jest projektem wspierającym anonimowość, pomagającym ludziom ukryt to, co robią online przed wścibskimi oczami. Niestety przyciąga to także cyberprzestępców, którzy chcą ukryć swoje działania przed oczami stróżów prawa, a więc Tor odgrywa sporą rolę w grze wykorzystującej ransomware.

CryptoWall potwierdził także rosnącą rolę w atakach ransomware waluty Bitcoin. Do roku 2014 krypto-waluta była najpopularniejszą metodą płatności. Elektroniczne rozwiązania prepaid były w pełni anonimowe, ale trudne do wykupienia bez prania pieniędzy, podczas gdy Bitcoin mógłby być bezpośrednio używany online jako zwykła waluta do handlu i transakcji.

Oszacowano, że do roku 2015 sam CryptoWall wygenerował 325 milionów dolarów.

Ataki na Androida

Kolejnym ważnym etapem w historii ransomware był rozwój wersji przeznaczonych na urządzenia przenośne. Początkowo były one skierowane na urządzenia z Androidem, korzystając z otwartego kodu źródłowego tego systemu.

Pierwsze przykłady pojawiły się w 2014 roku i skopiowały format policyjnego ransomware. Ransomware Sypeng, które zainfekowało urządzenia przez fałszywą wiadomość z aktualizacją programu Adobe Flash, blokowało ekran i wyświetlało fałszywy komunikat od FBI, żądając 200 USD opłaty. Koler był podobnym wirusem, który jest jednym z pierwszych przykładów robaka ransomware nowej generacji, samoreplikującego się złośliwego oprogramowania, które tworzy własne drogi dystrybucji. Koler automatycznie wysyła wiadomość do wszystkich osób z listy kontaktów zainfekowanego urządzenia, zawierającą link do robaka.

Pomimo swojej nazwy SimplLocker był wczesnym rodzajem krypto-ransomware dla telefonów komórkowych, gdy większość innych przypadków przybierała formę ataków blokujących dostęp. Kolejną innowacją, którą zawierały ransomware dla Androida było pojawienie się narzędzi typu DIY, które pozwalały cyberprzestępcom kupić je online i skonfigurować automatycznie. Jednym wczesnym przykładem było oparty na tym pakiecie ransomware Pletor, które zostało sprzedany za 5000 dolarów.

2016: zagrożenia ewoluują

2016 miał być rokiem dla ransomware. Nowe sposoby dostarczania, nowe platformy i nowe typy złośliwego oprogramowania powodują, że wszystkie stają się poważnym zagrożeniem, które stało się podstawą dla masowych ataków globalnych.

Ewolucja CryptoWalla

W przeciwieństwie do wielu przykładów ransomware, które mają swój dzień chwały, a następnie są neutralizowane przez tę lub inną poprawkę, zagrożenie w postaci CryptoWall nigdy nie zostało pokonane. Opracowany w czterech różnych wersjach CryptoWall był pionierem w kwestii technik naśladowanych przez inne ransomware, takich jak wykorzystanie replikowanych wpisów klucza rejestru, dzięki czemu złośliwe oprogramowanie wczytuje się przy każdym ponownym uruchomieniu komputera. Jest to sprytne rozwiązanie, ponieważ złośliwe oprogramowanie nie zawsze działa natychmiast, czekając na możliwość połączenia z serwerem zdalnym zawierającym klucz szyfrowania. Automatyczne ładowanie programu przy ponownym uruchamianiu zwiększa na to szanse.

Locky

Dzięki agresywnej dystrybucji opartej na phishingu Locky wyznaczył nowy precedens, naśladowany następnie przez kopie WannaCry z racji swojej szybkości i skali dystrybucji. W szczytowych momentach zgłaszano, że infekuje on do 100 000 nowych systemów dziennie, używając systemu franczyzowego, który po raz pierwszy wykorzystywał zestawy narzędzi dla Androida, aby zachęcić coraz więcej przestępców do udziału w dystrybucji. Zapowiedziano również ataki WannaCry kierowane na dostawców opieki zdrowotnej, ponieważ jego twórcy dostrzegli fakt, że podstawowe usługi publiczne szybko płacą okup, aby ponownie uruchomić swoje systemy.

Wieloplatformowość

W 2016 r. pojawił się również pierwszy ransomware, który miał wpływ na systemy Mac. KeRanger był szczególnie paskudny, ponieważ potrafił szyfrować kopie zapasowe programu Time Machine oraz zwykłe pliki systemu Mac, pokonując zwykłą zdolność komputera Mac do przywrócenia wcześniejszych wersji systemu, gdy wystąpi problem.

Krótko po KeRangerze pojawiły się pierwsze ransomware zdolne do zarażenia wielu systemów operacyjnych. Zaprogramowany w Javie Ransom32 był w stanie teoretycznie wpłynąć na urządzenia działające w systemie Windows, Mac lub Linux.

Zagrożenia wykorzystujące znane luki w zabezpieczeniach

Tak zwane „zestawy exploitów” to protokoły dostarczania złośliwego oprogramowania, które wykorzystują znane luki w popularnych systemach służące do wszczepienia wirusów. Zestaw Angler jest przykładem, który był używany do ataków ransomware już w 2015 roku. W 2016 r. pojawiły się liczne agresywne wirusy ransomware, których celem były luki w zabezpieczeniach programów Adobe Flash i Microsoft Silverlight – jednym z nich był CryptoWall 4.0.

Kryptorobaki

W następstwie innowacji w wirusie Koler kryptorobaki stały się częścią głównego nurtu ransomware w 2016 r. Jednym z przykładów był robak ZCryptor zgłoszony przez firmę Microsoft. Rozprzestrzeniający się początkowo przez ataki typu phishing, ZCryptor mógł dystrybuować się automatycznie przez urządzenia sieciowe poprzez samo-replikację i samowykonywanie się.

2017: rok, w którym rozlało się ransomware

Biorąc pod uwagę szybkie postępy w wyrafinowaniu i skali ataków ransomware w 2016 r., wielu analityków ds. bezpieczeństwa cybernetycznego uznało, że to tylko kwestia czasu, zanim prawdziwie globalny incydent w skali największych ataków hakerskich i naruszeń danych będzie miał miejsce. WannaCry potwierdził te obawy, trafiając na nagłówki gazet na całym świecie. Ale WannaCry jest daleki od bycia jedynym ransomware zagrażającym użytkownikom komputerów w tym roku.

WannaCry

W dniu 12 maja 2017 r. robak ransomware, który stał się później znany na całym świecie jako WannaCry uderzył w swoje pierwsze ofiary w Hiszpanii. W ciągu kilku godzin rozprzestrzenił się na setki komputerów w dziesiątkach krajów. Kilka dni później liczba ta wzrosła do ponad ćwierć miliona, co spowodowało, że WannaCry stał największym atakiem ransomware w historii i zapewniło, że cały świat usiadł i zwrócił uwagę na to zagrożenie.

WannaCry jest skrótem od WannaCrypt, odwołując się do faktu, że WannaCry jest krypto-ransomware. Bardziej szczegółowo, jest to kryptorobak, zdolny do samoreplikacji i automatycznego rozprzestrzeniania się.

To, co uczyniło WannaCry tak skutecznym i tak szokującym dla ogółu społeczeństwa, był sposób jego rozprzestrzeniania się. Nie było fałszywych wiadomości, oszustw, żadnych pobrań z witryn sieci Web. Zamiast tego WannaCry wyznaczyła nową fazę ransomware, która wykorzystywała znane luki w zabezpieczeniach komputerów. Został zaprogramowany do włamania się przez sieć do komputerów działających na starszych wersjach systemu Windows Server – które miały znaną lukę w zabezpieczeniach – i zarażenia ich. Gdy zarażono już jeden komputer w sieci, szybko wyszukiwał on inne z tą samą wadą i zarażał je też.

W ten sposób WannaCry rozprzestrzenił się tak szybko i dlatego był szczególnie groźny w atakowaniu systemów dużych organizacji, w tym banków, insytucji komunikacyjnych, uniwersytetów i publicznych służb zdrowia, takich jak brytyjskie NHS. To także dlatego zdobył tak wiele nagłówków w mediach.

Ale tym, co zaszokowało szczególnie wiele osób był faktem, że luka w zabezpieczeniach, którą wykorzystano w systemie Windows, została faktycznie zidentyfikowana przez US National Security Agency (NSA) wiele lat temu. Ale zamiast ostrzegać przed nią świat, NSA zachowywał się cicho i rozwinął swoje własne oprogramowanie szpiegowskie, aby wykorzystać tę lukę jako broń cybernetyczną. WannaCry powstał w oparciu o system opracowany przez agencję bezpieczeństwa państwa.

Petya

Zaraz po WannaCry kolejny atak międzykontynentalnego ransomware spowodował zainfekowanie kolejnych tysięcy komputerów we wszystkich czterech zakątkach świata. Znany jako Petya wykorzystywał, co zresztą było najbardziej godne uwagi w tym ataku tę samą lukę w systemie Windows, co używana przez WannaCry, pokazując przy tym potencjał planowanej przez NSA akcji szpiegowskiej. Pokazano również, pomimo powszechnej dostępności patcha opracowanego w wyniku ataku WannaCry, jak trudno jest zapewnić użytkownikom możliwość regularnej aktualizacji.

LeakerLocker

W ślad za zademonstrowaniem jak elastyczne i groźne może być ransomware, na nagłówki gazet trafił kolejny, jeden z najnowocześniejszych ataków, nawiązujących przy tym do dni chwały scareware i taktyk wykorzystujących szantaż, ale z zaktualizowanymi metodami oszustwa. Kierując się na urządzenia z Androidem LeakerLocker zagroził, że udostępni całą zawartość urządzenia mobilnego użytkownika wszystkim osobom z listy kontaktów. Jeśli masz coś żenującego lub kompromitującego zapisanego w telefonie, lepiej zapłać, albo wszyscy Twoi przyjaciele, koledzy i krewni mogą wkrótce zobaczyć co miałeś do ukrycia.

Jaka jest przyszłość ransomware?

Biorąc pod uwagę gwałtowny wzrost przychodów cyberprzestępców, które pochodzi z ransomware, można spokojnie przyjąć, że w przyszłości będziemy o tym dużo słyszeli. Sukces WannaCry w połączeniu technologii samoreplikacji robaka z ukierunkowaniem na znane luki w zabezpieczeniach systemowych prawdopodobnie zapewnił, że w najbliższym czasie będzie to charakter większości ataków. Ale naiwnie byłoby myśleć, że programiści ransomware nie myślą już o przyszłości i rozwijają nowe sposoby zarażania, rozpowszechniania i zarabiania na złośliwym oprogramowaniu.

Czego więc możemy się spodziewać?

Jedną z największych obaw jest potencjał, jaki ma ransomware w rozpoczęciu kierowania się na urządzenia cyfrowe inne niż komputery i smartfony. Wraz z Internetem rzeczy (IoT) coraz bardziej typowe urządzenia używane w życiu codziennym są połączone z internetem. Stwarza to ogromny nowy rynek dla cyberprzestępców, którzy mogą zdecydować się na użycie ransomware do zablokowania samochodów i wymuszania okupu od ich właścicieli lub ustawić termostat centralnego ogrzewania w domach na mrożenie, chyba mieszkańcy zapłacą okup. W ten sposób zdolność ransomware do bezpośredniego oddziaływania na nasze codzienne życie może tylko wzrosnąć.

Inną możliwością jest to, że ransomware odejdzie od atakowania pojedynczych urządzeń i ich użytkowników. Zamiast adresować pliki przechowywane na jednym komputerze, ransomware mogłoby w sposób prawdopodobny dążyć do realizowania wstrzyknięć kodu SQL do szyfrowania baz danych przechowywanych na serwerze sieciowym. Wyniki tego byłyby naprawdę katastrofalne – cała infrastruktura globalnego przedsiębiorstwa mogłaby zostać uszkodzona za pomocą jednej akcji lub też całe usługi internetowe zostać wyłączone z użytku, co może wpłynąć na setki tysięcy użytkowników.

Jednak ransomware wciąż ewoluuje, powinniśmy zatem przygotować się na to, że będzie ono stanowić poważnyezagrożenie dla Internetu w nadchodzących latach. Może to obejmować otwieranie e-maili, odwiedzane witryny i aktualizacje zabezpieczeń lub będziesz rozpaczać wraz ze wszystkimi innymi ofiarami ransomware.

Czy VPN może zapobiec atakom ransomware?

Korzystanie z sieci VPN nie może Cię ochronić przed atakami złośliwego oprogramowania, zwiększa jedynie poziom bezpieczeństwa systemu, dzięki czemu jest in bardziej bezpieczny. Istnieje wiele zalet korzystania z VPN.

  • Jeśli używasz VPN, Twój adres IP jest ukryty i możesz uzyskać dostęp do internetu w pełni anonimowo. Uniemożliwia to twórcom złośliwego oprogramowania kierowanie go bezpośrednio na Twój komputer. Zazwyczaj szukają bardziej narażonych użytkowników.
  • Udostępnianie lub uzyskiwanie dostępu do danych online przy użyciu VPN przestaje być zagrożenie, gdyż dane te są szyfrowane i nie pozostają w zasięgu ręki twórców złośliwego oprogramowania.
  • Wiarygodne usługi VPN usuwają także dostęp do wątpliwych adresów URL.

Dzięki tym czynnikom korzystanie z sieci VPN zabezpiecza Cię przed złośliwym oprogramowaniem, w tym także i ransomware. Istnieje wiele usług VPN do wyboru. Upewnij się, że dostawca VPN, z którego usług chcesz korzystać jest renomowany i posiada niezbędne doświadczenie w dziedzinie bezpieczeństwa online.

Jeśli szukasz najlepszych usług VPN, sprawdź nasze najbardziej zalecane VPN na podstawie opinii zaufanych użytkowników.

Czy było to dla Ciebie pomocne? Udostępnij to!