Jak przechytrzyć gangi internetu

Dokonując ataku typu ransomware, napastnicy włamują się do komputera ofiary, zaszyfrowują dane na jego dyskach, a następnie żądają zapłaty za udostępnienie klucza deszyfrującego, który pozwoli odblokować system. Ten sposób wymuszania okupu znany jest od dziesięcioleci, lecz od 2010 roku jego popularność gwałtownie wzrosła, a internetowe gangi zaczęły obierać za cel samorządy lokalne, przedsiębiorstwa komunalne, a nawet szpitale. Zagrożenie ze strony ransomware dotyczy nas wszystkich – rozwiązanie tego problemu będzie wymagało wspólnych działań firm, amerykańskich władz i partnerów międzynarodowych.

W 2020 roku Federalne Biuro Śledcze otrzymało ponad 2400 zgłoszeń ataków ransomware, które kosztowały ofiary co najmniej 29 mln dolarów, nie licząc straconego czasu i innych zasobów. Liczby te nie ukazują rzeczywistych skutków ransomware, ponieważ nie wszystkie instytucje są skłonne zgłaszać, że padły ofiarą tego typu przestępstwa – a jeśli już to robią, nie zawsze ujawniają wysokość zapłaconego okupu. Nawet te zaniżone statystyki pokazują jednak wzrastającą zuchwałość gangów stosujących ransomware – liczba ataków dokonanych w 2020 roku wzrosła o 20% w porównaniu z rokiem poprzednim, a łączna kwota zapłaconych pieniędzy zwiększyła się ponad trzykrotnie.

Ataki te wyrządzają szkody nie tylko tym, którzy są ich bezpośrednim celem. Na przykład w maju ubiegłego roku firma Colonial Pipeline ogłosiła, że zgromadzone przez nią dane padły ofiarą grupy hakerskiej. W rezultacie to prywatne przedsiębiorstwo – które odpowiada za około połowę wszystkich dostaw paliw na Wschodnim Wybrzeżu USA – musiało wyłączyć z użytku prawie 8800 km rurociągów. Na wieść o tym ludzie wpadli w panikę i zaczęli gromadzić zapasy benzyny, co spowodowało niedobory na stacjach paliwowych. Firma zapłaciła co najmniej 4,4 mln dolarów za przywrócenie działania swoich systemów, jakkolwiek rząd amerykański ostatecznie odzyskał mniej więcej połowę tej kwoty od przestępców, rosyjskiego gangu stosującego ataki ransomware o nazwie REvil.

Tak długo, jak ofiary będą płacić, hakerzy będą czerpać zyski z ataków. Jednakże eksperci od cyberbezpieczeństwa są podzieleni w kwestii tego, czy rząd powinien zakazać płacenia okupu. Taki zakaz zniechęcałby hakerów, lecz stawiałby zarazem niektóre instytucje przed trudnym dylematem moralnym. Na przykład dla szpitala odblokowanie systemów komputerowych tak szybko, jak to możliwe może być kwestią życia lub śmierci pacjentów.

Inne, prostsze rozwiązania polegają na zmuszeniu instytucji do implementacji bardziej rygorystycznych programów ochrony. Środki obrony przed cyberatakiem, takie jak wymagania wieloczynnikowego uwierzytelniania oraz intensywne szkolenia w zakresie rozpoznawania phishingu i innych sposobów ataków, utrudniają hakerom dostęp do systemów komputerowych. Segmentacja sieci oznacza, że włamanie do jednej części systemu nie powoduje natychmiastowego udostępnienia wszystkich danych. A regularne tworzenie kopii zapasowych pozwala firmie funkcjonować nawet wtedy, gdy jej oryginalne dane są zaszyfrowane.

Wszystko to wymaga jednak zasobów, do których nie każda instytucja ma dostęp. Tymczasem gangi ransomware stosują coraz bardziej wyrafinowane techniki. Niektóre pracują tygodniami, aby dostać się do sieci firmowej, a następnie starannie ją przejrzeć w poszukiwaniu najbardziej istotnych danych, których można użyć jako zakładnika. Niektóre grupy, w tym REvil, celowo uszkadzają kopie zapasowe. Inne sprzedają instrukcje i oprogramowanie, aby pomóc innym hakerom w dokonywaniu własnych ataków. W konsekwencji specjaliści od bezpieczeństwa sieci angażują się w nieustanną zabawę w kotka i myszkę.

Pożądane są działania w skali zbiorowej. Gdyby wszystkie instytucje, które padły ofiarą ransomware, zgłaszały ten fakt, przyczyniłyby się do zgromadzenia zasobu cennych danych, które mogłyby pomóc w neutralizacji zagrożenia. Na przykład niektóre gangi ransomware mogą stosować dokładnie ten sam typ szyfrowania we wszystkich atakach. Etyczni hakerzy są w stanie wykrywać te regularności i je analizować, co pozwala im odzyskiwać i publikować klucze deszyfrujące dla konkretnych typów ransomware. Jednakże wiele firm niechętnie przyznaje się do naruszenia integralności swoich danych, chcąc uniknąć złej prasy. Przezwyciężenie tej niechęci może wymagać podjęcia kroków legislacyjnych, takich jak złożony w zeszłym roku w Senacie projekt ustawy nakładający na firmy obowiązek zgłaszania faktu zapłacenia okupu w ciągu 24 godzin od transakcji.

Przeciwdziałanie atakom ransomware będzie również wymagało dotarcia bezpośrednio do przestępców, a to oznacza potrzebę współpracy na szczeblu międzynarodowym. W październiku ubiegłego roku FBI podjęło wraz z zagranicznymi partnerami działania mające na celu zmuszenie gangu REvil do wycofania się z sieci; w listopadzie międzynarodowe organy ścigania aresztowały domniemanych członków tej grupy. Takie wspólne wysiłki instytucji, agend rządowych i służb bezpieczeństwa będą konieczne, aby powstrzymać najbardziej zuchwałe ataki ransomware. Jest to jednak wciąż walka, której końca nie widać.