Ransomware, a RODO?

Ransomware – oprogramowanie szantażujące, oprogramowanie wymuszające okup (ang. ransomware – zbitka wyrazowa powstała ze słów ransom “okup” i software “oprogramowanie”) – rodzaj szkodliwego oprogramowania, które blokuje system komputerowy lub szyfruje zapisane w nim dane, a następnie żąda od ofiary okupu za przywrócenie dostępu. Tyle Wikipedia… A jak to wygląda w praktyce? Okazuje się, że całkiem niewinnie…

Od jakiegoś czasu obserwuję specyficzne e-maile przychodzące na jedno z moich prywatnych kont. Jako, że mocno kontroluję swoje działania na różnych polach, wiem od kogo mogę się spodziewać się jakichś “bonusów”.
Zaobserwowana sytuacja u jednego z klientów, zainspirowała mnie  do baczniejszego przyjrzenia się zawartości folderu SPAM na wspomnianym prywatnym koncie e-mail.
Kilka maili zwróciło moją uwagę, choć system antywirusowy jakoś nie uznał ich jako niebezpieczne, może to dlatego, że na codzień korzystam z maszyn z systemem MacOS, które znacznie trudniej zainfekować niż maszyny pod kontrolą systemu Windows. Do niedawna system MacOS był uznawany za bezpieczny, jednak w ostatnim czasie pojawia się coraz więcej złośliwego kodu również przewidzianego do atakowania tego sytemu.

Badając temat, uruchomiłem wirtualną maszynę z zainstalowanym Windowsem i Avastem, oraz domyślną konfiguracją przeglądarki. Pobrałem te kilka maili. Wyglądały one niewinnie – informacja od Poczty Polskiej, że kurier nie dostarczył przesyłki i mam zobaczyć dane na jej temat oraz możliwości jej odebrania. Co ciekawe, w tamtym czasie nie oczekiwałem na żadną paczkę.

Mail z ransomware
Moją uwagę zwrócił styl napisanej wiadomości. Wskazywał on, jakby był to automatyczny mail pisany łamaną polszczyzną. W mailu było kilka linków prowadzących w to samo miejsce i bynajmniej nie do serwerów Poczty Polskiej. Ale to wykazała dopiero dokładna analiza kodu wiadomości.

Mając pewność, że w środowisku sandboxowym mogę otworzyć tą wiadomość ryzykując co najwyżej uszkodzeniem maszyny wirtualnej, kliknąłem w link z wiadomości. Zostałem przeniesiony na stronę, z której zostałem przekierowany dalej. Przy tej okazji pobrał się jakiś plik… W sumie nic zaskakującego, choć zakładając naiwnie, że mail pochodził od Poczty Polskiej, wydawało mi się to mało profesjonalne.

Pozornie nic się nie wydarzyło. Wyłączyłem wirtualną maszynę i zająłem się czym innym. Po jakimś czasie ponownie uruchomiłem ją, by sprawdzić inną próbkę kodu. Ku mojemu zaskoczeniu pojawiła się informacja “Chcesz odzyskać dostęp do komputera to zapłać bitcoinami 300$”.

WanaCry komunikatTak kończy się niestety naiwne klikanie w każdego ciekawego maila, którego treść obiecuje nam coś “za darmo”. Podobnie jest ze stronami www- wchodzimy na stronę z pozornie ciekawą wiadomością, a prawdziwa sensacja dzieje się na naszym komputerze.
To przykład ataku na komputer w celu wyłudzenia okupu. Atak ransomware.

Mamy w historii kilka “podręcznikowych” ataków ransomware, które zostały dokładnie przeanalizowane.

WannaCry

Choćby atak WannaCry.
W 2016 roku analityk z NSA o nicku ShadowBroker wykrył w usłudze otoczenia sieciowego SMB w Windowsie podatność na włamanie z możliwością przejęcia uprawnień administratora. Dokładnie opisał tę podatność. W marcu 2017 Microsoft wypuścił łatkę likwidującą tę podatność adresowaną na wszystkie systemy poza Windows XP (uznając zapewne, że skoro zakończyło się wsparcie tego systemu, to i wszelkie aktualizacje nie muszą się już pojawiać).
W maju 2017 pojawił się kod ransomware WannaCry, który zaatakował komputery z systemem XP (jak wspomniałem, wyższe wersje były już bezpieczne). Do końca maja, kiedy to wypuszczono łatkę również dla Windows XP, zainfekowanych zostało kilkaset tysięcy komputerów na całym świecie.
Infekcja przyjmowała coraz większe rozmiary i nikt nie wiedział jak jej przeciwdziałać. Była to nowość, na którą trudno było znaleźć skuteczną szczepionkę. Analityk o nicku @MalwareTech zauważył w kodzie wirusa występowanie nazwy domenowej http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Okazało się, że nie ma takiej domeny. Zatem wiedziony przeczuciem zarejestrował ją. W tym momencie wirus uległ deaktywacji. Okazało się, że autor wirusa umieścił w kodzie warunek, że wirus się “wyłączy”, gdy wykryje istnienie takiej domeny. Jest to przykład na to, że coraz bardziej popularne stają się nowatorskie, wyszukane metody ataku i zabezpieczeń.
Statystyki tamtych działań to dużo ponad 200 000 zainfekowanych komputerów, z których 261 ofiar zapłaciło okup w sumie na 40,5BTC co daje ok 70.000 USD. Jest to niby niewiele, ale pokazuje nowe trendy w “pozyskiwaniu funduszy”.

Kolejne ataki ransomware miały miejsce kilka tygodni później. Robak  SWIFT zaatakował Banc Centralny Bangladeszu i “wykradł” 81 milionów USD, czy Banco del Austro z Ekwadoru, który stracił 12 milionów USD.

Ransomware, a RODO?

Nie bez znaczenia jest też związek pomiędzy atakami ransomware a wyciekiem danych.
W sytuacji, gdy poprzez ransomware zaatakowana zostaje firma, która ma wielu klientów i posiada dane objęte ochroną danych osobowych (RODO), dostaje ona najczęściej ultimatum – albo zapłaci okup, albo wykradzione dane zostaną upublicznione.
Taki scenariusz miał m.in. wyciek 11 milionów dokumentów z Kancelarii Mossack Fonseca w Panamie, znany jako “Panama Papers” czy wyciek danych z Yahoo, gdzie wyciekły dane około miliarda użytkowników (500 milionów skrzynek email).

Ransomware, a mały biznes

Ok, możemy powiedzieć, że te sytuacje dotyczyły dużych firm…
Niestety, obowiązek ochrony danych, który nakłada na nas RODO, a który od maja 2018 będzie egzekwowany również w Polsce, dotyczy też małych przedsiębiorców.
Całkiem niedawno zanotowano atak na bazę danych MongoDB, która wykorzystywana jest choćby jako mechanizm przechowywania danych dla stron www u wielu operatorów hostingowych.
Grupa Harak1r1 zaatakowała 8000 instancji bazy MongoDB szyfrując ich zawartość i żądając okupu w wysokości 0.2 BTC czyli ok 3000zł. W przypadku nie opłacenia okupu dane miały “wypłynąć” jako ogólnie dostępne.

MongoDB ransomware
Należy pamiętać, że rozporządzenie RODO, za ujawnienie chronionych danych, a więc też za brak należytego ich zabezpieczenia, może nałożyć karę w wysokości 2% rocznego dochodu firmy, której dane zostały ujawnione.

Co zatem należy robić, by nie paść ofiarą ransomware?

Należy chronić i kontrolować każdy segment transmisji danych i ich przechowywania w naszej firmie, czy internecie. Należy zabezpieczać komputer przed nieuprawnionym dostępem, dobrym systemem antywirusowym. Nie należy pomijać czy ignorować aktualizacji samego systemu operacyjnego czy oprogramowania, co jest dość częstym zjawiskiem u użytkowników systemu Windows. Wykonując połączenia przez Sieć (szczególnie te, w których przesyłane są dane wrażliwe, bądź w których mamy do nich dostęp) należy zabezpieczać to połączenie za pomocą technologii VPN. Jest to tym bardziej istotne w sytuacji, gdy korzystamy z połączeń WiFi, czy internetu w urządzeniach mobilnych. Każda z tych technologii podatna jest na podsłuchanie, a co za tym idzie na wyciek danych.
Odpowiedzią na opisane wyżej problemy są oferowane przez nas kompleksowe usługi  Opieka Techniczna i Bezpieczeństwo Twojego Biznesu. Do tych rozwiązań niebawem dołączy brama VPN do zastosowań niezależnych.

Chcesz prowadzić swój biznes bezpiecznie i mieć “święty spokój”? Dołącz do grona naszych zadowolonych Klientów i skup się na prowadzeniu biznesu, my w tym czasie zadbamy o jego bezpieczeństwo.

Napisz do mnie

Nie ma mnie w pobliżu, ale zostaw wiadomość, odpiszę!

Not readable? Change text. captcha txt

Start typing and press Enter to search

Share This