Ce este ransomware-ul și ce trebuie să știi pentru a fi în siguranță?

Cu toate că există peste un miliard de tipuri de malware pe internet care vânează victime pe care să le infecteze, unul anume tot creează daune financiare și dă bătăi de cap personalului de securitate de câțiva ani încoace.

Cunoscut sub numele de ransomware, singurul său scop este acela de a bloca accesul la sisteme informatice sau la fișiere, până când victima plătește răscumpărarea. Aceste cereri de răscumpărare fluctuează extrem de mult, de la echivalentul a câteva sute de dolari, până la câteva sute de mii.

Ransomware-ul pe scurt

Pe scurt, ransomware-ul este un software periculos pare împiedică utilizatorii din a-și utiliza dispozitivele sau din a-și accesa fișierele personale sau importante, până când aceștia plătesc o anumită sumă de bani. De obicei, plata este solicitată în criptomonedă, cum ar fi Monero sau Bitcoin. Victimelor li se spune să cumpere aceste bunuri digitale și apoi să le transfere atacatorilor.

De-a lungul ultimului deceniu, ransomware-ul a evoluat pentru a ataca mai multe victime, a genera un profit uriaș pentru infractorii cibernetici și a face aproape imposibilă recuperarea datelor dacă victima nu plătește răscumpărarea sau nu-și recuperează datele din backup-uri.

În timp ce criptarea este considerată a fi un instrument puternic de garantare a confidențialității online, permițând tuturor să comunice fără frica interceptării, dezvoltatorii de ransomware au utilizat-o pentru a se asigura că fișierele afectate nu pot fi utilizate. Unele mecanisme de criptare fac ca recuperarea datelor să fie imposibilă dacă atacatorii nu trimit victimelor o cheie de decriptare, care permite accesarea sistemelor afectate după plata răscumpărării.

Închipuie-ți că cineva intră prin efracție în locuința ta, îți găsește bijuteriile și le închide într-un cufăr impenetrabil din mijlocul casei și apoi fuge cu cheia cufărului, lăsând în urmă un bilet de răscumpărare. În cazul în care contactezi hoțul și plătești răscumpărarea, îți va da cheia pentru a deschide cufărul și a-ți recupera bijuteriile. În caz contrar, nu vei putea deschide cufărul. Știi că toate bunurile tale de valoare sunt înăuntru, însă nu le poți utiliza. Ransomware-ul acționează într-un mod asemănător, cu excepția faptului că vizează fișierele și datele.

În ciuda faptului că inițial ransomware-ul nu era atât de periculos și principalul său scop era împiedicarea utilizatorilor din a-și accesa dispozitivele prin utilizarea screen-lockerelor (nu se criptau date), versiunile ulterioare au început să utilizeze criptarea (versiuni cunoscute sub numele de crypto-ransomware) și diferite alte tehnici pentru împiedicarea accesului la fișierele stocate local și chiar la backup-uri din cloud. Unele familii de crypto-ransomware au generat echivalentul a peste 2 miliarde de dolari în răscumpărări în mai puțin de doi ani de activitate.

Alte familii de ransomware au început să utilizeze extorcarea ca tactică de intimidare pentru a determina victimele să plătească răscumpărarea. Spre exemplu, înainte ca atacatorii să cripteze efectiv datele cu caracter sensibil, le extrag și amenință victimele că le vor publica online, ca parte a unei campanii de intimidare, în cazul în care răscumpărarea nu este plătită.

Nu în ultimul rând, cele mai periculoase versiuni de ransomware sunt cele care criptează unitățile de disc (disk-encryptors). Spre deosebire de versiunile care criptează fișiere (file encryptors), versiunile care criptează unitățile de disc (disk-encryptors) împiedică utilizatorii din a-și porni întregul sistem de operare, pentru că ransomware-ul ține „ostatică” întreaga unitate de disc.

Mecanismul de răspândire a ransomware-ului

E-mail-urile rămân unul dintre cele mai utilizate mecanisme de răspândire a ransomware-ului. Majoritatea infectărilor cu ransomware apar în urma păcălirii victimelor pentru ca acestea să acceseze link-uri și să descarce fișiere infectate cu ransomware sau ca rezultat al atașării unor documente infectate, care imită CV-uri, facturi sau alte tipuri de fișiere. Imediat după ce victima deschide fișierul, este afișat un mesaj pe ecranul desktop-ului care o avertizează că accesul la fișierele sale a fost restricționat și i se oferă instrucțiuni cu privire la modalitatea de cumpărare a unei chei de decriptare dacă dorește să recapete accesul la fișiere.

O altă tehnică utilizată de atacatori constă în cumpărarea de spații publicitare pe site-uri web cu trafic intens, pe care le utilizează pentru a exploata vulnerabilitățile neremediate ale browserelor sau plug-in-urilor. În momentul în care se exploatează o astfel de vulnerabilitate, browserul sau plug-in-ul se blochează, iar payloadul care conține ransomware se instalează automat. Mulți utilizatori sunt precauți și nu mai deschid atașamente sau link-uri trimise prin e-mail, așa că această metodă elimină interacțiunea cu utilizatorii sau componenta de inginerie socială, bazându-se pe vulnerabilitățile neremediate.

Infractorii cibernetici livrează ransomware și prin utilizarea conținutului piratat descărcat de victime de pe site-uri web de tip torrent sau „warez”. Utilizatorii care nu bănuiesc nimic descarcă ransomware care imită programe software de tip crack, generatoare de chei de licență și alte tipuri de programe software pe sistemele lor, le execută și, în consecință, instalează ransomware.

Cum te poți proteja de ransomware?

Ransomware-ul constituie baza unei afaceri extrem de profitabile pentru infractorii cibernetici, iar aceștia investesc constant în noi moduri de infectare a victimelor și îngreunează mecanismele de protecție ale soluțiilor de securitate. Cu toate acestea, lupta împotriva ransomware-ului nu este imposibilă. Agențiile de aplicare a legii și companiile de securitate colaborează de ani întregi pentru a ajuta victimele să-și recupereze fișierele. Inițiative precum site-ul web nomoreransom.org pot ajuta victimele afectate de ransomware să-și recupereze datele, în cazurile în care agențiile de aplicare a legii și furnizorii de securitate au găsit o modalitate de decriptare a fișierelor pentru anumite familii de ransomware.

Înainte de a apela la site-ul web respectiv, se recomandă instalarea unei soluții de securitate care poate detecta cele mai noi familii de ransomware, utilizând multiple niveluri de protecție, concepute pentru a detecta malware-ul în diverse etape ale atacului.

De asemenea, se recomandă realizarea cu regularitate a backup-urilor pentru fișierele și documentele importante. Păstrarea acestor backup-uri pe dispozitive de stocare care nu sunt conectate direct la computerul tău sau care nu pot fi descoperite în rețeaua ta este, de asemenea, un aspect important, pentru că infectările cu ransomware caută adesea dispozitive de stocare conectate și le criptează și pe acelea. Dacă faci acest lucru, chiar dacă ajungi să fii infectat(ă) și pierzi accesul la fișierele stocate local, le poți recupera oricând dintr-un backup, fără a plăti răscumpărarea.

Atât agențiile de aplicare a legii, cât și companiile de securitate recomandă să nu plătești răscumpărarea. Plata răscumpărării alimentează financiar dezvoltarea de familii noi și sofisticate de ransomware, contribuie la finanțarea altor activități infracționale din spațiul cibernetic și, per total, legitimizează utilizarea ransomware-ului prin profiturile obținute de infractorii cibernetici.

Reține! Este important să fii atent(ă) la e-mail-urile nesolicitate, să actualizezi constant toate programele software și sistemele de operare, să instalezi o soluție de securitate cu multiple niveluri de protecție împotriva ransomware-ului și să nu te lași afectat(ă) de extorcare.

Aici, la Bitdefender, ne concentrăm pe protejarea dispozitivelor tale împotriva activității periculoase și amenințărilor de toate tipurile. Acum, mai mult ca oricând, ai nevoie de autonomie și siguranță, pe măsură ce te aventurezi în lume prin intermediul dispozitivelor tale cu acces la internet. De aceea am extins perioada de evaluare pentru cea mai performantă suită de securitate a noastră, pentru ca tu să poți proteja dispozitivele familiei tale timp de până la 90 de zile. Dacă tu ești deja protejat(ă), ce spui să faci un cadou neașteptat celor dragi, care poate nu sunt conștienți de amenințările cibernetice emergente?