Federalny Urząd Bezpieczeństwa Informacji (BSI) publikuje raport sytuacyjny na temat bezpieczeństwa IT w Niemczech. Ransomware pojawia się w nim więcej niż raz. Czas na aktualizację najbardziej niepopularnej aplikacji zabójcy Bitcoina. Czy wyłudzające złośliwe oprogramowanie zagraża legalności kryptowalut?
Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) opublikował niedawno raport o sytuacji w zakresie bezpieczeństwa IT w Niemczech w 2021 roku.
Raport na 100 stronach przedstawia „stan zagrożenia bezpieczeństwa IT w Niemczech”, ze szczególnym uwzględnieniem „ataków na przedsiębiorstwa, instytucje państwowe i publiczne oraz osoby prywatne”. Słowo „ransomware” pojawia się 79 razy na tych 100 stronach. Wskazuje to na duże znaczenie tego „oprogramowania szantażującego” wśród źródeł zagrożeń z cyberprzestrzeni.
Ransomware to naprawdę nie jest nowe zjawisko. „Złośliwe oprogramowanie, które ogranicza dostęp do danych lub systemów, na przykład za pomocą szyfrowania, tak aby atakujący mógł następnie wymusić okup” istniało jeszcze przed Bitcoinem. Jednak dopiero od czasu, gdy około 2013 roku zaczęto zwyczajowo żądać płatności w Bitcoinach, „model biznesowy ransomware” stał się historią sukcesu międzynarodowej cyberprzestępczości – i to nieprzerwanie przez około osiem lat.
Why Bitcoin? Dlaczego kryptowaluta stała się punktem orientacyjnym dla ransomware?
Bitcoiny nie są anonimowe. Cyfrowe monety są bardzo przejrzyste. Jak ślimak zostawiający swój śluz, każda transakcja pozostawia wyraźny ślad na blockchainie. Eksperci tacy jak były generał CIA … dlatego twierdzą, że Bitcoin jest najgorszym możliwym środkiem płatniczym dla przestępców.
Jednak Bitcoins są bardzo dobre dla jednej rzeczy: Aby otrzymywać pieniądze anonimowo. Każdy może wygenerować adres do odbioru pieniędzy. Nie potrzebujesz do tego dowodu osobistego, konta bankowego, numeru telefonu, ani nawet adresu e-mail. Co więcej, Bitcoiny, do których posiadasz klucz prywatny, są niezamarzające, a transakcje przychodzące nie podlegają cenzurze. Dzięki tym właściwościom, Bitcoin pobudził ransomware – który następnie stał się „zabójczą aplikacją” Bitcoina, o której scena wolałaby nie mówić.
Ściśle rzecz biorąc, ransomware stanowi przyzwoite zagrożenie dla Bitcoin. W USA istnieją tendencje do klasyfikowania wymuszeń na dużą skalę, na przykład na znaną firmę prawniczą, jako cyberterroryzmu. Ransomware może stać się powodem – lub pretekstem – dla którego kryptowaluty będą (jeszcze) ściślej regulowane, a być może także zakazane.
Wszystkie przystanki dla mafijnych siatek ochronnych
Raport BSI pokazuje, jak sytuacja wokół ransomware rozwijała się w Niemczech od czerwca 2020 do maja 2021 roku. Jest to doskonały sposób na uzyskanie obrazu tego powstającego „handlu” – i szkód, jakie on wyrządza.
Niektóre trendy dosłownie rzucają się w oczy. Dla przykładu, wyzwaniem dla branży jest zmiana sposobu myślenia wśród ofiar. Coraz częściej ofiary są spokojniejsze o atak dzięki kopii zapasowej lub stosują się do zaleceń władz, aby nie płacić pieniędzy za ochronę.
Hakerzy reagują na to dwiema taktykami: Z jednej strony nie tylko szyfrują dane, ale również je wykradają. W ten sposób mogą poprawić swoją pozycję w obliczu zagrożenia wyciekiem danych. Dodatkowo grożą również atakami DDoS, aby skłonić ofiarę do zapłacenia okupu. Na przykład, według BSI, „jeśli firma zajmująca się sprzedażą wysyłkową online byłaby zmuszona do przejścia na obecność w sieci mniej odporną na ataki DDoS z powodu ataku ransomware, taki atak DDoS jeszcze bardziej utrudniłby poradzenie sobie z atakiem ransomware.”
To zbliża ransomware do multidyscyplinarnych mafijnych siatek ochronnych. Każdy środek będzie dobry, jeśli to buduje ciśnienie.
Ransomware jako finał polowania na grubą zwierzynę
Drugim trendem w ransomware jest wewnętrzna profesjonalizacja. Pisano już o tym w innych sprawozdaniach, na przykład o podziale pracy między twórców oprogramowania, dystrybutorów i osoby zajmujące się praniem brudnych pieniędzy.
BSI dodaje do tego wieloetapowy charakter ataków. Zamiast przeciągać złośliwe oprogramowanie przez ocean systemów IT niczym dragnet, hakerzy coraz częściej nastawiają się na „ataki szpiegowskie APT”. Są to wyszukane, złożone, profesjonalne i ukierunkowane – że tak powiem, ręcznie przygotowane – ataki na agencje rządowe i przedsiębiorstwa. Skupiają się na celu, następnie wypracowują podatności, czasami miesiącami, a następnie wykorzystują je przy użyciu wszystkich dostępnych środków. Podejrzewa się, że takie ataki są finansowane lub promowane przez zwykłe państwa zbójeckie: Chiny, Rosja, Iran i Korea Północna.
W przypadku ransomware, na przykład, tak to działa: Po pierwsze, trojan Emotet zagnieżdża się w Outlooku. Tam analizuje ruch e-mailowy ofiary, aby przeprowadzić „szczególnie autentycznie wyglądające ataki socjotechniczne na kontakty ofiary”. Następnie Emotet otwiera plik do pobrania, aby hakerzy mogli zainstalować szpiegowskie złośliwe oprogramowanie Trickbot. Skanuje on teraz cały system i, jeśli to możliwe, również sieć. Dopiero w ostatnim kroku – i tylko wtedy, gdy jest to opłacalne – hakerzy wgrywają ransomware Ryuk. Następnie dane są szyfrowane.
Oprogramowanie ransomware staje się w ten sposób finałem długo planowanego przejęcia systemów komputerowych.
Hakerzy coraz częściej biorą na cel ofiary o silnej pozycji finansowej. BSI nazywa to „polowaniem na grubą zwierzynę”. Ten trend istnieje już od jakiegoś czasu i przejawia się w coraz bardziej znanych i dużych ofiarach, od szwedzkich supermarketów po włoskich dostawców energii.
Co tydzień nowa ofiara publiczna
Szkody wyrządzone przez ransomware są trudne do oszacowania. Staje się jednak jasne, że muszą być one ogromne.
Według prezesa BSI, Arne Schönbohma, co tydzień co najmniej jedna niemiecka administracja miejska lub powiatowa jest paraliżowana przez ransomware. Kiedy w niemieckiej administracji coś idzie nie tak, coraz częściej przyczyną może być oprogramowanie ransomware.
BSI nie ujawnia, ile rocznie płacą za ransomware niemieckie firmy i instytucje. Jeśli w ogóle zna tę informację. Ale faktem jest, że okup to tylko część szkód wyrządzonych przez ransomware – i prawdopodobnie nawet nie największa.
„Od wykrycia infekcji do wyczyszczenia systemów i przywrócenia ich do pełnej sprawności mijają zwykle średnio 23 dni […] Po tym natychmiastowym wpływie następują zwykle koszty następcze poniesione w związku z radzeniem sobie z atakiem”.
Przeciętnie mijają więc dobre trzy tygodnie, zanim systemy znów są w pełni sprawne. Na przykład w przypadku sklepu internetowego może to być bardzo kosztowne. Jeśli do tego dojdzie jeszcze uszczerbek na reputacji spowodowany publikacją danych, „szkody spowodowane atakiem ransomware mogą zagrozić istnieniu dotkniętej nim organizacji” – wyjaśnia BSI.
Jednak nie tylko przetwarzanie ataków pochłania zasoby – również zapobieganie im. BSI zaleca szeroko zakrojone działania: Firmy powinny utrzymywać kopie zapasowe, czyli takie, które są całkowicie offline i regularnie sprawdzane pod kątem możliwości ich odtworzenia. Transfery danych w sieci powinny być również ściśle monitorowane, aby zapobiec kradzieży danych lub wykryć ją na wczesnym etapie. Podatności, takie jak połączenia ze światem zewnętrznym, powinny być zminimalizowane, systemy operacyjne i programy powinny być regularnie i bezzwłocznie aktualizowane, a sieci powinny być wewnętrznie podzielone na segmenty. Pracownicy powinni być szkoleni „kompleksowo i w sposób ciągły”, dostęp do poziomów administracyjnych powinien być konsekwentnie ograniczany.
Takie środki są z pewnością rozsądne. Nie mogą one całkowicie zapobiec atakom, ale mogą sprawić, że będą one znacznie mniej prawdopodobne. Ale są one drogie. Wymagają one niemal ciągłego utrzymywania systemów informatycznych, angażują czas wszystkich pracowników, spowalniają procesy, np. w przypadku blokowania transferu danych. Wrzucają one do pracy różne rzeczy.
W tym świetle ransomware staje się nie tylko lukratywnym modelem biznesowym w cyberprzestępczości o niskim ryzyku, ale także globalnym sabotażem gospodarki i państwa. Jednak to, czy faktycznie mają one już wpływ na globalny wzrost gospodarczy lub jego brak, jest raczej spekulacją.
Zagrożenie dla demokracji?
BSI coraz bardziej obawia się, że ransomware i inne złośliwe oprogramowanie nie tylko atakuje firmy, ale także zagraża bezpieczeństwu publicznemu. Znaki już tam są:
„W ubiegłym roku pojawiła się nowa sytuacja zagrożenia spowodowana incydentami, w których cyberprzestępcy lub podmioty państwowe atakowały w szczególności firmy i organy z sektora ochrony zdrowia. W przeciwieństwie do początku pandemii, w bieżącym okresie sprawozdawczym BSI zaobserwowała ukierunkowane ataki informatyczne związane z COVID-19 na kluczowe obszary sektora ochrony zdrowia. Należą do nich na przykład atak na Europejską Agencję Leków (EMA), ataki na zagranicznych producentów szczepionek, atak DDoS na portal szczepień COVID-19 niemieckiego landu Turyngia oraz atak typu ransomware na niemieckiego producenta testów antygenów COVID-19.”
Głośnym przypadkiem jest również atak na szpital uniwersytecki w Nadrenii Północnej-Westfalii, który z powodu incydentu ransomware doznał czasowych przerw w działaniu systemu i przez 13 dni nie był w stanie przyjmować nowych pacjentów na intensywną terapię. Szpital, o którym mowa, mógł być szpitalem w Düsseldorfie. Ucierpiało również lotnisko w Saarbrücken, którego systemy informatyczne były przez pewien czas wyłączone w wyniku ataku sprzed prawie roku.
BSI spekuluje, że ransomware może również stanowić zagrożenie dla demokracji, jeśli zaatakuje środowisko wyborcze. Przykładowo, „atak ransomware na administrację miasta lub powiatu może spowodować opóźnienia w przeprowadzeniu lub liczeniu wyborów, jeśli np. komunikacja mailowa jest niedostępna z powodu ataku.” Mogłoby to podważyć zaufanie do procesów wyborczych, stać się częścią operacji fałszowania wyborów i utrudnić lub uniemożliwić wdrożenie elektronicznych systemów głosowania.