23.03.2016, 17:17
Ransomware – oprogramowanie wymuszające okup – to model, który działa, więc przestępcy nie zaprzestają ataków. Kilka tygodni temu wykryto oprogramowanie Locky, które w ciągu kilku dni zainfekowało ponad pół miliona komputerów na całym świecie.
Cztery tygodnie temu kalifornijski szpital
Po raz pierwszy amerykańskie media zwróciły uwagę na ransomware, zjawisko, o którym F-Secure Labs pisze od ponad pięciu lat.
Instytucje opieki zdrowotnej i firmy, które przechowują poufne dane klientów, są szczególnie narażone na tego rodzaju ataki, jak doradca F-Secure ds. bezpieczeństwa Sean Sullivan wyjaśnił w wywiadzie dla IBTimes UK:
Kilka tygodni temu wykryto oprogramowanie Locky, które w ciągu kilku dni zainfekowało ponad pół miliona komputerów na całym świecie.
Andy Patel z F-Secure Labs opisał zagrożenie na blogu News from the Labs:
„Kampania Locky’ego to przestępczy majstersztyk. Infrastruktura jest dopracowana, została przetestowana na małą skalę w poniedziałek (zasadniczo były to testy beta ransomware’u), a oprogramowanie przetłumaczono na wiele języków — pisze Kevin Beaumont. — Krótko mówiąc, dobrze to zaplanowano”.
Złośliwe oprogramowanie traktowane jak usługa, którego twórcy wykazują zmysł biznesowy godny profesjonalnych firm software’owych, to nic nowego.
Mikko Hyppönen, główny dyrektor ds. badań w F-Secure, powiedział:
Ofiarami padają nawet organizacje, które regularnie łatają oprogramowanie i aktualizują systemy zabezpieczające, ponieważ pozwalają użytkownikom na wykonywanie makr i nie mają prawidłowo skonfigurowanych „białych list” aplikacji.
Użytkownicy F-Secure dysponują jednak dodatkową warstwą zabezpieczeń. Jak pisze Andy Patel:
Źródło: F-Secure
[Aby zobaczyć linki, zarejestruj się tutaj]
Prezbiteriańskie Centrum Medyczne w Hollywood poddało się.Cztery tygodnie temu kalifornijski szpital
[Aby zobaczyć linki, zarejestruj się tutaj]
— około 17 tysięcy dolarów — aby złagodzić skutki ataku, który od 5 lutego uniemożliwiał mu korzystanie z sieci.Po raz pierwszy amerykańskie media zwróciły uwagę na ransomware, zjawisko, o którym F-Secure Labs pisze od ponad pięciu lat.
Instytucje opieki zdrowotnej i firmy, które przechowują poufne dane klientów, są szczególnie narażone na tego rodzaju ataki, jak doradca F-Secure ds. bezpieczeństwa Sean Sullivan wyjaśnił w wywiadzie dla IBTimes UK:
Cytat:Szpitale są uważane za infrastrukturę krytyczną, ale nie stawia im się takich samych wymogów w zakresie raportowania, jak na przykład elektrowniom. Teraz, kiedy niektóre szpitale trafiły na nagłówki gazet, inne zaczynają działać bardziej transparentnie, aby uniknąć kłopotów związanych z nieujawnieniem ataku. Z drugiej strony, szpitale często są łatwym celem. Pracowałem kiedyś w klinice uniwersyteckiej, której sieć zawierała ponad 20 tysięcy węzłów. Szpital dzielił się na część komercyjną i akademicką. Z przyczyn podatkowych systemy zaplecza musiały być rozdzielone. Z przyczyn medycznych wszystkie dane musiały być dostępne w urządzeniach klienckich, bez względu na to, w jakim systemie zaplecza były przechowywane. Z biegiem lat szpital przejął i wchłonął wiele innych grup medycznych. Krótko mówiąc, była to niezwykle skomplikowana sieć, więc choć dobrze nią zarządzano, to znajdowało się w niej mnóstwo luk.
Ransomware – oprogramowanie wymuszające okup – to model, który działa, więc przestępcy nie zaprzestają ataków.
Kilka tygodni temu wykryto oprogramowanie Locky, które w ciągu kilku dni zainfekowało ponad pół miliona komputerów na całym świecie.
Andy Patel z F-Secure Labs opisał zagrożenie na blogu News from the Labs:
Cytat:Dotychczas najbardziej typowym wektorem infekcji jest poczta e-mail. W załączniku do wiadomości znajduje się dokument Worda, rzekomo będący fakturą. Po otwarciu dokument, który wygląda na zakodowany, prosi odbiorcę o włączenie makr w celu obejrzenia treści. Jeśli użytkownik to zrobi, uruchamia się plik wykonywalny (ladybi.exe), który zaczyna szyfrować pliki danych z wykorzystaniem 128-bitowego algorytmu AES.
Utrata dostępu do wszystkich plików Microsoft Office jest tak dotkliwa, że wiele firm idzie w ślady Prezbiteriańskiego Centrum Medycznego w Hollywood.
„Kampania Locky’ego to przestępczy majstersztyk. Infrastruktura jest dopracowana, została przetestowana na małą skalę w poniedziałek (zasadniczo były to testy beta ransomware’u), a oprogramowanie przetłumaczono na wiele języków — pisze Kevin Beaumont. — Krótko mówiąc, dobrze to zaplanowano”.
Złośliwe oprogramowanie traktowane jak usługa, którego twórcy wykazują zmysł biznesowy godny profesjonalnych firm software’owych, to nic nowego.
Mikko Hyppönen, główny dyrektor ds. badań w F-Secure, powiedział:
Cytat:Od dłuższego czasu przestępcy internetowi przechodzą na modele usługowe. Zaobserwowaliśmy m.in. ataki DDoS, trojany bankowe i trojany wymuszające okup oferowane jako usługa.
Ataki wykorzystujące makra są jednak jedną z największych zeszłorocznych niespodzianek w dziedzinie bezpieczeństwa cyfrowego. Pod koniec lat dziewięćdziesiątych praktycznie zniknęły, a ich ponowne pojawienie się stanowi zagrożenie dla wielu firm.
Ofiarami padają nawet organizacje, które regularnie łatają oprogramowanie i aktualizują systemy zabezpieczające, ponieważ pozwalają użytkownikom na wykonywanie makr i nie mają prawidłowo skonfigurowanych „białych list” aplikacji.
Użytkownicy F-Secure dysponują jednak dodatkową warstwą zabezpieczeń. Jak pisze Andy Patel:
Cytat:Jeśli używasz naszego oprogramowania, to behawioralny detektor DeepGuard nie tylko blokuje wektory ataków używane przez Locky’ego, ale również wykrywa złośliwe zachowania. Detekcje te są dostępne od dłuższego czasu. Zgodnie z naszą wypróbowaną i sprawdzoną strategią zapobiegania, DeepGuard dostrzega szkodliwe działania dokumentów Office, takie jak pobieranie treści, instalowanie plików lub wykonywanie kodu. DeepGuard blokuje u samego źródła mechanizm, który umożliwia infekcję komputera przez takie zagrożenia.
Źródło: F-Secure