Do najczęstszych sposobów dostarczania oprogramowania wymuszającego okup należą wiadomości e-mail wyłudzające informacje, ataki typu drive-by download prowadzące do pobrania niechcianych plików, zestawy programów wykorzystujących luki oraz programy wykorzystujące luki RDP. Według raportu dotyczącego stanu złośliwego oprogramowania z 2024 r. liczba wykrytych ataków z użyciem oprogramowania wymuszającego okup wzrosła w 2023 r. o 68% w porównaniu z rokiem poprzednim. W raporcie stwierdzono również, że największa żądana kwota okupu w 2023 r. wynosiła 80 mln USD. Ataki z użyciem oprogramowania wymuszającego okup są powszechnym zagrożeniem bez względu na wielkość organizacji, dlatego wiedza na temat ochrony przed nimi jest kluczowa.
Czytaj dalej, aby dowiedzieć się więcej o sposobach dostarczania oprogramowania wymuszającego okup i sposobach ochrony organizacji przed atakami z użyciem oprogramowania wymuszającego okup.
Czym jest oprogramowanie wymuszające okup?
Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do plików i danych przechowywanych na naruszonych urządzeniach. Niektóre programy wymuszające okup mogą również całkowicie uniemożliwić użytkownikom uzyskanie dostępu do urządzeń, blokując je. Po zainfekowaniu urządzenia oprogramowaniem wymuszającym okup na ekranie zostaje wyświetlone wyskakujące okienko informujące o naruszeniu urządzenia, a jedynym sposobem na odzyskanie dostępu jest zapłacenie określonego okupu.
Nie ma jednak gwarancji, że przekazanie okupu spowoduje przywrócenie użytkownikowi dostępu do urządzenia lub danych. Po zapłaceniu okupu cyberprzestępcy mogą zaatakować ponownie, wiedząc, że ofiara (użytkownik indywidualny lub organizacja) jest skłonna do zapłaty.
Sześć typowych metod dostarczania oprogramowania wymuszającego okup
Oto sześć najczęstszych sposobów dostarczania oprogramowania wymuszającego okup.
Wiadomości e-mail wyłudzające informacje
Wiadomości e-mail wyłudzające informacje są częstą przyczyną infekcji oprogramowaniem wymuszającym okup. Wyłudzanie informacji to cyberzagrożenie, którego celem jest nakłonienie ofiar do ujawnienia poufnych informacji poprzez wprowadzenie na sfałszowanej stronie internetowej lub kliknięcie złośliwego linku albo załącznika. Wiadomości e-mail wyłudzające informacje zazwyczaj obejmują złośliwe linki i załączniki zawierające oprogramowanie wymuszające okup. Po kliknięciu linku lub załącznika oprogramowanie wymuszające okup natychmiast zaczyna infekować urządzenie ofiary.
Atak typu drive-by download
Atak typu drive-by download ma miejsce, gdy złośliwe oprogramowanie jest instalowane na urządzeniu ofiary bez jej wiedzy i zgody. Tego typu ataki nie wymagają kliknięcia przez ofiarę złośliwego linku lub załącznika, aby zainfekować urządzenie złośliwym oprogramowaniem. Zainfekowanie urządzenia przez złośliwe oprogramowanie może nastąpić już po wejściu na stronę internetową. Ataki typu drive-by download zazwyczaj wykorzystują luki w zabezpieczeniach spowodowane brakiem aktualizacji aplikacji i systemów operacyjnych.
Zestawy exploitów
Zestawy exploitów to zestawy narzędzi wykorzystywane przez cyberprzestępców do dystrybucji złośliwego oprogramowania. Takie zestawy służą do wyszukiwania luk w zabezpieczeniach spowodowanych brakiem stosowania poprawek, aby ułatwić cyberprzestępcom infekowanie przeglądarek, oprogramowania i aplikacji złośliwym oprogramowaniem, takim jak oprogramowanie wymuszające okup. Przed uruchomieniem zestawu exploitów cyberprzestępcy muszą nakłonić użytkownika do kliknięcia strony zawierającej taki zestaw, co zazwyczaj odbywa się poprzez wyświetlenie złośliwych reklam lub kliknięcie linku prowadzącego do sfałszowanej strony internetowej. Po przejściu użytkownika na stronę zestawu exploitów rozpoczyna się skanowanie w poszukiwaniu luk w zabezpieczeniach urządzenia ofiary. Jeśli zestaw exploitów wykryje lukę w zabezpieczeniach, wysyła ładunek w celu zainfekowania urządzenia użytkownika.
Exploity wykorzystujące protokół RDP (Remote Desktop Protocol)
Protokół pulpitu zdalnego RDP to sieciowy protokół komunikacyjny, który umożliwia użytkownikom zdalne łączenie się z komputerami. Protokół RDP jest zawarty w większości systemów operacyjnych Windows i komputerów Mac. Chociaż jest wygodny, zwłaszcza w przypadku pracowników zdalnych, protokół RDP jest również podatny na wykorzystanie przez cyberprzestępców w przypadku użycia słabych danych uwierzytelniających. Po zhakowaniu połączenia RDP cyberprzestępca może usunąć dane, zaszyfrować pliki, zablokować użytkowników, zmienić konfigurację systemu i zmusić organizacje do zapłacenia okupu w celu odzyskania dostępu do systemów i danych.
Pobieranie złośliwego oprogramowania, aplikacji i filmów
Wielu cyberprzestępców tworzy strony internetowe, na których można bezpłatnie pobrać różnego rodzaju oprogramowanie, aplikacje i filmy. Pobieranie plików ze stron internetowych, które oferują je bezpłatnie, może wydawać się atrakcyjne, ale wiąże się z ryzykiem zainfekowania urządzenia złośliwym oprogramowaniem, w tym oprogramowaniem wymuszającym okup. Pobieranie danych z podejrzanych stron nigdy nie jest bezpieczne, dlatego należy pobierać je z zaufanych źródeł, takich jak Google Play i App Store. Przed pobraniem aplikacji należy przeczytać opinie użytkowników, ponieważ mimo nieustannego sprawdzania zawartości tych źródeł przez firmy Google oraz Apple, czasami zdarzają się w nich złośliwe aplikacje.
Innym sposobem dostarczania oprogramowania wymuszającego okup jest wykorzystanie nośników wymiennych, takich jak USB i zewnętrzne dyski twarde. Należy zawsze przechowywać nośniki wymienne w bezpiecznym miejscu, aby zapobiec zainfekowaniu ich złośliwym oprogramowaniem. Ważne jest również, aby nigdy nie podłączać do urządzeń nośników wymiennych, które mogą zostać potencjalnie naruszone.
Jak chronić organizację przed przedostaniem się oprogramowania wymuszającego okup
Oto kilka sposobów na ochronę organizacji przed przedostaniem się oprogramowania wymuszającego okup.
Inwestycja w rozwiązanie PAM
Rozwiązania do zarządzania dostępem uprzywilejowanym (PAM) ułatwiają organizacjom zarządzanie dostępem do najbardziej poufnych danych i zabezpieczanie ich przy jednoczesnym ograniczeniu powierzchni ataku w organizacji. Rozwiązanie PAM, takie jak KeeperPAM™, umożliwia organizacjom zabezpieczenie danych uwierzytelniających pracowników, wpisów tajnych i połączeń zdalnych. KeeperPAM zapewnia administratorom IT pełny wgląd w każdy aspekt sieci organizacji i kontrolę nad nią, ograniczając ryzyko udanego cyberataku, w tym ataku z użyciem oprogramowania wymuszającego okup.
Szkól pracowników w zakresie cyberbezpieczeństwa
Pracownicy mogą być najsłabszym ogniwem zabezpieczeń. Jeśli pracownicy nie zostaną przeszkoleni w zakresie najlepszych praktyk dotyczących cyberbezpieczeństwa, prawdopodobieństwo zainstalowania na urządzeniach oprogramowania wymuszającego okup jest znacznie wyższe. Organizacja powinna wdrożyć comiesięczne sesje szkoleniowe w celu przekazania pracownikom zasad korzystania z firmowego sprzętu. Poniżej przedstawiono kilka elementów, które należy uwzględnić w programie szkolenia.
- Aktualizowanie oprogramowania i urządzeń
- Zwracanie uwagi na próby ataków z wykorzystaniem inżynierii społecznej
- Powstrzymanie się od klikania podejrzanych linków i załączników
- Unikanie wchodzenia na nielegalne strony internetowe
- Powstrzymanie się od pobierania niezatwierdzonego oprogramowania
Zwracanie uwagi na próby dostarczenia oprogramowania wymuszającego okup
Dostarczanie oprogramowania wymuszającego okup może być niezwykle szkodliwe dla organizacji pod względem finansowym i wizerunkowym, dlatego ważne jest, aby organizacje wdrożyły odpowiednie rozwiązania, które mogą pomóc w zapewnieniu bezpieczeństwa danych. KeeperPAM łączy rozwiązania Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) i Keeper Connection Manager (KCM) w jedną ujednoliconą platformę, aby chronić organizację przed typowymi cyberzagrożeniami, takimi jak oprogramowanie wymuszające okup.
Chcesz zmniejszyć powierzchnię ataku w organizacji za pomocą rozwiązania KeeperPAM? Poproś o demo już dziś.