Kaj je izsiljevalska programska oprema?

Izsiljevalska programska oprema se pojavlja v dveh glavnih oblikah. To sta kriptografska izsiljevalska programska oprema in izsiljevalska programska oprema z blokado, ki se nato delita v več podvrst.

Kriptografska izsiljevalska programska oprema
V napadu s kriptografsko izsiljevalsko programsko opremo napadalec šifrira občutljive podatke ali datoteke žrtve, tako da ta do njih ne more dostopati, če ne plača zahtevane odkupnine. Ko žrtev izvede plačilo, ji napadalec v teoriji preda ključ za dešifriranje, ki ji omogoči dostop do datotek ali podatkov, vendar pa to ni zagotovljeno. Številne organizacije so trajno izgubile dostop do svojih datotek čeprav so plačale odkupnino.

Izsiljevalska programska oprema z blokado
V izsiljevalski programske opreme z blokado zlonamerni akterji žrtvi blokirajo dostop do njene naprave in ji na zaslonu prikažejo obvestilo o odkupnini z navodili za plačilo odkupnine za ponovno pridobitev dostopa. Ta oblika izsiljevalske programske opreme običajno ne vključuje šifriranja. Ko žrtev ponovno pridobi dostop do svoje naprave, so občutljive datoteke in podatki ohranjeni. Izsiljevalska programska oprema z blokado je pogosto uporabljena v prenosnih napravah.

Ti dve glavni obliki izsiljevalske programske opreme sodita v naslednje podvrste:

Strašilna programska oprema
Strašilna programska oprema uporablja strah, da ljudi prepriča v plačilo odkupnine. V teh vrstah kibernetskih napadov se zlonamerni akterji predstavljajo kot organi kazenskega pregona in žrtvam pošljejo sporočilo, v katerem jih obtožijo zločina in zahtevajo plačilo kazni.

Doxware
V napadih doxware zlonamerni igralci žrtvam ukradejo osebne podatke in jim zagrozijo, da jih bodo javno razkrili, če ne plačajo odkupnine.

Izsiljevalska programska oprema z dvojnim izsiljevanjem
Z izsiljevalsko programsko opremo z dvojnim izsiljevanjem napadalci ne le šifrirajo datoteke, ampak tudi ukradejo občutljive podatke in žrtvam zagrozijo, da jih bodo javno objavili, če ne plačajo odkupnine.

Wiperji
Z wiperji napadalci žrtvam grozijo, da jim bodo uničili podatke, če ne plačajo odkupnine.

Večina napadov z izsiljevalsko programsko opremo sledi procesu v treh korakih.

1. Pridobitev dostopa
Zlonamerni akterji uporabljajo različne načine za pridobitev dostopa do občutljivih podatkov podjetja. Eden od najpogostejših je lažno predstavljanje, kjer kibernetski kriminalci z e-poštnimi sporočili, besedilnimi sporočili ali telefonskimi klici pretentajo ljudi, da jim posredujejo svoje poverilnice ali prenesejo zlonamerno programsko opremo. Poleg tega zlonamerni akterji ciljajo zaposlene in druge uporabnike z zlonamernimi spletnimi mesti, ki uporabljajo tako imenovani komplet za izkoriščanje, da samodejno prenesejo in namestijo zlonamerno programsko opremo v napravo žrtve.

2. Šifriranje podatkov
Ko napadalci z izsiljevalsko programsko opremo pridobijo dostop do občutljivih podatkov, jih kopirajo in uničijo izvirno datoteko skupaj z morebitnimi varnostnimi kopijami, do katerih so dobili dostop. Nato šifrirajo svojo kopijo in ustvarijo ključ za dešifriranje.

3. Zahteva odkupnine
Ko prepreči dostop do podatkov, izsiljevalska programska oprema v polju z opozorilom sporoči, da so bili podatki šifrirani, in zahteva denar, običajno v kriptovaluti, v zameno za ključ za dešifriranje. Če žrtev noče plačati, ji lahko zlonamerni akterji za temi napadi zagrozijo tudi z objavo teh podatkov javnosti.

Poleg takojšnjih motenj delovanja lahko napad z izsiljevalsko programsko opremo povzroči tudi velike finančne izgube, škodo ugleda in dolgoročne delovne izzive.

Finančne posledice
Strošek plačila odkupnine je lahko znaten in pogosto znaša več milijonov dolarjev in ni zagotovila, da bodo napadalci žrtvi res predali ključ za dešifriranje ali da bo ta pravilno deloval.

Tudi če organizacije ne plačajo odkupnine, lahko utrpijo visoke finančne stroške. Motnje, ki jih povzroči napad z izsiljevalsko programsko opremo, lahko privedejo do daljšega izpada delovanja, kar vpliva na storilnost in lahko privede do izgube prihodka. Okrevanje po napadu vključuje dodatne stroške, vključno s stroški forenzičnih raziskav, pravnimi pristojbinami in naložbami v izboljšane varnostne ukrepe.

Škoda ugledu
Stranke in partnerji lahko izgubijo zaupanje v podjetje, ki je bilo ogroženo, kar povzroči zmanjšanje zvestobe strank in morebitno izgubo poslov v prihodnosti. Napadi visokega profila pogosto privabijo pozornost medijev, kar lahko poškoduje ugled podjetja in podobo blagovne znamke.

Izzivi za poslovanje
Tudi z varnostnimi kopijami obstaja tveganje izgube ali poškodbe podatkov, ki lahko vpliva na neprekinjeno poslovanje in učinkovitost delovanja. Podjetja lahko prejmejo tudi pravne in regulatorne kazni, ker niso zaščitila občutljivih podatkov, zlasti če zanje veljajo predpisi o varstvu podatkov, kot sta Splošna uredba o varstvu podatkov v Evropski uniji ali Kalifornijski zakon o zasebnosti potrošnikov.

Številni od najbolj odmevnih napadov z izsiljevalsko programsko opremo, ki jih upravlja človek, so izvedeni s strani skupin napadalcev z izsiljevalsko programsko opremo, ki delujejo s poslovnim modelom izsiljevalske programske opreme kot storitve.

 

• Odkar se je prvič pojavila v letu 2019 je skupina LockBit napadla različne sektorje, vključno s finančnimi storitvami, zdravstvom in proizvodnjo. Ta izsiljevalska programska oprema je znana po svoji zmožnosti samo razširjanja v omrežjih, zaradi česar je še posebej nevarna. Podružnice skupine LockBit so odgovorne za številne odmevne napade z naprednimi tehnikami za šifriranje podatkov in zahtevo po odkupnini. 
• Napadi skupine BlackByte pogosto vključujejo dvojno izsiljevanje, kjer kibernetski kriminalci šifrirajo in izvlečejo podatke ter zagrozijo, da bodo ukradene podatke objavili, če ne bodo prejeli odkupnine. Ta izsiljevalska programska oprema je bila uporabljena za napade na kritične infrastrukturne panoge, vključno z vladnimi in finančnimi storitvami.
• Skupina za izsiljevalsko programsko opremo Hive, ki je bila aktivna med junijem 2021 in januarjem 2023, je uporabljala dvojno izsiljevanje ter je običajno ciljala javne ustanove in kritično infrastrukturo, vključno z zdravstvenimi storitvami. V pomembni zmagi proti kibernetskemu kriminalu se je leta 2022 organizacija FBI prebila v omrežje Hive ter zajela ključe za dešifriranje in preprečila zahteve za odkupnine v vrednosti več kot 130 milijonov USD. 
• Izsiljevalska programska Akira je dodelana zlonamerna programska oprema, ki je bila aktivna od začetka leta 2023 in je ciljala tako sistem Windows kot tudi Linux. Zlonamerni akterji uporabljajo izsiljevalsko programsko opremo Akira za pridobitev začetnega dostopa prek ranljivosti v storitvah VPN, zlasti tistih brez večkratnega preverjanja pristnosti. Odkar se je pojavila, je izsiljevalska programska oprema Akira vplivala na več kot 250 organizacij in z izsiljevanjem pridobila približno 42 milijonov USD.

 

Če ste žrtev napada izsiljevalske programske opreme, imate na voljo možnosti za ukrepanje in odstranitev.

Osamite okužene podatke
Čim prej osamite ogrožene podatke, da preprečite širjenje izsiljevalske programske opreme na druga območja omrežja.

Zaženite program za preprečevanje zlonamerne programske opreme
Ko osamite prizadete sisteme, za odstranitev izsiljevalske programske opreme uporabite program za preprečevanje zlonamerne programske opreme.

Dešifrirajte datoteke ali obnovite varnostne kopije
Če je mogoče, uporabite orodja za dešifriranje, ki jih zagotavljajo organi kazenskega pregona ali varnostni strokovnjaki, za dešifriranje datotek brez plačila odkupnine. Če dešifriranje ni mogoče, obnovite datoteke iz varnostnih kopij.

Prijavite napad
Obrnite se na lokalne ali zvezne organe pregona in prijavite napad. V Združenih državah Amerike so to krajevni urad FBI, IC3 ali Tajna služba. Čeprav ta korak verjetno ne bo rešil vaših neposrednih težav, je pomemben, saj ti organi aktivno sledijo in spremljajo različne napade. Če jim posredujete podrobnosti o svoji izkušnji, je to lahko koristna informacija pri iskanju in pregonu kibernetskega kriminalca ali skupine kibernetskih kriminalcev.

Bodite previdni pri plačevanju odkupnine
Čeprav je morda mamljivo plačati odkupnino, ni nobenega zagotovila, da bodo kibernetski kriminalci držali besedo in vam omogočili dostop do podatkov. Varnostni strokovnjaki in organi pregona žrtvam napadov z izsiljevalsko programsko opremo priporočajo, naj ne plačujejo zahtevanih odkupnin, saj so tako lahko žrtve izpostavljene prihodnjim grožnjam in aktivno podpirajo kriminalno industrijo.

Raziskovalci na področju varnosti pričakujejo, da bo izsiljevalska programska oprema v prihodnjih letih še pogostejša in kompleksnejša. Z napredkom na področju umetne inteligence lahko kibernetski kriminalci hitro avtomatizirajo in izboljšajo izsiljevalsko programsko opremo. In več ljudi z omejenimi tehničnimi znanji se pridružuje tej dejavnosti, saj lahko kupijo orodja za izsiljevalsko programsko opremo, ki uporabljajo UI, v temnem spletu ali se povežejo z organizacijo, ki uporablja izsiljevalsko programsko opremo kot storitev.

Večje bolj dovršene organizacije kibernetskega kriminala, vključno z državnimi akterji, se vse bolj osredotočajo na kritično infrastrukturo in dobavne verige, kar vodi do znatnih motenj v občinskem in poslovnem delovanju. Te entitete pogosto ciljajo državne ustanove, prevozne sisteme in zdravstvene organizacije s ciljem, da paralizirajo storitve.

Organizacije za preprečevanje teh razvijajočih se groženj sprejemajo UI za kibernetsko varnost za pomoč pri hitrem in učinkovitem zaznavanju napadov z izsiljevalsko programsko opremo in odzivanju nanje. Te tehnologije analizirajo velike količine podatkov, da prepoznajo vzorce in anomalije, ki lahko kažejo na napad z izsiljevalsko programsko opremo. Številne od teh rešitev se lahko tudi samodejno odzovejo na zaznane grožnje in skrajšajo čas, potreben za ublažitev napada.

Varnostni model Ničelno zaupanje prav tako postaja vedno bolj priljubljen način za izboljšanje kibernetske varnosti ter omejitev razširjanja izsiljevalske programske opreme in drugih zlonamernih dejavnosti.