Bogdan Pismicenco este Channel manager România, Bulgaria şi Republica Moldova la Kaspersky Lab
Cât de mult valorează datele tale? Pentru victimele unui atac ransomware, nu mai este o întrebare retorică, ci una cât se poate de reală. Programele ransomware blochează sau criptează datele de pe un dispozitiv, apoi cer o răscumpărare în schimbul cheii care le-ar putea decripta. Este o afacere profitabilă pentru infractorii cibernetici: în timp ce majoritatea atacurilor tradiţionale presupun furtul datelor şi apoi găsirea unor modalităţi de a le valorifica, în cazul programelor ransomware pot câştiga banii dintr-o dată.
De aceea, în ultima perioadă, am văzut o creştere masivă atât a numărului de atacuri, cât şi a conştientizării fenomenului în rândul utilizatorilor. Cea mai recentă formă de ransomware a fost dezvoltată în 2014, iar numărul şi gama de atacuri au crescut semnificativ pe parcursul anului 2015. Analiştii noştri de securitate au anticipat că în 2016 vom vedea o creştere rapidă a acestor atacuri şi se pare că au avut dreptate. În primul trimestru al anului 2016 am văzut deja un număr uriaş de mostre de ransomware, deoarece a început să fie la modă printre autorii de malware. Cu toate acestea, programele ransomware încă reprezintă doar o mică parte din numărul total de mostre de malware pe care le detectăm.
Publicitatea masivă făcută în jurul programelor ransomware în ultimul timp dă naştere la o concepţie greşită, aceea că industria de securitate IT nu poate opri un astfel de program. În primul rând, ratele de detecţie pentru „cryptors“ sunt la fel de mari ca pentru orice alt tip de malware. Soluţiile moderne de securitate pot detecta chiar atacuri necunoscute, prin analiza comportamentului unui fişier lansat. În al doilea rând, marea majoritate a acestor atacuri se bazează pe o tehnologie malware mai degrabă clasică şi sunt, prin urmare, uşor de blocat. Doar o mică parte dintre mostre folosesc tehnici mai elaborate, încercând să evite detecţia de către software-ul de securitate. Deci, din punctul de vedere al securităţii, putem spune că ransomware-ul nu este diferit de alte programe malware.
Există o serie de motive în spatele popularităţii lor în creştere. Aşa cum am menţionat anterior, succesul se explică prin abordarea foarte directă. Din postura de infractor, infectezi un aparat şi obţii bani pentru a-l dezinfecta. E simplu, direct şi nu necesită un mare efort. Cu datele de card furate trebuie să găseşti o cale de a face bani, în timp ce cu un program ransomware doar aştepţi să vină banii.
Conştientizarea fenomenului ransomware de către utilizatori poate fi, de asemenea, explicată uşor. Victimele atacurilor ransomware resimt efectele mult mai direct şi mai serios decât în cazul altor tipuri de atacuri. Datele sunt blocate, iar dispozitivul e inutilizabil. Acest lucru este foarte neplăcut pentru utilizatorii individuali şi poate provoca pagube foarte mari pentru organizaţii: de exemplu, dacă un spital este lovit, aşa cum s-a întâmplat de mai multe ori, în ultima perioadă. În astfel de situaţii, tentaţia de a plăti răscumpărarea poate fi foarte mare. Dar noi le recomandăm utilizatorilor individuali şi organizaţiilor să nu facă acest lucru, pentru că decriptarea nu este garantată în niciun fel.
Pentru cei afectaţi, situaţia este dificilă. Algoritmii de criptare sunt de obicei greu de spart şi poate fi dificil sau chiar imposibil să obţii datele înapoi. De exemplu, proiectul No Ransom, iniţiat de Kaspersky Lab şi poliţia olandeză, colectează cheile de decriptare şi poate să ajute multe victime, dar nu pe toate.
Dar nu trebuie să se ajungă în acest punct. Vectorii de infectare sunt cei clasici: publicitate care conţine malware, site-uri în care a fost implantat un program malware, precum şi fişiere infectate trimise ca anexe la e-mailuri sau pe reţelele sociale. Însă tehnologiile moderne de securitate pot proteja utilizatorii individuali şi companiile de aceste atacuri. În prezent, software-ul de securitate pentru Internet include tehnologii cum ar fi protecţia împotriva exploit-urilor, filtrarea URL‑urilor sau tehnologii cloud care protejează utilizatorii împotriva ameninţărilor cunoscute şi necunoscute. Toate acestea ar trebui completate de măsuri care să diminueze efectele unui posibil atac, incluzând backup la intervale regulate şi actualizări de software. Utilizatorii ar trebui să fie, de asemenea, foarte atenţi la orice pare suspect şi să nu dea clic pe astfel de linkuri.
Ce va aduce viitorul? Greu de spus. Am văzut programe care criptează pe Android, OSX şi Linux, astfel încât, în teorie, ransomware-ul se poate răspândi pe diferite platforme şi dispozitive. Dar, în cele din urmă, întrebarea este: de unde se aşteaptă infractorii să câştige mai mulţi bani? Iar, în prezent, Windows şi Android sunt platformele cele mai profitabile.
Leave a Reply