Wysiłki wymiaru sprawiedliwości i organów ścigania w zakresie ustalania tożsamości sprawców i pociągania ich do odpowiedzialności za przeprowadzane ataki ransomware coraz częściej prowadzą do ujęcia sprawców i postawienia ich przed sądem – mówi Anna Krakowiak, ekspertka od lat pomagającą ofiarom ransomware. Jak walczyć z cyberoszustwami? O tym w wywiadzie poniżej:
Wywiad ukazuje się jako trzeci tekst z cyklu o najpopularniejszych rodzajach ataków w cyberprzestrzeni. W pierwszym artykule Marcin Bokszczanin przeanalizował najnowsze statystyki firmy KPMG dotyczące zabezpieczeń firm w Polsce przed cyberatakami. Phishing, malware, kradzież danych – tylko co trzecia firma uniknęła kłopotów. W drugim artykule Andrzej Kozłowski tłumaczył, na czym polegają najpopularniejsze zagrożenia i jak im zapobiegać. Jak działają cyberzagrożenia i jak im skutecznie zapobiegać?
Andrzej Kozłowski, HomoDigital: Dlaczego ransomware jest tak popularny?
Anna Krakowiak: Ransomware jest tak bardzo popularnym zagrożeniem z kilku przyczyn. Ma to związek z niskim progiem wejścia, stosunkowo wysokim zarobkiem i niskim ryzykiem poniesienia odpowiedzialności.
Po pierwsze próg wejścia jest niski. Nie są wymagane zaawansowane umiejętności i wiedza atakującego, aby uzyskać dostęp do infrastruktury potencjalnej ofiary. Taki dostęp można kupić u brokerów dostępu (ang. Initial Access Broker), którzy wyspecjalizowali się w uzyskiwaniu dostępu do sieci, który następnie odsprzedają innym. Narzędzia do przeprowadzenia ataku można pozyskać za darmo lub zakupić, często w modelu jakby-subskrypcyjnym (ang. Ransomware as a Service), czy choćby działać w ramach grupy, która ma cechy przypominające grupy znane z przestępczości zorganizowanej, tj. o strukturze hierarchicznej z wyraźnym podziałem ról. W takich strukturach są oczywiście liderzy, najczęściej nazywani ‘administratorami’, osoby zajmujące się rozwojem złośliwego systemu (developerzy), osoby wykonujące czynności po stronie ofiary (operatorzy), a także osoby prowadzące negocjacje z ofiarami oraz zajmujące się aspektami finansowymi. Aspekty finansowe to przeprowadzanie transakcji polegającej na zapłacie okupu przez ofiarę, zamiana kryptowaluty na waluty fiat (czyli pieniądz fiducjarny, emitowany przez banki centralne, np. dolary) oraz pranie pieniędzy pochodzących z tych okupów.
Po drugie zysk z tego rodzaju działalności przez cały czas jest stosunkowo wysoki, ponieważ ofiary decydują się uiszczać żądany przez atakujących okup i zdarza się, iż podjęcie negocjacji z atakującymi oraz zapłacenie okupu są wymogiem stawianym przez ubezpieczyciela, który uzależnia od podjęcia tych działań wypłatę polisy.
Po trzecie ryzyko poniesienia negatywnych konsekwencji prawnych przez atakujących jest dość niskie, ponieważ atakujący działają transgranicznie i z wykorzystaniem narzędzi sprzyjających ukrywaniu tożsamości i lokalizacji, czym w sposób oczywisty utrudniają ich wykrycie. Należy jednak zaznaczyć, iż wysiłki wymiaru sprawiedliwości i organów ścigania w zakresie ustalania tożsamości sprawców i pociągania ich do odpowiedzialności za przeprowadzane ataki ransomware coraz częściej prowadzą do ujęcia sprawców i postawienia ich przed sądem. Dodatkowo, przyjęcie rozporządzenia i dyrektywy o transgranicznym dostępie do elektronicznego materiału dowodowego powinno pomóc w faktycznym pociąganiu sprawców tego rodzaju ataków do odpowiedzialności karnej.
Jak ewoluuje to oprogramowanie?
Rys historyczny dociekliwi Czytelnicy mogą odnaleźć m.in. na Wikipedii, gdzie można przeczytać, iż za protoplastę tego rodzaju ataków uznawany jest wirus (komputerowy) AIDS, znany od 1989 roku. Współcześnie ataki ransomware to nie tylko użycie złośliwego systemu szyfrującego lub uszkadzającego dane. Początkowo ataki ransomware faktycznie kojarzone były z zablokowaniem komputera do czasu zapłaty atakującemu stosunkowo niskiej opłaty przez ofiarę i nie zawsze towarzyszyło temu faktyczne zaszyfrowanie lub uszkodzenie plików. w tej chwili złośliwe oprogramowanie typu ransomware może szyfrować pliki w całości lub w części – i to zarówno pliki zapisane na dyskach, jak i pliki dysków, w tym całe maszyny wirtualne, pliki (kontenery) kopii zapasowych oraz istotne elementy infrastruktury. Zdarza się również, iż dane są bezpowrotnie uszkadzane i nie zawsze jest to zgodne z intencją atakującego.
Obecnie atakom ransomware towarzyszą również wycieki danych. Atakujący eksfiltrują (kradną) dane, aby mieć możliwość wywarcia presji na ofiarę i uzyskanie okupu. Z naszych obserwacji wynika, iż w 4 na 5 ataków ransomware faktycznie ma miejsce eksfiltracja danych. Atakujący masowo wykradają dane, chociaż nie zawsze dochodzi do ich proliferacji np. na stronach, gdzie publikowane są wycieki danych. Atakujący szantażują ofiary, wysyłając dowody życia wykradzionych danych – na początku do osób decyzyjnych, a jeżeli to nie pomoże w uzyskaniu zapłaty okupu – do pracowników, kontrahentów, klientów, aż wreszcie do umieszczenia informacji o planowanym upublicznieniu całości eksfiltrowanych danych, jeżeli ofiara nie uiści żądanego przez atakujących okupu.
Jak nie paść ofiarą ataku?
Z obserwacji naszego zespołu oraz zespołów zaprzyjaźnionych możemy wskazać konkretne sposoby uzyskiwania przez atakujących dostępu do infrastruktury.
Pierwszym, ciągle bardzo popularnym wektorem, są niezabezpieczone lub słabo zabezpieczone opublikowane w sieci internet dostępy do zasobów wewnętrznych, przede wszystkim RDP (ang. Remote Desktop Protocol) oraz VPN (ang. Virtual Private Network), przy czym to dostęp za pośrednictwem RDP jest częściej atakowany i to głównie metodą brute force, chociaż zdarzają się ataki, które zaczynają się od eksploatacji (wykorzystania) podatności w tym protokole z wykorzystaniem np. podatności BlueKeep z 2019 roku, w przypadku której nie trzeba było łamać haseł, aby uzyskać dostęp do podatnych systemów. W przypadku dostępów VPN atakujący wykorzystują podatności w tej usłudze, także te, które są dopiero co opublikowane, jak miało to miejsce na początku 2024 roku w przypadku ostatniej kampanii jednej z grup ransomware wykorzystujące kilkunastogodzinne wówczas podatności w Forti SSL VPN, których organizacje nie zdążyły załatać. Wykorzystywane są też te dobrze znane, które można było załatać już dawno, jak w przypadku trwającej w tym samym czasie kampanii innej grupy wykorzystującej bardzo stare podatności w Cisco ASA VPN, których administratorzy nie załatali przez lata.
Drugim najbardziej popularnym sposobem uzyskiwania przez atakujących dostępu jest wykorzystanie podatności opublikowanych usług, nie tylko wyżej opisanych RDP i VPN, ale na przykład pulpitów wirtualnych – takich jak VMware Horizon czy Citrix.
Trzecim, również dobrze znanym, jest phishing. W ramach kampanii phishingowych atakujący niekoniecznie rozsyłają złośliwe oprogramowanie szyfrujące w załącznikach do maili. Częściej rozsyłane są uzbrojone załączniki np. wykradające poświadczenia lub zawierające implant C2, dzięki czemu atakujący za pośrednictwem skompromitowanej stacji roboczej uzyskują dostęp do kolejnych elementów infrastruktury.
Jakie działania podjąć, jeżeli się padnie ofiarą ataku?
Czynności czysto techniczne, jakie należy podjąć, są związane z przerwaniem procesów szyfrowania oraz eksfiltracji danych i zapobieżeniem dalszym szkodom. W przypadku szyfrowania zwykle optymalnym działaniem jest odcięcie połączenia pomiędzy stacją roboczą lub serwerem, z którego szyfrowane są dane. Można to zrobić fizycznie lub logicznie, wyłączając dany interfejs, a jeżeli jest to niemożliwe lub jeżeli nie wiadomo jak to zrobić, można po prostu zatrzymać maszynę (hibernując, suspendując, wyłączając) oraz odłączyć lub wyłączyć macierz i urządzenia sieciowe. Należy przy tym pamiętać, iż niektóre z tych działań mogą prowadzić do bezpowrotnej utraty cennego materiału źródłowego, który mógłby być wykorzystany do analizy powłamaniowej. Czyli do ustalenia czynności, jakie atakujący wykonywał w infrastrukturze, ponieważ niektóre z artefaktów przechowywane są wyłącznie w tymczasowej pamięci urządzenia i nie są domyślne zapisywane na dysku (dotyczy to zarówno “komputerów”, jak i urządzeń sieciowych).
W przypadku podejrzenia eksfiltracji danych, aby przerwać proces transferu danych do lokalizacji kontrolowanej przez atakujących, najczęściej wystarczy odciąć dostęp do internetu. Dla ograniczenia ewentualnych szkód związanych z wyciekiem danych bardzo ważne jest również ustalenie, dokąd i jakie dane zostały wytransferowane, ponieważ nasze doświadczenie wskazuje, iż na wczesnym etapie można realnie ograniczać wycieki i nie dopuszczać do ich upublicznienia. Wymaga to jednak podjęcia bardzo szybkiej współpracy z międzynarodowymi organami ścigania, zwłaszcza z Europolem, w ramach którego funkcjonuje dedykowany zespół J-CAT oraz użycia dostępnych w niektórych jurysdykcjach instrumentów prawnych, aby ustalać, gdzie dane wyciekły i instrumentami prawnymi niezależnie od działań podejmowanych przez organy ścigania ograniczać proliferację eksfiltrowanych tam, gdzie jest to bardziej efektywne niż działania podejmowane przez np. policję.
Poza powstrzymaniem szyfrowania i wycieku należy podjąć czynności zmierzające do bezpiecznego przywrócenia ciągłości działania. Związane jest to najczęściej z reinstalacją i rekonfiguracją środowiska oraz zmianą architektury, aby usunąć ewentualne pozostałości po ataku, w tym ewentualną persystencję (furtkę) pozostawioną przez atakujących i np. wyeliminować błędy konfiguracyjne, które pozwoliły atakującym zaszyfrować infrastrukturę, a także podnieść cyberodporność na ewentualne kolejne ataki. Jest to bardzo ważne, a z badań firmy cybereason wynika, iż chociaż organizacje są przekonane o swoich wysokich kompetencjach w obszarze cyberbezpieczeństwa, to choćby 80% organizacji, które padły ofiarą ataku ransomware i zapłaciły okup, ponownie pada ofiarą, w tym w prawie 50% tych samych sprawców.
Warto również sanityzować kopie zapasowe przed ich przywróceniem, czyli dokładnie sprawdzić, w celu usunięcia wszelkich potencjalnych zagrożeń i zapewnienia bezpieczeństwa, czy w kopiach zapasowych, z których zamierzamy przywrócić systemy, atakujący nie pozostawił furtki, którą znowu wejdzie do organizacji. Krok ten często jest pomijany. Z badań firmy Veeam wiemy, iż ponad połowa respondentów nie sprawdziła kopii zapasowych po ataku ransomware przed ich przywróceniem na środowiska produkcyjne.
W zakresie pozostałych działań pozostaje spełnienie ciążących na zaatakowanej organizacji obowiązków prawnych wynikających z obowiązujących przepisów takich jak RODO lub KSC oraz adekwatnych dla danego sektora jak np. dyrektywy PSD2, a także innych podmiotów, w tym kontrahentów, co może być elementem podpisanych umów np. powierzenia danych lub NDA.
Jakie są szanse na odzyskanie danych, o ile się zapłaci okup? Czy przestępcy dotrzymują słowa?
Atakujący, jeżeli działają włącznie z żądzy zysku, dbają o swoją reputację i zależy im, aby proces szyfrowania był odwracalny, czyli – aby ofiara mogła odszyfrować pliki z wykorzystaniem narzędzia deszyfrującego. Czasem przez niepoprawne implementacje kryptografii pliki są bezpowrotnie uszkadzane i nie można przywrócić ich sprawności. Np. nie można odszyfrować plików, ponieważ klucze były generowane niepoprawnie lub fragmenty plików zostały bezpowrotnie nadpisane podczas szyfrowania. Dlaczego tak się dzieje? Bo atakujący niepoprawnie wyliczył offsety, czyli miejsca, w których należy dopisać lub nadpisać fragment plików i wówczas np. metadane pozwalające na odszyfrowanie pliku, które powinny być dopisane na jego koniec lub zaszyfrowane we fragmentach plików, zapisywane są w niewłaściwym miejscu, nadpisując inny fragment pliku i w rezultacie choćby po odszyfrowaniu zaszyfrowanych fragmentów, plik np. bazy danych jest niesprawny, ponieważ atakujący sam uszkodził ten plik, w niektórych przypadkach bezpowrotnie.
Zdarza się również, iż narzędzia deszyfrujące uszkadzają pliki, chociaż same klucze są poprawne. Dlatego, jeżeli ofiara pozyskuje narzędzie deszyfrujące od atakujących (niezależnie, czy w związku z zapłatą okupu, czy nie), podejmujemy działania polegające na ekstrakcji klucza z tego narzędzia i wykorzystanie sprawdzonych narzędzi deszyfrujących, co do których potwierdziliśmy poprawność działania. Nierzadko jest też tak, iż pomimo odszyfrowania plików są one niesprawne, np. bazy danych są niespójne i wówczas konieczne jest wykonanie dalszych prac, które przywrócą poprawne działanie bazy.
Z badań wynika, iż od 20% do choćby 50% narzędzi zakupionych od atakujących nie pozwala przywrócić pełnej sprawności zaszyfrowanych plików.
Jakie są inne możliwości odzyskania danych?
Z uwagi na niedoskonałości w oprogramowaniu szyfrującym związane z np. autorskimi implementacjami kryptografii, w niektórych przypadkach możliwe jest dorobienie kluczy potrzebnych do odszyfrowania plików. Narzędzia te udostępniane są ofiarom i informacje o tym najczęściej nie są upubliczniane tak długo, jak długo można w ten sposób odszyfrowywać dane. Ponadto publikacja informacji o odkrytych podatnościach w oprogramowaniu szyfrującym opóźniana jest najczęściej dlatego, iż atakujący starają się nieustannie doskonalić złośliwe oprogramowanie, a niektóre grupy ransomware choćby mają programy typu bug bounty, w ramach których można uzyskać nagrodę za wskazanie podatności w ich produktach.
Dorabianie kluczy nie zawsze jest konieczne, ponieważ pliki nie zawsze są szyfrowane w całości i w niektórych przypadkach możemy albo naprawić uszkodzone fragmenty, albo z nieuszkodzonych fragmentów wyciągnąć potrzebne dane, które następnie przenosimy do nowej struktury. Dzieje się tak nawet, jeżeli uszkodzone są pliki baz danych, pliki backupu czy choćby całe środowiska zwirtualizowane i jest to często szybsze niż pozyskanie kluczy od atakujących.
Z naszych doświadczeń wynika, iż zapłata okupu w celu uzyskania narzędzia deszyfrującego jest ostatecznością i istnieje wiele innych alternatywnych sposobów przywrócenia danych, z których można skorzystać, żeby okupu nie płacić. Co więcej, staramy się robić wszystko, co się da pod względem technicznym, aby ofiary nie były zmuszone do płacenia okupów. Analizujemy produkty, do których nie ma dokumentacji i współpracujemy z zespołami R&D światowych liderów np. w dziedzinie kopii zapasowych, żeby bez płacenia okupów przywracać dane np. z uszkodzonych backupów, naprawiając metadane lub własnymi narzędziami składając pliki backupów, choćby jeżeli dostawca rozwiązania się poddaje. Na co dzień, poza plikami backupów, najczęściej naprawiamy bazy danych i maszyny wirtualne – choćby tam, gdzie inne zespoły się poddały.
Warto pamiętać, iż co jakiś czas publikowane są narzędzia deszyfrujące, których wytworzenie było możliwe w następstwie pozyskania przez np. Europol czy FBI kluczy deszyfrujących w ramach operacji przejmowania infrastruktury atakujących.
Czy powinno się płacić okup? Jak to wygląda od strony prawnej?
Zapłata okupu jest problematyczna od strony nie tylko etycznej, ale również prawnej, ponieważ nie wiadomo w zasadzie, jakiego rodzaju świadczeniem jest okup ani kto ma podjąć decyzję o jego zapłacie przez zaatakowaną organizację. Zwłaszcza jeżeli ta organizacja jest podmiotem publicznym, który dokonuje zakupów w reżimie PZP. Można oczywiście wynająć firmę, która będzie pośredniczyła w zapłacie okupu i choćby wystawi fakturę. o ile jednak okup ma być zapłacony wyłącznie za uzyskanie narzędzia deszyfrującego, to z naszych doświadczeń wynika, iż nie warto płacić okupu do momentu, w którym zostanie potwierdzone, iż danych na pewno nie można przywrócić w alternatywny sposób, np. z kopii zapasowych lub w wyniku naprawy plików.
Negocjacje z atakującymi podejmowane są nie tylko po to, aby zapłacić okup, ale przede wszystkim, żeby uzyskać potwierdzenie w zakresie ewentualnej eksfiltracji danych (czy i jakie dane atakujący wykradł z organizacji) oraz żeby zyskać czas niezbędny do podjęcia innych działań związanych z ustaleniem, co faktycznie się wydarzyło, czy doszło do wycieku danych, czy może atakujący tylko blefuje, czy dane są uszkodzone i potrzebne jest zakupienie narzędzia deszyfrującego, czy kopie zapasowe są uszkodzone, a także – na podjęcie niezbędnych kroków m.in. prawnych.
Wbrew powszechnej narracji medialnej o tym, iż ofiary płacą okupy, faktyczne dane z incydentów wskazują, iż ofiary coraz mniej chętnie płacą atakującym, choćby jeżeli atakujący grożą opublikowaniem wykradzionych danych. Co więcej, z danych firmy Veeam wynika, iż prawie 80% okupów zostało zapłaconych z pieniędzy ubezpieczycieli (cyberpolis i innych). W skali globalnej w tej chwili mniej niż co trzecia ofiara płaci okup i obserwujemy tendencję wyraźnie spadkową – zarówno w przypadkach, gdzie atakujący zaszyfrował dane i w ramach okupu oferuje narzędzie deszyfrujące, jak i w przypadkach, gdzie wyłącznie doszło do wycieku danych i atakujący w ramach okupu oferuje odstąpienie od publikacji wykradzionych danych.
Ofiary coraz mniej chętnie płacą okupy, ponieważ często z uwagi na posiadane kopie zapasowe mogą przywrócić ciągłość działania bez konieczności zapłaty okupu, a w przypadku eksfiltracji danych, sama obietnica atakujących o usunięciu danych i odstąpieniu od ich dalszej proliferacji jest niewystarczająca. Wielokrotnie obserwowaliśmy podczas obsługi incydentów sytuacje, kiedy ubezpieczyciel nalegał na podjęcie negocjacji z atakującymi i zapłatę okupu, jednak ofiara decydowała, iż okupu nie będzie płacić, ponieważ dane już w trakcie negocjacji były sukcesywnie przywracane w wyniku naprawy uszkodzeń bez konieczności zapłaty okupu, a wstępna analiza w zakresie eksfiltracji danych na podstawie materiału z organizacji oraz od dostawcy łącz była negatywna. Ostatecznie choćby sam atakujący przyparty do muru stwierdzał, iż w zasadzie żadne dane nie zostały wykradzione, nierzadko nie mając choćby dowodu dot. wykradzionych danych (kopii pobranych plików).
Jak radzą sobie służby w walce z ransomware?
Coraz częściej pojawiają się informacje prasowe o przejęciu infrastruktury grup ransomware przez np. Europol i kiedy jest to możliwe, sprawcy faktycznie są pociągani do odpowiedzialności karnej. Tam, gdzie z przyczyn oczywistych i obiektywnych ściganie jest utrudnione, np. w tych sprawach, gdzie atakujący to funkcjonariusze lub osoby działające w imieniu i na rzecz wrogich reżimów, albo po prostu operujący z jurysdykcji, z którymi nie ma współpracy (np. Rosja, Korea Północna), sprawcy tych ataków przez cały czas pozostają bezkarni. W takich sytuacjach za ataki ransomware nakładane były sankcje, jak te z 2020 roku, kiedy Unia Europejska po raz pierwszy nałożyła sankcje w związku z cyberatakami, w tym za ataki ransomware „NotPetya” i „WannaCry”.
Podejmowane są również działania strategiczne, m.in. przez ENISA, mające na celu budowanie cyberodporności na tego rodzaju ataki oraz przez Stany Zjednoczone wspólnie z kilkudziesięcioma partnerami z całego świata, w tym Polską, w ramach Counter Ransomware Initiative, mające na celu wyeliminowanie ataków ransomware. Te działania obejmują przeciwdziałanie atakom i zmniejszanie ich dotkliwości dla ofiar, aż do wspierania wysiłków w pociąganiu sprawców do odpowiedzialności i odcinaniu ich od profitów.
Anna Krakowiak od wielu lat pomaga ofiarom ataków ransomware oraz tworzy procedury i standardy pomagające podnosić cyberodporność organizacji i budować zdolność reagowania na ataki. Pracuje w firmie zajmującej się atakami typu ransomware – dekryptor.pl.
Czytaj też: Jak opanować chaos w chmurze? Cyberbezpieczeństwo w środowiskach hybrydowych i multicloud
Czytaj też: Cyberbezpieczeństwo priorytetem polityki cyfrowej nowej władzy?
Źródło zdjęcia: Muha Ajjan/Unsplash
