Fenomenul ransomware nu este nou. Sunt viruși care practic îți blochează computerul („îl țin ostatic”), iar apoi cer diverse sume de bani pentru a avea iar acces la datele tale. La proiectele la care lucrai, la pozele cu membrii familiei, la jocurile favorite și la ce fișiere mai aveai acolo. Recent însă, pirații internetului au trecut la următorul nivel și au sechestrat rețeaua unui spital din Los Angeles.

Stefan Tanase - Kaspersky Lab
Stefan Tanase, Kaspersky Lab

Trendul se mută spre companii și instituții, cei care realizează atacurile știu că au mult mai multe șanse să câștige bani astfel, iar cei de la spital le-au confirmat așteptările, au plătit o parte din bani pentru a-și recupera arhivele digitale.

“Atacul recent asupra unui spital este parte dintr-o tendință îngrijorătoare, iar și mai îngrijorător este că spitalul ar fi plătit răscumpărarea”, spune Ștefan Tănase, senior security researcher la Kaspersky Lab. E drept, deși atacatorii au cerut 3 milioane de dolari în bitcoin, se pare că spitalul a plătit în final 17.000 de bitcoin și chiar au obținut accesul la date. Întrebarea este, pentru cât timp?

Din câte știu – și am tot povestit cu specialiștii în securitate IT pe tema asta – majoritatea producătorilor de ransomware nu pot oferi deblocarea computerelor infectate. Se generează chei de criptare automate pe care ei nu le au. Pot doar să încaseze banii și sănătate. Dacă au cheia de acces și se deblochează datele, este foarte posibil ca ei să blocheze iar fișierele peste o lună și să ceară iar bani.

De la apariția lor, odată cu Cryptolocker în 2013, atacurile de tip ransomware s-au perfecționat foarte mult. De exemplu, în 2014 a fost detectată prima versiune de ransomware pentru Android, spune Ștefan Tănase. Doar un an mai târziu, 17% dintre atacuri au vizat dispozitive Android. În 2015 am văzut primul atac ransomware pentru Linux, din clasa Troian-Ransom.Linux.

Atacurile de tip ransomware continuă să amenințe numeroase organizații, precum și utilizatori individuali. În 2015, au fost detectate programe ransomware pe computere aparținând unui număr de 753.684 de utilizatori Kaspersky Lab, iar 179.209 au fost vizate de atacuri cu programe ransomware de criptare.

Cum decurge un astfel de atac

Sistemul este clasic deja, fie se trimit mesaje spam, phishing general sau chiar targetat pe angajații companiei. Se transmite un document arhivat, dar se pot transmite și prin site-uri infectate, unde este suficient să accesezi link-ul și computerul va fi infectat. În cazul Cryptodef, virusul de tip ransomware din seria Cryptowall, este un document care conține JavaScript.

Odată activat, programul JavaScript descarcă Cryptowall și începe să cripteze fișierele, iar victimele sunt felicitate de autorii programului malware că “au intrat în marea comunitate Cryptowall.”

Apoi ai două șanse practic, una să negociezi cu autorii, care furnizează metode de contact, ceea ce nu v-aș recomanda. Altă metodă este să apelați la specialiștii IT. Observând creșterea acestui fenomen, Kaspersky Lab și National High Tech Crime Unit (NHTCU), o divizie a poliției din Olanda, au creat o bază de date cu chei de decriptare disponibile și au realizat o soluție de decriptare care poate fi accesată online. Cheile pentru decriptare pot fi găsite pe noransom.kaspersky.com, împreună cu instrucțiunile de utilizare.

Amenințări pentru viitor

În afară de ransomware, o altă problemă este că spitalele, dar și instituțiile sau companiile folosesc tot mai mult echipament high-tech modern, dispozitive inter-conectate, practic vorbim de computere complet funcționale cu un sistem de operare și aplicații instalate. Și, în multe cazuri, acestea nu sunt protejate cum trebuie din punct de vedere al securității IT.
Inginerii fac eforturi să creeze tehnologii folositoare, dar uită uneori de protecția computerelor. Un hacker ar putea să obțină acces la aceste dispozitive și la toate informațiile disponibile. Fie că vorbim despre pacienți, la datele lor personale, tratament, fie la proiectele firmei, fie la alte documente importante.

Sau, și mai rău, ar putea să umble de la distanță la aceste dispozitive și să le reprogrameze. În orice caz, mai povestim despre asta în articolele viitoare în cadrul rubricii Security Talk, protejată de Kaspersky Lab.