Ransomware - czy warto zapłacić okup?

W ostatnich latach miało miejsce wiele ataków ransomware na komputery publicznych instytucji. Wiele z nich zapłaciło wymagany okup - ale czy to dobra praktyka?

W ubiegłym tygodniu odbyła się konferencja burmistrzów USA, na której burmistrz Baltimore, Jack Young, zaapelował do swoich koleżanek i kolegów o zdecydowane odmawianie płacenia okupu cybeprzestępcom. Od 2013 roku co najmniej 170 jednostek samorządowych w Stanach Zjednocznych (hrabstw, miast i stanów) doświadczyło ataków typu ransomware, a przez pierwsze siedem miesięcy 2019 odnotowano 22 takie incydenty. Jeden z nich zdarzył się właśnie w Baltimore, a miał miejsce 7 maja. Kosztował miasto ponad 19 milionów dolarów (zobacz: "Baltimore: koszty cyberataku przekraczają 18 milionów dolarów i wciąż rosną"). Young zwrócił się do władz USA o pokrycie tych kosztów z funduszy przeznaczonych na pomoc na skutek katastrof żywiołowych, a szef miejskiego działu IT przeprosił za nieudaną obronę systemu komputerowego przed atakiem - jego przywrócenie do pełnej sprawności zajmie jeszcze kilka miesięcy.

Baltimore mogłoby uniknąć kosztów, jeśli zdecydowałoby się na zapłacenie okupu - jego wysokość została ustalona na 76 000 dolarów (w Bitcoinach), czyli mniej niż 1% tego, co poszło na próby usunięcia szkodnika. Tak zrobiły dwa inne miasta - przekalkulowano koszty i okazało się, że zapłacenie będzie bardziej ekonomicznym rozwiązaniem. Leżące na Florydzie miasteczko Riviera Beach (ok. 35 tys. mieszkańców) padło 29 maja ofiarą ataku ransomware Ryuk. Zgodziło się zapłacić okup w wysokości 65 Bitcoinów (wartych wówczas ok. 600 000 USD), aby przywrócić działanie systemów miejskich (zobacz: "Wirus zaszyfrował komputery urzędów Florydy"). Jednak system był ubezpieczony na taką okoliczność i większość tej kwoty zapłacił ubezpieczyciel, zaś samo miasto dołożyło tylko 25 tysięcy.

10 czerwca we Florydę uderzył kolejny atak - a konkretnie w zamieszkane przez 12 tysięcy osób miasteczko Lake City - tym razem był to szkodnik ransomware o nazwie Triple Threat. Jest to kombinacja trojanów bankowych Emotet i TrickBot, które torują drogę dla Ryuk. Tutaj również zdecydowano się na uiszczenie okupu - wyniósł on 42 Bitcoiny, czyli ok. 460 tys. USD. I ponownie ubezpieczenie pokryło większość tej kwoty, zaś z funduszy miejskich poszło na to 10 tysięcy dolarów.

Te dwa miasta nie są jedynymi, które zdecydowały zgodzić na żądania cyberprzestępców, wychodząc z założenia, że opłaci się to bardziej, niż trwający tygodnie lub miesiące paraliż sieci komputerowej lub jej budowanie od nowa. Jak podaje to Sentinel One, 45% organizacji poddaje się włamywaczom i płaci. Ba - w niektórych przypadkach wyznacza się nawet "na wszelki wypadek" kwotę z budżetu na zakup Bitcoinów, aby zapłacić cyberprzestępcom.

Kiedy płacić okup? FBI mówi: nigdy!

Czy dotyczy to organizacji państwowych, firm prywatnych czy zwykłych użytkowników, zawsze w takiej kryzysowej sytuacji pojawia się pytanie: czy zapłacenie okupu ma sens? Zdaniem FBI oraz ekspertów ds bezpieczeństwa, nikt nie powinien płacić przestępcom z prostego powodu - każdy zarobek na tym procederze skłania ich do przeprowadzania kolejnych ataków. Jim Trainor, założyciel i długoletni szef Cyber Division w FBI, a obecnie wiceprezes Cyber Solutions Group, potwierdza te słowa. Jak zatem uniknąć nieprzyjemnych skutków ataku tego typu? Odpowiedź jest prosta: codzienne wykonywanie kopii zapasowych danych. Jak uzasadnia: "podstawowym powodem, dla którego ludzie płacą okup, jest fakt, że nie mają kopii zapasowej swoich ważnych plików, dlatego nie mają alternatywy. Zapłacą, albo straca je na zawsze. jednym z najpoważniejszych problemów dzisiejszych biznesów jest nieprzygotowanie na taki scenariusz." Co zakrawa na ironię losu, system w Lake City miał backupy wykonywane regularnie. Jednak były one zapisywane w lokalizacji, którą zaszyfrował ransomware, dlatego stały się niedostępne.

Trainor poleca, aby natychmiast zgłaszać ataki do władz - jednak ma tu na myśli FBI, które owszem - dysponuje nie tylko sztabem specjalistów, ale również jest w stanie określić, kto stoi za atakiem. W przypadku Polski... Cóż, policja pod względem IT stoi jeszcze dość daleko za dostawcami rozwiązań związanych z bezpieczeństwem, dlatego warto spróbować skontaktować się z takimi firmami, jak Bitdefender, które od wielu lat działają z powodzeniem na rynku. Dzięki temu znacznie wzrasta szansa na pozbycie się problemu znacznie mniejszym kosztem, niż wymagany okup. Trainor porównuje wykonywanie kopii zapasowych do dbania o zdrowie - zdrowy tryb życia znacznie zmniejsza ryzyko chorób, wykonywanie kopii zapasowej danych znacznie zmniejsza ryzyko ich utraty.

Ale należy zacząć od podstaw, czyli ochrony komputerów, co jest niezbędne zwłaszcza dla urządzeń firmowych i państwowych. Nie należy również zapominać o regularnej aktualizacji systemów operacyjnych oraz oprogramowania, używaniu unikatowych haseł i loginów, a gdy to możliwe - wprowadzenie uwierzytelniania dwuskładnikowego. I dopiero wówczas można wykonywać kopie zapasowe - w całkowicie oddzielnej lokalizacji - mając dodatkowo pewność, że nie przemyci się tam żadnego ukrytego szkodnika. Do samych cyberprzestępców wracając - zapłacenie okupu nie daje stuprocentowej gwarancji odszyfrowania zagrabionych plików i dysków. To zależy wyłącznie od dobrej woli przestępcy - zdarzały się przypadki, że po zapłaceniu znikał bez podawania klucza deszyfrującego. To podwójna strata dla firmy - przepadają dane, przepadają pieniądze. I to nie małe.