Ransomware - czy warto zapłacić okup?

W ostatnich latach miało miejsce wiele ataków ransomware na komputery publicznych instytucji. Wiele z nich zapłaciło wymagany okup - ale czy to dobra praktyka?

W ubiegłym tygodniu odbyła się konferencja burmistrzów USA, na której burmistrz Baltimore, Jack Young, zaapelował do swoich koleżanek i kolegów o zdecydowane odmawianie płacenia okupu cybeprzestępcom. Od 2013 roku co najmniej 170 jednostek samorządowych w Stanach Zjednocznych (hrabstw, miast i stanów) doświadczyło ataków typu ransomware, a przez pierwsze siedem miesięcy 2019 odnotowano 22 takie incydenty. Jeden z nich zdarzył się właśnie w Baltimore, a miał miejsce 7 maja. Kosztował miasto ponad 19 milionów dolarów (zobacz: "Baltimore: koszty cyberataku przekraczają 18 milionów dolarów i wciąż rosną"). Young zwrócił się do władz USA o pokrycie tych kosztów z funduszy przeznaczonych na pomoc na skutek katastrof żywiołowych, a szef miejskiego działu IT przeprosił za nieudaną obronę systemu komputerowego przed atakiem - jego przywrócenie do pełnej sprawności zajmie jeszcze kilka miesięcy.

Baltimore mogłoby uniknąć kosztów, jeśli zdecydowałoby się na zapłacenie okupu - jego wysokość została ustalona na 76 000 dolarów (w Bitcoinach), czyli mniej niż 1% tego, co poszło na próby usunięcia szkodnika. Tak zrobiły dwa inne miasta - przekalkulowano koszty i okazało się, że zapłacenie będzie bardziej ekonomicznym rozwiązaniem. Leżące na Florydzie miasteczko Riviera Beach (ok. 35 tys. mieszkańców) padło 29 maja ofiarą ataku ransomware Ryuk. Zgodziło się zapłacić okup w wysokości 65 Bitcoinów (wartych wówczas ok. 600 000 USD), aby przywrócić działanie systemów miejskich (zobacz: "Wirus zaszyfrował komputery urzędów Florydy"). Jednak system był ubezpieczony na taką okoliczność i większość tej kwoty zapłacił ubezpieczyciel, zaś samo miasto dołożyło tylko 25 tysięcy.

Ransomware - czy warto zapłacić okup?

10 czerwca we Florydę uderzył kolejny atak - a konkretnie w zamieszkane przez 12 tysięcy osób miasteczko Lake City - tym razem był to szkodnik ransomware o nazwie Triple Threat. Jest to kombinacja trojanów bankowych Emotet i TrickBot, które torują drogę dla Ryuk. Tutaj również zdecydowano się na uiszczenie okupu - wyniósł on 42 Bitcoiny, czyli ok. 460 tys. USD. I ponownie ubezpieczenie pokryło większość tej kwoty, zaś z funduszy miejskich poszło na to 10 tysięcy dolarów.

Te dwa miasta nie są jedynymi, które zdecydowały zgodzić na żądania cyberprzestępców, wychodząc z założenia, że opłaci się to bardziej, niż trwający tygodnie lub miesiące paraliż sieci komputerowej lub jej budowanie od nowa. Jak podaje to Sentinel One, 45% organizacji poddaje się włamywaczom i płaci. Ba - w niektórych przypadkach wyznacza się nawet "na wszelki wypadek" kwotę z budżetu na zakup Bitcoinów, aby zapłacić cyberprzestępcom.

Kiedy płacić okup? FBI mówi: nigdy!

Czy dotyczy to organizacji państwowych, firm prywatnych czy zwykłych użytkowników, zawsze w takiej kryzysowej sytuacji pojawia się pytanie: czy zapłacenie okupu ma sens? Zdaniem FBI oraz ekspertów ds bezpieczeństwa, nikt nie powinien płacić przestępcom z prostego powodu - każdy zarobek na tym procederze skłania ich do przeprowadzania kolejnych ataków. Jim Trainor, założyciel i długoletni szef Cyber Division w FBI, a obecnie wiceprezes Cyber Solutions Group, potwierdza te słowa. Jak zatem uniknąć nieprzyjemnych skutków ataku tego typu? Odpowiedź jest prosta: codzienne wykonywanie kopii zapasowych danych. Jak uzasadnia: "podstawowym powodem, dla którego ludzie płacą okup, jest fakt, że nie mają kopii zapasowej swoich ważnych plików, dlatego nie mają alternatywy. Zapłacą, albo straca je na zawsze. jednym z najpoważniejszych problemów dzisiejszych biznesów jest nieprzygotowanie na taki scenariusz." Co zakrawa na ironię losu, system w Lake City miał backupy wykonywane regularnie. Jednak były one zapisywane w lokalizacji, którą zaszyfrował ransomware, dlatego stały się niedostępne.

Trainor poleca, aby natychmiast zgłaszać ataki do władz - jednak ma tu na myśli FBI, które owszem - dysponuje nie tylko sztabem specjalistów, ale również jest w stanie określić, kto stoi za atakiem. W przypadku Polski... Cóż, policja pod względem IT stoi jeszcze dość daleko za dostawcami rozwiązań związanych z bezpieczeństwem, dlatego warto spróbować skontaktować się z takimi firmami, jak Bitdefender, które od wielu lat działają z powodzeniem na rynku. Dzięki temu znacznie wzrasta szansa na pozbycie się problemu znacznie mniejszym kosztem, niż wymagany okup. Trainor porównuje wykonywanie kopii zapasowych do dbania o zdrowie - zdrowy tryb życia znacznie zmniejsza ryzyko chorób, wykonywanie kopii zapasowej danych znacznie zmniejsza ryzyko ich utraty.

Ransomware - czy warto zapłacić okup?

Ale należy zacząć od podstaw, czyli ochrony komputerów, co jest niezbędne zwłaszcza dla urządzeń firmowych i państwowych. Nie należy również zapominać o regularnej aktualizacji systemów operacyjnych oraz oprogramowania, używaniu unikatowych haseł i loginów, a gdy to możliwe - wprowadzenie uwierzytelniania dwuskładnikowego. I dopiero wówczas można wykonywać kopie zapasowe - w całkowicie oddzielnej lokalizacji - mając dodatkowo pewność, że nie przemyci się tam żadnego ukrytego szkodnika. Do samych cyberprzestępców wracając - zapłacenie okupu nie daje stuprocentowej gwarancji odszyfrowania zagrabionych plików i dysków. To zależy wyłącznie od dobrej woli przestępcy - zdarzały się przypadki, że po zapłaceniu znikał bez podawania klucza deszyfrującego. To podwójna strata dla firmy - przepadają dane, przepadają pieniądze. I to nie małe.