Ransomware nie jest już domeną wyłącznie wykwalifikowanych hakerów. Rozwój RaaS sprawił, że uruchomienie ataku stało się alarmująco łatwe także dla osób bez zaplecza technicznego. Małe i średnie firmy coraz częściej trafiają na celownik. Zobaczmy, jak działa RaaS, dlaczego jest tak groźny i co można zrobić, aby ograniczyć ryzyko.
Łukasz Kielban
Polska Platforma Bezpieczeństwa Wewnętrznego
Dawid Rachmajda
Polska Platforma Bezpieczeństwa Wewnętrznego
RaaS (ang. Ransomware as a Service) to zorganizowana forma cyberprzestępczości: twórcy narzędzi udostępniają gotowe pakiety, panele zarządzania i kanały płatności, a afilianci uruchamiają ataki. RaaS jest częścią szerszego zjawiska przestępczości jako usługi (ang. Crime as a Service), w którym na czarnym rynku oferuje się nie tylko oprogramowanie, ale także infrastrukturę i wsparcie. Organom ścigania znane są takie grupy jak m.in. LockBit, Clop, BlackCat (ALPHV). To ich działalność obniża próg wejścia i sprawia, że kampanie stają się masowe i mało selektywne. Ściganie sprawców utrudnia też fakt, że żądania okupu realizowane są zwykle w kryptowalutach.
W 2024 r. aktywnych było 95 grup ransomware wobec 68 rok wcześniej. Rekordowy okup sięgnął 75 mln dol., a średnie żądania przekraczały 5,2 mln dol. W 70 proc. ataków dane ofiary zostały skutecznie zaszyfrowane. Co szczególnie istotne dla przedsiębiorców, w 2023 r. około 43 proc. wszystkich cyberataków dotyczyło MŚP.
Skutki dla organizacji są realne i kosztowne. To przestoje w kluczowych procesach, utrata lub wyciek danych, spadek zaufania klientów oraz wydatki na odtworzenie środowiska, audyty i obsługę incydentu. Dodatkowo wykradzione informacje i znalezione luki bezpieczeństwa bywają odsprzedawane kolejnym grupom, co zwiększa ryzyko ponownych ataków.
W 2024 r. starostwo w Jędrzejowie zostało zaatakowane przez nową grupę RansomHub, co unaoczniło podatność infrastruktury samorządowej na tego typu incydenty. W tym samym roku spółka AIUT S.A. doświadczyła kradzieży wrażliwych danych i szyfrowania systemów, a napastnicy grozili publikacją wykradzionych informacji. Rok wcześniej duński dostawca hostingu CloudNordic utracił dane klientów po ataku ransomware, co pokazało, że skutki mogą uderzyć również w firmy zależne od usług IT. Tego rodzaju incydenty stają się codziennością w Polsce i za granicą.
Na szczęście nie jesteśmy bezradni, ale nie możemy powierzać bezpieczeństwa wyłącznie specjalistom IT.
Ograniczanie ryzyka zaczyna się od ludzi – całego zespołu. Szkolenia z rozpoznawania phishingu, bezpiecznej pracy z danymi i reagowania na incydenty wyraźnie podnoszą odporność organizacji wobec cyberzagrożeń, zwłaszcza tych powodowanych przez oprogramowanie automatyzujące ataki. Równolegle trzeba systematycznie aktualizować oprogramowanie i łatać podatności, włączać uwierzytelnianie wieloskładnikowe, porządkować i ograniczać uprawnienia oraz segmentować sieć, aby utrudnić rozprzestrzenianie się złośliwego oprogramowania. Niezbędne są regularne, testowane kopie zapasowe przechowywane poza środowiskiem produkcyjnym. Warto zapewnić stały monitoring zdarzeń i gotowy plan reagowania, aby skrócić czas wykrycia i ograniczyć skutki incydentu.
Największą różnicę wciąż robi świadomy pracownik, dlatego inwestycja w edukację jest kluczowa. Polska Platforma Bezpieczeństwa Wewnętrznego w ramach projektu CYRUS oferuje bezpłatne szkolenia dotyczące podstaw cyberbezpieczeństwa, ransomware i szyfrowania danych. Szkolenia CYRUS są bezpłatne dzięki dofinansowaniu UE i dostępne jako e-learning oraz spotkania online na żywo na platformie cyrus-project.eu/cybersecurity-trainings. To krótka, praktyczna ścieżka, by szybko podnieść świadomość i odporność zespołu.
