Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Co to jest oprogramowanie wymuszające okup?

Dowiedz się, czym jest oprogramowanie wymuszające okup, jak działa i jak chronić swoją firmę przed tego typu cyberatakami.
Chroń się przed oprogramowaniem wymuszającym okup

Informacje o oprogramowaniu wymuszającym okup

Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, którego cyberprzestępcy używają do blokowania dostępu, niszczenia lub publikowania krytycznych danych ofiary, chyba że zostanie zapłacony okup. Tradycyjne oprogramowanie wymuszające okup jest wymierzone zarówno w osoby fizyczne, jak i organizacje, ale dwa najnowsze rozwiązania, oprogramowanie wymuszające okup obsługiwane przez człowieka i oprogramowanie wymuszające okup jako usługa, stały się większym zagrożeniem dla przedsiębiorstw i innych dużych organizacji.

W przypadku oprogramowania wymuszającego okup obsługiwanego przez człowieka, grupa atakujących wykorzystuje swoją zbiorową inteligencję, aby uzyskać dostęp do sieci korporacyjnych. Przed zainstalowaniem oprogramowania wymuszającego okup badają firmę, aby zrozumieć jej słabe punkty, a w niektórych przypadkach odkrywają dokumenty finansowe, które pomagają im ustalić wysokość okupu.

W modelu oprogramowania wymuszającego okup jako usługi, grupa deweloperów-przestępców tworzy oprogramowanie wymuszające okup, a następnie zatrudnia innych cyberprzestępców do włamania się do sieci organizacji i zainstalowania oprogramowania wymuszającego okup. Obie grupy dzielą się zyskami według uzgodnionej stawki.

Każde oprogramowanie wymuszające okup ma znaczący wpływ na zaatakowane osoby i organizacje. Przywrócenie dotkniętych systemów do działania może zająć dni, tygodnie, a nawet miesiące, co skutkuje utratą produktywności i sprzedaży. Organizacje mogą również ucierpieć na reputacji wśród klientów i społeczności.

Kluczowe wnioski

  • Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, które szyfruje dane i żąda okupu za ich odszyfrowanie.
  • Może rozprzestrzeniać się za pośrednictwem wiadomości e-mail służących do wyłudzania informacji, złośliwych stron internetowych i zestawów narzędzi typu exploit.
  • W przypadku oprogramowania wymuszającego okup obsługiwanego przez ludzi, grupa atakujących wykorzystuje swoją zbiorową inteligencję, aby uzyskać dostęp do sieci korporacyjnych.
  • Dwa główne rodzaje oprogramowania wymuszającego okup to szyfrujące oprogramowanie wymuszające okup, które szyfruje poufne dane i pliki, oraz blokujące oprogramowanie wymuszające okup, które blokuje ofiarom dostęp do ich urządzeń.
  • Ataki oprogramowania wymuszającego okup mogą powodować znaczne szkody finansowe, reputacyjne i operacyjne dla osób fizycznych i firm.
  • Istnieją kroki, które można podjąć, aby chronić się przed atakami oprogramowania wymuszającego okup, takie jak korzystanie z silnego oprogramowania zabezpieczającego, tworzenie kopii zapasowych danych i promowanie świadomości cyberbezpieczeństwa w Twojej organizacji.

Typy oprogramowania wymuszającego okup

Oprogramowanie wymuszające okup występuje w dwóch głównych formach: szyfrujące oprogramowanie wymuszające okup i blokujące oprogramowanie wymuszające okup, które są dalej podzielone na kilka podtypów.

Szyfrujące oprogramowanie wymuszające okup
W przypadku ataku szyfrujące oprogramowanie wymuszające okup atakujący szyfruje poufne dane lub pliki ofiary, uniemożliwiając jej dostęp do nich, chyba że zapłaci żądany okup. Teoretycznie, gdy ofiara zapłaci, atakujący przekazuje klucz odszyfrowujący, który daje mu dostęp do plików lub danych, jednak nie ma na to żadnej gwarancji. Wiele organizacji trwale utraciło dostęp do swoich plików nawet po zapłaceniu okupu.

Blokujące oprogramowanie wymuszające okup
W przypadku blokującego oprogramowania wymuszającego okup złoczyńcy blokują ofierze dostęp do urządzenia i przedstawiają jej na ekranie żądanie okupu wraz z instrukcjami, jak zapłacić okup, aby odzyskać dostęp. Ten rodzaj oprogramowania wymuszającego okup zazwyczaj nie wykorzystuje szyfrowania, a więc gdy ofiara odzyska dostęp do urządzenia, jej poufne dane i pliki będą bezpieczne. Blokujące oprogramowanie wymuszające okup jest powszechnie wykorzystywane na urządzeniach mobilnych.

Te dwie główne formy oprogramowania wymuszającego okup należą do następujących podtypów:

Oprogramowanie scareware
Oprogramowanie scareware wykorzystuje strach, aby skłonić ludzi do zapłacenia okupu. W tego typu cyberatakach przestępcy podszywają się pod organy ścigania i wysyłają do ofiary wiadomość z oskarżeniem o popełnienie przestępstwa i żądaniem zapłaty grzywny.

Doxware
W przypadku Doxware przestępcy kradną dane osobowe i grożą ich publicznym ujawnieniem, jeśli okup nie zostanie zapłacony.

Podwójne wymuszenie okupu
W przypadku podwójnego wymuszenia okupu atakujący nie tylko szyfrują pliki, ale także kradną poufne dane i grożą ich publicznym udostępnieniem, jeśli okup nie zostanie zapłacony.

Wipery (typy oprogramowania, który może „udawać” oprogramowanie wymuszające okup)
Wipery grożą zniszczeniem danych ofiary, jeśli nie zapłaci ona okupu.

Jak działa oprogramowanie wymuszające okup

Większość ataków z użyciem oprogramowania wymuszającego okup przebiega w trzech etapach.

1. Uzyskaj dostęp
Przestępcy wykorzystują różne metody, aby uzyskać dostęp do poufnych danych firmy. Jednym z najczęstszych jest wyłudzanie danych, które polega na tym, że cyberprzestępcy wykorzystują wiadomości e-mail, SMS-y lub połączenia telefoniczne, aby nakłonić ludzi do podania swoich danych uwierzytelniających lub pobrania złośliwego oprogramowania. Przestępcy atakują również pracowników i innych użytkowników za pomocą złośliwych stron internetowych, które wykorzystują tak zwany zestaw tzw. exploitów do automatycznego pobierania i instalowania złośliwego oprogramowania na urządzeniu ofiary.

2. Szyfruj dane
Gdy atakujący oprogramowanie wymuszające okup uzyskają dostęp do poufnych danych, kopiują je i niszczą oryginalny plik wraz z wszelkimi kopiami zapasowymi, do których udało im się uzyskać dostęp. Następnie szyfrują swoją kopię i tworzą klucz odszyfrowujący.

3. Wymagaj okupu
Po uniemożliwieniu dostępu do danych oprogramowanie wymuszające okup wysyła wiadomość za pośrednictwem okna alertu, w którym wyjaśnia, że dane zostały zaszyfrowane i żąda pieniędzy, zazwyczaj w kryptowalucie, w zamian za klucz odszyfrowujący. Przestępcy stojący za tymi atakami mogą również grozić upublicznieniem danych, jeśli ofiara odmówi zapłaty.

Wpływ ataku oprogramowania wymuszającego okup

Poza natychmiastowym zakłóceniem działania, konsekwencje ataku oprogramowania wymuszającego okup mogą obejmować znaczne straty finansowe, uszczerbek na reputacji i długoterminowe wyzwania operacyjne.

Konsekwencje finansowe
Koszt zapłacenia okupu może być znaczny, często sięgający milionów dolarów, a nie ma gwarancji, że atakujący dostarczą klucz odszyfrowujący lub że będzie on działał poprawnie.

Nawet jeśli organizacje odmówią zapłacenia okupu, nadal mogą ponosić duże koszty finansowe. Zakłócenia spowodowane atakiem oprogramowania wymuszającego okup mogą prowadzić do przedłużających się przestojów, wpływając na produktywność i potencjalnie skutkując utratą przychodów. Odzyskiwanie danych po ataku wiąże się z dodatkowymi wydatkami, w tym kosztami badania w zakresie zbierania materiałów dowodowych, opłatami prawnymi i inwestycjami w ulepszone środki bezpieczeństwa.

Szkody wizerunkowe
Klienci i partnerzy mogą stracić zaufanie do firmy, która została naruszona, co prowadzi do spadku lojalności klientów i potencjalnej utraty przyszłej działalności. Głośne ataki często przyciągają uwagę mediów, co może zaszkodzić reputacji firmy i wizerunkowi marki.

Wyzwania operacyjne
Nawet w przypadku kopii zapasowych istnieje ryzyko utraty lub uszkodzenia danych, co może mieć wpływ na ciągłość biznesową i wydajność operacyjną. Firmy mogą również podlegać sankcjom prawnym i regulacyjnym za brak ochrony danych poufnych, zwłaszcza jeśli podlegają przepisom o ochronie danych, takim jak Ogólne rozporządzenie o ochronie danych w Unii Europejskiej lub Ustawa o ochronie prywatności konsumentów stanu Kalifornia.

Przykłady oprogramowania wymuszającego okup w świecie rzeczywistym

Wiele z najgłośniejszych ataków z wykorzystaniem oprogramowania wymuszającego okup przeprowadzonych przez człowieka jest przeprowadzanych przez grupy wymuszające okup, które działają w oparciu o model biznesowy typu ransomware-as-a-service (oprogramowanie wymuszające okup jako usługa).

 
  • Od momentu pojawienia się w 2019 r. firma LockBit jest ukierunkowana na różne sektory, w tym usługi finansowe, opiekę zdrowotną i produkcję. To oprogramowanie wymuszające okup jest znane ze swojej zdolności do samodzielnego rozprzestrzeniania się w sieciach, co czyni je szczególnie niebezpiecznym. Podmioty powiązane z firmą LockBit były odpowiedzialne za wiele głośnych ataków, wykorzystujących wyrafinowane techniki szyfrowania danych i żądania okupu. 
  • Ataki BlackByte często obejmują podwójne wymuszenia, w których cyberprzestępcy szyfrują i eksfiltrują dane, grożąc opublikowaniem skradzionych danych, jeśli okup nie zostanie zapłacony. To oprogramowanie wymuszające okup było wykorzystywane do atakowania krytycznych sektorów infrastruktury, w tym usług rządowych i finansowych.
  • Grupa stojąca za oprogramowaniem wymuszającym okup typu Hive, które było aktywne między czerwcem 2021 r. a styczniem 2023 r., stosowała podwójne wymuszenia i zazwyczaj atakowała instytucje publiczne i infrastrukturę krytyczną, w tym placówki opieki zdrowotnej. W ramach znaczącego zwycięstwa w walce z cyber­przestępczością, FBI zinfiltrowało sieć Hive w 2022 r., przechwytując klucze odszyfrowujące i zapobiegając żądaniom okupu w wysokości ponad 130 mln USD. 
  • Oprogramowanie wymuszające okup typu Akira to wyrafinowane złośliwe oprogramowanie, które jest aktywne od początku 2023 roku i atakuje zarówno systemy Windows, jak i Linux. Przestępcy wykorzystują oprogramowanie Akira do uzyskania początkowego dostępu poprzez luki w usługach sieci VPN, zwłaszcza tych bez uwierzytelniania wieloskładnikowego. Od momentu pojawienia się, oprogramowanie Akira miało wpływ na ponad 250 organizacji i pochłonęło około 42 mln USD wpływów z oprogramowania wymuszającego okup.
 
Zapobieganie

Strategie zapobiegania i ochrony przed oprogramowaniem wymuszającym okup

Chroń swoje punkty końcowe i chmury

Najlepszą formą ochrony jest zapobieganie. Wiele ataków oprogramowania wymuszającego okup można zidentyfikować i zablokować za pomocą zaufanego rozwiązania do wykrywania i reagowania na punktach końcowych, takiego jak usługa Ochrona punktu końcowego w usłudze Microsoft Defender. Rozszerzone możliwości wykrywania zagrożeń i reagowania na nie (XDR), takie jak Microsoft Defender XDR, wykraczają poza ochronę punktów końcowych, pomagając zabezpieczyć urządzenia, pocztę e-mail, aplikacje do współpracy i tożsamości. Przy tak dużej skali działalności prowadzonej w chmurze, ważne jest, aby chronić całą infrastrukturę i aplikacje w chmurze za pomocą rozwiązania takiego jak Microsoft Defender dla Chmury.

Zapewnij regularne szkolenia

Dzięki regularnym szkoleniom pracownicy zdobywają aktualne informacje o sposobie rozpoznawania oznak wyłudzania informacji i innych ataków z użyciem oprogramowania wymuszającego okup. Aby wzmocnić zdobytą wiedzę i zidentyfikować możliwości dodatkowego szkolenia, należy przeprowadzać okresowe symulacje wyłudzania informacji. Pomoże to pracownikom nauczyć się bezpieczniejszych praktyk w pracy, a także bezpieczniejszego korzystania z urządzeń osobistych.

Wprowadź model Zero Trust

Model Zero Trust zakłada, że każde żądanie dostępu, nawet pochodzące z wewnątrz sieci, jest potencjalnym zagrożeniem. Zasady Zero Trust obejmują wyraźną weryfikację poprzez ciągłe uwierzytelnianie, egzekwowanie dostępu o najmniejszych uprawnieniach w celu zminimalizowania uprawnień oraz zakładanie naruszenia poprzez wdrożenie silnych środków ograniczających i monitorujących. Ta dodatkowa kontrola zmniejsza prawdopodobieństwo, że złośliwa tożsamość lub urządzenie uzyska dostęp do zasobów i zainstaluje oprogramowanie wymuszające okup.

 Dołącz do grupy wymiany informacji

Grupy wymiany informacji, często organizowane według branży lub lokalizacji geograficznej, zachęcają organizacje o podobnej strukturze do współpracy nad rozwiązaniami w zakresie cyberbezpieczeństwa. Te grupy oferują również organizacjom różne korzyści, takie jak reagowanie na zdarzenia usług cyfrowych badań w zakresie zbierania materiałów dowodowych, analiza zagrożeń oraz monitorowanie publicznych zakresów IP i domen.

Przechowuj kopie zapasowe offline

Jako że niektóre oprogramowania wymuszające okup próbują wyszukać i usunąć wszelkie posiadane kopie zapasowe online, dobrym pomysłem jest przechowywanie zaktualizowanej kopii zapasowej offline poufnych danych, którą regularnie testujesz, aby upewnić się, że można ją przywrócić, jeśli kiedykolwiek zostaniesz zaatakowany przez oprogramowanie wymuszające okup.

Regularnie aktualizuj oprogramowanie

Oprócz aktualizowania oprogramowania chroniącego przed złośliwym kodem, należy pobierać i instalować wszelkie inne aktualizacje systemu i poprawki oprogramowania, gdy tylko będą dostępne. Pomaga to zminimalizować wszelkie luki w zabezpieczeniach, które cyberprzestępcy mogą wykorzystać do uzyskania dostępu do sieci lub urządzeń.

Opracuj plan reagowania na zdarzenia

Plan reagowania na zdarzenia zapewni ci kroki, które należy podjąć w różnych scenariuszach ataku, abyś mógł jak najszybciej wrócić do normalnego i bezpiecznego działania.

Reagowanie na atak z użyciem oprogramowania wymuszającego okup

Jeśli staniesz się ofiarą ataku oprogramowania wymuszającego okup, istnieją możliwości odwołania się i usunięcia go.

Odizoluj zainfekowane dane
Najszybciej, jak to możliwe, odizoluj zainfekowane dane, aby zapobiec rozprzestrzenieniu się oprogramowania wymuszającego okup w Twojej sieci.

Uruchom oprogramowanie chroniące przed złośliwym kodem
Po odizolowaniu zainfekowanych systemów użyj oprogramowania chroniącego przed złośliwym kodem, aby usunąć oprogramowanie wymuszające okup.

Odszyfrowywanie plików lub przywracanie kopii zapasowych
Jeśli to możliwe, użyj narzędzi odszyfrowujących dostarczonych przez organy ścigania lub badaczy systemów zabezpieczeń, aby odszyfrować pliki bez płacenia okupu. Jeśli odszyfrowywanie nie jest możliwe, przywróć pliki z kopii zapasowych.

Zgłoś atak
Zgłoś atak miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych są to Twoje lokalne biuro terenowe FBI,  jednostka IC3 lub Secret Service. Choć nie rozwiąże to najbardziej palącego problemu, jest to ważny krok, ponieważ te instytucje aktywnie śledzą i monitorują różne ataki. Dostarczenie im szczegółowych informacji na temat Twoich doświadczeń może być przydatne w ich wysiłkach zmierzających do znalezienia i ścigania cyberprzestępców lub grup cyberprzestępczych.

Uważaj z płaceniem okupu
Mimo że zapłacenie okupu może być kuszące, nie ma gwarancji, że cyberprzestępcy dotrzymają słowa i zapewnią Ci dostęp do danych. Specjaliści w dziedzinie bezpieczeństwa i przedstawiciele wymiaru sprawiedliwości zalecają, aby ofiary ataków z użyciem oprogramowania wymuszającego okup nie płaciły okupu, gdyż w ten sposób bezpośrednio wspierają działalność przestępców, a ponadto narażają się na podobne zagrożenia w przyszłości.
ZASOBY 

Odkryj rozwiązania zabezpieczające firmy Microsoft

Chroń swoją organizację przed złożonym oprogramowaniem wymuszającym okup dzięki ujednoliconym rozwiązaniom do ochrony przed zagrożeniami opartym na sztucznej inteligencji i sprawdzonym najlepszym praktykom.
Kobieta w zielonej koszuli patrząca na komputer.
Rozwiązanie

Ochrona przed oprogramowaniem wymuszającym okup

Ujawniaj i reaguj na zaawansowane cyberataki w swoim środowisku z wieloma chmurami i wieloma platformami.
Dowiedz się więcej
Kobieta siedząca przy biurku z laptopem.
Rozwiązanie

Dowiedz się więcej o ujednoliconych operacjach zabezpieczeń opartych na sztucznej inteligencji firmy Microsoft

Uzyskaj funkcje XDR oraz zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem – wszystko na jednej platformie.
Dowiedz się więcej
Laptop na stole.
Produkt

Ochrona całego Twojego przedsiębiorstwa za pomocą usługi Microsoft Defender XDR

Chroń swoje punkty końcowe, tożsamości, aplikacje w chmurze i dane przed cyberatakami.
Dowiedz się więcej
Mężczyzna w okularach i z brodą trzymający dokumenty przed laptopem.
Produkt

Chroń swoją małą firmę za pomocą usługi Microsoft Defender dla Firm

Pomagają chronić przed zaawansowanymi atakami oprogramowania wymuszającego okup na urządzeniach dzięki antywirusowi nowej generacji oraz wykrywaniu i reagowaniu na punktach końcowych klasy korporacyjnej z wykorzystaniem sztucznej inteligencji.
Dowiedz się więcej
Kobieta i mężczyzna patrzący na laptopa.
Portal ochrony przed zagrożeniami

Wiadomości z zakresu cyberbezpieczeństwa i sztucznej inteligencji

Odkryj najnowsze trendy i najlepsze praktyki w zakresie ochrony przed cyberzagrożeniami i bezpieczeństwa AI.
Pobierz najnowsze zasoby
Powrót do sekcji ZASOBY

Często zadawane pytania

  • Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, które szyfruje cenne dane i żąda okupu w zamian za ich odszyfrowanie.
  • Niestety ofiarą ataku z użyciem oprogramowania wymuszającego okup może paść niemal każdy, kto jest obecny online. Częstymi celami cyberprzestępców są zarówno urządzenia osobiste, jak i sieci firmowe.
  • Tradycyjne ataki z użyciem oprogramowania wymuszającego okup polegają na skłonieniu użytkownika podstępem do użycia spreparowanej zawartości, na przykład otwarcia zainfekowanej wiadomości e-mail lub odwiedzenia niebezpiecznej witryny internetowej, co prowadzi do zainstalowania oprogramowania wymuszającego okup na urządzeniu.
    W przypadku ataku z użyciem oprogramowania wymuszającego okup obsługiwanego przez człowieka grupa napastników bierze na cel organizację i atakuje jej poufne dane, najczęściej używając kradzionych poświadczeń.
    Zazwyczaj, niezależnie od tego, czy jest to atak socjotechniczny, czy obsługiwany przez człowieka, użytkownik lub organizacja otrzymuje żądanie okupu, zawierające informacje o tym, jakie dane zostały wykradzione i ile trzeba zapłacić, aby je odzyskać. Zapłacenie okupu nie gwarantuje jednak, że dane zostaną faktycznie zwrócone lub że uda się zapobiec przyszłym atakom.
  • Skutki ataku z użyciem oprogramowania wymuszającego okup mogą być katastrofalne. Ofiary, zarówno osoby prywatne, jak i organizacje, mogą czuć się zmuszone do zapłaty wysokiego okupu bez żadnej gwarancji, że dane zostaną zwrócone lub że nie nastąpią kolejne ataki. Ujawnienie poufnych informacji organizacji przez cyberprzestępców może narazić na szwank jej reputację i podważyć wiarygodność. Ponadto, w zależności od rodzaju ujawnionych danych i wielkości organizacji, może się zdarzyć, że nawet tysiącom osób będzie grozić kradzież tożsamości i inne cyberprzestępstwa.
  • Cyberprzestępcy infekujący urządzenia ofiar oprogramowaniem wymuszającym okup chcą pieniędzy. Najczęściej żądają okupu w kryptowalutach, które zapewniają anonimowość i utrudniają śledzenie transakcji. Gdy celem jest osoba fizyczna, okup może wynosić setki lub tysiące dolarów amerykańskich. Kampanie oprogramowania wymuszającego okup prowadzone przez ludzi często żądają milionów dolarów amerykańskich.
  • Ofiary powinny zgłaszać ataki z użyciem oprogramowania wymuszającego okup miejscowym lub krajowym organom ścigania. W Stanach Zjednoczonych są to Twoje lokalne biuro terenowe FBI,  jednostka IC3 lub Secret Service. Eksperci ds. zabezpieczeń i funkcjonariusze organów ścigania zalecają, aby ofiary nie płaciły okupu – jeśli już zapłacono, należy natychmiast skontaktować się z bankiem i lokalnymi władzami. Jeśli płatność została dokonana kartą kredytową, bank może zablokować płatność.

Obserwuj rozwiązania zabezpieczające firmy Microsoft