Wektory ataków stale ewoluują i identyfikowane są przez intruzów nowe sposoby wyłudzania środków finansowych od atakowanych przedsiębiorstw i klientów indywidualnych. Jeszcze kilka lat temu głównym sposobem wyłudzania środków finansowych były ataki phishingowe. Tego typu ataki polegały na infekowaniu komputerów użytkowników bankowości internatowej za pomocą złośliwego oprogramowania, do którego uruchomienia użytkownicy byli namawiani przez odpowiednio spreparowane maile. Po zainfekowaniu komputera, sprawcy modyfikowali w locie zlecane transakcje przez użytkowników, przechwytywali dane uwierzytelniające pozwalające na autoryzacje transakcji w imieniu użytkowników lub za pomocą odpowiednio spreparowanych komunikatów socjotechnicznych nakłaniali nieświadomych klientów do wysłania przelewu na wskazany numer konta.
Dzisiaj intruzi, coraz częściej sięgają po kolejne metody wyłudzania środków finansowych związane z szantażowaniem. Od kilku lat obserwowane jest nasilanie zagrożenia związanego z wyłudzaniem środków pieniężnych za pomocą oprogramowania „ransomware”. Złośliwe oprogramowanie po zainstalowaniu na komputerze użytkownika, szyfruje pliki i nakłania użytkownika do zapłacenia określonych środków pieniężnych w zamian za odszyfrowanie danych. W przypadku braku zapłaty użytkownik straci dostęp do zaszyfrowanych danych lub dane zostaną opublikowane narażając na wizerunek użytkownika i jego przedsiębiorstwo. Znane są przypadku, w których, gdy użytkownik nie zapłacił określonej sumy przechwycone przez intruzów i wrażliwe dane były publikowane.
W przypadku dużych przedsiębiorstw - dane użytkowników i dane produkcyjne często są odpowiednio zabezpieczone na okoliczność utraty poprzez określone backupy danych. Zaszyfrowane i utracone dane mogą być sprawnie odzyskane. Wydawać się może, że przedsiębiorstwa są odporne na tego typu zagrożenia, ale czy tak jest faktycznie? Odzyskiwanie danych w przypadku ich zaszyfrowania za pomocą złośliwego oprogramowanie ransomware to tylko połowa sukcesu. Istotna jest reputacja przedsiębiorstwa, która narażona może być w przypadku wycieku wykradzionych informacj lub ujawnienia informacji o incydencie związanych z infekcjami i utratą danych. Ponadto Intruzi mogą instalować dodatkowe komponenty złośliwego oprogramowania pozwalającego na zdalny dostęp do zainfekowanego środowiska IT, nie wspominając o przestojach systemów produkcyjnych wynikających z infekcji lub odseparowania w celu rozwiązania problemu i ograniczenia zagrożenia oraz potencjalnych strat.
Dlaczego obserwowana od 14 Maja 2017r. fala infekcji złośliwym oprogramowaniem ransomware o nazwie WannaCryptor (WannaCry) zbiera tak duże żniwa?
Komputery mogą być infekowane podobnie jak w większości tego typu przypadków przez odpowiednio spreparowane maile zachęcające do uruchomienia przez użytkowników dokumentów lub plików infekujących system, ale to co wyróżnia obserwowany atak to jest wbudowany w złośliwe oprogramowanie mechanizm samo-propagacji umożliwiający na samoistnie rozprzestrzenianie się infekcji z zainfekowanego komputera na pozostałe w środowisku IT. Mechanizm infekcji wykorzystuje znaną lukę w oprogramowaniu Windows załataną przez Microsoft w upadacie bezpieczeństwa MS17-010 w marcu tego roku. Niestety aktualizacja oprogramowania i proces instalacji łat zajmuje w dużych środowiska IT wiele czasu, nadal w nich występuje wiele podatnych komputerów. Dodatkowo komputery użytkowników z podatnymi systemami Windows mogą również zostać zainfekowane wskutek łączenia się do publicznych niezaufanych sieci WIFI, w których występują inne zainfekowane komputery. Złośliwe oprogramowanie na zainfekowanych komputerach może samodzielnie się aktualizować instalując swoje kolejne warianty nakrywające się przed standardowymi metodami detekcji infekcji - systemy antywirusowymi.
