Amenințări
Ce este ransomware, cum funcționează și de ce nu ar trebui să plătești
Ransomware îți criptează fișierele și cere răscumpărare. Vezi ce este, cum funcționează, ce înseamnă dubla extorcare și RaaS, exemple celebre și de ce autoritățile recomandă să nu plătești.
Deschizi calculatorul și fișierele nu se mai deschid, au extensii ciudate, iar pe ecran apare un mesaj rece care cere bani pentru a ți le „elibera". Asta e ransomware: un atac care îți ia ostatice datele și îți cere răscumpărare. A devenit una dintre cele mai costisitoare amenințări pentru firme și instituții, inclusiv în România.
Vei vedea ce este ransomware, cum funcționează, ce înseamnă dubla extorcare și modelul RaaS, cum se răspândește, câteva exemple celebre și de ce autoritățile recomandă ferm să nu plătești. Acesta e un ghid explicativ; pentru pașii concreți dintr-un atac la firmă, ai un ghid separat la final.
Ce este ransomware
Ransomware este un program rău intenționat care îți criptează fișierele, sau îți blochează dispozitivul, și cere o răscumpărare în schimbul cheii de decriptare. Există două forme de bază: cel care criptează fișierele (crypto), cel mai răspândit și mai distructiv, și cel care blochează ecranul sau dispozitivul (locker), fără să cripteze neapărat datele. În ambele cazuri, scopul e același: să te lase fără acces și să te preseze să plătești.
Dubla și tripla extorcare
Atacurile au evoluat dincolo de simpla criptare, ca să te preseze din mai multe direcții.
Extorcare simplă
Atacatorul îți criptează fișierele și cere bani pentru cheia de decriptare. Modelul clasic.
Dublă extorcare
Întâi îți fură datele, apoi le criptează, și amenință că le publică dacă nu plătești. Astfel, nici backupul nu te scapă complet de scurgerea de date.
Triplă extorcare
Se adaugă presiuni suplimentare: atacuri de tip DDoS care îți doboară serviciile sau contactarea directă a clienților și partenerilor tăi.
Ransomware ca serviciu (RaaS)
O mare parte din amploarea fenomenului vine din modelul RaaS, ransomware-as-a-service. Niște dezvoltatori construiesc și întrețin ransomware-ul și infrastructura, apoi îl închiriază unor „afiliați" care duc atacurile la capăt, împărțind banii. Rezultatul: bariera de intrare a scăzut dramatic, iar atacuri sofisticate pot fi lansate și de cineva fără cunoștințe avansate. E unul dintre motivele pentru care nu doar corporațiile sunt ținte.
Cum se răspândește
Atacatorii intră cel mai des prin: emailuri de phishing cu atașamente sau linkuri periculoase, servicii de acces la distanță expuse (RDP) și parole furate, vulnerabilități nepatchate, reclame malițioase și credențiale strânse de infostealere. Odată înăuntru, tiparul tipic e: acces inițial, răspândire și escaladarea privilegiilor, exfiltrarea datelor, criptarea și, la final, nota de răscumpărare. Exfiltrarea are loc înainte de criptare, tocmai pentru dubla extorcare.
Exemple celebre
WannaCry (2017) s-a răspândit ca un vierme, exploatând o vulnerabilitate Windows, și a lovit sute de mii de calculatoare la nivel global, inclusiv spitale. NotPetya (2017) a pornit dintr-un update compromis al unui software contabil și, deși arăta ca ransomware, era de fapt un program de distrugere, fără mecanism real de decriptare. Mai recent, grupuri de tip RaaS precum LockBit au dominat fenomenul, până la acțiuni internaționale ale poliției, cum a fost destructurarea LockBit din 2024. Atribuirile pentru WannaCry și NotPetya au fost făcute de guverne, către Coreea de Nord, respectiv Rusia.
Ar trebui să plătești răscumpărarea?
Autoritățile recomandă ferm să NU plătești
Cum te protejezi
Apărarea funcționează în straturi. Cele mai importante măsuri.
Backup offline, testat
Copii pe care atacatorul nu le poate cripta, offline sau imuabile, și pe care le-ai testat că se restaurează. E plasa ta de siguranță.
Actualizări la zi
Patch-uri pentru sistem, aplicații și echipamente, ca să închizi vulnerabilitățile exploatate.
Autentificare în doi pași
Mai ales pe accesul de la distanță și pe email, ca o parolă furată să nu fie de ajuns.
Segmentare și acces minim
Împarte rețeaua și limitează drepturile, ca un atac să nu se răspândească în toată firma.
EDR și instruire
O soluție de detecție pe dispozitive și oameni instruiți pe phishing, principala cale de intrare.
Concluzie
Ransomware nu mai e doar despre criptare, ci despre extorcare în mai multe forme, accesibilă oricui prin modelul RaaS. Cel mai des intră prin phishing și prin infostealere sau alte forme de malware. Pentru ce faci concret în primele 24 de ore ale unui atac la firmă, vezi ghidul despre un atac ransomware la firmă.
Vrei să nu ajungi niciodată la nota de răscumpărare
Întrebări frecvente
Ce este ransomware?
Este un program rău intenționat care îți criptează fișierele, sau îți blochează dispozitivul, și cere o răscumpărare în schimbul cheii de decriptare. Multe variante moderne fură și datele înainte de criptare și amenință că le publică dacă nu plătești, tactică numită dublă extorcare. Pe scurt, îți ia ostatice datele și banii.
Ce înseamnă dublă și triplă extorcare?
La extorcarea simplă, atacatorul doar îți criptează fișierele și cere bani pentru cheie. La dublă extorcare, întâi îți fură datele, apoi le criptează, și te amenință că le publică dacă nu plătești, deci nici backupul nu te scapă complet de scurgere. La triplă extorcare se adaugă presiuni suplimentare, ca atacuri de tip DDoS sau contactarea directă a clienților tăi. Modelul RaaS, ransomware ca serviciu, a făcut aceste atacuri accesibile chiar și unor atacatori fără cunoștințe avansate.
Ar trebui să plătesc răscumpărarea?
Autoritățile, de la CISA și Europol la DNSC, recomandă ferm să nu plătești. Plata nu îți garantează recuperarea datelor, finanțează crima și te poate transforma într-o țintă pentru un nou atac. Unii care plătesc nu primesc cheia sau primesc un decriptor care merge parțial. Verifică întâi proiectul No More Ransom, care oferă gratuit decriptoare pentru unele variante, și concentrează-te pe restaurarea din backup.
Cum mă protejez de ransomware?
În straturi. Ține backupuri testate, offline sau imuabile, pe care atacatorul nu le poate cripta. Adu la zi sistemele, activează autentificarea în doi pași, segmentează rețeaua, aplică principiul accesului minim și folosește o soluție de tip EDR. Instruiește oamenii pe phishing, fiindcă e una dintre principalele căi de intrare. Pentru ce faci în primele 24 de ore ale unui atac, vezi ghidul despre un atac ransomware la firmă.
Citește și
AmenințăriAtac ransomware la firmă: ce faci în primele 24 de ore
Ecranele arată o notă de răscumpărare, fișierele sunt criptate și firma e blocată. Vezi pas cu pas ce faci în primele 24 de ore, de ce să nu negociezi cu atacatorii și cum îți revii fără să plătești.
AmenințăriCe este malware și ce tipuri există
Malware e termenul-umbrelă pentru orice program rău intenționat. Vezi ce este, principalele tipuri (virus, vierme, troian, spyware, infostealer și altele), cum se răspândește și cum te aperi.
GhiduriSecuritate pentru firme de contabilitate: ghid practic
DNSC avertizează că firmele financiar-contabile sunt vânate de ransomware, iar una a fost și spartă, și amendată cu 10.000 de euro. Vezi de ce ești o țintă sigură și cum te protejezi practic, fără echipă de IT.