Raport ENISA dotyczący ataków ransomware
W lipcu 2022 r. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport zatytułowany „ENISA Threat Landscape for Ransomware Attacks”. Przedstawiono w nim statystyki z analizy 623 ataków przeprowadzonych w okresie od maja 2021 r. do czerwca 2022 r. oraz trendy w ich rozwoju. W raporcie rodzaje stosowanego oprogramowania ransomware oparto nie na tradycyjnej klasyfikacji oprogramowania złośliwego, do którego należy ransomware, ale na wykonywanych działaniach (takich jak blokowanie, szyfrowanie, usuwanie, kradzież) oraz na aktywach (plikach, katalogach, pamięci, innych elementach systemu), na które działania te są ukierunkowane. W podsumowaniu przedstawiono zalecenia dotyczące lepszej ochrony systemów oraz problemy związane z brakiem szczegółowych informacji na temat przeprowadzonych ataków.
Poniżej opisano zawarte w raporcie wyniki przeprowadzonych przez ENISA badań, w tym przyjęty sposób klasyfikacji oprogramowania ransomware, etapy jego działania, stosowane modele biznesowe oraz zalecenia dla organizacji, które mogą być celem ataku.
1. Ransomware – rodzaje oprogramowania, wykonywane działania oraz zasoby będące celem ataków
Do połowy 2010 r. oprogramowanie ransomware koncentrowało się tylko na jednym lub dwóch działaniach (szyfrowaniu plików lub blokowaniu dostępu). Ułatwiało to klasyfikację oprogramowania do kategorii, takich jak encryption ransomware lub lock screen ransomware. Obecnie na skutek jego ewolucji taka klasyfikacja nie jest już wystarczająca. Sytuację dodatkowo komplikuje brak jednolitości w nazewnictwie ransomware przez specjalistów od cyberbezpieczeństwa oraz charakter jego działania polegający na łączeniu różnych czynności. Stąd w omawianym raporcie ransomware nie klasyfikuje się w oparciu o tradycyjnie przyjęte kategorie oprogramowania złośliwego, ale w oparciu o kategorie działań, jakie wykonuje, i kategorie aktywów, na których działania te są wykonywane.
W kategorii działań wyróżnia się cztery podstawowe czynności, które może wykonywać ransomware: zablokowanie dostępu, zaszyfrowanie, usunięcie i kradzież. Ransomware może uniemożliwić dostęp do zasobu, np. zablokować ekran lub dostęp do konkretnej aplikacji. Może zaszyfrować zasób, czyniąc go niedostępnym, ukraść zasób poprzez skopiowanie go na nośnik będący pod kontrolą atakującego lub poprzez eksfiltrację danych do Internetu, zagrażając jego poufności, a także usunąć zasób, czyniąc go trwale niedostępnym.
W kategoriach aktywów najczęstszym celem działania ransomware są pliki i foldery przechowywane w zasobach systemu komputerowego organizacji. Celem działania ransomware mogą być również inne zasoby, takie jak: zawartość pamięci operacyjnej, bazy danych, ekran interfejsu (SCREEN), tablice alokacji plików pamięci dyskowej (MFT), rekord rozruchowy systemu (MBR), zasoby chmury obliczeniowej (CLOUD) oraz system zarządzania zawartością serwisu internetowego (CMS).
Opisane wyżej możliwości oprogramowania ransomware w zakresie wykonywanych działań i obiektów będących ich celem przedstawiono na rys. 1.
2. Etapy ataku ransomware (cykl życia)
W raporcie szczegółowo omówiono etapy przebiegu ataku ransomware, które pozostają niezmienne od około 2018 r., kiedy to zaczęto dodawać więcej funkcjonalności, a techniki szantażu i żądania okupu dojrzały. Etapy te są następujące: wstępny dostęp, działanie, czynności wykonywane na celach, szantaż oraz okup.
2.1. Wstępny dostęp
Pierwszym etapem ataku ransomware jest uzyskanie wstępnego dostępu do zasobów, które są jego celem. Wykorzystywane są w tym celu te same techniki, które mogą być stosowane w przypadku innych ataków, w tym wykorzystywanie luk w oprogramowaniu, dostęp przez skradzione dane uwierzytelniające, phishing itp. Z badań przeprowadzonych przez ENISA, jak również z innych źródeł[1][2], wynika, że bardzo trudno uzyskać dokładne informacje o tym, jakie były zastosowane techniki dostępu początkowego. Jest to spowodowane brakiem zgłaszania incydentów przez organizacje, co prowadzi do ograniczenia wymiany informacji w tym zakresie. Ponadto publicznie udostępniane są tylko niektóre ataki i nie są podawane szczegóły dotyczące tego, jak doszło do ataku, jakie oprogramowanie ransomware dokonało ataku, czego ewentualnie zabrakło. W niektórych przypadkach informacje te pozostają nieznane, w innych ofiary ataku obawiają się dalszych wrogich działań ze strony atakujących. Często informacje o ataku nie są upubliczniane w celu uniknięcia jeszcze większych szkód, w tym utraty reputacji.
2.2. Działanie
Po uzyskaniu dostępu do zasobów aktorzy zagrożeń mogą badać te zasoby, przenosić je na inne komputery i stosować różne techniki ataku, w tym mające na celu uzyskanie dostępu do dalszych zasobów, aby powiększyć zakres działania. Takie czynności, nazywane rekonesansem, mogą trwać kilka tygodni – w zależności od atakującego oraz czujności ofiary ataku i obrony przez nią stosowanej. Działania te zazwyczaj są kończone przed rozpoczęciem głównych czynności oprogramowania ransomware na zlokalizowanych aktywach.
Przed rozpoczęciem głównych działań zazwyczaj wykonywane są działania czyszczące mające na celu zapewnienie prawidłowego funkcjonowania oprogramowania ransomware, takie jak wyłączenie oprogramowania zabezpieczającego, zatrzymanie baz danych i innych programów, które mogą zakłócać zapis, zatrzymanie funkcji odzyskiwania systemów, wykonywania tzw. shadow copies, logowania zdarzeń itp.
Kolejnym krokiem jest uruchomienie oprogramowania ransomware niszczącego zlokalizowane zasoby (aktywa) lub blokującego dostęp do nich. Oprogramowanie to może być zainstalowane bezpośrednio lub przez strony trzecie przy użyciu mechanizmów dostarczania złośliwego oprogramowania opartych na botnecie, tak jak w przypadku ransomware Ryuk, które wykorzystało TrickBot i Emotet jako mechanizmy dostarczania[3].
2.3. Czynności wykonywane na celach
Po uruchomieniu oprogramowania ransomware wykonuje ono określone działania na zlokalizowanych celach, przeprowadzając serię czynności powodujących utratę dostępności i/lub poufności docelowych aktywów. Etap ten określany jest jako działanie na celach (zlokalizowanych zasobach). Rodzaje działań, jakie mogą być wykonywane na tym etapie, przedstawione zostały w tabeli na rys. 1.
Działania ransomware, jak już wspomniano, nie są natychmiastowe. Często mijają tygodnie po początkowej infekcji systemu i uzyskaniu dostępu, co daje atakującemu dodatkowy czas na uzyskanie dostępu do większej liczby systemów wewnętrznych.
W raporcie podkreśla się, że nie ma gwarancji, że szyfrowanie będące wynikiem działania ransomware zostało wykonane poprawnie i pliki mogłyby zostać odszyfrowane po dokonaniu płatności. To istotny powód, dla którego opłacenie żądanego okupu nie jest zalecane, gdyż może się to okazać nieskuteczne.
2.4. Szantaż (żądanie okupu)
Po osiągnięciu celu w postaci zablokowania dostępu do danych lub ich kradzieży atakujący przystępują do szantażu – żądają okupu w zamian za odblokowanie dostępu lub nieujawnianie skradzionych informacji. Na tym etapie ofiara ataku jest informowana o wykonanych działaniach oraz groźbie i żądaniach. Groźba to informacja o stratach lub szkodach, jakie wystąpią, jeśli żądanie nie zostanie spełnione. Żądanie jest tym, co atakujący spodziewa się uzyskać w zamian za odblokowanie danych lub ich nieujawnianie.
Jak podkreślają autorzy raportu, sposób komunikacji dotyczącej żądań okupu zmienił się w ostatniej dekadzie, przechodząc od komunikacji prywatnej do bardziej publicznej. Wcześniej ofierze przekazywano mailem żądanie okupu i instrukcję, co należy zrobić, aby zapłacić i odzyskać dane. Później były to komunikaty wyświetlane przez zaatakowany system (private ransom). Obecnie coraz częściej atakujący publicznie przedstawiają incydenty, których byli sprawcami, i żądanie okupu (public ransom). Często dochodzi również do publicznego dyskredytowania ofiary ataku.
Ewoluowały także groźby zawarte w żądaniach okupu. Obecnie zaatakowanym organizacjom grozi się częściowym lub pełnym wyciekiem danych, w tym np. odsprzedażą danych osobowych podmiotowi oferującemu najwyższą cenę (często konkurentom ofiary). Stosowane są również groźby rozproszonego ataku typu DDoS na infrastrukturę organizacji, które ustaną dopiero po pomyślnym wynegocjowaniu okupu.
W mniejszym stopniu zmieniały się żądania okupu. Podstawowym żądaniem jest nadal pieniądz. Zdarzają się jednak przypadki, w których żądaniem nie jest zysk finansowy, lecz dodanie lub usunięcie przez ofiarę ataku wskazanej funkcji oprogramowania w produktach[4] lub prośba o zainfekowanie innych osób w celu uzyskania np. bezpłatnych kluczy deszyfrujących[5].
2.5. Okup i negocjacje
Negocjacje w sprawie ransomware są zazwyczaj prywatną korespondencją między zaatakowanym i sprawcą ataku. Ich wynikiem jest spełnienie żądań lub ich niespełnienie. Zdarza się, że organizacje lub osoby prywatne z powodzeniem negocjowały ze sprawcami ataku obniżenie żądanego okupu. Autorzy raportu zaznaczają, że niezwykle trudno określić, kto zapłacił okup lub go nie zapłacił i w jakich przypadkach udało się obniżyć jego kwotę. Informacje te nie są upubliczniane.
3. Modele biznesowe ransomware
Od czasu zaobserwowania pierwszego incydentu o charakterze ransomware w 1989 r. rynek tego oprogramowania dojrzał do tego stopnia, że stało się ono towarem. Obecnie, wskutek nowych modeli biznesowych ransom-as-a-service, prawie każdy może przeprowadzić atak ransomware. Można go kupić jako część większej operacji. Jego instalacja i wykorzystanie, podobnie jak w przypadku innych złośliwych oprogramowań, są jednak złożone, wymagają wielu „aktorów” i rozwiązania powstałych problemów. W omawianym raporcie przedstawiono, jak atakujący tworzą, organizują i uzyskują wartość z przeprowadzanych ataków.
W początkowym okresie ataki ransomware przeprowadzane były przez pojedyncze osoby lub bardzo małe grupy. Nie były one tak skomplikowane jak obecnie. Ograniczały się do szyfrowania zlokalizowanych plików. Atakujący koncentrowali się na rozwoju i rozprzestrzenianiu oprogramowania. Ilość pracy, jaka się z tym wiązała, spowodowała, że atakujący łączyli się w coraz większe grupy, w których rozdzielano etapy operacji, udoskonalano je i odpowiednio koordynowano. Poszczególne osoby lub małe podgrupy zaczęły specjalizować się w realizowaniu różnych etapów ataku, takich jak: wybór celu, analiza celu pod kątem podatności i uzyskiwanie dostępu, przeprowadzenie ataku (wykonywanie działań na zlokalizowanych celach), produkcja narzędzi do tych działań, negocjowanie płatności i pozyskiwanie dochodów. Ta sama grupa na ogół opracowuje narzędzia do przeprowadzenia ataku, ustala system płatności oraz kupuje exploity lub inne informacje wymagane do przeprowadzenia ataku.
Ten ostatni model biznesowy jest nadal dominujący, ale pojawiły się również inne, w tym ransomware-as-a-service, w którym grupa aktorów zagrożeń oferuje swoją platformę oprogramowania zewnętrznym podmiotom zainteresowanym przeprowadzaniem ataków[6]. W modelu tym operatorzy platformy ransom-as-a-service (RaaS) opracowują oprogramowanie ransomware i utrzymują platformę dla podmiotów stowarzyszonych (zainteresowanych przeprowadzaniem ataków). Podmioty stowarzyszone przy wykorzystaniu platformy RaaS przeprowadzają ataki, negocjują płatności, pobierają okup, a także kupują dodatkowe exploity lub informacje potrzebne do przeprowadzenia ataku. Model ten pozwala operatorom RaaS na uzyskiwanie przychodów z wielu źródeł. Jednym z nich jest procent od płatności okupu dla podmiotów stowarzyszonych, często 10–20% lub więcej. Innymi źródłami dochodów mogą być: sprzedaż danych o celach, miesięczne subskrypcje, które afilianci płacą za dostęp do platformy, lub doradztwo dla innych aktorów zagrożeń.
Niektórzy atakujący przechodzą na czerpanie zysków z pośrednictwa w handlu danymi. W modelu tym aktorzy zagrożeń czerpią dalsze korzyści ze skradzionych danych, sprzedając je najwyżej licytującym. Obejmuje to również odsprzedawanie uzyskanego dostępu do zasobów innym aktorom zagrożeń w celu dodatkowego wykorzystania. Tak np. w 2021 r.. grupa atakujących o nazwie Conti zaczęła sprzedawać dane dotyczące dostępu do sieci swoich ofiar, umożliwiając ataki następcze innych aktorów zagrożeń.[7]
4. Analiza incydentów związanych z ransomware
W raporcie przedstawiono wyniki analizy 623 incydentów ransomware na całym świecie w okresie od maja 2021 r. do czerwca 2022 r., ze szczególnym uwzględnieniem Europy, Wielkiej Brytanii i Stanów Zjednoczonych. Incydenty te zostały wybrane z doniesień prasowych, raportów firm zajmujących się bezpieczeństwem, raportów rządowych oraz oryginalnych stron aktorów zagrożeń ransomware. Każdy incydent został dogłębnie zbadany i potwierdzony w wielu źródłach. Jest to zaledwie 17,11% wszystkich przypadków, których ogólną liczbę w badanym przedziale czasu oszacowano na 3640. Przeprowadzona analiza incydentów obejmowała ustalenie informacji o nazwie zaatakowanej organizacji, sektorze gospodarki, kraju, w którym działa organizacja, nazwie podmiotu atakującego, technice uzyskania dostępu początkowego do zasobów, o tym, czy okup został zapłacony, czy doszło do infiltracji danych (kradzieży), o ilości skradzionych informacji w gigabajtach, rodzaju skradzionych informacji (finansowe, osobowe, własność intelektualna itp.) oraz o tym, czy nastąpił wyciek danych (częściowy lub całkowity).
W wyniku przeprowadzonej analizy ustalono, że wśród 623 badanych incydentów dowody na wyciek danych znaleziono w 288 przypadkach, co stanowi 46,2% wszystkich incydentów. Ustalono również, że łączna skumulowana ilość skradzionych danych dla wszystkich incydentów wynosi 136,3 TB – średnio 518 GB na incydent i 10 TB na miesiąc. Maksymalna ilość skradzionych danych znalezionych tylko w jednym incydencie wyniosła 50 TB; zostały one skradzione z brazylijskiego Ministerstwa Zdrowia (MOH) przez atakującego o nazwie Lapsus$33. Ustalono również, że do częściowego wycieku danych[8] doszło w 62 przypadkach, co stanowi 9,95% wszystkich incydentów. Podobnie dowody na całkowity wyciek danych znaleziono w 236 przypadkach, co stanowi 37,88% wszystkich incydentów. W sumie w prawie połowie przypadków (47,83%) doszło do wycieku skradzionych danych.
4.1. Dane chronione i dane osobowe wśród skradzionych informacji
Szczegółowa analiza rodzaju skradzionych danych przez autorów raportu wykazała, że w 31% przypadków atakujący udostępnili wgląd w rodzaj skradzionych danych, które często obejmowały informacje osobiste i biznesowe. Ustalono, że wśród tych danych 58,2% stanowiły dane klasyfikowane w RODO jako dane osobowe. W tej kategorii znajdowały się dane zaliczane do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, w tym informacje o stanie zdrowia, a także inne chronione informacje, w tym numery paszportów i wiz, adresy i status COVID-19. Ustalono ponadto, że 33% skradzionych danych zawierało informacje osobowe dotyczące pracowników, a 18,3% – informacje osobowe dotyczące klientów.
4.2. Inne dane nieosobowe będące celem ataku
Przeprowadzona analiza wykazała, że 41,7% skradzionych danych zawierało dane nieosobowe. Były to informacje i dane bezpośrednio wpływające na firmę, która była celem ataku, takie jak informacje finansowe, plany, ubezpieczenia, badania rynku, dane dotyczące sieci wewnętrznej i inne. Spośród skradzionych danych 19% zawierało informacje finansowe. Odnosiły się one do danych biznesowych związanych konkretnie z finansowymi aspektami działalności firmy. Ponad 24% skradzionych danych zawierało informacje biznesowe. Odnosiły się one do danych ważnych dla działalności firmy, takich jak dane produkcyjne, dokumenty administracyjne, pliki prawne, rejestracje handlowe, umowy i inne.
4.3. Sposoby, w jakie uzyskiwano wstępny dostęp do zasobów
W raporcie podano, że w 594 badanych incydentach nie ujawniono, w jaki sposób aktorzy zagrożeń uzyskali początkowy dostęp, co stanowi przytłaczającą liczbę 95,3%. Z jednej strony jest to zrozumiałe, gdyż ze względu na bezpieczeństwo ofiary ataku nie chcą dzielić się tym, jak ich systemy były (lub nadal są) podatne na ataki. Z drugiej strony brak informacji w tym zakresie nie pomaga innym uświadomić sobie, co powinni poprawić lub w jaki sposób mogą również stać się ofiarą ataku w przyszłości.
W przypadku pozostałych 29 incydentów, pomimo skąpych informacji w tym zakresie, udało się ustalić, w jaki sposób uzyskano dostęp do zaatakowanego systemu. Były to: zewnętrzne usługi zdalne – 12 przypadków, phishing – 8 przypadków, przeciek w łańcuchu dostaw – 4 przypadki, wadliwe konta – 4 przypadki oraz eskalacja uprawnień – 1 przypadek.
5. Rekomendacje
W raporcie wyraźnie pokazano, jakie niszczące skutki może spowodować atak ransomware dla organizacji. Podkreślono, że ciągle rozwijają się techniki ataku, powstają nowe sposoby uzyskiwania wstępnego dostępu do zasobów organizacji oraz nowe techniki ich blokowania, wykradania lub szyfrowania. To z kolei powoduje, że organizacje nie powinny się zastanawiać, czy mogą ucierpieć w wyniku ataku ransomware, ale kiedy to nastąpi i jak się przygotować, aby stawić w miarę skuteczny opór i ponieść jak najmniejsze straty. Sformułowano w tym celu szereg zaleceń w zakresie uzyskiwania odporności na atak ransomware oraz sposobu reagowania, jeśli taki atak nastąpi.
Rekomendacje w zakresie uzyskiwania odporności na ataki ransomware:
- Miej dobrą i sprawdzoną kopię zapasową wszystkich krytycznych dla firmy plików i danych osobowych oraz aktualizuj ją, a także izoluj od sieci.
- Zastosuj zasadę 3-2-1 tworzenia kopii zapasowych. Dla wszystkich danych: 3 kopie, 2
różne nośniki danych, 1 kopia poza główną siedzibą.
- Przechowuj dane osobowe zaszyfrowane zgodnie z przepisami RODO i stosuj odpowiednie zabezpieczenia wynikające z oceny ryzyka.
- Uruchom na wszystkich urządzeniach końcowych oprogramowanie zabezpieczające, które potrafi wykryć większość ransomware.
- Utrzymuj i aktualizuj na bieżąco politykę bezpieczeństwa oraz politykę ochrony prywatności i pracuj nad swoimi systemami informacyjnymi i aktywami, zapewniając im pożądaną higienę poprzez najlepsze praktyki branżowe, takie jak segmentacja sieci, aktualne poprawki, regularne kopie zapasowe i odpowiednie zarządzanie tożsamością, uprawnieniami i dostępem.
- Przeprowadzaj regularną ocenę ryzyka i rozważ wykupienie ubezpieczenia od ransomware[9].
- Ogranicz uprawnienia administracyjne – zachowaj ostrożność przy nadawaniu uprawnień administracyjnych, ponieważ konto administratora ma dostęp do wszystkiego, w tym do zmiany konfiguracji lub obejścia krytycznych ustawień bezpieczeństwa. Zawsze stosuj zasadę najmniejszego przywileju przy przyznawaniu wszelkiego rodzaju dostępów.
- Zapoznaj się z organizacjami rządowymi, które zapewniają pomoc w przypadku incydentów związanych z oprogramowaniem ransomware, i określ procedury, które należy stosować w razie ataku.
Rekomendacje dotyczące reagowania w przypadku wystąpienia ataku ransomware:
- Skontaktuj się z krajowymi organami ds. bezpieczeństwa cybernetycznego lub z organami ścigania w sprawie sposobów postępowania z oprogramowaniem ransomware.
- Nie płać okupu ani nie negocjuj z aktorami zagrożeń.
- Odetnij dotknięte infekcją systemy od sieci w celu powstrzymania ewentualnego rozprzestrzeniania się ransomware.
- Odwiedź stronę The No More Ransom Project[10], inicjatywę Europolu, na której znajdziesz klucze do odszyfrowania 162 wariantów ransomware.
- Zablokuj dostęp do systemów zapasowych do czasu usunięcia infekcji.
6. Podsumowanie
W raporcie stwierdza się, że brak wiarygodnych danych od organizacji będących celem ataku sprawia, że bardzo trudno jest w pełni zrozumieć problem, a nawet ustalić, ile jest przypadków ransomware. Do dziś najbardziej wiarygodnymi źródłami pozwalającymi dowiedzieć się, które organizacje zostały zainfekowane, są strony internetowe aktorów zagrożeń ransomware. Ten brak przejrzystości nie jest dobry dla branży, ponieważ większość danych, które wyciekły, jak stwierdzono, to dane osobowe należące do pracowników i klientów.
Podkreślono, że najważniejszą informacją, której brakuje, jest techniczne wyjaśnienie, w jaki sposób napastnicy uzyskali dostęp do celów. Są to zazwyczaj dane prywatne, które opisują stan bezpieczeństwa celu, więc nigdy nie są udostępniane publicznie. W konsekwencji wiedza społeczności zajmującej się walką z problemami stwarzanymi przez ransomware pozostaje fragmentaryczna i odizolowana. Sytuację utrudnia dodatkowo trend RaaS, w którym narzędzia ransomware oraz sterowanie nimi i kontrola są współdzielone przez wiele różnych oddziałów i grup aktorów zagrożeń.
Autorzy raportu stwierdzają, że ransomware kwitnie i masowo przeprowadzane są ataki na firmy każdej wielkości i ze wszystkich sektorów. Wzywają organizacje do przygotowania się na ataki ransomware i rozważenia możliwych konsekwencji przed wystąpieniem ataków.
W załączniku do raportu przedstawiono opis ataku ransomware na system rurociągów Colonial Pipeline w Stanach Zjednoczonych oraz na platformę firmy Kaseya do zdalnego zarządzania serwerami klientów (ataki te przeprowadzono odpowiednio 7 maja i 3 lipca 2021 r.).
[1] A Sophos Whitepaper. April 2022, The State of Ransomware 2022, https://www.sophos.com/en-us/content/state-of-ransomware (dostęp: 2.09.2022).
[2] Ransomware Report: Latest Attacks And News, Cybercrime Magazine, https://cybersecurityventures.com/ransomware-report/ (dostęp: 8.09.2022).
[3] Ryuk 2020: Distributing Ransomware via TrickBot and BazarLoader, Trend Micro, 4.11.2020, https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ryuk-2020-distributing-ransomware-via-trickbot-and-bazarloader (dostęp: 8.09.2022).
[4] Żądanie aktualizacji firmware kart graficznych, która usunie wprowadzone ograniczenie dla wydobywania kryptowalut. Więsej w: A. Hope, Nvidia Data Leak Exposed Proprietary Information but Wasn’t a Russian Ransomware Attack, Company Says’, CPO Magazine, 11.03.2022, https://www.cpomagazine.com/cyber-security/nvidia-data-leak-exposed-proprietary-information-but-wasnt-a-russian-ransomware-attack-company-says/ (dostęp: 8.09.2022).
[5] Żądanie infekcji znajomych. Więcej w: R. Whitwam, New ransomware offers to restore your files for free – if you infect two friends, ExtremeTech, 12.12.2016, https://www.extremetech.com/internet/240933-new-ransomware-offers-restore-files-free-infect-two-friends (dostęp: 8.09.2022).
[6] Abnormal, The Evolution of Ransomware: Victims, Threats, Actors, and What to Expect in 2022, https://cdn2.assets-servd.host/gifted-zorilla/production/files/Ransomware-Trends-Victims-Threat-Actors.pdf (dostęp: 8.09.2022).
[7] 2021 Trends Show Increased Globalized Threat of Ransomware CISA. Rapotr dostępny na: https://www.cisa.gov/uscert/ncas/alerts/aa22-040a (dostęp 8.09.2022).
[8] Do częściowego wycieku danych dochodzi na etapie szantażu. Atakujący chcą w ten sposób udowodnić, że faktycznie ukradli dane i są one w ich posiadaniu. Do pełnego wycieku danych dochodzi po nieudanych negocjacjach okupu. Pełny wyciek zawiera zazwyczaj wszystkie skradzione dane.
[9] Ransomware Readiness, Ransomware Insights, Ransomware Incident Response Planning, Insurance, https://www.marsh.com/us/services/cyber-risk/products/ransomware.html (dostęp: 8.09.2022)
[10] No More Ransom, The No More Ransom Project, https://www.nomoreransom.org/pl/index.html (dostęp: 8.09.2022).