facebook
Plaga ransomware w 2016 roku
01 grudnia 2016

Szyfrowanie i okup towarzyszą ludziom od dawna. Jednak w ciągu kilku ostatnich dziesięcioleci przekonaliśmy się, czym skutkuje połączenie ich. Wszystko zaczęło się w roku 1989, gdy dr. Joseph L. Popp rozesłał program żądający okupu.

Początki

Popp jest uważany za prekursora wymuszeń wykorzystujących komputery: rozesłał on swój szkodliwy program podczas konferencji Światowej Organizacji Zdrowia poświęconej AIDS. Na dyskietkach znajdowały się naklejki sugerujące, że znajdują się na nich informacje wstępne dotyczące AIDS (AIDS Information — Introductory Diskettes). Oprócz tego dołączone było wydrukowane oddzielnie ostrzeżenie, że oprogramowanie na dyskietce może uszkodzić komputery.

Ale powiedzmy sobie szczerze: kto czyta dołączoną dokumentację? Spośród przygotowanych przez Poppa 20 000 dyskietek część została włożona do komputerów, powodując ich zablokowanie. Na ekranie pojawiał się komunikat z żądaniem okupu (w wysokości 189 dolarów wysłanych tradycyjną pocztą na skrzynkę pocztową w Panamie), który dla wielu czytelników naszego bloga mógłby wyglądać znajomo.

Dzisiejsze programy żądające okupu

Od czasu powstania pierwotnej koncepcji programów żądających okupu zmieniło się niewiele. Najbardziej zauważalną różnicą jest to, że zamiast odbierać pieniądze ze skrzynki pocztowej, przestępcy mogą wykorzystywać anonimowe sieci, np. TOR czy I2P, a także bitcoiny, dzięki czemu unikają organów ścigania. Co sprawiło, że ten schemat wytrzymał próbę czasu?

Z pewnością kluczową rolę odgrywają tu pieniądze. Średnio okup wynosi około 300 dolarów, a wymuszenia w takiej postaci często są skuteczne, dlatego raczej nie należy spodziewać się, że pomysł ten zostanie porzucony.

Zazwyczaj użytkownik musi podjąć decyzję, czy zapłacić okup, czy odpuścić sobie swoje pliki. Niestety wiele osób wciąż wybiera zapłatę, chociaż my stanowczo odradzamy takie działanie i zachęcamy do poszukania innych dróg, na przykład skorzystania z odpowiedniego programu deszyfrującego umieszczonego w serwisie No More Ransom.

Pojawianie się nowych próbek ransomware każdego dnia może przerażać, lecz nie ich liczba jest problemem, lecz jakość. Istnieje niewiele rodzin szkodliwego oprogramowania, które są na tyle dobrze napisane i posiadają taką moc, że mogą rzeczywiście niepokoić. Jednak kilka z nich jest gotowych wyjść z cienia i spowodować poważne szkody (np. Locky i Cerber). Nad tym problemem usilnie pracuje wielu badaczy bezpieczeństwa.

Kampanię dystrybucji programu żądającego okupu rozpocząć może nawet jedna osoba, a mimo to cyberprzestępcy inwestują w specjalizacje i współpracę. Oferują pomoc techniczną, która pomaga ich ofiarom przejść przez proces kupowania bitcoinów w celu zapłacenia okupu, nieustannie ulepszają swój szkodliwy kod i próbują oszukać badaczy bezpieczeństwa oraz organy ścigania. Przygotowanie skutecznego wymuszenia wymaga ciężkiej pracy!

Jeśli chodzi o świat biznesu, w ciągu ostatnich lat doświadczyliśmy rozkwitu programów żądających okupu — pojawiły się nowe rozwiązania w postaci usług, czyli ransomware-as-a-service, które zwykle lepiej spełniają potrzeby klienta. Utworzenie większości rodzajów szkodliwych programów wymaga jedynie posiadania pewnych umiejętności technicznych, jednak utworzenie dobrego programu ransomware od zera jest znacznie większym wyzwaniem. Chodzi o to, aby zastosować w nim porządne szyfrowanie. Jeśli wdrożone zostanie słabe szyfrowanie, dobre dusze — na przykład my — będą mogły szybko utworzyć narzędzie deszyfrujące.

W przypadku początkujących najłatwiejszą drogą jest skorzystanie z modelu biznesowego: wzięcie na swoje barki odpowiedzialności za dystrybucję oraz zapłacenie części ze swojego łupu pierwotnym twórcom danego szkodliwego programu. To niestety coraz częściej wybierana droga.

Rodzaje programów żądających okupu

Ewolucja różnych rodzajów ransomware — od prostych programów, tworzonych w ramach dowodu koncepcji, które polegają na narzędziach innych firm (np. WinRAR, GPG), po takie, które wykorzystują kod z zasobów dla deweloperów Microsoft Developer Network — pokazuje, że cyberprzestępcy chcą być nieustannie o krok do przodu.

Co więcej, dzisiaj często pojawiają się na tyle zaawansowane programy, że potrafią usuwać kopie zapasowe, szyfrować podłączone dyski zewnętrzne lub sieciowe, a nawet pliki zsynchronizowane w chmurze. Poprzeczka została podniesiona, a nad każdym takim przypadkiem staramy się pracować do skutku.

Trendy

Niektóre nowsze odmiany ransomware wykryte w Brazylii pokazują, że programy żądające okupu wciąż są rozwijane, lecz zamiast tworzenia nowych, częściej wykorzystuje się czyjąś markę. Po co się męczyć, tworząc własny kod? Nawet osoby, które nie mają odpowiedniej wiedzy, mogą kupić gotowe zestawy zawierające wszystko, czego potrzeba do rozpoczęcia kampanii. Jeśli nazwa programu będzie wystarczająco chwytliwa, przyciągnie uwagę mediów i zrobi się o nim głośno, dzięki czemu jego autorzy nie tylko będą bogatsi, lecz także bardziej rozpoznawalni.

Widzieliśmy wystarczająco dużo ransomware słabej jakości, o którym wszyscy mówili tylko dlatego, że wykorzystywało logo popularnego programu telewizyjnego, zdjęcie bohatera filmowego czy nawet żartowało z polityków. Jednak wykorzystywanie czyjejś marki wiąże się również z ułatwionym wykrywaniem go. Coraz częściej wielu przestępców rezygnuje z nadania swojemu produktowi nazwy, podając ofiarom jedynie adres e-mail na potrzeby kontaktu z oszustami oraz adres bitcoin do płatności.

Jeśli chodzi o metody płatności, najbardziej popularne rodziny ransomware wciąż wolą bitcoiny. Jednak czasem zdarza się, że program żąda okupu przy użyciu np. systemu PaySafeCard. Akcje lokalne i tworzone we własnym zakresie częściej wybierają opcję płatności, która jest najbardziej popularna w danym miejscu. Jednak w ten sposób zrzekasz się aury tajemniczości, która często otacza temat programów ransomware.

Pracować ciężko i patrzeć w przyszłość

Jeśli chodzi o walkę z ransomware, swoje możliwości możemy właściwie ocenić jedynie poprzez zbieranie twardych dowodów i konkretnych statystyk na temat tego problemu. Niestety nie każda osoba zainfekowana przez program żądający okupu zgłasza taki incydent, a ci, którzy tak robią, zgłaszają to różnym instytucjom, przez co trudno jest zebrać komplet danych.

Połączenie wysiłków przez organy ścigania i firmy zajmujące się bezpieczeństwem IT na rzecz przerwania działań cyberprzestępczych w tym zakresie przynosi wymierne efekty. Takim przykładem jest tutaj inicjatywa No More Ransom, która zrodziła się z potrzeby pomocy ofiarom ransomware w odzyskaniu ich zaszyfrowanych danych bez konieczności płacenia przestępcom.

Im więcej podmiotów wspiera nasz projekt, tym większe są szanse rozwoju coraz bardziej potrzebnej struktury pomagającej w zwalczać takie incydenty. Każdy podmiot posiada jedynie częściowy ogląd ekosystemu ransomware, więc sukces zależy tu w dużej mierze od naszej współpracy.

Jeśli chodzi o użytkowników (czyli potencjalne ofiary), podstawą jest świadomość istnienia i rozprzestrzeniania się takich zagrożeń.

Zostań naszym fanem!