Czym jest ransomware? To rodzaj złośliwego oprogramowania, które pozwala cyberprzestępcy na wniknięcie do wnętrza atakowanego komputera i zaszyfrowanie wszystkich danych należących do jego właściciela – ofiary ataku. Jedynym sposobem na odzyskanie tych danych jest zapłacenie „okupu”, czyli przelanie na elektroniczne konto przestępcy (portfel) żądanej przez niego sumy pieniędzy. Oczywiście w kryptowalucie bitcoin. Tak, aby służby odpowiedzialne za ściganie cyberprzestępców nie mogły zidentyfikować autora ataku.
Gdy pieniądze trafią już na konto przestępcy, to przesyła on użytkownikowi instrukcję wraz z unikatowym kluczem, który pozwala na odszyfrowanie plików. Albo nie przesyła. Zdarza się i tak.
Każdy atak ransomware jest unikatowy, ponieważ szyfruje konkretne, niepowtarzalne pliki na komputerze użytkownika. Natomiast sam proces działania szkodliwego oprogramowania jest podobny. Istnieją nawet odmiany ransomware, które pozwalają na odszyfrowanie kilku plików w ramach próby. Inną odmianą ransomware są szkodniki, które nie szyfrują danych, a zamiast tego blokują dostęp do systemu operacyjnego – tłumaczy Maciej Ziarek, ekspert ds. bezpieczeństwa IT Kaspersky Lab Polska.
Oliver Friedrichs, były dyrektor do spraw bezpieczeństwa Symantec użył ciekawej metafory, aby pokazać, jak perfidne w swoim charakterze są ataki ransomware: „Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci kombinacji”.
Z raportu firmy McAfee wynika, że tylko w 1 kwartale 2015 roku zanotowano aż 165-procentowy wzrost zagrożeń związanych z ransomware. Z danych Symanteca wynika natomiast, że wysokość "okupu" wpłacanego przez ofiary ataków wynosi średnio ok. 300 dolarów. Sześć krajów, w których w 2015 roku dokonano największej liczby ataków, to Stany Zjednoczone, Japonia, Wielka Brytania, Włochy, Niemcy oraz Rosja.
CTB-Locker, Cryptolocker, Power Worm i CryptoWall - to nazwy najpopularniejszych złośliwych programów, które w ostatnim czasie sieją w sieci prawdziwe spustoszenie. Dziś przestępcy "porywają" nie tylko dane z naszych komputerów, ale i urządzeń mobilnych. Pod koniec 2014 roku głośno było o atakach ScaryPackage, w wyniku których cyberprzestępcy mieli zaszyfrować dane na niemal milionie smartfonów z Androidem. A podobnych zagrożeń będzie coraz więcej. Choćby dlatego, że dziś skuteczny atak ransomware może przeprowadzić niemal każdy z nas.
Cryptolocker fot. Realfintogive/Wikimedia Commons
Ransomware nie jest zjawiskiem nowym. O ewolucji złośliwego oprogramowania już w 1996 roku pisał Moti Yung, ekspert ds. bezpieczeństwa i adiunkt na Uniwersytecie Columbia. W pracy opublikowanej w czasopiśmie "Security and Privacy" szczegółowo opisał ten problem na dobre dziesięć lat przed pierwszym skutecznym atakiem ransomware.
Jednak dopiero w ostatnich latach doszło do prawdziwej ekspansji zagrożeń związanych z internetowym szantażem. Ataki ransomware przestały być bowiem domeną wąskiej grupy cyberprzestępców. Ich autorami coraz częściej są tzw. script kiddie, czyli osoby, które korzystają z gotowych programów i skryptów stworzonych przez inne osoby. Na ślad takiego oprogramowania trafiają najczęściej, przeszukując zakamarki "ukrytego internetu". Twórcy ransomware udostępniają swoje oprogramowanie za odpowiednią opłatą licencyjną lub za darmo. W drugim wypadku czerpią zyski w postaci procentu z „łupu”, który udało się zdobyć atakującemu.
Tak właśnie na naszych oczach narodził się nowy model biznesowy o wdzięcznej nazwie RaaS (Ransomware as a Service). Ransomware jako usługa, to znakomita „oferta” dla wspomnianych script kiddie – domorosłych hakerów i programistów, którzy nie posiadają wiedzy i umiejętności, aby samemu zaprojektować takie narzędzia.
Jedną z pierwszych odmian ransomware oferowanych w modelu biznesowym RaaS była aplikacja Tox. Program ten został napisany przez nastoletniego hakera ukrywającego się pod tym samym pseudonimem. Tox oferował swój produkt za darmo, ale po udanym ataku aplikacja automatycznie pobierała prowizję w wysokości 30 proc., która trafiała do portfela twórcy.
Tox opisał ten proceder w wywiadzie dla serwisu "Business Insider". Nastolatek nie przyznał się, ile na tym zarobił. Jednak tylko w ciągu pierwszych kilku dni przy pomocy jego narzędzia dokonano ponad 1500 skutecznych ataków, a ich ofiary przelewały przestępcom od 50 do nawet 200 dolarów - możemy sobie więc wyobrazić, że Tox był raczej zadowolony z zarobku. Ostatecznie nastolatek zrezygnował z „biznesu”. Podobno ruszyło go sumienie. Być może przestraszył się ewentualnych konsekwencji.
Z raportu organizacji Cyber Threat Alliance wynika, że straty związane z atakami za pośrednictwem oprogramowania CryptoWall 3 w 2015 roku sięgnęły 325 mln dolarów, a cyberprzestępcom udało się skutecznie zaatakować 406 887 urządzeń. Mowa tu jedynie o jednej z setek odmian ransomware. Inne to, np. owiany legendą CryptoLocker, który tylko w ciągu pierwszych 100 dni od debiutu przyniósł cyberprzestępcom 30 mln dolarów zysku. Rosjanin Evgeniy Mikhailovich Bogachev, którego uznaje się za twórcę CryptoLockera, jest dziś jednym z najbardziej poszukiwanych przestępców na świecie. Za informacje o nim FBI oferuje nawet 3 mln dolarów.
Podczas niedawnej analizy 400 sieci korporacyjnych w Stanach Zjednoczonych zidentyfikowaliśmy w ciągu czterech miesięcy ponad 32 miliony prób cyberataków. Wykryliśmy też 4220 przypadki zarażenia trojanem Nemucod, który służy między innymi do przemycania oprogramowania ransomware, takiego jak Teslacrypt czy Cryptolocker. Zagrożenie to dotyczy również Polski - granice państw często nie dotyczą sieci i cyberprzestępców – podkreśla Mariusz Rzepka, dyrektor firmy FORTINET na Polskę, Ukrainę i Białoruś.
Tox fot. McAfee
Przez długi czas wydawało się, że na ataki ransomware odporne są macbooki oraz inne urządzenia Apple. Do czasu. Kilkanaście dni temu firma Palo Alto Networks opisała pierwszy przypadek skutecznego zainfekowania maków oprogramowaniem ransomware. Cyberprzestępcom udało się przemycić złośliwy kod do najnowszej wersji aplikacji Transmission, popularnego klienta torrent.
Ransomware nie oszczędza nawet infrastruktury krytycznej. Jakiś czas temu pisaliśmy o skandalicznym ataku, którego ofiarą padł jeden z amerykańskich szpitali. Komputery zarządzające danymi pacjentów zostały zablokowane przez oprogramowanie szyfrujące. Zarządzający instytucją zostali postawieni pod ścianą, bo złodziejom udało się kompletnie zablokować niemal wszystkie kluczowe komputery. Za odblokowanie maszyn przestępcy zażądali okupu w wysokości 40 bitcoinów, czyli 17 tys. dol. (ok. 67 tys. zł).
Szpital temu szantażowi uległ. "Najbardziej efektywnym i najszybszym sposobem przywrócenia normalnego funkcjonowania naszego szpitala było zapłacenie za uzyskanie klucza deszyfrującego" - stwierdził Allen Stefanek, dyrektor szpitala.
DMA Locker - polski ransomware fot. DMA Locker
Czasami do ofiary odzywa się jednak nie atakujący, ale sam wirus. Tak jest w przypadku oprogramowania Cerber, na ślad którego trafili eksperci z firmy Trend Micro. Wyposażony w moduł przetwarzania tekstu na mowę Cerber odczytuje komunikat z żądaniem okupu. W tym wypadku kwota ta wynosi 500 dolarów (ok. 1,24 bitcoina).
Można pójść jeszcze dalej: istnieją ransomware, które żerują na skłonności wielu osób do oglądania filmów i zdjęć „dla dorosłych”.
Adult Player , czyli „odtwarzacz dla dorosłych” - nazwa aplikacji mówi sama za siebie. Program został wychwycony przez firmę Zscaler, przeznaczony jest na telefony z systemem Android. Działanie jest tyleż proste, co pomysłowe. Pozornie jedyną funkcją aplikacji jest wyświetlanie pornograficznych filmów. Jednak w trakcie odtwarzania wideo program robi też zdjęcie użytkownika używając aparatu telefonu.
Następnie blokuje urządzenie i wyświetla żądanie okupu w wysokości 500 dolarów. „Na zachętę” prezentuje zrobione przed chwilą zdjęcie z danymi takimi jak IP, kraj, nazwa sieci komórkowej i telefonu oraz wersja Androida.
Jak możemy uchronić się przed atakami ransomware? Najbardziej oczywistym sposobem wydaje się instalacja aktualnego oprogramowania antywirusowego. Niestety, najgroźniejsze i najbardziej wysublimowane formy ransomware potrafią poradzić sobie nawet z najskuteczniejszym antywirusem. Wówczas, naszym jedynym sprzymierzeńcem pozostaje zdrowy rozsądek.
Najskuteczniejszą ochroną przed ransomware jest posiadanie regularnie wykonywanej kopii zapasowej danych. Kopię taką należy przechowywać na zewnętrznym nośniku danych, który nie jest na stałe podłączony do komputera, lub w chmurze. Powinniśmy również zachowywać ostrożność przy otwieraniu maili, zwłaszcza od nieznanych nadawców. Poczta elektroniczna pozostaje jednym z najpopularniejszych kanałów infekcji wykorzystywanych przez ransomware” – podkreśla Maciej Ziarek
A jeśli daliśmy się złapać?
Przede wszystkim powinniśmy skonsultować się ze specjalistą ds. bezpieczeństwa IT. Istnieje możliwość odzyskania dostępu do plików zaszyfrowanych niektórymi wersjami złośliwego oprogramowania bez konieczności wpłacania okupu. Trzeba pamiętać, że uleganie przestępcom stanowi dla nich zachętę do kontynuowania takiej formy działalności” – zaznacza z kolei Mariusz Rzepka.