Social media
#CyberPaździernik: Dokąd zmierza ransomware? Od sporadycznych ataków do hakerskiego przemysłu
Oprogramowanie ransomware wykorzystywane przez cyberprzestępców w ostatnich latach staje się coraz bardziej powszechne. Atakowane są całe sektory gospodarki, a przychody hakerów idą w miliony dolarów. Według ekspertów ransomware ewoluuje w stronę rozwiniętego przestępczego przemysłu z nowymi metodami ataków i wpływania na ofiary cyberprzestępców.
Cyberataki z wykorzystaniem oprogramowania ransomware stają się dominującym sposobem zdobywania pieniędzy przez hakerów. W pierwszej połowie 2021 roku liczba ataków ransomware osiągnęła globalnie poziom przekraczający 7,3 mln incydentów. Według analityków, na celowniku hakerów znalazł się szczególnie sektor finansowy, w którym skala ataków wzrosła o ponad 1,3 tys. proc.
Ransomware dotyka nie tylko banki. Atakuje także sektor rolniczy czy służbę zdrowia, co w skrajnych przypadkach doprowadziło do śmierci pacjentów w sparaliżowanych informatycznie szpitalach.
Rosnące zagrożenie ze strony ransomware jest dostrzegane nie tylko przez ofiary ataków czy ekspertów od cyberbezpieczeństwa, ale także przez polityków i rządy państw. Ostatnim tego przykładem jest fakt, że Joe Biden, prezydent Stanów Zjednoczonych zapowiedział zorganizowanie międzynarodowej konferencji w sprawie przeciwdziałania atakom typu ransomware.
Różne twarze ransomware
Atak z użyciem oprogramowania ransomware oznacza włamanie do systemu informatycznego, które uniemożliwia ofierze korzystanie z komputera lub z konkretnych zasobów. Zwykle odbywa się to przy pomocy szyfrowania lub innych form blokowania dostępu. Zaatakowane podmioty otrzymują jednocześnie komunikat o konieczności zapłaty okupu w celu odzyskania pełnego dostępu do danych i przywrócenia kontroli nad zaatakowanym systemem.
Obecnie w sieci funkcjonuje kilka różnych rodzajów oprogramowania ransomware.
- Screen-locker to ransomware, który uniemożliwia dostęp do komputera poprzez zablokowanie ekranu, w związku z czym nie można na nim wykonać żadnej operacji. Cyberprzestępcy w specjalnie przygotowanym okienku informują użytkownika, że może on przywrócić swoje urządzenie do pełni sprawności po uiszczeniu odpowiedniej opłaty. Screen-locker jest uznawany za stosunkowo najmniej groźny wśród ataków ransomware i dość łatwy do obejścia.
- Crypto-ransomware szyfruje pliki na dysku ofiary. Bardziej
zaawansowane odmiany tego oprogramowania mogą zaszyfrować nie tylko pliki lokalne w komputerach, ale również informacje umieszczone w chmurze. Aby odzyskać dostęp do zasobów ofiara musi uzyskać odpowiedni klucz deszyfrujący, oferowany przez hakerów za odpowiednią opłatą. Z powodu użycia 256-bitowego, 512-bitowego, a niekiedy 1024-bitowego szyfrowania samodzielne odzyskanie danych przez ofiarę często jest niemożliwe. - Disk-encryptor to obecnie najgroźniejsza odmiana ransomware, która nie blokuje dostępu do pojedynczych plików, ale do całego dysku twardego za pomocą szyfrowania pliku MFT, czyli Master File Table, co uniemożliwia poprawne funkcjonowanie systemu operacyjnego. Disk-encryptor jest obecnie najczęściej wykorzystywane do dokonywania ataków na duże instytucje i firmy.
Anatomia ataku
Aby skutecznie zaatakować ofiarę za pomocą ransomware cyberprzestępcy muszą umieścić w systemie odpowiednie złośliwe oprogramowanie. W tym celu stosują kilka kluczowych metod.
Pierwszy sposób jest znany z wielu innych ataków. Złośliwe oprogramowanie jest umieszczane w załącznikach rozsyłanych w masowych wiadomościach e-mail (spamie). Po otwarciu załącznika rozpoczyna się proces szyfrowania plików lub całego dysku, a po zakończeniu operacji ofiara widzi komunikat o konieczności zapłacenia okupu.
Inna metoda ataku to zamieszczanie ransomware w pirackich plikach muzycznych lub filmowych np. w sieciach P2P. Po pobraniu i otwarciu zainfekowanego pliku następuje proces szyfrowania i wyświetlenie monitu.
Do ataków ransomware hakerzy wykorzystują także spreparowane strony internetowe, co umożliwia słabość niektórych przeglądarek. Ostatnio oprogramowanie ransomware jest rozprzestrzeniane również z wykorzystaniem publicznych, słabo zabezpieczonych sieci Wi-Fi.
Wraz z rosnącą liczbą ataków ransomware zmieniły się także metody zapłaty okupu żądanego przez hakerów. Początkowo cyberprzestępcy wykorzystywali do tego przelewy bankowe czy usługi typu SMS premium. Jednak obecnie niemal we wszystkich atakach pojawia się konieczność zapłaty w kryptowalutach. Taka metoda znacznie ogranicza możliwość zidentyfikowania sprawców cyberataku ze względu na właściwości cyfrowego pieniądza opartego o system blockchain.
Ewolucja ransomware
Ransomware nie jest zupełnie nowym zagrożeniem. Pierwsze warianty tego oprogramowania pojawiły się w latach 80. ubiegłego wieku, a za jedną z jego najwcześniejszych odmian uważa się AIDS / PC Cyborg. Ten ransomware rozprzestrzeniał się z wykorzystaniem dyskietek 5,25 cala i atakował firmy z sektora medycznego pod przykrywką ankiety na temat AIDS. Po zablokowaniu komputera informacja z żądaniem okupu była generowana na papierze za pomocą podłączonej drukarki.
Od tamtej pory ransomware przeszedł rewolucyjne przemiany, a obecnie pojawiają się wciąż nowe złośliwe kody służące do tego typu ataków.
To, w jaki sposób wygląda ewolucja ransomware i dokąd zmierza największe obecnie zagrożenie w sieci wyjaśnia w rozmowie z CyberDefence24.pl Piotr Kupczyk z Kaspersky Lab Polska.
„Ewolucja ransomware postępuje i będzie postępować tak długo, jak ten rodzaj szkodliwego oprogramowania będzie przynosił cyberprzestępcom zyski – ocenia Piotr Kupczyk. - Gdy przed rokiem 2016 pojawiły się pierwsze ataki tego typu, ich ofiarami były głównie przypadkowe osoby. Cyberprzestępcy skupiali się na jak najszerszej dystrybucji spamu w nadziei, że znajdzie się co najmniej jeden użytkownik, który ma na swoim komputerze ważne pliki i który uruchomi szkodliwy załącznik. W 2016 roku sytuacja uległa zmianie. Losowe listy spamerów coraz częściej były zastępowane przez wyszukiwane w internecie adresy należące do pracowników firm”.
Według eksperta przestępcy zdali sobie sprawę z tego, że atakowanie firm jest o wiele bardziej opłacalne. Zmieniła się również treść wiadomości: nie wyglądała już jak korespondencja osobista, lecz jak wysłana przez partnerów, klientów czy organy podatkowe.
„Kolejna zmiana nadeszła wraz z rokiem 2017, byliśmy wtedy świadkami dwóch epidemii, które spowodowały znaczne szkody, co pokazało, że oprogramowanie ransomware może zostać użyte nie tylko do wymuszeń – zaznacza Kupczyk. - Pierwszym zagrożeniem był WannaCry, który wykorzystywał lukę w systemach Windows. Co ciekawe, dla firma Microsoft udostępniła wcześniej łaty usuwające tę podatność, jednak wiele firm ich nie zainstalowało. WannaCry nie miał szczęścia jako ransomware. Pomimo tego, że udało mu się zainfekować setki tysięcy maszyn, zagrożenie to przyniosło jego autorom niewielki zarobek. Niektórzy badacze zastanawiali się nawet, czy jego celem były pieniądze - przypuszczano, że mogło ono zostać stworzone w celu sabotażu lub niszczenia danych”.
Kolejne zagrożenie rozwiało wszelkie wątpliwości. ExPetr (zwany również jako Petya oraz NotPetya) nie umożliwiał przywrócenia zaszyfrowanych danych - było to narzędzie niszczące informacje pod postacią ransomware. Co więcej, szkodnik wykorzystał nowy trik: dzięki atakowi na łańcuch dostaw jego autorzy zhakowali ukraińskie oprogramowanie MeDoc służące do prowadzenia księgowości, w efekcie narażając na infekcję tym niemal każdą firmę działającą w Ukrainie.
„Ewolucja postępowała dalej, a same narzędzia ransomware stawały się coraz bardziej zaawansowane, skomplikowane i coraz lepiej unikały wykrywania oraz analizy – wyjaśnia Kupczyk. - Co więcej, dziś osoby, które chcą być cyberprzestępcami, nie muszą już tworzyć własnych szkodliwych programów ani kupować ich na podziemnych forach. Wystarczy uzyskać dostęp do platformy chmurowej RaaS (Ransomware-as-a-Service, ransomware jako usługa). Takie usługi są łatwe do wdrożenia i nie wymagają umiejętności programistycznych, a z ich użyciem każda osoba może przeprowadzić atak z wykorzystaniem ransomware. Takie podejście naturalnie zwiększa liczbę cyberincydentów tego typu”.
Innym nowym trendem, jest przejście z modelu prostego ransomware do ataków łączonych, w których przestępcy kradną dane, zanim je zaszyfrują. W takich przypadkach niezapłacenie okupu skutkuje nie tylko zniszczeniem zaszyfrowanych danych, ale także opublikowaniem ich w otwartych źródłach lub sprzedażą na czarnym rynku. Na jednej z takich aukcji, która miała miejsce latem 2020 roku, można było kupić bazy zawierające dane firm z branży rolniczej, skradzione przy użyciu ransomware REvil. Cena wywoławcza wynosiła 55 tys. dolarów.
Według eksperta z Kaspersky Lab Polska obecnie cyberprzestępcy stosujący ransomware coraz bardziej się profesjonalizują i dobierają swoje ofiary z dużą precyzją.
„Samo oprogramowanie ransomware stało się przemysłem, na co wskazuje kilka wyraźnych trendów, które wyraźnie widać chociażby w działaniach zaawansowanego cybergangu DarkSide – podkreśla Kupczyk. - Legalnie działające firmy zwykle mają jakieś centrum prasowe lub sekcję dla mediów. Cyberprzestępcy z ugrupowania DarkSide poszli w ich ślady: na swojej stronie publikują informacje o planach ujawnienia zdobytych informacji i pozwalają dziennikarzom zadawać pytania. W rzeczywistości celem gangu jest wywołanie w internecie jak najwięcej szumu na swój temat. Szantażyści z DarkSide szukają partnerów wśród firm, które świadczą legalne usługi odszyfrowywania danych. Rzekomym powodem takiego działania jest fakt, że niektóre ofiary nie mają własnych działów odpowiedzialnych za cyberbezpieczeństwo i muszą polegać na zewnętrznych ekspertach, aby odszyfrować swoje dane. DarkSide oferuje takim ekspertom wsparcie techniczne i rabaty związane z nakładem wykonanej pracy”.
Zdaniem eksperta podstęp jest tu oczywisty - oszuści nie szukają ofiar, które nie mogą odszyfrować danych - szukają dużych pieniędzy. Na przykład, przedsiębiorstwa państwowe nie mogą prowadzić negocjacji z przestępcami, ale mogą swobodnie współpracować z firmami świadczącymi usługi deszyfrowania, które w tym przypadku działają jako pośrednik. Udają one, że przywracają dane, a w rzeczywistości - zwyczajnie płacą atakującym.
Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.