Ransomware

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
Ten artykuł dotyczy oprogramowania używanego w przestępczości. Zobacz też: Ransomware (licencja).

Ransomware (ang. ransom – okup) – rodzaj oprogramowania używanego w przestępczości internetowej.

Pojawiły się już relacje dotyczące ataków z użyciem ransomware, ale rozwój tego typu przestępczości jest dopiero przed użytkownikami Internetu. Są jednak sposoby, żeby już dziś bronić się przed zaszyfrowaniem cennych danych. Najważniejszy z nich to robienie kopii bezpieczeństwa cennych plików.

Działanie[edytuj]

Przebieg ataku[edytuj]

Ransomware przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Następnie uruchomiona zostaje zawartość programu, która przeważnie ma formę oprogramowania typu scareware. Jego zawartość może wyświetlić fałszywe ostrzeżenie (rzekomo wysłane przez np. Organy ścigania). Według tego typu ostrzeżeń, system był używany w nielegalnych celach, bądź też znajduje się na nim zawartość w postaci pornografii oraz "pirackiego" oprogramowania. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows.[1][2][3]

Niektóre programy tego typu zawierają prostą aplikację przeznaczoną do zablokowania lub ograniczenia dostępu do systemu do momentu dokonania płatności. Robią to zazwyczaj poprzez ustawienia powłoki systemu Windows do samej siebie,[4]lub nawet przez modyfikację głównego rekordu startowego i / lub tablicy partycji tak, aby uniemożliwić uruchamianie systemu operacyjnego.[5] Najgroźniejsze wersje ransomware szyfrują pliki ofiary - przeważnie za pomocą silnego algorytmu - tak, iż tylko autor oprogramowania jest w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci kombinacji – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec.[6]

Motywy hakerów a odzysk danych[edytuj]

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej.[7][8][9] Jeśli ransomware korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu "wydobycia" algorytmu oraz klucza ze złośliwego oprogramowania i przygotować program do odszyfrowania danych.

Celem hakerów posługjących się trojanami ransomware przeważnie jest próba wyłudzenia płatności, w zamian za ktorą obiecują ofierze usunięcie ransomware (co niekoniecznie musi nastąpić). Taka "pomoc" polega albo na dostarczeniu programu do odszyfrowania plików, lub na wysłaniu kodu odblokowującego, który cofa zmiany dokonane przez zawartość wirusa. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą ransomware jest wygodny i trudny do namierzenia system płatności. W celu uzyskania "okupu" wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości sms o podwyższonej opłacie[10], usługi pre-paidowe jak np. Paysafecard[11][12][13] a także cyfrową walutę Bitcoin [14][15][16] Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego.[17]

Historia[edytuj]

Ransomware szyfrujący[edytuj]

Pierwszym znanym wirusem ransomware był "AIDS" (znany również jako "PC Cyborg"), napisany w 1989 przez Josepha Popp'a. Jego zawartość była odpowiedzialna za ukrywanie plików na dysku i szyfrowanie ich nazw, a także wyświetlała informację iż licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto "PC Cyborg Corporation" w celu uzyskania programu do usunięcia wirusa. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał iż cały zysk w wyniku działania wirusa przeznaczy na badania nad lekarstwem przeciw AIDS.[18]

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Young i Moti Yung; pokazali oni że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego wirusa, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algortymów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus, stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, iż ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yung ponadto zasugerowali że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania,przez co "twórca wirusa może z powodzeniem zatrzymać cały okup, dopóki połowa ztej kwoty nie zostanie mu zapłacona".[7]Nazywali te działania "kryptowirusowym wymuszeniem" - było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii.Zawierała ona zarówno jawne, jak i niejawne ataki.[7]

Przykłady ransomware "żądających" wygórowanych kwot stały się widoczne w maju 2005.[19] Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości660 bitów.[20] W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, że w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych.[21][22] [23] [24]

Szyfrujące ransomware zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLocker'a, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013, portal ZDNet.com przeanalizował informacje o transakcjachprzeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, iż twórcy Cryptolocker'a otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników.[25] Technika CryptoLocker'a była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLocker'em)
  • CryptoDefense (początkowo zawierał on poważną "lukę konstrukcyjną", w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows),[15][26][27][28]
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology.[29]

W styczniu 2015 ogłoszono że infekcje wirusami typu ransomware występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego na serwery linuksowe.[30][31][32]

Niektóre "szczepy" RansomWare wykorzystywały serwery proxy powiązane z usługami ukrytymi sieci Tor aby łączyć się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców.[33] [34] Ponadto, sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tą technologię ramach modelu oprogramowania jako usługi.[34][35][36]

Przykładowe programy[edytuj]

Reveton[edytuj]

działanie[edytuj]

Trojan "Reveton" zaczął się rozprzestrzeniać w Europie w 2012 roku.[11] Utworzony na bazie trojana "Citadel" (który z kolei został stworzony na bazie trojana "Zeus"). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organa ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do sciągania "pirackiego" oprogramowania bądź pornografii dziecięcej.) Ze względu na takie zachowanie, był określany mianem "Policyjnego Trojana".[37][38][39]

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak np Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetla na ekranie adres IP komputera, a niektóre wersje wyświetlały obraz z kamery internetowej ofiary aby sprawić wrażenie nagrywania użytkownika.[11][40]

poszczególne warianty[edytuj]

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja wirusa która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja zawierała logo royalty collection society PRS for Music (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki.)[41] W oświadczeniu, mającym na celu ostrzec obywateli przed wirusem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować system na komputerze podejrzanego.[11][2]

W maju 2012, analitycy zagrożeń z Trend Micro odkryli szablony wariantów wirusa przeznaczonego na Kanadę i USA, które sugerowały iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej.[42] Przed sierpniem 2012, nowa wersja Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokośći 200 dolarów na konto FBI za pomocą karty MoneyPak. [43][44] [40] W lutym 2013, obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy.[45] W sierpniu 2014, program antywirusowy Avast ogłosił wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła.[46]

CryptoLocker[edytuj]

Trojany szyfrujące zaatakowały ponownie we wrześniu 2013 – wówczas odkryto wirusa CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer, I używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. Oprogramowanie to „groziło” usunięciem klucza prywatnego, jeżeli płatność w postaci Bitcoin’ów lub voucher’a nie zostanie wykonana w ciągu 3 dni od zainfekowania komputera. Ponieważ wirus używał bardzo długiego klucza, analitycy oraz ofiary trojana uznali CryptoLocker’a jako wirusa bardzo trudnego w naprawie.[14][47][48][49] Nawet po upłynięciu terminu “ultimatum”, uzyskanie klucza prywatnego w dalszym ciągu było możliwe z pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC— co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich.[50][51]

CryptoLocker został wyizolowany w wyniku działania botneta “Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie wydał oskarżenie przeciwko rosyjskiemu hakerowi Jewgienijowi Bogachevowi za domniemany udział w tworzeniu botneta.[52][53] Oszacowano, że do momentu unieszkodliwienia trojana przestępcy z jego pomocą wymusili co najmniej 3 mln. dolarów.[54]

Zobacz też[edytuj]

Przypisy

  1. Ransomware squeezes users with bogus Windows activation demand. Computerworld. [dostęp 9 marzec 2012].
  2. a b Police warn of extortion messages sent in their name. Helsingin Sanomat. [dostęp 9 marzec 2012].
  3. Robert McMillian: Alleged Ransomware Gang Investigated by Moscow Police. PC World. [dostęp 10 marzec 2012].
  4. Ransomware: Fake Federal German Police (BKA) notice. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  5. And Now, an MBR Ransomware. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  6. D. Maikowski: Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić?. 16 marzec 2016.
  7. a b c AdamA. Young AdamA., MotiM. Yung MotiM., Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2.
  8. AdamA. Young AdamA., Building a Cryptovirus Using Microsoft's Cryptographic API, JianyingJ. Zhou, JavierJ. Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401.
  9. Adam Young. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. . 5 (2), s. 67–76, 2006. DOI: 10.1007/s10207-006-0082-7. 
  10. Dancho Danchev: New ransomware locks PCs, demands premium SMS for removal. ZDNet, 22 kwiecień 2009. [dostęp 2 May 2009].
  11. a b c d John E. Dunn: Ransom Trojans spreading beyond Russian heartland. TechWorld. [dostęp 10 marzec 2012].
  12. Ransomware plays pirated Windows card, demands $143. Computerworld. [dostęp 9 marzec 2012].
  13. Jacqui Cheng: New Trojans: give us $300, or the data gets it!. Ars Technica, 18 lipiec 2007. [dostęp 16 kwiecień 2009].
  14. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins. W: Ars Technica [on-line]. [dostęp 23 październik 2013].
  15. a b CryptoDefense ransomware leaves decryption key accessible. IDG. [dostęp 7 kwiecień 2014].
  16. What to do if Ransomware Attacks on your Windows Computer?. [dostęp 25 kwiecień 2016].
  17. LukeL. Parker LukeL., Large UK businesses are holding bitcoin to pay ransoms, 9 czerwca 2016 [dostęp 2016-06-09].
  18. Michael Kassner: Ransomware: Extortion via the Internet. TechRepublic. [dostęp 10 March 2012].
  19. Susan Schaibly: Files for ransom. Network World, 26 wrzesień 2005. [dostęp 17 kwiecień 2009].
  20. John Leyden: Ransomware getting harder to break. The Register, 24 lipiec 2006. [dostęp 18 April 2009].
  21. Ryan Naraine: Blackmail ransomware returns with 1024-bit encryption key. ZDNet, 6 June 2008. [dostęp 3 maj 2009].
  22. Robert Lemos: Ransomware resisting crypto cracking efforts. SecurityFocus, 13 June 2008. [dostęp 18 April 2009].
  23. Brian Krebs: Ransomware Encrypts Victim Files with 1,024-Bit Key. W: The Washington Post [on-line]. 9 June 2008. [dostęp 16 April 2009].
  24. Kaspersky Lab reports a new and dangerous blackmailing virus. Kaspersky Lab, 5 June 2008. [dostęp 11 June 2008].
  25. Violet Blue: [http://www.zdnet.com/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin-7000024579/ CryptoLocker's crimewave: A trail of millions in laundered Bitcoin]. ZDNet, 22 grudzień 2013. [dostęp 23 grudzień 2013].
  26. Encryption goof fixed in TorrentLocker file-locking malware. [dostęp 15 październik 2014].
  27. Cryptolocker 2.0 – new version, or copycat?. W: WeLiveSecurity [on-line]. ESET. [dostęp 18 January 2014].
  28. New CryptoLocker Spreads via Removable Drives. Trend Micro. [dostęp 18 January 2014].
  29. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18].
  30. File-encrypting ransomware starts targeting Linux web servers. IDG. [dostęp 31 maj 2016].
  31. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks. [dostęp 31 maj 2016].
  32. Hackers holding websites to ransom by switching their encryption keys. [dostęp 31 maj 2016].
  33. New ransomware employs Tor to stay hidden from security. [dostęp 31 maj 2016].
  34. a b The current state of ransomware: CTB-Locker. Sophos. [dostęp 31 maj 2016].
  35. Author Behind Ransomware Tox Calls it Quits, Sells Platform, 2015 [dostęp 2015-08-06].
  36. Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block, 29 lipca 2015 [dostęp 2015-08-06].
  37. Gardaí warn of ‘Police Trojan’ computer locking virus.
  38. Barrie computer expert seeing an increase in the effects of the new ransomware. Postmedia Network.
  39. Fake cop Trojan 'detects offensive materials' on PCs, demands money. The Register.
  40. a b Reveton Malware Freezes PCs, Demands Payment. InformationWeek. [dostęp 16 Sierpień 2012].
  41. John E. Dunn: Police alert after ransom Trojan locks up 1,100 PCs. TechWorld.
  42. Lucian Constantian: Police-themed Ransomware Starts Targeting US and Canadian Users. PC World. [dostęp 11 May 2012].
  43. New Internet scam: Ransomware.... FBI, 9 Sierpień 2012.
  44. Citadel malware continues to deliver Reveton ransomware.... Internet Crime Complaint Center (IC3), 30 November 2012.
  45. Reveton 'police ransom' malware gang head arrested in Dubai. [dostęp 18 październik 2014].
  46. 'Reveton' ransomware upgraded with powerful password stealer. [dostęp 18 październik 2014].
  47. Disk encrypting Cryptolocker malware demands $300 to decrypt your files. W: Geek.com [on-line]. [dostęp 12 September 2013].
  48. CryptoLocker attacks that hold your computer to ransom. W: The Guardian [on-line]. [dostęp 23 październik 2013].
  49. Destructive malware "CryptoLocker" on the loose - here's what to do. W: Naked Security [on-line]. Sophos. [dostęp 23 październik 2013].
  50. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. W: NetpracaWorld [on-line]. [dostęp 5 Listopad 2013].
  51. CryptoLocker creators try to extort even more money from victims with new service. W: PC World [on-line]. [dostęp 5 Listopad 2013].
  52. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, [w:] Computerworld [online] [dostęp 2014-08-18].
  53. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, [w:] Justice.gov [online] [dostęp 2014-08-18].
  54. Cryptolocker victims to get files back for free, 6 sierpnia 2014 [dostęp 2014-08-18].