Ransomware

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
Ten artykuł dotyczy oprogramowania używanego w przestępczości. Zobacz też: Ransomware (licencja).

Oprogramowanie szantażujące[1][2][3], oprogramowanie wymuszające okup[4] (z ang. ransomware - zbitka wyrazowa powstała ze słów ransom "okup" i software "oprogramowanie") – rodzaj szkodliwego oprogramowania, które blokuje system komputerowy lub szyfruje zapisane w nim dane, a następnie żąda od ofiary okupu za przywrócenie dostępu.

Działanie[edytuj]

Przebieg ataku[edytuj]

Oprogramowanie szantażujące przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware. Jedną z wykonywanych operacji może być wyświetlanie fałszywego ostrzeżenia (rzekomo wysłanego przez np. organy ścigania). Według tego typu ostrzeżeń, system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[5][6][7].

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[8] lub nawet przez modyfikację głównego rekordu rozruchowego i/lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[9]. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci kombinacji – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[10].

Motywy cyberprzestępców a odzysk danych[edytuj]

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[11][12][13]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.

Celem cyberprzestępców posługujących się oprogramowaniem szantażującym przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania szantażującego jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[14], usługi pre-paidowe jak np. Paysafecard[15][16][17] a także cyfrową walutę Bitcoin[18][19][20]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[21].

Historia[edytuj]

Oprogramowanie szyfrujące[edytuj]

Pierwszym znanym oprogramowaniem szantażującym był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[22].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać cały okup, dopóki połowa tej kwoty nie zostanie mu zapłacona”[11]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno jawne, jak i niejawne ataki[11].

Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005.[23] Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[24]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, że w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[25][26][27][28].

Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013, portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[29]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
  • CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[19][30][31][32],
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[33].

W styczniu 2015 ogłoszono, że infekcje oprogramowaniem szantażującym występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego na serwery linuksowe[34][35][36].

Niektóre „szczepy” oprogramowania szantażującego wykorzystywały serwery pośredniczące powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[37]. [38] Ponadto, sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tą technologię w ramach modelu oprogramowania jako usługi[38][39][40].

Przykładowe programy[edytuj]

Reveton[edytuj]

Działanie[edytuj]

Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[15]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[41][42][43].

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[15][44].

Poszczególne warianty[edytuj]

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection society PRS for Music (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki.)[45] W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[15][6].

W maju 2012, analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana przeznaczonego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[46]. Przed sierpniem 2012, nowa wersja Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokośći 200 dolarów na konto FBI za pomocą karty MoneyPak[47][48]. [44] W lutym 2013, obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[49]. W sierpniu 2014, firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[50].

CryptoLocker[edytuj]

Wirusy-szyfratory zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. To oprogramowanie szantażujące groziło usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, analitycy oraz same ofiary uznali go za bardzo trudny do pokonania[18][51][52][53]. Nawet po upłynięciu terminu “ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC— co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[54][55].

CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[56][57]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[58].

Zobacz też[edytuj]

Przypisy

  1. oprogramowanie szantażujące - Tłumaczenie po angielsku - Słownik polsko-angielski Diki. [dostęp 2017-07-24].
  2. oprogramowanie szantażujące - tłumaczenie na angielski - słownik polsko-angielski bab.la. [dostęp 2017-09-01].
  3. Trend Micro: Bezpieczeństwo informatyczne w drugim kwartale 2012 roku. [dostęp 2017-07-13].
  4. Microsoft Terminology Collection and Translations in Localized Microsoft Products for Polish. [dostęp 2017-07-13].
  5. Ransomware squeezes users with bogus Windows activation demand. Computerworld. [dostęp 9 marzec 2012].
  6. a b Police warn of extortion messages sent in their name. Helsingin Sanomat. [dostęp 9 marzec 2012].
  7. Robert McMillian: Alleged Ransomware Gang Investigated by Moscow Police. PC World. [dostęp 10 marzec 2012].
  8. Ransomware: Fake Federal German Police (BKA) notice. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  9. And Now, an MBR Ransomware. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  10. D. Maikowski: Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić?. 16 marzec 2016.
  11. a b c Adam Young, Moti Yung, Cryptovirology: extortion-based security threats and countermeasures [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2.
  12. Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, Jianying Zhou, Javier Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401.
  13. Adam Young. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. . 5 (2), s. 67–76, 2006. DOI: 10.1007/s10207-006-0082-7. 
  14. Dancho Danchev: New ransomware locks PCs, demands premium SMS for removal. ZDNet, 22 kwiecień 2009. [dostęp 2 May 2009].
  15. a b c d John E. Dunn: Ransom Trojans spreading beyond Russian heartland. TechWorld. [dostęp 10 marzec 2012].
  16. Ransomware plays pirated Windows card, demands $143. Computerworld. [dostęp 9 marzec 2012].
  17. Jacqui Cheng: New Trojans: give us $300, or the data gets it!. Ars Technica, 18 lipiec 2007. [dostęp 16 kwiecień 2009].
  18. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins. W: Ars Technica [on-line]. [dostęp 23 październik 2013].
  19. a b CryptoDefense ransomware leaves decryption key accessible. IDG. [dostęp 7 kwiecień 2014].
  20. What to do if Ransomware Attacks on your Windows Computer?. [dostęp 25 kwiecień 2016].
  21. Luke Parker, Large UK businesses are holding bitcoin to pay ransoms, 9 czerwca 2016 [dostęp 2016-06-09].
  22. Michael Kassner: Ransomware: Extortion via the Internet. TechRepublic. [dostęp 10 March 2012].
  23. Susan Schaibly: Files for ransom. Network World, 26 wrzesień 2005. [dostęp 17 kwiecień 2009].
  24. John Leyden: Ransomware getting harder to break. The Register, 24 lipiec 2006. [dostęp 18 April 2009].
  25. Ryan Naraine: Blackmail ransomware returns with 1024-bit encryption key. ZDNet, 6 June 2008. [dostęp 3 maj 2009].
  26. Robert Lemos: Ransomware resisting crypto cracking efforts. SecurityFocus, 13 June 2008. [dostęp 18 April 2009].
  27. Brian Krebs: Ransomware Encrypts Victim Files with 1,024-Bit Key. W: The Washington Post [on-line]. 9 June 2008. [dostęp 16 April 2009].
  28. Kaspersky Lab reports a new and dangerous blackmailing virus. Kaspersky Lab, 5 June 2008. [dostęp 11 June 2008].
  29. Violet Blue: [http://www.zdnet.com/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin-7000024579/ CryptoLocker's crimewave: A trail of millions in laundered Bitcoin]. ZDNet, 22 grudzień 2013. [dostęp 23 grudzień 2013].
  30. Encryption goof fixed in TorrentLocker file-locking malware. [dostęp 15 październik 2014].
  31. Cryptolocker 2.0 – new version, or copycat?. W: WeLiveSecurity [on-line]. ESET. [dostęp 18 January 2014].
  32. New CryptoLocker Spreads via Removable Drives. Trend Micro. [dostęp 18 January 2014].
  33. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18].
  34. File-encrypting ransomware starts targeting Linux web servers. IDG. [dostęp 31 maj 2016].
  35. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks. [dostęp 31 maj 2016].
  36. Hackers holding websites to ransom by switching their encryption keys. [dostęp 31 maj 2016].
  37. New ransomware employs Tor to stay hidden from security. [dostęp 31 maj 2016].
  38. a b The current state of ransomware: CTB-Locker. Sophos. [dostęp 31 maj 2016].
  39. Author Behind Ransomware Tox Calls it Quits, Sells Platform, 4 czerwca 2015 [dostęp 2015-08-06].
  40. Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block, 29 lipca 2015 [dostęp 2015-08-06].
  41. Gardaí warn of ‘Police Trojan’ computer locking virus.
  42. Barrie computer expert seeing an increase in the effects of the new ransomware. Postmedia Network.
  43. Fake cop Trojan 'detects offensive materials' on PCs, demands money. The Register.
  44. a b Reveton Malware Freezes PCs, Demands Payment. InformationWeek. [dostęp 16 sierpień 2012].
  45. John E. Dunn: Police alert after ransom Trojan locks up 1,100 PCs. TechWorld.
  46. Lucian Constantian: Police-themed Ransomware Starts Targeting US and Canadian Users. PC World. [dostęp 11 May 2012].
  47. New Internet scam: Ransomware.... FBI, 9 sierpień 2012.
  48. Citadel malware continues to deliver Reveton ransomware.... Internet Crime Complaint Center (IC3), 30 November 2012.
  49. Reveton 'police ransom' malware gang head arrested in Dubai. [dostęp 18 październik 2014].
  50. 'Reveton' ransomware upgraded with powerful password stealer. [dostęp 18 październik 2014].
  51. Disk encrypting Cryptolocker malware demands $300 to decrypt your files. W: Geek.com [on-line]. [dostęp 12 September 2013].
  52. CryptoLocker attacks that hold your computer to ransom. W: The Guardian [on-line]. [dostęp 23 październik 2013].
  53. Destructive malware "CryptoLocker" on the loose - here's what to do. W: Naked Security [on-line]. Sophos. [dostęp 23 październik 2013].
  54. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. W: NetpracaWorld [on-line]. [dostęp 5 Listopad 2013].
  55. CryptoLocker creators try to extort even more money from victims with new service. W: PC World [on-line]. [dostęp 5 Listopad 2013].
  56. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet [w:] Computerworld [online] [dostęp 2014-08-18].
  57. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator [w:] Justice.gov [online] [dostęp 2014-08-18].
  58. Cryptolocker victims to get files back for free, 6 sierpnia 2014 [dostęp 2014-08-18].