Ransomware

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania
Ten artykuł dotyczy oprogramowania używanego w przestępczości. Zobacz też: Ransomware (licencja).

Ransomware (inne określenie: oprogramowanie szantażujące[1][2][3]; ang. ransomware - zbitka słów ransom "okup" i software "oprogramowanie") – typ szkodliwego oprogramowania z dziedziny kryptowirologii, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.

Najprostsze typy programów-szantażystów jedynie zakładają blokadę na system, która jest stosunkowo łatwa do zlikwidowania dla doświadczonych użytkowników komputera, natomiast bardziej zaawansowane formy takiego oprogramowania stosują technikę zwaną kryptowirusowym wymuszeniem - szyfrują one pliki ofiary, uniemożliwiając ich normalny odczyt i żądają okupu w zamian za deszyfrację. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

Działanie

Przebieg ataku

Oprogramowanie szantażujące przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware. Jedną z wykonywanych operacji może być wyświetlanie fałszywego ostrzeżenia (rzekomo wysłanego przez np. organy ścigania). Według tego typu ostrzeżeń, system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[4][5][6].

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[7] lub nawet przez modyfikację głównego rekordu rozruchowego i/lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[8]. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci szyfru – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[9].

Motywy cyberprzestępców a odzysk danych

Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[10][11][12]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.

Celem cyberprzestępców posługujących się oprogramowaniem szantażującym przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania szantażującego jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[13], usługi pre-paidowe jak np. Paysafecard[14][15][16] a także cyfrową walutę Bitcoin[17][18][19]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[20].

Historia

Programy szantażujące wykorzystujące kryptografię

Pierwszym znanym oprogramowaniem szantażującym był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[21].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus/wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.

Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać całą sumę, dopóki połowa tej kwoty nie zostanie mu zapłacona”[10]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno ataki jawne, jak i niejawne[10].

Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005.[22] Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[23]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, żeby w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[24][25][26][27].

Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[28]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:

  • CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
  • CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[18][29][30][31],
  • wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[32].

W styczniu 2015 ogłoszono, że infekcje oprogramowaniem szantażującym występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego na serwery linuksowe[33][34][35].

Niektóre „szczepy” oprogramowania szantażującego wykorzystywały serwery pośredniczące, powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[36]. [37] Ponadto sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tę technologię w ramach modelu oprogramowania jako usługi[37][38][39].

Przykładowe programy

Reveton

Sposób działania

Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[14]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[40][41][42].

Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[14][43].

Poszczególne warianty

Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection society PRS for Music (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki.)[44] W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[14][5].

W maju 2012, analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana przeznaczonego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[45]. Przed sierpniem 2012, nowa wersja Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokości 200 dolarów na konto FBI za pomocą karty MoneyPak[46][47]. [43] W lutym 2013, obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[48]. W sierpniu 2014, firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[49].

CryptoLocker

Kryptowirusy zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. To oprogramowanie szantażujące groziło usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, analitycy oraz same ofiary uznali go za bardzo trudny do pokonania[17][50][51][52]. Nawet po upłynięciu terminu “ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC— co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[53][54].

CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[55][56]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[57].

Zobacz też

Przypisy

  1. oprogramowanie szantażujące - Tłumaczenie po angielsku - Słownik polsko-angielski Diki. [dostęp 2017-07-24].
  2. oprogramowanie szantażujące - tłumaczenie na angielski - słownik polsko-angielski bab.la. [dostęp 2017-09-01].
  3. Trend Micro: Bezpieczeństwo informatyczne w drugim kwartale 2012 roku. [dostęp 2017-07-13].
  4. Ransomware squeezes users with bogus Windows activation demand. Computerworld. [dostęp 9 marzec 2012].
  5. a b Police warn of extortion messages sent in their name. Helsingin Sanomat. [dostęp 9 marzec 2012].
  6. Robert McMillian: Alleged Ransomware Gang Investigated by Moscow Police. PC World. [dostęp 10 marzec 2012].
  7. Ransomware: Fake Federal German Police (BKA) notice. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  8. And Now, an MBR Ransomware. SecureList (Kaspersky Lab). [dostęp 10 marzec 2012].
  9. D. Maikowski: Zaszyfrują ci komputer, zażądają 300 dol. i co zrobisz? Ransomware - nowa plaga. Jak się chronić?. 16 marzec 2016.
  10. a b c Adam Young, Moti Yung, Cryptovirology: extortion-based security threats and countermeasures [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2.
  11. Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, Jianying Zhou, Javier Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401.
  12. Adam Young. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. „International Journal of Information Security”. 5 (2), s. 67–76, 2006. Springer-Verlag. DOI: 10.1007/s10207-006-0082-7. 
  13. Dancho Danchev: New ransomware locks PCs, demands premium SMS for removal. ZDNet, 22 kwiecień 2009. [dostęp 2 May 2009].
  14. a b c d John E. Dunn: Ransom Trojans spreading beyond Russian heartland. TechWorld. [dostęp 10 marzec 2012].
  15. Ransomware plays pirated Windows card, demands $143. Computerworld. [dostęp 9 marzec 2012].
  16. Jacqui Cheng: New Trojans: give us $300, or the data gets it!. Ars Technica, 18 lipiec 2007. [dostęp 16 kwiecień 2009].
  17. a b You’re infected—if you want to see your data again, pay us $300 in Bitcoins. W: Ars Technica [on-line]. [dostęp 23 październik 2013].
  18. a b CryptoDefense ransomware leaves decryption key accessible. W: Computerworld [on-line]. IDG. [dostęp 7 kwiecień 2014].
  19. What to do if Ransomware Attacks on your Windows Computer?. Techie Motto. [dostęp 25 kwiecień 2016].
  20. Luke Parker, Large UK businesses are holding bitcoin to pay ransoms, 9 czerwca 2016 [dostęp 2016-06-09].
  21. Michael Kassner: Ransomware: Extortion via the Internet. TechRepublic. [dostęp 10 March 2012].
  22. Susan Schaibly: Files for ransom. Network World, 26 wrzesień 2005. [dostęp 17 kwiecień 2009].
  23. John Leyden: Ransomware getting harder to break. The Register, 24 lipiec 2006. [dostęp 18 April 2009].
  24. Ryan Naraine: Blackmail ransomware returns with 1024-bit encryption key. ZDNet, 6 June 2008. [dostęp 3 maj 2009].
  25. Robert Lemos: Ransomware resisting crypto cracking efforts. SecurityFocus, 13 June 2008. [dostęp 18 April 2009].
  26. Brian Krebs: Ransomware Encrypts Victim Files with 1,024-Bit Key. W: The Washington Post [on-line]. 9 June 2008. [dostęp 16 April 2009].
  27. Kaspersky Lab reports a new and dangerous blackmailing virus. Kaspersky Lab, 5 June 2008. [dostęp 11 June 2008].
  28. Violet Blue: [http://www.zdnet.com/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin-7000024579/ CryptoLocker's crimewave: A trail of millions in laundered Bitcoin]. ZDNet, 22 grudzień 2013. [dostęp 23 grudzień 2013].
  29. Encryption goof fixed in TorrentLocker file-locking malware. PC World. [dostęp 15 październik 2014].
  30. Cryptolocker 2.0 – new version, or copycat?. W: WeLiveSecurity [on-line]. ESET. [dostęp 18 January 2014].
  31. New CryptoLocker Spreads via Removable Drives. Trend Micro. [dostęp 18 January 2014].
  32. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files [w:] ExtremeTech [online], Ziff Davis Media [dostęp 2014-08-18].
  33. File-encrypting ransomware starts targeting Linux web servers. W: PC World [on-line]. IDG. [dostęp 31 maj 2016].
  34. Cybercriminals Encrypt Website Databases in "RansomWeb" Attacks. SecurityWeek. [dostęp 31 maj 2016].
  35. Hackers holding websites to ransom by switching their encryption keys. „The Guardian”. [dostęp 31 maj 2016]. 
  36. New ransomware employs Tor to stay hidden from security. „The Guardian”. [dostęp 31 maj 2016]. 
  37. a b The current state of ransomware: CTB-Locker. W: Sophos Blog [on-line]. Sophos. [dostęp 31 maj 2016].
  38. Author Behind Ransomware Tox Calls it Quits, Sells Platform, 4 czerwca 2015 [dostęp 2015-08-06].
  39. Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block, 29 lipca 2015 [dostęp 2015-08-06].
  40. Gardaí warn of ‘Police Trojan’ computer locking virus. TheJournal.ie. [dostęp 31 May 2016].
  41. Barrie computer expert seeing an increase in the effects of the new ransomware. W: Barrie Examiner [on-line]. Postmedia Network. [dostęp 31 May 2016].
  42. Fake cop Trojan 'detects offensive materials' on PCs, demands money. The Register. [dostęp 15 sierpień 2012].
  43. a b Reveton Malware Freezes PCs, Demands Payment. InformationWeek. [dostęp 16 sierpień 2012].
  44. John E. Dunn: Police alert after ransom Trojan locks up 1,100 PCs. TechWorld. [dostęp 16 sierpień 2012].
  45. Lucian Constantian: Police-themed Ransomware Starts Targeting US and Canadian Users. PC World. [dostęp 11 May 2012].
  46. New Internet scam: Ransomware.... FBI, 9 sierpień 2012.
  47. Citadel malware continues to deliver Reveton ransomware.... Internet Crime Complaint Center (IC3), 30 November 2012.
  48. Reveton 'police ransom' malware gang head arrested in Dubai. TechWorld. [dostęp 18 październik 2014].
  49. 'Reveton' ransomware upgraded with powerful password stealer. PC World. [dostęp 18 październik 2014].
  50. Disk encrypting Cryptolocker malware demands $300 to decrypt your files. W: Geek.com [on-line]. [dostęp 12 September 2013].
  51. CryptoLocker attacks that hold your computer to ransom. W: The Guardian [on-line]. [dostęp 23 październik 2013].
  52. Destructive malware "CryptoLocker" on the loose - here's what to do. W: Naked Security [on-line]. Sophos. [dostęp 23 październik 2013].
  53. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. W: NetpracaWorld [on-line]. [dostęp 5 Listopad 2013].
  54. CryptoLocker creators try to extort even more money from victims with new service. W: PC World [on-line]. [dostęp 5 Listopad 2013].
  55. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet [w:] Computerworld [online] [dostęp 2014-08-18].
  56. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator [w:] Justice.gov [online] [dostęp 2014-08-18].
  57. Cryptolocker victims to get files back for free, 6 sierpnia 2014 [dostęp 2014-08-18].