Przełom: CryptoLocker
Przełomowym wydarzeniem w rozwoju ransomware było pojawienie się aplikacji CryptoLocker, która łączyła rozwinięte wcześniej techniki straszenia ofiar z doskonałej jakości algorytmem szyfrującym. Zamiast łatwych do obejścia narzędzi do zabezpieczania archiwów ZIP Cryptolocker stosował najwyższej jakości algorytm AES 256-bit, który nie został nigdy złamany za pomocą ataku siłowego (testu wszystkich kombinacji kluczy). AES dodatkowo został opakowany w mechanizm klucza publicznego RSA-2048. Ten drugi zabieg pozwalał na umieszczenie w wirusie klucza do szyfrowania danych (klucz publiczny), a klucz do odszyfrowywania (klucz prywatny) cyberprzestępcy zachowywali dla siebie i udostępniali do uiszczeniu opłaty. Dzięki temu nawet rozebranie wirusa na najdrobniejsze fragmenty, co jest standardową procedurą ekspertów w przypadku odkrycia nowego rodzaju szkodnika, nie pozwalało na uzyskanie klucza do odkodowania plików. Z tego względu CryptoLocker był atakiem niemal idealnym, udało się go zahamować dopiero po zlikwidowaniu w maju 2014 roku przestępczego botnetu Gameover ZeuS, który dostarczał infrastruktury do zarządzania wirusem.
Z punktu widzenia przestępców CryptoLocker był oszałamiającym sukcesem. Według naukowców z Uniwersytetu Kent aż 41 proc. ofiar zdecydowało się wpłacić okup wynoszący równowartość 300 dol. w bitcoinach. Zysk z okupów wyniósł przynajmniej 3-4 mln dolarów. Analityk Keith Jarvis z firmy SecureWorks szacuje, że przestępcy zarabiali na swoim procederze ok. 150 tys. dolarów tygodniowo. Biorąc pod uwagę te liczby, trudno się dziwić, że po Cryptolockerze nastąpił wysyp klonów takich jak opisany na początku Teslacrypt.
Groźny CryptoWall
Najbardziej zaawansowany technicznie przykład ransomware, który bazuje na modelu CryptoLockera,
to obecnie CryptoWall 2.0. Szkodnik został poddany gruntownej analizie przez ekspertów od zabezpieczeń z firmy Cisco, którzy opisali zastosowane technologie na blogu. Rozwiązania okazały się tak zaawansowane, że sugerują udział w projekcie programistów, którzy piszą kod na poziomie najlepszych korporacji software’owych na świecie.
Szkodnik jest modułowy, co pozwala na modyfikację poszczególnych komponentów w celu obchodzenia zmieniających się zabezpieczeń pecetów. Znana obecnie wersja szkodnika do uzyskania uprawnień administracyjnych w systemie ofiary wykorzystuje znaną od 2012 roku dziurę w systemach z rodziny Windows. Nic nie stoi jednak na przeszkodzie, by w razie potrzeby zastąpić tę lukę inną, np. exploitem 0-day, czyli takim, który nie jest znany nikomu poza atakującym, i nie ma przed nim obrony. Analitycy z firmy Invincea znaleźli dowody, że już obecnie wykorzystywane są tego rodzaju luki we wtyczce Flash, niesławnej z powodu dużej liczby błędów – jest ona jedną z ulubionych dróg ataku na pecety.
Kolejnym zaawansowanym rozwiązaniem jest zaszyty w wirusie mechanizm wykrywania maszyny wirtualnej oraz aplikacji izolujących procesy (tzw. sandboxing), który powoduje zablokowanie programu przy próbie uruchomienia go w kontrolowanym środowisku. Miało to zabezpieczyć kod wirusa przed analizą przez ekspertów od zabezpieczeń, na szczęście bez powodzenia.
Mechanizm ataku
Wyrafinowany jest także mechanizm przejmowania kontroli nad komputerem. Po dostarczeniu kodu wirusa do komputera, co odbywa się zazwyczaj poprzez umieszczenie go w spamie lub na zhakowanej stronie WWW, szkodnik wnika do systemu przez niezałataną dziurę, a następnie uruchamia się w formie fałszywego procesu Eksploratora, ten zaś instaluje instancję szkodnika w autostarcie. Podczas instalacji, korzystając z uprawnień administracyjnych, wirus wyłącza także zabezpieczenia – Windows Defendera, Windows Update oraz panel zarządzania zaporą systemu. Po restarcie systemu proces z wirusem ukrywa się jako jedna z licznych instancji procesu svchost.exe, więc jest niewykrywalny dla przeciętnego użytkownika.
Kolejnym etapem ataku jest pobranie klienta anonimowej sieci TOR, w której ukryty jest system transakcyjny oraz serwery kontrolne. Zastosowanie TOR-a utrudnia eliminację zagrożenia, gdyż nie można namierzyć położenia serwerów kontrolnych ani zidentyfikować miejsca, do którego trafia okup.
Gdy infrastruktura jest gotowa, CryptoWall szyfruje dane i wyświetla ofierze informację o przeprowadzonym ataku oraz kwotę żądanego okupu. Ciekawostką jest zintegrowany z wirusem „system obsługi klienta”, poprzez który można skontaktować się z cyberprzestępcami. Jak informuje New York Times, po drugiej stronie rzeczywiście ktoś odpowiada. Jedna z dziennikarek złożyła nawet coś w rodzaju reklamacji na przedwczesne podwyższenie okupu (rośnie wraz z upływem czasu z 500 do 1000 dolarów), która, co najdziwniejsze, została rozpatrzona pozytywnie. Jak tłumaczą eksperci od zabezpieczeń, cyberprzestępcy podkreślają swoją „wiarygodność i rzetelność”, zachęcając w ten sposób ofiary do płacenia.