Uwaga na cyberszantażystów!

W marcu tego roku fani popularnych gier na PC takich jak Call of Duty, Minecraft i World of Tanks odkryli, że nie mogą otworzyć plików z zapisanym stanem gry albo podłączyć się do swojego konta w chmurze. Zamiast rozgrywki zobaczyli informację od hakerów, że ich pliki zostały zaszyfrowane, a klucz do ich odblokowania zostanie udostępniony po uiszczeniu równowartości 500 dolarów w wirtualnej walucie Bitcoin.

Komputery wszystkich tych osób zostały zainfekowane szkodnikiem typu ransomware o nazwie Teslacrypt. Jest to rodzaj programu hakerskiego, który nie podłącza zainfekowanego komputera do botnetu ani nie kradnie haseł czy informacji transakcyjnych, lecz służy do szantażu. Nazwa tego rodzaju szkodliwego oprogramowania pochodzi od angielskiego słowa „ransom”, czyli okup.

Przedmiotem szantażu nie jest tutaj na szczęście życie czy zdrowie człowieka, lecz informacje, które hakerzy „wzięli w niewolę” po udanym przełamaniu zabezpieczeń komputera. W wypadku szkodnika Teslacrypt są to zapisane stany gier, zidentyfikowane przez szkodnika na podstawie 185 różnych rozszerzeń. Znalezione pliki są szyfrowane przy pomocy bardzo silnego algorytmu AES 256-bit. Takiego „sejfu” nie można otworzyć żadnym programem do łamania haseł, nawet w sytuacji, gdy do obliczeń wykorzysta się potężny superkomputer. Jedynym sposobem jest uzyskanie klucza dekodującego, który pozostaje w rękach cyberprzestępców. Ofiara ma do wyboru: zapłacić albo pożegnać się z danymi.

Oczywiście w uprzywilejowanej sytuacji są użytkownicy, którzy posiadają kopię zapasową danych, ale niestety wciąż jest to nieliczna grupa. Większość ofiar jest zmuszona do zapłacenia okupu. Co ciekawe, ofiary to nie tylko indywidualni użytkownicy. Inne odmiany ransomware, które szyfrowały pliki biurowe MS Office, pozwoliły cyberprzestępcom wyciągać pieniądze także od firm oraz instytucji publicznych, w tym także amerykańskiej policji lokalnej, której ransomware zaszyfrowało całą bazę raportów z miejsc przestępstw.

Firmy specjalizujące się w cyberbezpieczeństwie szacują, że ransomware jest dla użytkowników PC jednym z szybciej rosnących zagrożeń. McAfee w najnowszym raporcie podkreśla, że liczba ataków tego typu zwiększyła się w ostatnim kwartale 2014 roku aż o 144 proc., Symantec zaś obliczył, że liczba infekcji ransomware zwiększyła się w ciągu 2014 roku aż siedem razy! Rosnące zagrożenie tego rodzaju szkodnikami jest bezpośrednią konsekwencją tego, że większość ofiar, wbrew zaleceniom organów ścigania i ekspertów od bezpieczeństwa, płaci cyberprzestępcom. Dane z zaszyfrowanych plików są warte więcej niż „niewygórowany” okup w wysokości 500 dol. W decyzji o uiszczeniu okupu pomaga także to, że „porywacze” w ogromnej większości wypadków wywiązują się z obietnicy i dostarczają klucz dekodujący.

Ransomware jest stosunkowo nową metodą cyberprzestępczą. Pierwszym w pełni skutecznym narzędziem do ataku tego typu był Cryptolocker z 2013 roku, jednak pierwsze pomysły „porywania” komputerów i danych dla okupu pojawiły się dużo wcześniej. Ojczyzną ransomware jest Rosja, gdzie pierwsze próby tego typu ataków miały miejsce już w latach 2005-2006. Wykryty tam wirus TROJ_CRYZIP.A wyszukiwał określone typy plików i przenosił je do archiwum ZIP zabezpieczonego hasłem. W miejscu, gdzie wcześniej znajdowały się pliki, szkodnik pozostawiał plik tekstowy z informacją, że można odzyskać dane za 300 dolarów. W 2011 roku w rosyjskim ransomware pojawił się kolejny charakterystyczny element – mechanizm transakcyjny ułatwiający płacenie okupu, maskujący jednocześnie przepływ pieniędzy. Wirus nazwany TROJ_RANSOM.QOWA informował, że hasło do odszyfrowania pliku można uzyskać, wysyłając wiadomość pod podany w komunikacie numer zagraniczny o podwyższonej opłacie (SMS Premium).

W kolejnym roku ransomware było gotowe do podboju świata. W marcu wirus TROJ_RANSOM.BOV został wykryty w różnych miejscach w Europie oraz Ameryce Północnej. Ta generacja szkodników miała udoskonalony komunikat –zamiast numeru telefonu czy konta na ekranie pojawiała się groźna wiadomość stylizowana na ostrzeżenie policyjne o wykryciu „nielegalnych” działań w sieci (ściągania plików z P2P, przeglądania stron erotycznych etc.). Aby zwiększyć wiarygodność, była spersonalizowana. Znajdowały się w niej informacje o miejscu pobytu, a samą treść dobierano tak, by pasowała do narodowości ofiary. Komunikat wzywał do uiszczenia opłaty za pośrednictwem jednej z usług płatności elektronicznych, ułatwiających zachowanie anonimowości (np. Ukash, PaySafeCard, MoneyPack).

Przełomowym wydarzeniem w rozwoju ransomware było pojawienie się aplikacji CryptoLocker, która łączyła rozwinięte wcześniej techniki straszenia ofiar z doskonałej jakości algorytmem szyfrującym. Zamiast łatwych do obejścia narzędzi do zabezpieczania archiwów ZIP Cryptolocker stosował najwyższej jakości algorytm AES 256-bit, który nie został nigdy złamany za pomocą ataku siłowego (testu wszystkich kombinacji kluczy). AES dodatkowo został opakowany w mechanizm klucza publicznego RSA-2048. Ten drugi zabieg pozwalał na umieszczenie w wirusie klucza do szyfrowania danych (klucz publiczny), a klucz do odszyfrowywania (klucz prywatny) cyberprzestępcy zachowywali dla siebie i udostępniali do uiszczeniu opłaty. Dzięki temu nawet rozebranie wirusa na najdrobniejsze fragmenty, co jest standardową procedurą ekspertów w przypadku odkrycia nowego rodzaju szkodnika, nie pozwalało na uzyskanie klucza do odkodowania plików. Z tego względu CryptoLocker był atakiem niemal idealnym, udało się go zahamować dopiero po zlikwidowaniu w maju 2014 roku przestępczego botnetu Gameover ZeuS, który dostarczał infrastruktury do zarządzania wirusem.

Z punktu widzenia przestępców CryptoLocker był oszałamiającym sukcesem. Według naukowców z Uniwersytetu Kent aż 41 proc. ofiar zdecydowało się wpłacić okup wynoszący równowartość 300 dol. w bitcoinach. Zysk z okupów wyniósł przynajmniej 3-4 mln dolarów. Analityk Keith Jarvis z firmy SecureWorks szacuje, że przestępcy zarabiali na swoim procederze ok. 150 tys. dolarów tygodniowo. Biorąc pod uwagę te liczby, trudno się dziwić, że po Cryptolockerze nastąpił wysyp klonów takich jak opisany na początku Teslacrypt.

Najbardziej zaawansowany technicznie przykład ransomware, który bazuje na modelu CryptoLockera, to obecnie CryptoWall 2.0. Szkodnik został poddany gruntownej analizie przez ekspertów od zabezpieczeń z firmy Cisco, którzy opisali zastosowane technologie na blogu. Rozwiązania okazały się tak zaawansowane, że sugerują udział w projekcie programistów, którzy piszą kod na poziomie najlepszych korporacji software’owych na świecie.

Szkodnik jest modułowy, co pozwala na modyfikację poszczególnych komponentów w celu obchodzenia zmieniających się zabezpieczeń pecetów. Znana obecnie wersja szkodnika do uzyskania uprawnień administracyjnych w systemie ofiary wykorzystuje znaną od 2012 roku dziurę w systemach z rodziny Windows. Nic nie stoi jednak na przeszkodzie, by w razie potrzeby zastąpić tę lukę inną, np. exploitem 0-day, czyli takim, który nie jest znany nikomu poza atakującym, i nie ma przed nim obrony. Analitycy z firmy Invincea znaleźli dowody, że już obecnie wykorzystywane są tego rodzaju luki we wtyczce Flash, niesławnej z powodu dużej liczby błędów – jest ona jedną z ulubionych dróg ataku na pecety.

Kolejnym zaawansowanym rozwiązaniem jest zaszyty w wirusie mechanizm wykrywania maszyny wirtualnej oraz aplikacji izolujących procesy (tzw. sandboxing), który powoduje zablokowanie programu przy próbie uruchomienia go w kontrolowanym środowisku. Miało to zabezpieczyć kod wirusa przed analizą przez ekspertów od zabezpieczeń, na szczęście bez powodzenia.

Wyrafinowany jest także mechanizm przejmowania kontroli nad komputerem. Po dostarczeniu kodu wirusa do komputera, co odbywa się zazwyczaj poprzez umieszczenie go w spamie lub na zhakowanej stronie WWW, szkodnik wnika do systemu przez niezałataną dziurę, a następnie uruchamia się w formie fałszywego procesu Eksploratora, ten zaś instaluje instancję szkodnika w autostarcie. Podczas instalacji, korzystając z uprawnień administracyjnych, wirus wyłącza także zabezpieczenia – Windows Defendera, Windows Update oraz panel zarządzania zaporą systemu. Po restarcie systemu proces z wirusem ukrywa się jako jedna z licznych instancji procesu svchost.exe, więc jest niewykrywalny dla przeciętnego użytkownika.

Kolejnym etapem ataku jest pobranie klienta anonimowej sieci TOR, w której ukryty jest system transakcyjny oraz serwery kontrolne. Zastosowanie TOR-a utrudnia eliminację zagrożenia, gdyż nie można namierzyć położenia serwerów kontrolnych ani zidentyfikować miejsca, do którego trafia okup.

Gdy infrastruktura jest gotowa, CryptoWall szyfruje dane i wyświetla ofierze informację o przeprowadzonym ataku oraz kwotę żądanego okupu. Ciekawostką jest zintegrowany z wirusem „system obsługi klienta”, poprzez który można skontaktować się z cyberprzestępcami. Jak informuje New York Times, po drugiej stronie rzeczywiście ktoś odpowiada. Jedna z dziennikarek złożyła nawet coś w rodzaju reklamacji na przedwczesne podwyższenie okupu (rośnie wraz z upływem czasu z 500 do 1000 dolarów), która, co najdziwniejsze, została rozpatrzona pozytywnie. Jak tłumaczą eksperci od zabezpieczeń, cyberprzestępcy podkreślają swoją „wiarygodność i rzetelność”, zachęcając w ten sposób ofiary do płacenia.

Profesjonalizacja działania ransomware, której dowody można znaleźć zarówno w kodzie CryptoWall oraz podobnego Teslacrypt, jak i w mechanizmie wsparcia tych wirusów, nie jest dobrą wiadomością dla użytkowników. Ogromne zyski połączone z niewielkim ryzykiem ponoszonym przez przestępców, którzy w większości wypadków działają za zasłoną TOR-a, często przebywając w jednym z krajów wschodnich, gdzie zwalczanie cyberprzestępstw nie jest priorytetem, zachęcają do organizowania jeszcze większej liczby ataków – zwłaszcza że ofiary często ulegają szantażowi. Może to zachęcić cyberkryminalistów do regularnego sprzęgania zaawansowanego ransomware z lukami 0-day, na które będą narażeni także użytkownicy sumiennie aktualizujący swój komputer, i do zwiększenia zasięgu dystrybucji szkodliwego kodu. Niewykluczone, że właśnie stoimy u progu fali cyberszantażu.

• Regularny backup Zdecydowanie najlepszym rodzajem zabezpieczenia przed utratą danych na skutek działania ransomware jest regularne wykonywanie backupu na zewnętrznym dysku lub w chmurze. Jeśli szkodliwe oprogramowanie zablokuje dostęp do danych, możesz po prostu wyczyścić system i odtworzyć pliki z kopii zapasowej po uprzednim przeskanowaniu jej zawartości programem antywirusowym.
• Aktualizacja wykorzystywanego oprogramowania Podobnie jak w przypadku innych typów szkodników, niezbędną ochroną przed ransomware są systematyczne aktualizacje Windows i wszystkich aplikacji, które łączą się z internetem. Warto zminimalizować też korzystanie z Flasha, który jest źródłem stałego zagrożenia ze względu na liczne luki. Wtyczkę można zablokować w przeglądarce.
• Skaner antywirusowy Dowolny aktywny skaner antywirusowy oraz aplikacja blokująca znane adresy internetowe, z których rozsiewane jest szkodliwe oprogramowanie, może skutecznie zabezpieczyć system przed infekcją, przynajmniej w przypadku odkrytych wcześniej szkodników.
• Zabezpieczenie poczty Najlepiej odbierać pocztę za pośrednictwem klienta online, takiego jak Gmail czy Outlook. Dzięki temu nie będziesz automatycznie pobierał szkodliwych załączników na dysk komputera.
• Płyta ratunkowa Jeśli padniesz ofiarą mniej zjadliwego ransomware, takiego które nie szyfruje danych, lecz jedynie blokuje konto użytkownika, możesz pozbyć się go za pomocą bootowalnej płyty ratunkowej (lub pendrive’a) utworzonej w programie antywirusowym.
• Co zrobić w wypadku zaszyfrowania dysku Jeśli jednak zdarzy się, że padniesz ofiarą zaawansowanego ransomware, które szyfruje pliki za pomocą silnych algorytmów, pamiętaj, że nie ma przed tym ratunku. Jeśli nie masz kopii swoich plików, niestety nie pozostanie nic innego, niż zapłacić i mieć nadzieję, że przestepcy dotrzymają słowa i odblokują twoje dane. Możesz też pogodzić się ze stratą danych.