ransomware - I

RANSOMWARE
Słowo, które obecnie jest bardzo często wymieniane zarówno przez specjalistów od bezpieczeństwa, jak
i zwykłych użytkowników. Można powiedzieć, że jest najbardziej dolegliwym rodzajem malware, które przynosi
ogromne zyski przestępcom i stanowi potężne, wciąż rozwijające się zagrożenie dla użytkowników.
Używając definicji FBI można powiedzieć, że ransomware to rodzaj złośliwego oprogramowania
zaprojektowanego do blokowania dostępu do systemu komputerowego, zanim nie zostanie zapłacony okup. Okup
najczęściej w formie Bitcoinów lub w kodach serwisów przedpłaconych.
Rozszerzając tą definicję w kontekście historycznym należy dodać, że pierwsze przypadki ransomware
rzeczywiście blokowały dostęp do komputera i wyświetlały komunikaty z żądaniem zapłaty okupu. I tak mogłoby
zostać do dziś. Ale niestety zagrożenie ewoluowało i pojawiły się programy szyfrujące pliki, a potem pliki na
urządzeniach zewnętrznych. Zaczęły się pojawiać coraz większe kwoty żądane za uwolnienie komputerów. Są znane
przypadki, że przestępcy stworzyli własne hotline, gdzie osoba poszkodowana może reklamować usługę (nie
wszystkie pliki zostały odszyfrowane), skarżyć się, że okup jest za duży (notowane były przypadki obniżenia okupu).
Celem naszego pisma jest rozwijanie kultury bezpieczeństwa. W pierwszym numerze chcemy przybliżyć
Czytelnikom zjawisko ransomware z uwagi na wielką szkodliwość tego zagrożenia i jego szybką zmianę. Różne
wersje ransomware coraz częściej atakują też w Polsce. Wiadomo o urzędzie samorządowym, dużym
ubezpieczycielu, sklepach internetowych czy zakładach opieki medycznej, trudno mówić o skali ataków na osoby
prywatne.
Ransomware w liczbach
0,5 – 5 BTC średnia wartość
okupu:
532$ maj 2016 - cena jednego
BTC:
115$ cena karty podarunkowej
Amazon:
Okupy:
17, 000$ Hollywood
Presbyterian pliki
zaszyfrowane przez Locky
18, 500 MedStar Health w
Maryland
Sposoby rozpowszechniania:
76% spam
16% inne źródła: sklepy z
aplikacjami, skompromitowane
oprogramowanie, hacking
8% skompromitowane strony,
kampanie (fale) dystrybucyjne,
eksploit kity
Rajdowe przygody - Dave Winston z Circle Sport-Leavine Family Racing
słyszał o przypadkach płacenie okupu za przwrócenie dostępu do własnego
komputera, ale nigdy nie brał tego poważnie. Aż do momentu, kiedy przed
rajdem Nascar komputer z danymi potrzebnymi do udziału w wyścigu został
zaszyfrowany i komunikat zażądał okupu. Według Winstona zebrane dane
mogły mieć wartość około 2 mln dolarów i ich odtworzenie mogło zająć około
1 500 roboczogodzin. Zapłacili okup 500$ w Bitcoinach i otrzymali klucz do
odszyfrowania. Nie byli w stanie samodzielnie przywrócić danych, ale przy
pomocy zaprzyjaźnionej firmy IT to się udało. Obecnie starają się zwracać
uwagę innym na niebezpieczeństwo związane z ransomware oraz wdrażać
właściwe mechanizmy zarządzania infrastrukturą IT.
„Policyjny” ransomware pomógł złapać zboczeńca - W 2013 roku 21 letni Jay
Riley zobaczył komunikat o znalezieniu na jego komputerze dziecięcej
pornografii i konieczności zapłacenia okupu. Wystraszył się, udał się
z komputerem na policję i oddał go do badania, ze względu na wyświetlane
ostrzeżenia. Po znalezieniu wielu nieprzyzwoitych wiadomości i zdjęć
nieletnich dziewcząt został aresztowany i postawiono mu trzy zarzuty
związane z posiadaniem pornografii.
Mechanizmy rozpowszechniania
Jest wiele mechanizmów rozpowszechniania, i w zasadzie trudno byłoby
powiedzieć, że jest kanał dystrybucji, którego ransomware nie wykorzystuje.
Podstawowym sposobem dystrybucji jest tu spam, czyli niechciana korespondencja elektroniczna, do której
dołączany jest złośliwy software. Innymi sposobami mogą być metoda zatrutego wodopoju, czy metoda drive-bydownload. Wreszcie należy przypomnieć, że od 2007 roku rozwija się mechanizm kampanii czy fali dystrybucyjnej
(malvertising).
Niektórzy
badacze
twierdzą,
że
malvertising
i
ransomware
są
nierozdzielne.
W przybliżeniu 70% kampanii dystrybucyjnych roznosi
ransomware.
W przypadku ataków ukierunkowanych na
konkretny cel zawsze można wykorzystać grupę
hakerów, którzy zainfekują wyznaczone cele.
z rozszerzeniem SCR. Podłączony panel sterowania
precyzyjnie monitoruje liczbę zainfekowanych PC-tów
i całkowity zysk w czasie rzeczywistym.
Na koniec została bardzo ciekawa grupa
uniwersalnych,
wieloczynnościowych
narzędzi,
którymi są eksploit kity. Szczególnie zasłużone na
polu dystrybucji ransomware są Blackhole, Angler
i Neutrino Exploit Kit. Angler EK poza roznoszeniem
ransomware może wykonywać wiele innych funkcji,
np. zbierać poufne dane i przesyłać na wskazany
adres lub podłączyć zainfekowany komputer jako
zombie do tworzonego botnetu.
Zyski z ransomware
Zyski wciąż rosną bo wdrożenie modelu zarabiania na
ransomware jest dla cyberprzestępców stosunkowo
proste. O ile jednostkowe zyski nie są duże, to biorąc
pod uwagę wielkość rynku, potencjał jest ogromny.
Dla każdej potencjalnej ofiary wartość jej danych jest
dużo większa niż 100, 300 czy nawet 1000 dolarów.
Raport FBI podaje 2 500 incydentów w 2015 roku, które
kosztowały ofiary 1,6 miliona dolarów. US
Departament Sprawiedliwości mówi o 24 milionach
dolarów strat w tym samym roku. Ciężko stwierdzić,
jaki jest rzeczywisty poziom strat, bo nie są to
informacje którymi organizacje się chwalą. Rodney
Joffe z firmy Neustar twierdzi, że wie o organizacjach
które płaciły dziesiątki tysięcy dolarów za skradzione
dane. Według niego szokujące jest jak wiele firm po
cichu płaci, aby odzyskać swoje informacje.
W kwietniu bieżącego roku CNBC szacowała koszty
strat na około 200 milionów dolarów w pierwszym
kwartale roku. A niedawno jak pod koniec ubiegłego
roku Cyber Threat Alliance ogłosiła, że tylko
CryptoWall
v3
podczas
swojej
działalności
doprowadził do 325 milionów $ strat na całym
świecie.
Płacić czy nie płacić
Wielu specjalistów twierdzi, że nie powinno się płacić,
bo
płacąc
finansuje
się
dalszy
rozwój
oprogramowania ransomware i kolejne kampanie
rozpowszechniania. Sa tacy, którzy twierdzą, że
należy na to spojrzeć przede wszystkim z własnego
punktu widzenia, a nie patrzeć na inne opinie,
zwłaszcza przedstawicieli policji. Skoro zasoby są dla
nas dużo warte, to może lepiej zapłacić i mieć pliki
z powrotem. Niektórzy zwracają uwagę, że po
odzyskaniu komputera i dostępu do plików. komputer
jest niepewny, bo nie wiadomo, co w nim zostało
zainstalowane, nie wiadomo, co jest ukryte w naszych
- odzyskanych plikach. Zawsze jest też ryzyko, że
mimo opłaty, i otrzymania kodu deszyfrującego
danych nie uda się odzyskać. Z drugiej strony grupy
przestępcze „dbają” o swoje ofiary i starają się
pomagać w odzyskaniu danych, jeśli okup został
zapłacony. Cały model działania przestępców
wzorowany jest na działaniach biznesowych, stąd
dbałośćo”klienta”.
Ransomware as a service (RaaS)
Ransomware - zrób to sam
Tox był jednym z pierwszych zestawów RaaS
(ransomware as a service. Żeby stworzyć taki własny
malware trzeba się zarejestrować na specjalnie
przygotowanej stronie w sieci Tor. Proces tworzenia
jest trójetapowy. Trzeba wybrać kwotę okupu, tekst
komunikatu dla ofiary i typ kodu weryfikacyjnego.
Usługa tworzy plik wykonywalny ukryty w 2MB pliku
Jak wygląda taki sposób działania? W grupie
przestępczej działającej według modelu RaaS – co
oczywiste - jest szef i pracownicy odpowiedzialni za
dystrybucję oprogramowania. Grupa nie korzysta
z infrastruktury CAC.
Kiedy członkowie grupy z sukcesem
rozprowadzą oprogramowanie, szef komunikuje się
z ofiarami poprzez pocztę elektroniczną, zbiera
i sprawdza płatności, wysyła klucze odszyfrowujące
i przekazuje część okupu do członków. Boss
zatrzymuje 60% okupu, a resztę przekazuje
pracownikom.
Podobny mechanizm jak opisany powyżej był
zastosowany w kampaniach rozprowadzających
malware GinX i Ranstone.
Szef grupy miesięcznie zarabia na tego typu
procederze około 7,500$, a zwykły członek około
600$, przy czym przeciętna kwota okupu na ofiarę
Manamecrypt - ransomware, który działa trochę
inaczej. Nie tylko szyfruje pliki, ale blokuje działanie
pewnych aplikacji
Historia ransomware
1989 - AIDS trojan stworzony przez biologa
Józefa Poppa, dystrybuowany przez zarażone
dyskietki;
2005 - SpySheriff – fałszywe narzędzie do
usuwania spamu; złośliwe narzędzia do
optymalizacji działania systemu Performance
Optimizer, Registry Care – opierając się
o
socjotechnikę
wzbudzały
strach
u użytkowników i nakłaniały do zakupu licencji
na oprogramowanie, które w rzeczywistości nic
nie robiło;
2006 - Gpcoder protoplasta późniejszych
szyfrujących ransomware. Gpcoder używał
słabej kryptografii symetrycznej i był łatwy do
odszyfrowania;
2008 - pierwszy ransomware blokujący
komputer – Ransom.C. Atakował komputery
z systemem operacyjnym Windows. Pod koniec
jego działalności okup za uwolnienie
komputera sięgał nawet 150-200$;
2012 - szczególnie popularny w krajach Europy
Wschodniej blokujących ransomware, który
wyświetlał komunikaty w zależności od kraju,
w którym operował, że na komputerze
znaleziono pornografie, nielegalne pliki itp. Na
ekranie był wyświetlany komunikat Policji, FBI,
różnych
instytucji
związanych
z przestrzeganiem prawa. Żądał zapłaty
w bonach Ukash;
2013 - powrót do szyfrujących ransomware,
ale z użyciem mocnych kluczy: RSA, 3-DES, czy
AES;
2016 - od stycznia do końca maja 50 nowych
rodzin ransomware.
wynosi 300$. W ciągu miesiąca grupa ma około 30
płatności, a w grupie jest przeważnie 10-15 członków.
Sposób rozpowszechniania, sposób szyfrowania
i blokowanie programów odróżniają go od innych
ransomware.
Manacrypt kopiuje dane, które ma zamiar
szyfrować do pliku z rozszerzeniem .RAR i szyfruje
jako archiwum z hasłem. Oryginalne pliki zostają
usunięte.
Rady dla zwykłego użytkownika
1. Podstawowe najlepsze i najbardziej podstawowe
zabezpieczenie to regularne tworzenie kopii
zapasowych. Jeśli dojdzie do zaszyfrowania plików
utracone zostaną te, które zostały utworzone po
zapisaniu ostatniej kopii zapasowej. W przypadku
robienia kopii należy pamiętać, aby były one robione
na niezależnym systemie. Dlaczego? Dlatego, że
ransomware szyfrując zasoby dostanie się także do
zamontowanych dysków i udziałów sieciowych
i zaszyfruje też backupy.
2. Odpowiednia konfiguracja systemu operacyjnego.
Bieżąca konserwacja systemu i instalowanie
poprawek. Włączenie pokazywania rozszerzeń
znanych plików i kopii shadow.
3. Zainstalowanie programów
zwalnia z ostrożności.
antymalware
nie
4. Unikanie otwierania plików z nieznanych źródeł.
Rady dla administratorów systemów
Podobnie
jak
w
przypadku
użytkowników
indywidualnych podstawa to regularny backup. Jest to
może nie tyle zabezpieczenie, co ochrona
w przypadku, gdy nie będzie dostępu do zasobów,
i trzeba będzie stawiać infrastrukturę od nowa.
Stworzenie
przemyślanego
schematu
uprawnień
użytkowników.
Ransomware
może
szyfrować tylko te pliki, do których użytkownik ma
uprawnienia. Użytkownik nie może mieć uprawnień do
logowania się na prawach administratora, bo może to
doprowadzić do tragedii.
Zaprojektować i zaimplementować odpowiednią segmentację sieci komputerowej: oddzielić serwery od
stacji roboczych, ustawić strefę DMZ, właściwie skonfigurować zasady ruchu i komunikacji wewnętrznej.
Wdrożyć mechanizmy whitelistingu.
Monitorowanie operacji na plikach pozwala na wczesne wykrycie ataku.
Bardzo często za przenoszenie ransomware odpowiedzialny jest Adobe Flash. Zablokowanie plików Flasha na
serwerze web proxy, czy firewallu może ograniczyć infekcję.
Szkolenie użytkowników dotyczące przestrzegania kultury bezpieczeństwa, realizacji zapisów polityki
bezpieczeństwa. Takie szkolenia powinny nie tyle przekazywać wiedzę, ale wyrabiać nawyki właściwego zachowania
się w konkretnych sytuacjach zagrożenia i systematycznie je utrwalać, oczywiście na podstawie wiedzy o aktualnych
zagrożeniach i możliwościach obrony.
Oferta I-BS.pl
W ramach oferty szkoleniowej proponujemy nowe szkolenia związane z budowaniem kultury
bezpieczeństwa informacji. Dotyczą one nie tyle wiedzy o obecnych zagrożeniach w cyberprzestrzeni, ale też
wyszkolenia umiejętności zachowania się wobec tych zagrożeń w codziennej pracy. Inne oferowania szkolenia
dotyczą właściwych sposobów archiwizacji danych i zapewnienia ciągłości działania.
Oferujemy również usługi związane z zaprojektowaniem bezpiecznego obiegu informacji w Państwa
organizacji, tj. stworzenie schematu uprawnień i zarządzania dostępem do informacji, dopasowaniem do tego
infrastruktury sieciowej, wdrożeniem segmentacji sieci i backupu danych.
Ponadto I-BS.pl jest producentem oprogramowania dedykowanego dla sektora finansowego
i przedsiębiorstw oraz integratorem systemów informatycznych. Dostarcza technologie i usługi oparte na
rozwiązaniach Open Source klasy Enterprise. Specjalizuje się w realizacji złożonych technologicznie i organizacyjnie
projektów informatycznych z wykorzystaniem innowacyjnych systemów i rozwiązań. Portfolio I-BS.pl razem
z oferowanym sprzętem umożliwia budowę kompletnych i funkcjonalnych rozwiązań nawet dla najbardziej
wymagających klientów. Spółka oferuje także poza rozwiązaniami integratorskim, systemy gwarantowanego
zasilania włącznie z systemami zielonej energii. Dział badawczo-rozwojowy I-BS.pl w Stalowej Woli tworzy nowe
technologie IT oraz rozwiązania dla rynku finansowego, przedsiębiorstw oraz rozwiązania OZE dla budownictwa
niskoenergetycznego. Aplikacje oferują nowoczesne oraz funkcjonalne rozwiązania umożliwiające wydajną
i efektywną pracę na bazie najnowszych i najbardziej zaawansowanych technologii dostępnych na rynku.