Ostatnio dociera do mnie coraz więcej niepokojących informacji odnośnie infekcji złośliwym kodem znanym wszystkim jako malware. Na szczególną uwagę zasługuje jego specyficzna odmiana, która szyfruje pliki użytkownika blokując skutecznie do nich dostęp, a jedyną formą odzyskania zablokowanych danych wydaje się być wpłacenie okupu. Oczywiście mowa o Ransomware.

Dla osób którym nazwa pozostaje nadal egzotyczna postaram się przybliżyć na czym polega „fenomen” i jak może dojść do infekcji Ransomware.

Już sama nazwa „ransom” (z ang. okup) wskazuje jakim motywem kierują się autorzy (czyt. przestępcy) tego oprogramowania. Szybka i stosunkowo łatwa metoda na zasilenie swojego portfela spowodowała, iż powstały takie wirusy jak CryptoWall, CTB-locker czy Cryptolocker. To najsłynniejsze, o których słyszał świat, a być może niektórzy mieli już wątpliwą przyjemność gościć jednego z nich na swoich dyskach.

Za nim jednak dojdzie do infekcji dysku ofiary, przestępcy muszą „ciężko zapracować” na chleb i wykonać mnóstwo działań pomocniczych. Zatem rozpoczynają prace od podjęcia decyzji jaki wektor dystrybucji kodu przyjąć aby być szybkim i skutecznym. W tym celu można  zbudować własną infrastrukturę teleinformatyczną, jednak wymaga to dużej wiedzy, nakładów finansowych i jest bardzo czasochłonne. W związku z czym większość przestępców decyduje się na leasing gotowej infrastruktury oferującej przemyślane i sprawdzone formy ataku oparte głównie o tzw. phishing* i exploit kits*.  Gotowa infrastruktura posiada przygotowane już, sfałszowane witryny www, serwery proxy*, jak również gotowe załączniki, które wykorzystując mechanizmy enkrypcji, fast-flux*, P2P + DGA* potrafią bezkarnie ominąć zapory firewall, sondy IPS* czy środowisko Sandbox*. Dodatkowo jeśli przestępca nie ma umiejętności kodowania może gotowy ransomware zamówić. Ceny czarno rynkowe (tzw. Dark Market) wahają się od 200$ -2500$. (płatność odbywa się zazwyczaj przy wykorzystaniu waluty wirtualnej np. Bitcoin). Kolejnym krokiem jest stworzenie tzw. loadera (oprogramowanie dostarczające ransomware) i jego ukrycie przed oprogramowaniem antywirusowym ofiary, a następnie umiejętna konfiguracja exploit-kita, aby odpowiednio przekierować ruch z przeglądarki użytkownika do zainfekowanego serwera.  Do tych operacji służą przygotowane już aplikacje, w których kolejne złośliwe funkcjonalności zaznaczamy polami checkbox, co przypomina wypełnianie prostej ankiety. Skuteczność swoich prac przestępca może w dowolnej chwili sprawdzić za pomocą on-line’owych antywirusów, jak również serwisów oceniających reputację stron. Jeśli jego oprogramowanie ma status „clear” może przejść do finału operacji.

Generalnie jest to większość działań przygotowawczych, których całkowity koszt zamyka się w kwocie ok. 3500$.

Ostatnim krokiem przed infekcją ransomware jest nakłonienie użytkownika do wejścia na zainfekowaną stronę. W tym celu zazwyczaj wysyłany jest sfałszowany email zawierający kuszącą treść z linkiem lub atrakcyjny załącznik. Po kliknięciu w załącznik lub link zostaje zainstalowany loader a następnie ransomware. Po tym na ekranie użytkownika zostaje wyświetlony komunikat o zaszyfrowaniu zawartości dysków oraz informacja, iż w celu odblokowania dostępu do danych niezbędne jest umieszczenie stosownej opłaty (okupu).

Tradycyjny ransomware jest w stanie zaszyfrować wszystkie pliki na komputerze docelowym, jak również dyski twarde podłączone do komputera – zdjęcia, filmy, pliki tekstowe. Jak donosi „securiblog” ostatnie infekcje kierowane są również do stron internetowych, gdzie infekcja może objąć wszystkie witryny w hostingowanym środowisku.

Aby uniknąć infekcji Ransomwere zalecałbym regularne wykonywanie kopii zapasowych swoich danych, update szczepionek antywirusowych i zdrowy rozsądek przed kliknięciem w załącznik lub link o podejrzanym pochodzeniu. Dodatkowo dla administratorów witryn webowych oprócz umieszczenia witryny za firewallem i regularnych aktualizacji CMS*, dodatkowo poleciłbym rozważenie mechanizmu VSS (tzw. kopii w tle) .

Jako ciekawostkę chciałbym przytoczyć głośny ostatnio atak ransowmare na Hollywoodzkie Prezbiteriańskie Centrum Medyczne w Hollywood, gdzie żądanie okupu wyniosło 3,6 mln USD Finalnie szpital zapłacił jedynie 17 tys. USD jednocześnie odzyskując sprawność po całkowitym paraliżu swojej działalności.

*) SŁOWNICZEK:

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji.

Exploit kits – podgrupa szkodliwych programów, zawierających dane lub kod wykonywalny, który może wykorzystać jedną lub wiele luk w oprogramowaniu działającym na komputerze lokalnym lub zdalnym.

Serwer proxy (pośredniczący) – oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu użytkownika.

Fast-flux – technika używana do ukrywania phishingu i stron dostarczających malwere.

P2P + DGA – rodzaj kanałów komunikacyjnych umożliwiających atak na komputer ofiary. W tym wypadku mówimy o wykorzystaniu do komunikacji sieci peer-to-peer (P2P) oraz mechanizmu generowania domen (DGA).

Sondy IPS – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie i blokowanie ataków w czasie rzeczywistym.

Środowisko Sandbox – środowisko testowe w programowaniu komputerowym, w którym izoluje się nieprzetestowany kod programu i pozwala nim w danym środowisku eksperymentować, co pozwala rozwijać oprogramowanie i kontrolować kolejne wersje.

CMS – system zarządzania zawartością stron internetowych.

 

About the author

Tagi: , , , , ,

POLECANE DLA CIEBIE

2 min lektury

Wypadek lotniczy… na lądzie.

Informacje o wypadkach lotniczych dotyczą zazwyczaj sytuacji, w których następuje start statku powietrznego i dalej, z różnych przyczyn, a najczęściej  z powodu „czynnika ludzkiego”, dochodzi do katastrofy lotniczej. Co zaskakujące, w świetle obowiązujących przepisów za wypadek lotniczy uznawane jest również zdarzenie polegające na uszkodzeniu samolotu bez startu!

4 komentarze

TAGI