5. júna 2017

Nenechajte sa vydierať

Výskyt vydieračského ransomvéru rastie. Aj vďaka stále sofistikovanejším spôsobom šírenia medzi potenciálnymi obeťami.

Kybernetický zločin je v posledných rokoch na prudkom vzostupe. Ziskuchtiví útočníci pripravujú moderný vydieračský šifrovací malvér (tzv. ransomware) a využívajú kreatívne spôsoby jeho distribúcie, aby zasiahli čo najviac potenciálnych obetí. Ich biznis model je pomerne jednoduchý – doručiť škodlivý kód spôsobom, ktorý zabezpečí jeho spustenie s maximálnou možnou pravdepodobnosťou, zašifrovať cenné dáta obetí a následne ich vydierať. Prístup k dátam bude obnovený až po zaplatení výkupného, pričom samotná finančná transakcia bude vykonaná v anonymných bitcoinoch.

INTELIGENTNÝ SPAM

Moderná obdoba klasického „výpalného“ zažíva v posledných dvoch rokoch nebývalý rozmach. Z pohľadu útočníka ide o kriminálnu aktivitu s nízkou mierou rizika (útočníka je nemožné identifikovať alebo vystopovať) a vysokým potenciálnym ziskom. Analýza bezpečnostných špecialistov Cisco Talos odhaduje, že len v druhom polroku 2015 dokázal ransomvér využívajúci exploit kit Angler svojim tvorcom „zarobiť“ 35 miliónov amerických dolárov. Prvé útoky tohto typu sa začali objavovať už v roku 2005, kedy útočil trójsky kôň GPcoder. Výrazný vzostup ransomvéru badať od decembra 2013, keď vlnu útokov spustil Cryptolocker. Ten ako prvý využíval transakcie v kryptomene bitcoin.

Ransomvér, využívajúci exploit Angler, dokázal svojim tvorcom “zarobiť” 35 mil. amerických dolárov v druhom polroku 2015 (odhaduje Cisco Talos).

Útočníci využívajú množstvo rôznorodých spôsobov distribúcie škodlivého kódu. Okrem často využívaných inštalačných súborov nelegálneho softvéru, rôznych crackov a keygenov, možno za klasiku považovať aj nevyžiadaný e-mail, spam. Útočník sa snaží svoju obeť presvedčiť, aby stiahla a otvorila prílohu. Môže ísť o spustiteľný súbor (.exe, .js, .scr) maskujúci sa ikonou textového dokumentu alebo priložený obrázok, či klasický dokument bežného formátu (.pdf, .doc, .docx) obsahujúci útočný kód (exploit). Ten umožňuje prienik do počítača obete, pričom zneužíva zraniteľnosť aplikácie, ktorá s týmto súborom pracuje. Prípadne email samotný neobsahuje prílohu a navádza používateľa aby otvoril odkaz na webovú stránku so škodlivým kódom.

Pri stúpajúcom bezpečnostnom povedomí používateľov dnes už útočníkom nepostačuje strojovo preložený text s priloženým súborom typu „freeviagra.exe“. Preto sú spamové e-mailové správy štylisticky vhodne pripravované. Sú distribuované zdanlivo v mene štátnych inštitúcií, finančných inštitúcií, kuriérskych spoločností, telekomunikačných operátorov, či exekútorských úradov, alebo vo forme priložených životopisov doručených zámerne do schránok pracovníkov oddelení ľudských zdrojov. Cieľom takéhoto e-mailu je presvedčiť obeť, aby otvorila priložený súbor, respektíve navštívila webovú stránku.

ZAŠIFRUJE AJ SIEŤOVÉ DISKY

Medzi inovatívne spôsoby napadnutia obete patrí malvertising. Jeho podstatou je umiestnenie útočného kódu do obrázkov použitých v reklamnej kampani. Obvykle útočník najprv napadne server reklamnej agentúry, aby útočný kód vložil do vizuálov aktuálne bežiacich kampaní. Takéto obrázky sa následne zobrazujú na regulárnych webových portáloch tisícom nič netušiacich používateľov. V prípade, že je stránka s nakazenou reklamou zobrazená v zraniteľnej verzii webového prehliadača, dochádza k úspešnému prieniku do počítača a následnému zašifrovaniu dát.

Podobne ako aj iné typy počítačových vírusov, aj ransomvér možno šíriť pomocou prenosných médií, predovšetkým USB kľúčov. K najviac rizikovým, a teda aj najviac ohrozeným pracovným staniciam patria tie, na ktorých treba spracúvať obsah prichádzajúci z neznámeho prostredia z internetu alebo prinesený pomocou prenosných nosičov.

Niektoré druhy ransomvérov dokážu šifrovať súbory na všetkých pripojených diskových jednotkách, vrátane namapovaných zdieľaných sieťových diskov, čo je extrémne nebezpečné predovšetkým v podnikových sieťach. Jeden nakazený počítač tak môže spôsobiť zašifrovanie dôležitých zdieľaných súborov, a teda ich nedostupnosť pre všetkých používateľov.

Útočník prispôsobí výšku výpalného podľa toho, či napadol súkromný alebo firemný počítač.

Vo viacerých prípadoch sme sa stretli s tým, že útočník sa snaží zvýšiť šance zaplatenia výkupného tým, že ransomvér zašifruje súbory postupne od najstarších (aktuálne nepoužívaných) relatívne pomalým tempom. Cieľom je dostať zašifrovaný obsah aj do priebežne vytváraných záložných kópií. Je bežné, že obeť odmietne zaplatiť výkupné v prípade, že disponuje takmer kompletnou zálohou dát, ktoré boli zašifrované. Ak sa útočníkovi podarí znehodnotiť aj zálohy dát, tak obeti nezostáva nič, len požadovanú sumu zaplatiť, ak nechce o dáta prísť nadobro.

Aj pri stanovení výšky výkupného sa útočník snaží o maximalizáciu svojho príjmu. Na základe niekoľkých informácií o napadnutom počítači je možné odhadnúť, o aký veľký úlovok ide. Útočník zhodnotí, či ide o domáci počítač s dokumentami, z ktorých sú hodnotné možno tak fotky z dovoleniek, alebo ide o firemný počítač, na ktorom boli zašifrované pravdepodobne cenné pracovné dokumenty, prípadne aj súbory uložené na sieťových diskoch. Zisteným informáciám následne prispôsobí výšku požadovanej čiastky od niekoľkých stoviek dolárov, až po desaťtisíce.



Autorom článku je ŠTEFAN PORUBČAN, ktorý pôsobí v oblastiach riadenia IT služieb a informačnej bezpečnosti už 10 rokov.
V Soitrone pôsobí na pozícii manažéra Security Business Unit, kde vedie tím špecialistov zaoberajúcich sa pokročilými bezpečnostnými riešeniami.

Súvisiace články