Dane to jeden z najważniejszych zasobów każdego z nas. Mowa tutaj nie tylko o danych osobowych, ale także dokumentach i plikach, które przechowujemy na swoich komputerach. Chociaż zdjęcia z naszego ostatniego wyjazdu rodzinnego mogą nie być aż tak istotnym elementem, o tyle skany aktów notarialnych, ważne arkusze kalkulacyjne, zapisane projekty w programach oraz inne dokumenty i pliki mogą stanowić istotną część naszego życia prywatnego i zawodowego.

Jeszcze większą uwagę do bezpieczeństwa danych przywiązują przedsiębiorstwa oraz instytucje użyteczności publicznej. Zwłaszcza na tych drugich ciąży ogromna odpowiedzialność w przypadku ewentualnych włamań. W ostatnich latach profil działania niektórych cyberprzestępców nieco się zmienił i zamiast wykradać dane, jak to zwykle mieli w zwyczaju, bardzo często wykorzystują oni tak zwane ataki ransomware.

 

Czym jest atak ransomware?

Atak ransomware to włamanie z wykorzystaniem oprogramowania potrafiącym uniemożliwić użytkownikowi korzystanie z komputera lub z określonych danych – zwykle przy pomocy szyfrowania lub innych form blokowania dostępu. Najczęściej wraz z komunikatem o blokadzie pojawia się informacja o konieczności uiszczenia odpowiedniej opłaty w celu odzyskania pełnego dostępu.

Obecnie wyróżnia się trzy rodzaje ransomware. Pierwszym z nich jest screen-locker. Blokuje on dostęp do komputera poprzez zablokowanie ekranu i tym samym brak możliwości wykonania jakiejkolwiek operacji. Cyberprzestępcy w specjalnie przygotowanym okienku informują użytkownika, że może on przywrócić swoje urządzenie do pełni sprawności po uiszczeniu odpowiedniej opłaty. Ten atak jest jednak bardzo łatwy do obejścia przy nawet niewielkiej wiedzy z zakresu cyberbezpieczeństwa.

 

Drugim, znacznie groźniejszym typem ransomware jest crypto-ransomware, czyli wykorzystanie oprogramowania szyfrującego pliki na dysku ofiary. Bardziej zaawansowane programy potrafią zaszyfrować nie tylko pliki lokalne, ale również te umieszczone w chmurze. W celu odzyskania danych konieczne jest posiadanie klucza deszyfrującego – dostępnego za określoną kwotę u atakującego nas cyberprzestępcy. Niestety z powodu użycia 256-bitowego, 512-bitowego, a nawet 1024-bitowego szyfrowania odzyskanie danych często jest fizycznie niemożliwe.

Nowym rodzajem ransomware jest disk-encryptory. Zamiast szyfrowania pojedynczych plików blokują one cały dysk (malware szyfruje plik MFT, czyli Master File Table), uniemożliwiając tym samym poprawne działanie systemu operacyjnego. Celem takich ataków najczęściej są duże koncerny oraz instytucje publiczne.

 

Przebieg ataku ransomware

Proces infekcji urządzeń oprogramowaniem ransomware nie różni się znacząco od innych znanych form ataków. Kod można zaszyć w załączonych plikach do wiadomości e-mail, zwłaszcza tych ze spamem. W momencie otwarcia zainfekowanego pliku oprogramowanie rozpoczyna procedurę szyfrowania. Po zakończeniu tej operacji pojawia się komunikat o zaszyfrowaniu oraz ze szczegółowymi instrukcjami jak zapłacić okup.

Bardzo prostym sposobem na przeprowadzenie infekcji za pomocą ransomware jest także infekowanie nielegalnych kopii programów, muzyki lub filmów w sieciach P2P (np. BitTorrent). Procedura infekcji wygląda mniej więcej tak samo – po pobraniu i otwarciu zainfekowanego pliku następuje proces szyfrowania i wyświetlenie monitu.

Ostatnią, najciekawszą procedurą przebiegu ataku ransomware, jest wykorzystanie słabości przeglądarki oraz różnych usług sieciowych. Cyberprzestępcy z wykorzystaniem specjalnie spreparowanych stron ze złośliwym kodem są w stanie przemycić złośliwe oprogramowanie na nasz komputer. Najnowsze oprogramowanie ransomware może także rozprzestrzeniać się za pośrednictwem publicznych sieci Wi-Fi, z tej metody korzysta wirus Emotet.

Wśród komunikatów oprócz klasycznej informacji o ataku ransomware pojawiać się mogą także informacje o zablokowaniu urządzenia przez organy ścigania. Cybeprzestępcy próbują przestraszyć użytkowników, informując o tym, że znaleziono na ich komputerach pirackie oprogramowanie lub treści pornograficzne. Ma to zwiększyć skuteczność wyłudzenia okupu, który w zależności od skali i celu ataku wynosić może od kilkudziesięciu dolarów do nawet kilkudziesięciu tysięcy dolarów.

Motywacją hakerów do używania tej formy ataku jest prostota, skuteczność oraz bezpieczny system płatności. Cybeprzestępcy z początku chcieli okupu za pośrednictwem przelewów, specjalnych wiadomości SMS premium i usług pre-paidowych. Takie formy niosą jednak spore ryzyko wykrycia. Z czasem przestawili się oni na płatności w kryptowalutach. Z uwagi na właściwości systemu blockchain płatność oraz portfel przestępcy są praktycznie niemożliwe do wyśledzenia.

 

Przykłady ataków ransomware

PC Cyborg

Za prekursora oprogramowania ransomware uważa się konia trojańskiego “AIDS”, znanego także jako PC Cyborg. Pojawił się on na dyskietkach 5,25 cala, które w liczbie kilkunastu tysięcy trafiły do różnych osób i instytucji w aż 90 krajach. Wysyłane zostały przez firmę PC Cyborg Corporation. Na dyskietce znajdowała się niewinna ankieta, oceniająca jak bardzo osoba ankietowana narażona jest na infekcję wirusem HIV.

 

Program z ankietą został napisany w QuickBASIC 3.0, działającym na systemie MS-DOS. Na dyskietce znajdowały się dwa pliki – AIDS.EXE oraz INSTALL.EXE. Pierwszy z nich był zupełnie nieszkodliwy, natomiast uruchomienie INSTALL.EXE skutkowało stworzeniem pięciu ukrytych folderów ze szkodliwym kodem. Przenoszony na dysk C był także plik AIDS.EXE, a modyfikacji ulegał systemowy AUTOEXEC.BAT. Po 90. uruchomieniu komputera następowała procedura szyfrowania danych z użyciem klucza symetrycznego. Na monitorze wyświetlała się informacja o konieczności włączenia drukarki. Następnie na ekranie pojawiał się monit o zainfekowaniu systemu oraz o konieczności wysłania kwoty w wysokości 189 lub 378 dolarów na adres w Panamie. Ten sam alert był także drukowany.

W ciągu kilku tygodni informatykom udało się opracować programy ratunkowy AIDSOUT oraz AIDSCLEAR, które usuwały wirusa i odszyfrowywały dane. W toku śledztwa ustalono, że za atakiem stał doktor Joseph L. Popp, biolog zajmujący się tematyką AIDS. Ostatecznie uznano go za niepoczytalnego, a on sam oświadczył, że cały zysk przeznaczy na badania nad lekarstwem na AIDS.

 

CryptoLocker

Jednym z pierwszych ataków na szeroką skalę był atak z wykorzystaniem oprogramowania CryptoLocker. O złośliwym kodzie zaczęło być głośno 5 września 2013 roku, a maszyny infekowane były do maja 2014 roku. CryptoLocker rozprzestrzeniał się za pośrednictwem wiadomości e-mail, a cyberprzestępcy do ich dystrybucji używali potężnego botnetu Gameover ZeuS.

Po uruchomieniu program rozpoczynał skanowanie systemu plików. CryptoLocker do szyfrowania wykorzystywał 2048-bitowy klucz RSA. Nadpisywał on także pliki, zmieniając im rozszerzenia na .encrypted, .cryptolocker lub 7 przypadkowych znaków. Następnie wyświetlał monit o infekcji oraz konieczności przesłania określonej przez cyberprzestępców kwoty na wskazany portfel BitCoin.

 

Oprogramowanie zostało “ujarzmione” w maju 2014 roku wraz z rozpracowaniem botnetu Gameover ZeuS. Podczas operacji znaleziono bazę danych z prywatnymi kluczami deszyfrującymi, z których korzystał CryptoLocker. W sierpniu 2014 specjaliści z firm Fox-IT oraz FireEye opracowali serwis online, za pomocą którego ofiary mogły uzyskać klucze prywatne wysyłając przykładowy zaszyfrowany plik.

Szacuje się, że poszkodowani użytkownicy przekazali cyberprzestępcom około 3 miliony dolarów. Aktywność CryptoLockera oraz botnetu ZeuS sprawiły jednak, że szkody poniesione zwłaszcza przez duże korporacje według szacunków FBI łącznie przekroczyły nawet 100 milionów.

 

WannaCry

Rok 2017 był apogeum ataków ransomware. W maju tego roku oprogramowanie WannaCry zainfekowało ponad 300 tysięcy urządzeń w prawie 100 krajach. Atak został przeprowadzony z wykorzystaniem exploitu EternalBlue. Wśród poszkodowanych znalazł się koncern Telefonica, brytyjska narodowa służba zdrowia, Fedex, Deutsche Bank, a także ponad 1000 komputerów w MSW Rosji, agencji EMERCOM i w przedsiębiorstwie MegaFon.

WannaCry dostawał się na komputery Windows dzięki exploitowi EternalBlue, który wykorzystywał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1.0). Dzięki backdoorowi mógł niepostrzeżenie wykonać kod na komputerze ofiary. Po infekcji i procesie szyfrowania plikom zostały dodawane rozszerzenia .WNCRY. Aby je odzyskać, należało uiścić opłatę w wysokości 300 dolarów. Standardowo na wskazane portfele BitCoin.

 

Exploit EternalBlue prawdopodobnie był własnością CIA. W 2016 roku w wycieku z serwerów NSA znalazło się wiele exploitów typu zero-day, pozwalających na włamanie się do urządzeń mobilnych, komputerów osobistych i innych urządzeń posiadających dostęp do Internetu. Tajne narzędzia ujawniła grupa hakerska Shadow Brokers, lecz z uwagi na brak zainteresowania ze strony rządów różnych krajów postanowiła ona upublicznić niebezpieczne oprogramowanie.

Skala WannaCry mogłaby być znacznie większa, gdyby nie wydana już w 14 marca 2017 roku łatka bezpieczeństwa, która naprawiała problem z SMBv1.0. Niestety urządzenia znajdujące się w przedsiębiorstwach często nie zdążyły doczekać się aktualizacji z uwagi na opóźnienia. Największe problemy mieli jednak użytkownicy niewspieranego już Windowsa XP. Microsoft zdecydował się jednak wydać krytyczną aktualizację na stary system w drodze wyjątku 12 maja 2017 roku. Tego samego dnia 22-letni Marcus Hutchins z Kryptos Logic znalazł próbkę kodu wirusa. Po ustaleniu, że oprogramowanie łączyło się z niezarejestrowaną domeną postanowił zarejestrować ją na siebie, co zatrzymało dalszą infekcję.

Do 17 maja 2017 roku przestępcy otrzymali ponad 79 tysięcy dolarów. Stosunkowo niewiele jak na ogromną skalę ataku. Błyskawiczna reakcja ze strony Microsoftu na wieść o exploicie oraz szybka interwencja Hutchinsa skutecznie ograniczyła szkody wywołane przez WannaCry.

 

NotPetya

Zaledwie miesiąc po ataku WannaCry do akcji wkroczył NotPetya. Wykorzystywał on dokładnie ten sam exploit (EternalBlue) wraz z narzędziem Mimikatz, wykorzystującym poświadczenia w systemie i wykradającym dane. Poszkodowanymi były firmy Maersk, Merck, francuska Saint-Gobain, rosyjska Rosnieft, FedEx oraz wiele innych. Atak nie ominął także Polski.

 

NotPetya rozpoczynał od zaszyfrowania plików z określonymi rozszerzeniami, następnie restartował komputer i skanował inne maszyny w sieci LAN aby się rozprzestrzenić. Finalnie malware szyfrowało plik Master File Table i wyświetlało komunikat z żądaniem okupu. W tym przypadku okazało się jednak, że NotPetya nie był typowym ransomware, lecz programem typu wiper. Nawet po uiszczeniu opłaty program nie był w stanie odszyfrować całego dysku.

Łączne straty wywołane problemami w działaniu dużych koncernów według Białego Domu wyniosły nawet 10 miliardów dolarów. Wśród najbardziej poszkodowanych był koncern farmaceutyczny merck, który straty szacował na 870 mln USD. Potężne straty odnotował też Maersk (200-300 mln USD), FedEx (400 mln USD) i Saint Gobain (384 mln USD).

 

Infekcja ISS World

Wskutek szybkiego rozwoju zabezpieczeń ograniczających możliwość wystąpienia ataków ransomware liczba globalnych ataków znacznie zmalała. Ofiarami zaczęły padać pojedyncze firmy, w których wirus mógł szybko się rozprzestrzeniać. Jednym z poważniejszych takich ataków w 2020 roku była infekcja infrastruktury IT potężnej firmy ISS World, zatrudniającej łącznie pół miliona pracowników.

 

Atak rozpoczął się 17 lutego. W ramach procedur bezpieczeństwa systemy zablokowały dostęp do usług IT, co pozwoliło odizolować zainfekowane maszyny i uniknąć dalszego rozprzestrzeniania się malware. Poskutkowało to jednak zastojem w pracy setek tysięcy pracowników, którzy nie mieli dostępu do intranetu oraz skrzynek mailowych.

Po 3 dniach firmie udało się ustalić przyczyny ataku. 20 marca ISS World poinformowała, że udało się przywrócić do użytku większość infrastruktury, a cała procedura odbudowy potrwać może nawet do końca 2020 roku. Mimo zachowania odpowiednich procedur oraz szybkiej reakcji techników korporacja szacuje, że straty wyniosą od 75 do nawet 112,4 miliona dolarów.

 

Podsumowanie

Ransomware towarzyszy nam od przeszło 30 lat, lecz dopiero w ostatnich latach ten typ ataków został wykorzystany na bardzo szeroką skalę. Wśród ofiar znajdują się zarówno ogromne korporacje i instytucje publiczne, jak i domowi użytkownicy. Ransomware to plaga, którą dzięki rozwojowi antywirusów oraz zabezpieczeń systemowych udało się opanować.

Podobnie jak w przypadku innych ataków, najważniejsze jest wyciąganie wniosków. Po atakach CryptoLockera, WannaCry i Petya mnóstwo osób poważnie podeszło do tematów backupu danych oraz zapewnienia należytego poziomu bezpieczeństwa IT.

Ransomware jest szczególnie niebezpieczne z uwagi na silne szyfrowanie, przez które możliwość odzyskania plików bez płacenia okupu graniczy z cudem. Nawet niewielkie infekcje potrafią skutecznie unieruchomić całą infrastrukturę IT dużych koncernów i tym samym wywołać wielomilionowe straty. Dlatego cyberbezpieczeństwo jest i będzie jednym z najważniejszych tematów we współczesnym świecie.