Ransomware jest obecnie zagrożeniem nr 1

 

Kilka dni temu pisaliśmy o zmasowanym ataku na komputery na całym świecie. Wcześniej firmy dotknęły ataki WannaCry i TeslaCrypt. Czy jest sposób, żeby się przed nimi chronić?

Ransomware stoi na czele listy zagrożeń dla systemów IT. Od początku 2016 roku widzieliśmy ogromny wzrost zarówno różnorodności jak i częstotliwości ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeśli już stałeś się ofiarą tego szkodnika.

W dzisiejszym artykule wyjaśnimy czym jest ransomware, omówimy kilka najbardziej “popularnych” wariantów, a na zakończenie przedstawimy trendy w rozwoju tego zagrożenia.

Co to jest ransomware i jak ewoluuje?

Najogólniej mówiąc, ransomware jest złośliwym oprogramowaniem zaprojektowanym po to, aby zablokować ekran ofiary (tzw. locker ransomware) lub zaszyfrować pliki ofiary (crypto-ransomware). Udane infekcje RansomWare pozwalają przestępcom żądać zapłaty od ofiary (zwykle w anonimowej walucie Bitcoin) w zamian za przywrócenie dostępu.

Crypto-ransomware

Przypadki ransomware blokującego ekran zdarzają się coraz rzadziej. Z drugiej strony widzimy coraz więcej przypadków ransomware szyfrujących pliki. Można spokojnie założyć, że gdy ktoś wspomina o “ransomware” ma na myśli właśnie tę kategorię zagrożeń. My również będziemy stosować tą nazwę.

Crypto-wirusy

Nie zagłębiając się w dokładną analizę różnic między wirusami a złośliwym oprogramowaniem (najkrócej mówiąc wirusy posiadają zdolność do replikacji i samo-rozpowszechniania), można również uznać, że mówiąc o crypto-wirusach mamy na myśli ransomware.

CryptoLocker

Był to jeden z pierwszych przedstawicieli RansomWare, który zyskał publiczny rozgłos, kiedy to pojawił się w 2013 roku. W związku z tym, będziesz jeszcze często słyszeć ludzi używających określenia „CryptoLocker” jako substytutu „ransomware”. Sam CryptoLocker oficjalnie nie jest już aktywny.

3 z najwybitniejszych aktywnych wariantów RansomWare

Oto krótki opis niektórych z najbardziej znanych współczesnych rodzin RansomWare:

Locky

Mówiąc najkrócej, rok 2016 był rokiem Locky. Po raz pierwszy zaobserwowano go w lutym i wkrótce stał się on najbardziej rozpowszechniającym się zagrożeniem.

Rodzaje ransomware w 2016 roku

Rozpowszechnianie Locky było mocno powiązane z kampanią email rozsyłającą phishing. Za rozsyłanie odpowiedzialny był botnet Necurs, jedna z największych sieci zakażonych komputerów na świecie.

Jak Locky zaraża ofiary

Locky najczęściej dostarczany był w postaci wiadomości email z zainfekowanym załącznikiem Word lub JavaScript. W późniejszym okresie rozsyłane były załączniki ze skryptami systemu Windows oraz DLL.

Po uruchomieniu, Locky szyfruje pliki i zmienia ich rozszerzenia na .locky. Skuteczność tego zagrożenia sprawiła, że powstało wielu naśladowców, z tym, że rozszerzenia plików to .zepto, .odin, .thor i .osiris.

Oprócz skanowania dysków w poszukiwaniu lokalnych plików do zaszyfrowania, Locky również szyfruje pliki na udziałach sieciowych (nawet niezmapowanych) i usuwa kopie zapasowe ShadowCopy tak, że nie mogą być stosowane w próbach przywrócenia. Aktualizacje Locky zawierały zmiany, takie jak szyfrowanie w trybie offline i różne techniki unikania wykrycia (np: Rozpoznawanie i unikanie środowisk “piaskownicy”, (ang. “sandboxing”)).

Obecnie nie ma sposobu, aby odszyfrować pliki, które zostały zaszyfrowane przez Locky bez płacenia okupu. Opcje odzyskiwania są ograniczone do przywrócenia z kopii zapasowej.

Cerber

Cerber - ekran okupu

Kolejnym wariantem, debiutującym w 2016 roku, jest Cerber. W stosunku do innych zagrożeń tego typu wyróżnia się tym, że został uruchomiony jako ransomware-as-a-service (ransomware jako usługa), co pozwoliło każdemu na rozsyłanie tego zagrożenia w zamian za 40% prowizji.

Wczesne wersje Cerbera zmieniały rozszerzenia zaszyfrowanych plików na .cerber. Nowsze nadają plikom rozszerzenia losowe, posiadają również zdolność do “zabijania” baz danych, aby zaszyfrować pliki bazodanowe.

Chociaż istniały narzędzia deszyfrujące do pierwszych wersji tego ransomware, obecnie takie narzędzie nie jest dostępne.

CryptXXX

cryptxxx ransom screen

CryptXXX to trojan, który pojawił się po ogłoszeniu przez twórców ransomware TeslaCrypt zakończenia ataku. TeslaCrypt rozpowszechniany był z wykorzystaniem exploit-kitów Angler oraz Neutrino. CryptXXX również wykorzystywał te narzędzia.

Po zaszyfrowaniu CryptXXX zmienia rozszerzenia plików na .crypt. Najnowsze wersje trojana posiadają również funkcjonalność wykradania poświadczeń (loginów i haseł) ofiary.

Naukowcy z Kaspersky Lab stworzyli kilka narzędzi przeznaczonych do odszyfrowania plików zaszyfrowanych przez CryptXXX lecz autorzy dokonali aktualizacji, które czynią je nieskuteczne. Narzędzie deszyfrujące dla najbardziej aktualnej wersji można znaleźć tutaj (póki co działa, ale nie wiadomo, jak długo).

Inne warianty ransomware warte odnotowania

Petya

Petya zamiast szyfrować pojedyńcze pliki szyfruje sektor MBR dysku. Skutkuje to niemożliwością uruchomienia systemu i koniecznością instalowania systemu od początku albo zapłacenia okupu. Nowa zmodyfikowana wersja znana jest pod nazwą Goldeneye.

Niestety nie ma obecnie narzędzi deszyfrujących.

Ostatnie doniesienia o kolejnym ataku Petya okazały się dotyczyć zupełnie innego zagrożenia.

Shade

Po zainfekowaniu Shade skanuje komputer pod kątem dostępu do bankowości internetowej. Jeśli stwierdzi jej obecność, instaluje narzędzia zdalnej kontroli, których atakujący może użyć do przejęcia kontroli nad kontem bankowym ofiary. Następnie następuje zaszyfrowanie plików.

Narzędzie deszyfrujące do tego zagrożenia udostępnione zostało przez Kaspersky Lab oraz przez Intel Security.

Virlock

Dlaczego zainfekować jednego użytkownika, kiedy można zarazić całą organizację? To cel twórców VirLock. VirLock jest ransomware, które również działa jak wirus, infekuje pliki i tworzy nowe zmutowane wersje, które po rozesłaniu są wykonywane. To sprawia, że wykrywanie i blokowanie VirLock w “staroświecki” sposób – Skanowanie pliku, aby sprawdzić czy pasuje do znanej sygnatury – jest nieskuteczne.

Najnowsza wersja Virlock rozprzestrzenia się w całej sieci poprzez chmurze i aplikacje pracy grupowej. Wszystko co potrzebne, to otwarcie przez jednego użytkownika zainfekowanego pliku w folderze udostępnionym. Każdy plik na tym komputerze (i w każdym innym folderze udostępnionym dla tego użytkownika) może zostać zaszyfrowany.

Trendy ataków ransomware

Trend nr 1: ataki ransomware są coraz częstsze

Przestępcy coraz częściej korzystają z ransomware jako źródła dochodu. Nic więc dziwnego, że ilość ataków rośnie, szczególnie tych skierowanych przeciwko firmom. 


Czy wiesz, że?

Ilość ataków przeciwko firmom wzrosła w 2016 roku trzykrotnie. Infekcje następowały co 40 sekund.

na podstawie Biuletynu bezpieczeństwa 2016 firmy Kaspersky Lab

 Nie pomaga również fakt pojawienia się operacji Ransomware-as-a-Service, co sprawia, że rozsyłanie tego typu zagrożeń nie wymaga niemal żadnej wiedzy technicznej. Wszystko co trzeba zrobić, to rejestracja w usłudze i zgoda no podział zysków. Niektóre platformy tego typu oferują nawet webowe konsole zarządzania.

Trend nr 2: Phishing stał się niemal wyłącznie sposobem dostarczania ransomware

Blisko 97% szkodliwych wiadomości email zawiera ransomware.

ransomware-attached-to-phishing-emails

Przestępcy wiedzą, że najłatwiejszym sposobem infekcji organizacji jest atak na użytkownika. A email jest najprostszym sposobem dotarcia do niego.

Trend nr 3: Nowe warianty malware powstają w zastraszającym tempie

Liczba nowych rodzin ransomware wzrosła w 2016 roku 10-krotnie, w samym drugim i trzecim kwartale o 53%.

ransomware-variant-growth-rate-proofpoint

Tempo powstawania nowych wersji znaczy, że firmy nie mogą polegać na dotychczasowych zabezpieczeniach, takich, jak antywirusy. Często zdarza się tak, że w momencie, gdy konkretny szczep ransomware zostanie wykryty, przestępcy mają opracowaną nową wersję, która dostaje się do systemu niewykryta.

Trend nr 4: Większość ataków kończy się sukcesem

ransomware-attacked-vs-infected

Blisko 3/4 zaatakowanych firm nie uchroniło się przed infekcją. 71 % firm przynajmniej raz stało się ofiarami ataku, gdy dane zostały zaszyfrowane, a w części przypadków zniszczone bezpowrotnie.

Ciekawe, że tylko niewielki odsetek firm płaci okup (a przynajmniej nie chcą o tym mówić). Jedynie 5% firm zdecydowało się na zapłatę. Wiele firm jest w stanie odzyskać dane, a przynajmniej ich większość, dzięki posiadaniu systemów kopii bezpieczeństwa, chociaż jest to około 40% przypadków.

Trend nr 5: Szyfrowanie to dopiero początek

Być może w związku z niskim odsetkiem ofiar płacących okup, zauważyć można nowe taktyki ataków. Mają one na celu wywarcie presji na ofiarę i skłonienie jej do płacenia. Coraz więcej ataków skierowanych jest przeciw serwerom i bazom danych. Mają one na celu spowodowanie rozleglejszych i bardziej dotkliwych szkód w krytycznych systemach i usługach, które są znacznie trudniejsze do odtworzenia i przywrócenia do działania w krótkim czasie.

Kolejnym, nowo pojawiającym się zagrożeniem, jest atak typu doxxing – polega on na odkryciu prawdziwej tożsamości użytkownika Internetu lub pobraniu innych cennych danych osobowych lub biznesowych, a następnie zagrożenie ich publikacją, o ile ofiara nie dokona płatności. Ten typ ataku jest szczególnie destrukcyjne do organizacji, które przetwarzają dane prywatne i wrażliwe, takich jak szpitale, kancelarie prawne, banki itp. W ten sposób, niewygodny incydent IT, który można rozwiązać za pomocą kopii zapasowej, staje się nagle potencjalnym wyciekiem danych. A to zupełnie zmienia odpowiedź na pytanie: “płacić czy nie?”

Kolejna część będzie poświęcona temu, jak ransomware działa.