Często spotkać można wiele niepokojących informacji odnośnie infekcji złośliwym kodem znanym wszystkim jako malware. Na szczególną uwagę zasługuje jego specyficzna odmiana, która szyfruje pliki użytkownika blokując skutecznie do nich dostęp, a jedyną formą odzyskania zablokowanych danych wydaje się być wpłacenie okupu. Oczywiście mowa o Ransomware.

Dla osób którym nazwa pozostaje nadal egzotyczna postaram się przybliżyć na czym polega „fenomen” i jak może dojść do infekcji Ransomware.

Już sama nazwa „ransom” (z ang. okup) wskazuje jakim motywem kierują się autorzy (czyt. przestępcy) tego oprogramowania. Szybka i stosunkowo łatwa metoda na zasilenie swojego portfela spowodowała, iż powstały takie wirusy jak CryptoWall, CTB-locker czy Cryptolocker. To najsłynniejsze, o których słyszał świat, a być może niektórzy mieli już wątpliwą przyjemność gościć jednego z nich na swoich dyskach.

Za nim jednak dojdzie do infekcji dysku ofiary, przestępcy muszą „ciężko zapracować” na chleb i wykonać mnóstwo działań pomocniczych. Zatem rozpoczynają prace od podjęcia decyzji jaki wektor dystrybucji kodu przyjąć aby być szybkim i skutecznym. W tym celu można  zbudować własną infrastrukturę teleinformatyczną, jednak wymaga to dużej wiedzy, nakładów finansowych i jest bardzo czasochłonne. W związku z czym większość przestępców decyduje się na leasing gotowej infrastruktury oferującej przemyślane i sprawdzone formy ataku oparte głównie o tzw. phishing* i exploit kits*.  Gotowa infrastruktura posiada przygotowane już, sfałszowane witryny www, serwery proxy*, jak również gotowe załączniki, które wykorzystując mechanizmy enkrypcji, fast-flux*, P2P + DGA* potrafią bezkarnie ominąć zapory firewall, sondy IPS* czy środowisko Sandbox*. Dodatkowo jeśli przestępca nie ma umiejętności kodowania może gotowy ransomware zamówić. Ceny czarno rynkowe (tzw. Dark Market) wahają się od 200$ -2500$. (płatność odbywa się zazwyczaj przy wykorzystaniu waluty wirtualnej np. Bitcoin). Kolejnym krokiem jest stworzenie tzw. loadera (oprogramowanie dostarczające ransomware) i jego ukrycie przed oprogramowaniem antywirusowym ofiary, a następnie umiejętna konfiguracja exploit-kita, aby odpowiednio przekierować ruch z przeglądarki użytkownika do zainfekowanego serwera.  Do tych operacji służą przygotowane już aplikacje, w których kolejne złośliwe funkcjonalności zaznaczamy polami checkbox, co przypomina wypełnianie prostej ankiety. Skuteczność swoich prac przestępca może w dowolnej chwili sprawdzić za pomocą on-line’owych antywirusów, jak również serwisów oceniających reputację stron. Jeśli jego oprogramowanie ma status „clear” może przejść do finału operacji.

Generalnie jest to większość działań przygotowawczych, których całkowity koszt zamyka się w kwocie ok. 3500$.

Ostatnim krokiem przed infekcją ransomware jest nakłonienie użytkownika do wejścia na zainfekowaną stronę. W tym celu zazwyczaj wysyłany jest sfałszowany email zawierający kuszącą treść z linkiem lub atrakcyjny załącznik. Po kliknięciu w załącznik lub link zostaje zainstalowany loader a następnie ransomware. Po tym na ekranie użytkownika zostaje wyświetlony komunikat o zaszyfrowaniu zawartości dysków oraz informacja, iż w celu odblokowania dostępu do danych niezbędne jest umieszczenie stosownej opłaty (okupu).

Tradycyjny ransomware jest w stanie zaszyfrować wszystkie pliki na komputerze docelowym, jak również dyski twarde podłączone do komputera – zdjęcia, filmy, pliki tekstowe. Jak donosi „securiblog” ostatnie infekcje kierowane są również do stron internetowych, gdzie infekcja może objąć wszystkie witryny w hostingowanym środowisku.

Aby uniknąć infekcji Ransomwere zalecałbym regularne wykonywanie kopii zapasowych swoich danych, update szczepionek antywirusowych i zdrowy rozsądek przed kliknięciem w załącznik lub link o podejrzanym pochodzeniu. Dodatkowo dla administratorów witryn webowych oprócz umieszczenia witryny za firewallem i regularnych aktualizacji CMS*, dodatkowo poleciłbym rozważenie mechanizmu VSS (tzw. kopii w tle) .

Jako ciekawostkę chciałbym przytoczyć głośny ostatnio atak ransowmare na Hollywoodzkie Prezbiteriańskie Centrum Medyczne w Hollywood, gdzie żądanie okupu wyniosło 3,6 mln USD Finalnie szpital zapłacił jedynie 17 tys. USD jednocześnie odzyskując sprawność po całkowitym paraliżu swojej działalności.

*) SŁOWNICZEK:

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji.

Exploit kits – podgrupa szkodliwych programów, zawierających dane lub kod wykonywalny, który może wykorzystać jedną lub wiele luk w oprogramowaniu działającym na komputerze lokalnym lub zdalnym.

Serwer proxy (pośredniczący) – oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu użytkownika.

Fast-flux – technika używana do ukrywania phishingu i stron dostarczających malwere.

P2P + DGA – rodzaj kanałów komunikacyjnych umożliwiających atak na komputer ofiary. W tym wypadku mówimy o wykorzystaniu do komunikacji sieci peer-to-peer (P2P) oraz mechanizmu generowania domen (DGA).

Sondy IPS – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie i blokowanie ataków w czasie rzeczywistym.

Środowisko Sandbox – środowisko testowe w programowaniu komputerowym, w którym izoluje się nieprzetestowany kod programu i pozwala nim w danym środowisku eksperymentować, co pozwala rozwijać oprogramowanie i kontrolować kolejne wersje.

CMS – system zarządzania zawartością stron internetowych.