Zarządzanie prywatnością

Niniejsza strona korzysta z plików cookies

Wykorzystujemy pliki cookie do spersonalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w naszej witrynie. Informacje o tym, jak korzystasz z naszej witryny, udostępniamy partnerom społecznościowym, reklamowym i analitycznym. Partnerzy mogą połączyć te informacje z innymi danymi otrzymanymi od Ciebie lub uzyskanymi podczas korzystania z ich usług.

Współadministratorami danych osobowych są:

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A z siedzibą w Sopocie, ul. Hestii 1, 81-731 Sopot,

Sopockie Towarzystwo Ubezpieczeń na Życie ERGO Hestia S.A z siedzibą w Sopocie ul. Hestii 1, 81-731 Sopot,

a w zakresie korzystania z usługi Piksel Facebooka współadministratorem jest również Facebook Ireland Limited z siedzibą w Dublinie, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, D02X525 Dublin.

Dane przetwarzane są w celach marketingowych, analitycznych i statystycznych.

Użytkownikowi przysługują prawa: dostępu do swoich danych osobowych, żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, wniesienia sprzeciwu wobec przetwarzania swoich danych osobowych, przenoszenia danych osobowych oraz prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych. Dane kontaktowe w celu skorzystania z ww. praw znajdują się w Oświadczeniu administratora danych.

Czytaj więcej w naszej polityce cookies

image00001-1800x644-c

Okup przez internet. Przebieg infekcji programem typu ransomware

Ryzyka cybernetyczne

Często spotkać można wiele niepokojących informacji odnośnie infekcji złośliwym kodem znanym wszystkim jako malware. Na szczególną uwagę zasługuje jego specyficzna odmiana, która szyfruje pliki użytkownika blokując skutecznie do nich dostęp, a jedyną formą odzyskania zablokowanych danych wydaje się być wpłacenie okupu. Oczywiście mowa o Ransomware.

Dla osób którym nazwa pozostaje nadal egzotyczna postaram się przybliżyć na czym polega „fenomen” i jak może dojść do infekcji Ransomware.

Już sama nazwa „ransom” (z ang. okup) wskazuje jakim motywem kierują się autorzy (czyt. przestępcy) tego oprogramowania. Szybka i stosunkowo łatwa metoda na zasilenie swojego portfela spowodowała, iż powstały takie wirusy jak CryptoWall, CTB-locker czy Cryptolocker. To najsłynniejsze, o których słyszał świat, a być może niektórzy mieli już wątpliwą przyjemność gościć jednego z nich na swoich dyskach.

Za nim jednak dojdzie do infekcji dysku ofiary, przestępcy muszą „ciężko zapracować” na chleb i wykonać mnóstwo działań pomocniczych. Zatem rozpoczynają prace od podjęcia decyzji jaki wektor dystrybucji kodu przyjąć aby być szybkim i skutecznym. W tym celu można  zbudować własną infrastrukturę teleinformatyczną, jednak wymaga to dużej wiedzy, nakładów finansowych i jest bardzo czasochłonne. W związku z czym większość przestępców decyduje się na leasing gotowej infrastruktury oferującej przemyślane i sprawdzone formy ataku oparte głównie o tzw. phishing* i exploit kits*.  Gotowa infrastruktura posiada przygotowane już, sfałszowane witryny www, serwery proxy*, jak również gotowe załączniki, które wykorzystując mechanizmy enkrypcji, fast-flux*, P2P + DGA* potrafią bezkarnie ominąć zapory firewall, sondy IPS* czy środowisko Sandbox*. Dodatkowo jeśli przestępca nie ma umiejętności kodowania może gotowy ransomware zamówić. Ceny czarno rynkowe (tzw. Dark Market) wahają się od 200$ -2500$. (płatność odbywa się zazwyczaj przy wykorzystaniu waluty wirtualnej np. Bitcoin). Kolejnym krokiem jest stworzenie tzw. loadera (oprogramowanie dostarczające ransomware) i jego ukrycie przed oprogramowaniem antywirusowym ofiary, a następnie umiejętna konfiguracja exploit-kita, aby odpowiednio przekierować ruch z przeglądarki użytkownika do zainfekowanego serwera.  Do tych operacji służą przygotowane już aplikacje, w których kolejne złośliwe funkcjonalności zaznaczamy polami checkbox, co przypomina wypełnianie prostej ankiety. Skuteczność swoich prac przestępca może w dowolnej chwili sprawdzić za pomocą on-line’owych antywirusów, jak również serwisów oceniających reputację stron. Jeśli jego oprogramowanie ma status „clear” może przejść do finału operacji.

Generalnie jest to większość działań przygotowawczych, których całkowity koszt zamyka się w kwocie ok. 3500$.

Ostatnim krokiem przed infekcją ransomware jest nakłonienie użytkownika do wejścia na zainfekowaną stronę. W tym celu zazwyczaj wysyłany jest sfałszowany email zawierający kuszącą treść z linkiem lub atrakcyjny załącznik. Po kliknięciu w załącznik lub link zostaje zainstalowany loader a następnie ransomware. Po tym na ekranie użytkownika zostaje wyświetlony komunikat o zaszyfrowaniu zawartości dysków oraz informacja, iż w celu odblokowania dostępu do danych niezbędne jest umieszczenie stosownej opłaty (okupu).

Tradycyjny ransomware jest w stanie zaszyfrować wszystkie pliki na komputerze docelowym, jak również dyski twarde podłączone do komputera – zdjęcia, filmy, pliki tekstowe. Jak donosi „securiblog” ostatnie infekcje kierowane są również do stron internetowych, gdzie infekcja może objąć wszystkie witryny w hostingowanym środowisku.

Aby uniknąć infekcji Ransomwere zalecałbym regularne wykonywanie kopii zapasowych swoich danych, update szczepionek antywirusowych i zdrowy rozsądek przed kliknięciem w załącznik lub link o podejrzanym pochodzeniu. Dodatkowo dla administratorów witryn webowych oprócz umieszczenia witryny za firewallem i regularnych aktualizacji CMS*, dodatkowo poleciłbym rozważenie mechanizmu VSS (tzw. kopii w tle) .

Jako ciekawostkę chciałbym przytoczyć głośny ostatnio atak ransowmare na Hollywoodzkie Prezbiteriańskie Centrum Medyczne w Hollywood, gdzie żądanie okupu wyniosło 3,6 mln USD Finalnie szpital zapłacił jedynie 17 tys. USD jednocześnie odzyskując sprawność po całkowitym paraliżu swojej działalności.

*) SŁOWNICZEK:

Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji.

Exploit kits – podgrupa szkodliwych programów, zawierających dane lub kod wykonywalny, który może wykorzystać jedną lub wiele luk w oprogramowaniu działającym na komputerze lokalnym lub zdalnym.

Serwer proxy (pośredniczący) – oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu użytkownika.

Fast-flux – technika używana do ukrywania phishingu i stron dostarczających malwere.

P2P + DGA – rodzaj kanałów komunikacyjnych umożliwiających atak na komputer ofiary. W tym wypadku mówimy o wykorzystaniu do komunikacji sieci peer-to-peer (P2P) oraz mechanizmu generowania domen (DGA).

Sondy IPS – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie i blokowanie ataków w czasie rzeczywistym.

Środowisko Sandbox – środowisko testowe w programowaniu komputerowym, w którym izoluje się nieprzetestowany kod programu i pozwala nim w danym środowisku eksperymentować, co pozwala rozwijać oprogramowanie i kontrolować kolejne wersje.

CMS – system zarządzania zawartością stron internetowych.

Autorzy

Dariusz Włodarczyk

Dariusz Włodarczyk

Główny Specjalista ds. Oceny Ryzyka Cyber w Hestia Loss Control. Zajmuje się problematyką szeroko pojętego cyberbezpieczeństwa. Absolwent Wydziału Mechanicznego Politechniki Gdańskiej. W Grupie ERGO Hestia od 2015 r.

Zobacz także