20/11/2017

Od ransomware do koparek internetowych

Zagrożenia

Kryptowaluty mają coraz większy wpływ na życie zwykłych ludzi, a zwykli ludzie niezbyt dużo o tym wiedzą. Nawet jeśli nie używasz takiego środka płatności, wcale nie oznacza to, że związane z nim problemy Cię nie dotyczą.

Ransomware

Może niewiele wiesz o bitcoinach, może niewiele Cię one obchodzą, ale pewnego dnia ktoś może zmusić Cię do ich używania. Kryptowaluty pozwalają twórcom szkodliwego oprogramowania zarabiać łatwiej niż kiedykolwiek wcześniej.

Jeszcze pięć lat temu szkodliwe blokery wyświetlały niechciane obrazy na ekranach swoich ofiar, uniemożliwiając im dostęp do własnych systemów i plików, a także żądając zapłacenia okupu w postaci wysłania płatnego SMS-a na numer telefonu o podwyższonej opłacie.

Życie atakujących nie było wtedy najłatwiejsze. Nawet jeśli im się udało, połowę stawki zgarniały firmy telekomunikacyjne. Wtedy takie numery telefonów można było zablokować, podobnie jak pieniądze zgromadzone na odpowiednich kontach. Ostatecznie sprawcy ryzykowali złapaniem przez policję podczas pobierania pieniędzy.

Kryptowaluty wszystko zmieniły. Dziś ransomware szyfrujące jest zmorą użytkowników, którzy nie korzystają z porządnych cyberzabezpieczeń. Ten rodzaj programów żądających okupu szyfruje dane użytkowników i żąda zapłacenia okupu w kryptowalucie, a atakujący (być może) wyśle klucz deszyfrujący, dzięki któremu możliwe będzie przywrócenie dostępu do plików, tylko po dokonaniu płatności. O ataku WannaCry słyszeli prawdopodobnie nawet ci, którzy nie śledzą świata cyberzagrożeń.

Chociaż WannaCry był tak naprawdę programem wymazującym dane, zyskał sławę jako ransomware szyfrujące

Z punktu widzenia atakujących najlepsza sytuacja wygląda tak, jakby kryptowaluty zostały wysłane w kosmos: nie muszą się dzielić z nikim łupem, nikt nie może zablokować ich portfela i — co ważniejsze — nikt ich nie złapie podczas wypłaty pieniędzy z bankomatu. Bitcoin nie zapewnia całkowitej anonimowości, jednak atakujący mogą skorzystać z alternatywnych kryptowalut, takich jak Monero czy ZCash, bez obawy o to, że ktoś będzie śledzić ich działania.

Takie uproszczenie procesu monetyzacji doprowadziło do bezprecedensowego rozprzestrzenienia się oprogramowania żądającego okupu.

Szkodliwe koparki

Kopanie — wydobywanie nowych kryptomonet na drodze długich, skomplikowanych obliczeń — jest nie mniej popularną formą cyberprzestępstwa. Trojan odpowiedzialny za kopanie nie dokonuje szyfrowania: zwyczajnie zaczyna potajemnie wydobywać kryptowaluty, wykorzystując do tego celu moc obliczeniową i prąd ofiary. Dlatego taki rozwój sytuacji jest lepszy niż poprzedni scenariusz, a użytkownicy nieposiadający ochrony mogą uważać się za szczęściarzy, jeśli ich komputery są używane wyłącznie do potajemnego wydobywania kryptowaluty (ich dane nie zostały zaszyfrowane).

Nawiasem mówiąc, w trakcie pierwszych ośmiu miesięcy 2017 roku nasze produkty ochroniły 1,65 miliona użytkowników przed szkodliwymi koparkami, a według naszych przypuszczeń do końca roku liczba ta ma sięgnąć 2 milionów.

Koparki internetowe

Podstępni programiści zaczęli finansować swoje projekty poprzez umieszczanie koparek w swoim oprogramowaniu, a zaimplementowanie koparki bezpośrednio w przeglądarce otwiera puszkę Pandory. Wtedy wszystko staje się prostsze — użytkownicy mogą zostać uwikłani w wykopywanie kryptowalut jedynie poprzez odwiedzenie specjalnej strony, która zmusza przeglądarkę do pobrania skryptu przekształcającego komputer w koparkę.

Innowacja ta poważnie zmienia schemat zarabiania przez internet. Część stron zdecydowała się nawet przestać wyświetlać banery, wykorzystując w zamian komputery osób, które je odwiedzają i zajmują się wydobywaniem. Zamiast korzystać z mechanizmu CAPTCHA w celu blokowania botów, korzystniej jest użyć ich do wydobywania — jeśli efekt kopania jest taki sam, nikomu nie robi różnicy, czy osoba odwiedzająca jest prawdziwa, czy jest to bot. Jeszcze bardziej dochodowa mogłaby być sytuacja, w której użytkownicy nieodpłatnie oglądaliby nowe filmy, a kopanie odbywało się w tle.

To nie wszystko. Po zhakowaniu popularnego zasobu nie trzeba zajmować się wykorzystywaniem luk w oprogramowaniu zainstalowanym na komputerach osób odwiedzających ani infekować ich szkodliwym oprogramowaniem. Znacznie łatwiej i korzystniej jest przesłać skrypt na zhakowaną stronę, która zmusi komputer osoby odwiedzającej do wykopywania pieniędzy bezpośrednio do kryptoportfela hakera.

Cyberprzestępcy szybko przestawiają się na korzystanie z tej nowej, bardziej lukratywnej metody. W przyszłym roku prawdopodobnie będziemy świadkami rozkwitu szkodliwych koparek internetowych — to dzięki nim twórcy szkodliwych programów będą mogli zarobić szybkie i łatwe pieniądze.