Saga o ransomware

Jeśli śledzisz wiadomości ze świata bezpieczeństwa informacji, prawdopodobnie sporo już wiesz o ransomware. A może nawet padłeś jego ofiarą. Określenie ransomware jako najniebezpieczniejszego szkodliwego oprogramowania naszych czasów nie jest przesadą.

Jednak czy wiesz, że takie szkodliwe programy istnieją już ponad 30 lat, a badacze przewidzieli wiele cech współczesnych ataków już w połowie lat 90.? Chcesz dowiedzieć się, dlaczego narzędzia szyfrujące zastąpiły blokujące, jaki był najdroższy okup w historii i co ma z tym wspólnego AIDS?

Przeczytaj nasz post, w którym opisujemy historię ransomware i udzielamy odpowiedzi na te i wiele innych pytań. Poznaj ewolucję narzędzi blokujących, szyfrujących, usuwających dane i innych odmian programów ransomware, które znamy już od kilkudziesięciu lat.

Słownik związany z ransomware

W tym poście często będziemy posługiwać się poniższymi określeniami:

• Kryptografia— nauka o uniemożliwianiu osobom postronnym odczytywania poufnych informacji. Jednym z aspektów kryptografii jest szyfrowanie.
• Szyfrowanie symetryczne— metoda szyfrowania danych, w której jeden klucz jest używany zarówno do szyfrowania, jak i deszyfrowania informacji.
• Szyfrowanie asymetryczne— metoda szyfrowania danych, która wymaga użycia dwóch kluczy: jednego publicznego do szyfrowania informacji i jednego prywatnego do ich odszyfrowania. Znajomość samego klucza publicznego nie umożliwia odszyfrowania, gdyż potrzebny jest jeszcze klucz prywatny.
• RSA— powszechnie używany algorytm szyfrowania asymetrycznego.
• Ransomware— każdy szkodliwy program, który zmusza ofiary do zapłacenia atakującym okupu. Do ransomware zaliczamy programy blokujące, szkodliwe programy szyfrujące oraz programy usuwające dane występujące w postaci narzędzi szyfrujących.
• Program blokujący— rodzaj programu ransomware, który blokuje lub symuluje zablokowanie komputera lub urządzenia mobilnego. Taki szkodliwy program zwykle nakłada na wszystkie inne okna komunikat z żądaniem zapłaty okupu.
• Szkodliwy program szyfrujący— rodzaj programu ransomware, który szyfruje pliki użytkownika, przez co nie można z nich korzystać.
• Program usuwający dane— rodzaj szkodliwego programu, którego celem jest usunięcie danych na urządzeniu ofiary. Czasami ransomware udające program szyfrujący okazuje się być programem usuwającym dane, ponieważ nieodwracalnie uszkadza pliki; a zatem nawet w przypadku zapłacenia okupu danych tych nie można przywrócić.
• RaaS (Ransomware-as-a-Service)— schemat przestępczy, w którym sprawcy użyczają ransomware chętnym w celu dystrybucji przy zobowiązaniu do dzielenia się zyskiem, gdy jakaś ofiara zapłaci. To coś w rodzaju cyberprzestępczej franczyzy.

1989 rok: pierwszy atak ransomware

Pierwszy znany program szyfrujący utworzył doktor Joseph L. Popp, biolog. Wykorzystał on szerokie zainteresowanie AIDS; z tego względu jego szkodliwy program jest znany pod nazwą „trojan AIDS”.

Wówczas internet był jeszcze w powijakach, więc Popp użył dość oryginalnej (jak na tamte standardy) metody dostarczania szkodliwego programu. Po zdobyciu listy mailingowej uczestników organizowanej przez WHO oraz magazynu PC Business World  konferencji na temat AIDS, wysłał ofiarom dyskietkę, która rzekomo zawierała podstawowe informacje na temat AIDS oraz szczegółowe instrukcje, ja zainstalować program. Umowa licencyjna stanowiła, że poprzez zainstalowanie programu użytkownik zgadzał się na zapłatę firmie 378 dolarów. Ale kto bierze takie rzeczy na poważnie?

W rzeczywistości plik instalacyjny umieszczał na dysku twardym szkodliwy program. Po kilku uruchomieniach systemu trojan AIDS aktywował się, szyfrując nazwy plików (w tym ich rozszerzenia) na dysku C: zainfekowanego komputera. Nazwy były zmieniane na ciąg losowych znaków, przez co na plikach tych nie można było normalnie pracować. Na przykład w celu otworzenia lub uruchomienia pliku najpierw konieczne było wywnioskowanie, jakie rozszerzenie powinien on mieć, i dokonanie zmiany ręcznie.

W tym czasie szkodliwy program wyświetlał na ekranie komunikat, z którego można było się dowiedzieć, że okres testowy tego programu dobiegł końca i użytkownik musi uiścić opłatę za licencję: 189 dolarów za rok lub 378 dolarów za dostęp dożywotni. Pieniądze należało wysłać na konto zlokalizowane w Panamie.

Szkodliwy program używał szyfrowania symetrycznego, więc klucz potrzebny do przywrócenia tych plików był umieszczony w kodzie. Wobec tego problem można było stosunkowo łatwo rozwiązać: należało wyłuskać klucz, usunąć szkodliwy program, a następnie użyć tego klucza do przywrócenia nazw plikom. W styczniu 1990 roku konsultant redakcyjny w magazynie Virus Bulletin, Jim Bates, utworzył przydatne w tym celu programy AIDSOUT i CLEARAID.

Joseph Popp został aresztowany, jednak sąd uznał go za niepoczytalnego. Dziesięć lat później wydał on książkę pt. Popular Evolution: Life-Lessons from Anthropology.

1995–2004: Young, Yung i ransomware przyszłości

Pomysł szyfrowania danych w celu wymuszenia okupu nie wywołał zbyt dużego entuzjazmu wśród oszustów — być może dlatego, że trojan AIDS nie wzbogacił swojego twórcy. Zainteresowanie to powróciło w 1995 roku, w środowisku naukowym.

Kryptografowie Adam L. Young i Moti Yung zaczęli się zastanawiać, jak mógłby wyglądać najpotężniejszy wirus komputerowy. Doszli do wniosku, że byłoby to ransomware, które używa szyfrowania asymetrycznego.

Aby zaszyfrować pliki, zrezygnowali oni z jednego klucza, który należy dodać do kodu programu, na rzecz dwóch: publicznego i prywatnego, które przechowywały klucz deszyfrowania w tajemnicy. Co więcej, Young i Yung przyjęli hipotezę, że ofiara musiałaby zapłacić za pomocą elektronicznych pieniędzy, które wówczas nie istniały.

Prorocy cyberbezpieczeństwa podzielili się swoimi wnioskami podczas konferencji pt. „IEEE Security and Privacy”, która miała miejsce w 1996 roku, ale nie spotkali się ze zrozumieniem. Następnie, w 2004 roku pojawiła się publikacja pt. Malicious Cryptography: Exposing Cryptovirology, w której Young i Yung usystematyzowali wyniki swoich badań.

2007–2010: złote lata dla programów blokujących

Podczas gdy szkodliwy program szyfrujący czekał na swój czas, na świecie nastąpił rozwój innego rodzaju ransomware: narzędzi blokujących. Ten dość prymitywny rodzaj szkodliwych programów zakłócał normalne funkcjonowanie systemu operacyjnego poprzez dodanie siebie do procesu uruchamiania systemu Windows. Ponadto, aby uniemożliwić usunięcie, wiele rodzajów blokowało edytor rejestru i menedżer zadań.

Ten rodzaj szkodliwego programu używał różnych sposobów, aby uniemożliwić ofiarom używanie swoich komputerów: począwszy od wyświetlanie okna, którego nie można zamknąć, po zmianę tapety na pulpicie. Jedną z metod płatności było wysłanie wiadomości na numer o podwyższonej opłacie.

Zneutralizowanie ransomware zwykle nie wymagało użycia programu antywirusowego, ale raczej wiedzy, jak to zrobić. Aby usunąć szkodliwy program ręcznie, konieczne było na przykład uruchomić system z dysku Windows Live lub ratunkowego w postaci płyty CD, uruchomić w trybie bezpiecznym lub zalogować się do systemu Windows na innym profilu.

Jednak łatwość pisania takich trojanów równoważyło stosunkowo niski poziom zagrożenia. Dystrybuować je mógł praktycznie każdy; istniały nawet automatyczne generatory.

Czasami szkodliwy program umieszczał na pulpicie baner pornograficzny zawierający oskarżenie, że ofiara oglądała niedozwolone treści (ta taktyka jest używana nadal). Wiele osób nie szukało pomocy, lecz zwyczajnie płaciło.

2010 rok: szkodliwe programy szyfrujące trybem asymetrycznym

W 2011 roku dostawcy szkodliwych programów szyfrujących znacznie zintensyfikowali swoje działania i, jak przewidzieli Yung i Young, zaczęli korzystać z szyfrowania asymetrycznego. Na przykład modyfikacja narzędzia szyfrującego GpCode była oparta na algorytmie RSA.

2013 rok: hybrydowy program ransomware CryptoLocker

Pod koniec 2013 roku pojawił się hybrydowy program ransomware, który łączył cechy narzędzia blokującego i szyfrującego programu blokującego. Koncepcja ta zwiększyła szanse cyberprzestępców na otrzymanie zapłaty, ponieważ nawet usunięcie szkodliwego programu, czyli usunięcie blokady, nie przywracało ofiarom dostępu do ich plików. Najbardziej niesławnym z takich programów hybrydowych był CryptoLocker. Ten szkodliwy program był dystrybuowany w spamowych wiadomościach e-mail, a stojący za nimi cyberprzestępcy akceptowali płatność w postaci bitcoinów.

2015 rok: narzędzia szyfrujące zastąpiły narzędzia blokujące

W 2015 roku firma Kaspersky zaobserwowała zwiększającą się liczbę prób infekcji szkodliwymi programami szyfrującymi, a liczba ataków wzrosła 5,5 razy. Narzędzia szyfrujące zaczęły wypierać narzędzia blokujące.

Narzędzia szyfrujące były korzystniejsze pod kilkoma względami. Po pierwsze, dane użytkowników są znacznie bardziej wartościowe niż pliki i aplikacje systemowe, które zawsze można zainstalować ponownie. Jeśli chodzi o szyfrowanie, cyberprzestępcy mogą żądać znacznie większych okupów — i mają większe szanse na to, że ich żądania zostaną spełnione.

Po drugie, do 2015 roku kryptowaluty były szeroko używane do anonimowych przelewów pieniężnych, dzięki czemu atakujący nie musieli się już obawiać, że zostaną wyśledzeni. Bitcoin i inne kryptowaluty umożliwiły otrzymywanie dużych kwot bez wzbudzania podejrzeń.

2016 rok: masowe ataki ransomware

Liczba ataków z użyciem ransomware nadal rośnie. W 2016 roku pojawił się jedenastokrotny wzrost liczby modyfikacji tego rodzaju oprogramowania, a średnia wysokość okupu wynosiła od 0,5 do kilkuset bitcoinów (które wtedy były warte ułamek dzisiejszej kwoty). Główny cel ataków uległ zmianie: zamiast użytkowników indywidualnych skierowali oni swój wzrok na sektor firmowy, co oznaczało pojawienie się nowej branży przestępczej.

Cyberprzestępcy nie muszą już sami tworzyć szkodliwych programów; mogą kupić gotowe rozwiązania. Na przykład na sprzedaż pojawiła się „licencja dożywotnia” dla ransomware Stampado. Ten szkodliwy program groził usunięciem losowych plików po określonym czasie, co miało na celu przestraszenie ofiar, aby zapłaciły okup.

Ransomware stało się również dostępne w modelu RaaS, czyli jako usługa, a termin ten powstał po pojawieniu się narzędzia szyfrującego RaaS. Model ten pomógł w jeszcze szerszym rozprzestrzenianiu ransomware.

Oprócz firm i użytkowników domowych szantażyści zaczęli atakować rządy i organizacje miejskie. Najlepszym przykładem jest tu HDDCryptor, który zainfekował ponad 2000 komputerów w miejskiej agencji transportu w San Francisco. Za przywrócenie działania systemów cyberprzestępcy zażądali 100 BTC (wtedy ok. 70 000 dol.), ale dział IT agencji zdołał sam rozwiązać problem.

2016–2017: Petya, NotPetya i WannaCry

W kwietniu 2016 roku pojawił się nowy szkodliwy program o nazwie Petya. Podczas gdy wcześniejsze narzędzia szyfrujące sprawiały, że z systemów operacyjnych można było do pewnego stopnia korzystać, aby ofiara mogła zapłacić okup, Petya całkowicie je unieruchamiała. Atakowała ona MFT (Master File Table) — bazę danych, która przechowuje całą strukturę plików i folderów na dysku twardym.

Petya to program, który działał brutalnie, a jego skutki były bardzo destrukcyjne. Aby go aktywować, ofiara musiała ręcznie pobrać i uruchomić plik wykonywalny, co zmniejszało prawdopodobieństwo infekcji. W rzeczywistości nie stwarzałby on takiego zagrożenia, gdyby nie inny program ransomware — trafnie nazwany WannaCry.

W maju 2017 roku WannaCry zainfekował ponad 500 000 urządzeń na całym świecie, wywołując szkody w wysokości 4 mld dol. Jak mu się to udało? Poprzez wykorzystanie exploita EternalBlue, który wykorzystywał kilka bardzo niebezpiecznych luk w zabezpieczeniach systemu Windows. Trojan ten przenikał do sieci i instalował na komputerach ofiar WannaCry. Następnie ten szkodliwy program rozprzestrzeniał się na inne urządzenia znajdujące się w sieci lokalnej. W zainfekowanych systemach WannaCry szyfrował pliki i żądał okupu.

W niecałe dwa miesiące od pojawienia się WannaCry świat dowiedział się o kolejnym narzędziu szyfrującym, również zmodyfikowanym pod kątem EternalBlue: NotPetya, znanym także jako ExPetr. NotPetya pożerał całe dyski twarde.

Co więcej, NotPetya szyfrował tabelę plików w taki sposób, aby uniemożliwić odszyfrowanie nawet po zapłaceniu okupu. W efekcie eksperci doszli do wniosku, że był to tak naprawdę program usuwający dane, który tylko udawał narzędzie szyfrujące. Łączne szkody wywołane przez program NotPetya przekroczyły 10 mld dol.

Atak WannaCry był tak niszczący w skutkach, że firma Microsoft w ramach wyjątku utworzyła łatę dla systemów operacyjnych, dla których zakończyła już wsparcie techniczne. Aktualizacje dla wspieranych systemów były dostępne na długo przed obiema epidemiami, ale nie każdy je zainstalował, dzięki czemu te dwa programy ransomware mogły działać przez długi czas.

2017 rok: milion dolarów za odszyfrowanie

Oprócz bezprecedensowych szkód, w 2017 roku został też ustanowiony inny rekord — za największy okup zapłacony przez jedną organizację. Firma hostingowa Nayana w Korei Południowej zgodziła się zapłacić 1 mln dol. (kwota wynegocjowana po 4,5-krotnej obniżce) za odblokowanie komputerów zainfekowanych narzędziem szyfrującym Erebus.

Społeczność ekspertów zaskoczyło najbardziej to, że firma poinformowała publicznie o fakcie zapłacenia okupu. Większość ofiar woli nie chwalić się takimi decyzjami.

2018–2019: zagrożenie dla społeczeństwa

Ostatnie kilka lat to pojawienie się masowych ataków ransomware na media i obiekty komunalne. Instytucje z sektora transportowego, wodnego, energetycznego i zdrowia były coraz bardziej narażone na atak. Cyberprzestępcy liczyli na łatwy zarobek; nawet jeśli żądany okup byłby wysoki, przymusowa przerwa w usługach utrudniłaby życie tysiącom lub milionom osób.

Na przykład w 2018 roku atak szkodliwego programu szyfrującego na lotnisko w Bristolu w Wielkiej Brytanii zakłócał działanie ekranów wyświetlających rozkład lotów przez całe dwa dni. Personel postanowił wrócić do staromodnych tablic, a na korzyść lotniska zadziałało to, że jego reakcja na atak była szybka i skuteczna. O ile nam wiadomo, żaden lot nie został anulowany, a okup nie został zapłacony.

Hancock Health, amerykańska klinika, nie miała tyle szczęścia, i zapłaciła 4 BTC (wtedy 55 000 dol.) po tym, jak ransomware SamSam unieruchomiło jej systemy. Wyjaśniając decyzję firmy o zapłacie okupu, dyrektor generalny Steve Long powiedział o nadciągającej śnieżycy, a także powołał się na to, że był to jeden z najgorszych sezonów grypy. Klinika zwyczajnie nie miała czasu na samodzielne przywrócenie działania swoich komputerów.

Ogólnie w 2019 roku ponad 170 agencji miejskich w Stanach Zjednoczonych padło ofiarą ransomware, a żądania okupu sięgały aż 5 mln dol. Aktualizacja systemów operacyjnych w takich organizacjach może być trudna, dlatego cyberprzestępcy często używali starych — a przez to łatwiej dostępnych — exploitów.

2020 rok: coraz większa skala i szantażowanie opublikowaniem danych

Oprócz rosnącej skali infekcji, jak również coraz poważniejszymi konsekwencjami i wysokościami okupu, 2020 rok zapamiętamy także ze względu na nowe podejście hybrydowe, w którym ransomware, przed zaszyfrowaniem danych, wysyła je do swoich operatorów. Później pojawiały się groźby udostępnienia informacji konkurencji lub opublikowania ich. Biorąc pod uwagę dzisiejszą hiperwrażliwość wobec danych wrażliwych, mogłoby to mieć fatalne skutki dla firmy. Taktyka ta została po raz pierwszy opanowana przez ugrupowanie Maze w 2019 roku, ale w 2020 r. stała się prawdziwym trendem.

Organizacja związana z chirurgią plastyczną, Transform Hospital Group, padła ofiarą jednego z najgłośniejszych incydentów w 2020 roku. Ugrupowanie hakerskie REvil zaszyfrowało i ukradło 900 GB danych firmy Transform, w tym zdjęcia pacjentów sprzed i po operacji. Hakerzy grozili ich opublikowaniem.

Ponadto operatorzy tego szkodliwego programu szyfrującego zastosowali wiele nowych taktyk, które pojawiły się w 2020 roku. Na przykład ugrupowanie REvil umieściło ukradzione informacje na licytacji. Ponadto cyberprzestępcy zjednoczyli się w organizację przypominającą kartel. Pierwsze było ugrupowanie Maze, które zaczęło publikować informacje ukradzione przez narzędzie szyfrujące LockBit. Jak twierdzą cyberprzestępcy, teraz ściśle współpracują z LockBit, zapewniając platformę do wycieku danych, jak również udostępniając swoją wiedzę.

Chwalą się również, że wkrótce do kartelu dołączy inna licząca się grupa: RagnarLocker, pionier w organizowaniu ataków DDoS na zasoby ofiar, aby wywołać dodatkową presję na szantażowanych firmach.

Podsumowanie

W ciągu trzech dekad ransomware ewoluowało ze stosunkowo nieszkodliwej zabawki w poważne zagrożenie dla użytkowników wszystkich platform, a w szczególności dla firm. Aby zapewnić ochronę przed atakami, należy stosować się do zasad bezpieczeństwa — a jeśli w jakiś sposób dojdzie do włamania, ważne jest, aby poszukać pomocy u ekspertów, zamiast licytować się z cyberprzestępcami.