Im lepiej zrozumiemy sposób i skalę działania cyberprzestępców, tym skuteczniej będziemy mogli się przed nimi chronić. W przypadku ransomware oszacowanie sukcesu i opłacalności danego ugrupowania cyberprzestępczego zwykle nie należy do najłatwiejszych. Dostawcy ochrony dowiadują się o takich atakach najczęściej na drodze obserwacji i komunikacji ze swoimi klientami, co oznacza, że zwykle na jaw wychodzą tylko te, które się nie udały. Tymczasem ofiary ransomware często milczą (zwłaszcza, gdy zapłaciły okup).
W efekcie niewiele mamy rzetelnych danych na temat pomyślnych ataków. Podczas wydarzenia Remote Chaos Communication Congress (RC3) w 2020 roku grupa badaczy zaprezentowała dość ciekawą metodę analizy kampanii cyberprzestępczych opartą w całości na śladach kryptowalut.
Analitycy z Uniwersytetu Princeton, Uniwersytetu Nowojorskiego i Uniwersytetu Kalifornijskiego w San Diego, jak również pracownicy firm Google i Chainalysis, przeprowadzili badanie w latach 2016—2017. Chociaż minęło już kilka lat, metoda ta nadal może być stosowana.
Metoda badania
Przestępcy obawiają się pozostawiania śladów po pieniądzach, dlatego lubią używać kryptowalut (zwłaszcza Bitcoin), które praktycznie nie podlegają regulacjom i zapewniają anonimowość. Co więcej, kryptowaluty są dostępne dla wszystkich, a dokonywanych za jej pomocą transakcji nie można anulować.
Jest jeszcze inna cecha szczególna Bitcoina: wszystkie transakcje dokonywane przy jego użyciu są publiczne. Oznacza to, że można śledzić przepływ środków finansowych i mieć wgląd w wewnętrzne funkcjonowanie gospodarki cyberprzestępczej. To właśnie zrobili badacze.
Niektórzy atakujący generują dla każdej ofiary unikatowy adres portfela BTC, więc badacze najpierw zebrali portfele przeznaczone do płatności w ramach okupu. Część adresów znaleźli w informacjach udostępnionych publicznie na temat infekcji (wiele ofiar publikowało w internecie zrzuty ekranu wiadomości z żądaniem okupu), a inne uzyskali poprzez uruchomienie ransomware na maszynach testowych.
Następnie badacze wyśledzili ścieżkę, jaką pokonywała kryptowaluta po przesłaniu jej do portfel. W niektórych przypadkach wymagało to dokonania mikropłatności Bitcoin na własną rękę. Dzięki temu, że Bitcoin obsługuje cospending — czyli metodę, w której pieniądze pochodzące od różnych portfeli są przesyłane do jednego — cyberprzestępcy mogli połączyć płatności dokonywane w ramach okupu od różnych ofiar. W takiej sytuacji konieczne jest, aby osoba zarządzająca całą operacją miała klucze do wielu portfeli. W efekcie śledzenie takich operacji umożliwia rozszerzenie listy ofiar i równocześnie znalezienie adresu portfela centralnego, do którego przesyłane są pieniądze.
Przeanalizowanie przepływu pieniędzy przez portfele na przestrzeni dwóch lat pozwoliło badaczom na zbudowanie obrazu odnośnie przychodów cyberprzestępców oraz metod, których używają do prania pieniędzy.
Najważniejsze wnioski
Najważniejszym wnioskiem badaczy była informacja, że na przestrzeni dwóch lat 19 750 ofiar przesłało około 16 mln dol. do operatorów pięciu najpopularniejszych rodzajów ransomware. Wprawdzie liczba ta nie jest ostateczna (jest mało prawdopodobne, że prześledzili wszystkie transakcje), ale pokazuje ogólną skalę aktywności cyberprzestępczej, jaka miała miejsce kilka lat temu.
Co ciekawe, źródłem około 90% przychodu były rodziny Locky i Cerber (dwa najbardziej aktywne programy ransomware w tamtym czasie). Co więcej, niesławny WannaCry zarobił ok. stu tysięcy dolarów (chociaż wielu ekspertów klasyfikuje to szkodliwe oprogramowanie jako wiper, a nie ransomware).
O wiele bardziej ciekawsze było sprawdzanie, jaka część tego przychodu trafiła do cyberprzestępców i jak tego dokonali. W tym celu badacze użyli tej samej metody analizy transakcji, aby sprawdzić, które portfele cyberprzestępców pojawiły się we wspólnych transakcjach, w których użyto znane portfele internetowe usług wymiany cyfrowej waluty. Oczywiście nie wszystkie pieniądze można wyśledzić w ten sposób, ale dzięki tej metodzie badacze mogli założyć, że cyberprzestępcy najczęściej wypłacali pieniądze za pośrednictwem serwisów BTC-e.com i BitMixer.io (władze później zamknęły obie giełdy za pranie nielegalnych funduszy).
Niestety strona internetowa RC3 nie zawiera całego filmu z prezentacją, ale udostępnia pełną treść raportu.
Jak chronić się przed ransomware
Spory zarobek na ransomware sprawił, że cyberprzestępcy zaczęli zachowywać się bardziej zuchwale. Czasami bawią się w nowoczesnego Robin Hooda i inwestują w akcje charytatywne, czasami płacą za kampanię reklamową, aby móc nękać ofiary. W badaniu tym badacze próbowali zlokalizować aspekty, które mogłyby zatrzymać przepływ finansów i zasiać wątpliwości w umyśle cyberprzestępców w odniesieniu do dochodu z nowego ransomware.
Jedyną prawdziwie skuteczną metodą walki z przestępczością jest zapobieganie infekcji. Z tego względu zalecamy przestrzeganie następujących zasad:
- Naucz pracowników rozpoznawać techniki socjotechniczne. Atakujący zwykle próbują zainfekować komputery poprzez wysyłanie użytkownikom szkodliwego dokumentu lub łącza.
- Regularnie aktualizuj wszystkie programy, zwłaszcza systemy operacyjne. Bardzo często ransomware i dostarczające go narzędzia wykorzystują znane, ale jeszcze niezałatane luki w zabezpieczeniach.
- Używaj niezawodnego rozwiązania z wbudowanymi technologiami chroniącymi przed ransomware — w idealnym przypadku poradzi ono sobie zarówno ze znanymi, jak i jeszcze niewykrytymi zagrożeniami.
- Regularnie twórz kopie zapasowe swoich danych i najlepiej nie przechowuj ich na nośniku, który jest na stałe podłączony do sieci lokalnej.