Přichází nová generace ransomware

Byť se ransomware zatím šíří spíše plošně, tak už delší dobu dochází k cíleným útokům na konkrétní subjekty.

A vše nasvědčuje tomu, že tento negativní trend jen tak neskončí. Především proto, že tyto subjekty navzdory doporučení bezpečnostních expertů vcelku ochotně za dešifrování svých dat zaplatí. Dle FBI si kyberkriminálníci za minulý rok měli přijít na nějakou 1 miliardu dolarů.

Chování napadených subjektů však nelze šmahem odsoudit, protože byť tyto subjekty nejspíš podcenily úroveň svého zabezpečení, tak nemohou čekat, jestli se některému z výzkumníků podaří získat klíč, kterým by mohla být jejich data dešifrována.

Zde je třeba si uvědomit, že cena za dešifrování je nyní útočníky stanovena ex ante, a je jedním slovem nízká. Je tomu tak ale především proto, že zatím se pořád, až na ojedinělé případy, stále jedná spíše o plošně vedené útoky.

V okamžiku, kdy útočníci začnou provádět pokročilou segmentaci trhu, přičemž ta základní geografická zde probíhá již několik let, tak bude docházet k cenové diferenciaci ex post, a to až na úrovni jednotlivých subjektů.

A můžete vsadit na to, že cena pak rapidně vzroste, protože útočník bude vědět, že cena za dešifrování dat je ve finančních možnostech daného subjektu. O těchto útocích se ale zřejmě ani nedozvíme, protože napadené subjekty se nebudou chlubit tím, že se staly obětí útoku, a že zaplatily, aby se dostaly ke svým datům.

Zveřejnění této informace nebude ani v zájmu orgánů činných v trestním řízení, protože je to v pravdě nežádoucí, a akorát by to vybízelo i ostatní oběti tohoto trestného činu k tomu, aby platili, a kromě toho by se tento trh stal ještě atraktivnějším a lákal by ke vstupu další kyberkriminální skupiny.

Pokud jde o vlastní vektor útoku, tak ten bude více méně pořád stejný, ransomware se bude i nadále šířit e-mailem a to v odkazech a přílohách, ale stále více i přímo přes web, sociální sítě, a ukryt bude rovněž i v mobilních aplikacích a USB flash discích a bude spoléhat na nedostatečné bezpečnostní povědomí zaměstnanců těchto subjektů.

Na napadeném stroji si ransomware zajistí svou persistenci poté, co si ověří, že neběží na virtuálním stroji, že na něm není nainstalované antimalware řešení, které by ho mohlo detekovat, a případně se ho pokusí i deaktivovat.

Kromě nízkého povědomí, kdy uživatel sám klikne na odkaz a stáhne a spustí soubor s malwarem, je zneužíváno zranitelností v prohlížečích a především pak v aplikacích jako je JAVA nebo FLASH. Mimochodem, potřebujete mít na svém zařízení FLASH?

Následně ransomware sesbírá veškeré kontakty, přihlašovací údaje a především se pokusí zjistit, koho že to vlastně nakazil a tyto údaje pak exfiltruje na C&C server, kde dojde k jejich zpracování.

Pokud jde o použité techniky, jakými probíhá infiltrace, gathering a exfiltrace, tak je stále více používána pokročilá steganografie, watering holes, malvertisement, host based identity encryption, DGA, double fast flux DNS a GeoIP, kterým jsem se poměrně detailně věnoval zde.

Je evidentní, že za těch pár let se tyto techniky staly již běžnou součástí malware a nejsou již jen nástrojem v rukou elitních hackerů. Ransomware se začíná pomalu chovat jako malware donedávna používaný spíše v rámci APT útoků a rovněž dochází i k přebírání částí kódu z bankovního malwaru.

Je tomu tak proto, že návratnost investice do ransomware začíná být podstatně vyšší než např. u bankovního malware, kde vícefaktorová autentizace spolu s FDS/FPS (Fraud Detection/Prevention Systems) přispěla k tomu, že se podstatně zhoršil konverzní poměr a rovněž se zvýšily i režijní náklady, takže je snaha kód, který se osvědčil, přepoužít. Samozřejmě až po nezbytné refaktorizaci a obfuskaci.

Kromě zajištění dalšího možného šíření pak ransomware zašifruje data za použití symetrické a asymetrické kryptografie (AES 256 a RSA 2048, případně ECC), smaže zálohy, stínové kopie, přepíše prázdné místo na disku, což se už děje a zobrazí výzvu k uhrazení příslušné částky podle skóringu klienta, který obdrží z C&C serveru, a začne odpočítávat čas.

Nejspíš se setkáme i s nabídkou nejrůznějších slev, postupným navyšováním ceny, kdy čím déle bude oběť s platbou váhat, tím bude cena za dešifrování dat vyšší, online podporou, vlastním odinstalátorem, vzdálenou správou, infikováním dalších strojů v síti apod. Ostatně ransomware je už dnes nabízený jako služba (Ransomware as a Service, zkr. RaaS).

Útočníci už dnes zkouší různé business modely a marketingové techniky. Zmiňme třeba ransomware CryptXXX, kdy byla nabízena vánoční sleva nebo Popcorn Time, který zase obětem nabízel, že jim zpřístupnění šifrovací klíče, pokud nakazí další dva a ti zaplatí.

Ale útočník nemusí jít jen cestou progresivní ceny v případě pozdní platby, a mazání jednoho či více náhodně vybraných zašifrovaných souborů, nýbrž může každý soubor nebo skupinu souborů šifrovat různým klíčem a ty potom mazat, což je mnohem efektivnější.

Zapomínat také nesmíme na server-side ransomware, který se vyvíjí paralelně s client-side ransomwarem a nabízí útočníkům značné možnosti, od prostého zašifrování souborů, skriptů, databází až po sofistikované změny v DB, které lze bez záloh vrátit jen pomocí skriptu, který je zašifrován. MongoDB je jen předzvěst toho, co bude následovat.

A ještě horší situace nastane, když ransomware část dat stáhne k sobě, a pokud nedojde k zaplacení výpalného, tak je začne zveřejňovat na internetu, a to na firemním nebo osobním Facebookovém účtu oběti, anebo je rozesílat na všechny e-mailové adresy, které útočník našel v kontaktech.

A tohle může být nepříjemné i pro domácnosti a firmy, co si dělají zálohy a dostupnost zašifrovaných dat je doposud příliš netrápila, protože byly schopny je rychle obnovit ze záloh. Narušení soukromí a důvěrnosti dat však bude i pro ně představovat problém.

V případě mobilních telefonů pak může být útok veden např. na osoby, které cestují, a které nemohou problém vyřešit jednoduše obnovou telefonu do jeho továrního nastavení, návštěvou speciálního servisu ani přendáním SIM karty do jiného telefonu.

Jednoduše proto, že potřebují být permanentně na příjmu a potřebují mít přístup ke kontaktům a datům na telefonu uloženým. V největším ohrožení budou nadále samozřejmě uživatelé s Google Android, neboť ten je nejzranitelnější.

Výše škody a ochota oběti zaplatit se bude odvíjet případ od případu a především od toho, zda se bude jednat o plošné nebo cílené útoky anebo jak moc bude útočník analyzovat koncové zařízení a využívat možností, které mu nabízí sociální sítě, pokročilé techniky rozpoznávání obrazu apod.

Za poslední tři roky urazil ransomware obrovský kus cesty, zatímco do roku 2014 spíše jen blokoval přístup do počítače, tak v roce 2015 již šifroval data domácích uživatelů, a rok 2016 se již nesl ve znamení cílených útoků na velké organizace, a tento trend bude pokračovat i letos. Musíme však počítat s tím, že kyberkriminálníci ještě přitvrdí a vydírání dostane zcela nový rozměr, tak jak bylo ostatně naznačeno výše.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Přichází nová generace ransomware” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: