Jak funguje byznys s vyděračským virem? Izraelská firma rozkryla milionovou síť malwaru Cerber, útočí i v Česku
„Vaše databáze, dokumenty, fotky a další důležité soubory byly zašifrovány! Abyste svá data dekódovali, musíte si zakoupit speciální software „Cerber Decryptor“. Všechny transakce musí být provedeny výhradně přes platební síť Bitcoin. Během pěti dnů si tento produkt můžete zakoupit za speciální cenu jednoho bitcoinu (aktuálně 13 600 korun). Po pěti dnech se tato částka zvýší na dva bitcoiny.“
Takovouto zprávu psanou v angličtině nebo dalších 11 světových jazycích si na svých přístrojích přečetly statisíce počítačových uživatelů z celého světa, jejichž PC byly infikovány „vyděračským virem“ – ransomwarem jménem Cerber.
„Cerber jen za červenec infikoval kolem 150 tisíc světových počítačů,“ uvádí ve své rozsáhlé zprávě o škodlivém malwaru izraelská antivirová firma CheckPoint, která studii vypracovala ve spolupráci s bezpečností společností IntSights.
Vyděračský malware podle dvojice firem pochází z Ruska. Tomu nasvědčuje fakt, že ruské počítače nenapadá, stejně jako přístroje z některých dalších postsovětských států. Jinak ale útočí ve všech zemích světa.
Získat co nejvíc „obchodních partnerů“
Z tisíce úspěšných útoků Cerberu zaplatí v průměru tři napadení.“To se může jevit jako malé číslo. Pro útočníky ale stále představuje slušný profit, který jen za červenec dosáhl celkem 195 tisíc dolarů (téměř pěti milionů korun). Ročně tedy mohou na svém vydírání vydělat asi 2,3 milionu dolarů (55 milionů korun),“ zmiňuje CheckPoint, podle něhož nejvíce peněz zatím zaplatili uživatelé z Jižní Koreje a USA. Kolik hackeři vylákali z Čechů, izraelská firma neuvedla. „Jen v červenci ale Cerber úspěšně infikoval přístroje 700 českých uživatelů,“ řekl HN Michael Shaulov z CheckPointu.
Na základě zjištění studie se přitom ukazuje, že hackeři-vývojáři jsou především zdatnými obchodníky, kteří jsou schopni svůj produkt rozšířit za pomocí rozvinuté „virové franšízy“, do níž jsou zapojeni další distribuční partneři z celého světa.
Míra nakažených počítačů způsobená virem Cerber. Zdroj: CheckPoint
„Tvůrci tohoto malwaru třeba vytvořili náborovou reklamní kampaň pro získání partnerů nebo celé uživatelské prostředí, které distributorům viru zobrazuje výši profitu, jehož mohou dosáhnout,“ uvádí zpráva.
V únoru, kdy Cerber poprvé začal útočit, tak tvůrci škodlivého malwaru v rámci inzerátu oslovujícího možné partnery zveřejnili vedle technické specifikace viru také obchodní podmínky partnerství.
Každý distributor si měl podle dohody z každé zaplacené částky výkupného přijít na 60 procent sumy. Pět procent mu navíc náleželo, když pro program zlákal dalšího spolupracovníka. Zbytek sumy připadl tvůrcům viru.
Přesnou částku výkupného si přitom může určit distributor sám, stejně jako si sám vybírá z několika způsobů infikování počítače. S tvůrcem či tvůrci viru ho pak spojuje jen „nabízený produkt“ a způsob získání peněz pomocí bitcoinového systému.
Jak se perou peníze přes bitcoiny?
Samotná platba bitcoiny není podle zástupce CheckPointu obecně riziková. „Umožňuje nicméně útočníkům zůstat v anonymitě, protože zakládání bitcoinových účtů-peněženek nevyžaduje udávání žádných registračních údajů,“ říká Shaulov.
Transakce vedené mezi takovými bitcoinovými účty ale již zaznamenávány jsou. „Pokud by tedy docházelo k větším přesunům těchto digitálních peněz, mohly by si jich odpovědné úřady všimnout, dohledat související bankovní konta hackerů a celou globální síť by tak prakticky rozkryly,“ stojí ve zprávě CheckPointu.
Proto podle firmy hackerská organizace peníze z každého výkupného rozděluje na menší částky, které pak rozesílá mezi stovky a tisíce bitcoinových účtů lidí, kteří v podvodném podnikání třeba nejsou ani zainteresováni.
Jejich bitcoinová konta tak v podstatě využívá jako nepřeberné množství bank, které za drobný poplatek „špinavé bitcoiny“ na čas uloží, než jsou zase převedeny jinam.
„Tento postup v podstatě smíchá hackerské peníze s penězi jiných uživatelů, což má za následek faktickou nemožnost původ a identitu hackerů odhalit,“ uvádí izraelská firma.
Virus ukrytý v životopisu uchazeče o práci
S využitím tohoto finančního know-how se viroví franšízanti mohou cítit bezpečně a nerušeně svůj byznys rozšiřují.
Jeden způsob napadení počítače, který partneři hackerů využívají, vede přes webové stránky, infikované s vědomím jejich zřizovatele nebo i bez něj. Jiný druh útoku spočívá v zasílání věrohodně se tvářících e-mailů, jejichž přílohy obsahovaly virovou nákazu. Takový způsob využívá třeba virový distributor, který zřejmě pochází z některé z německy mluvících zemí, protože právě do nich směřuje většina jeho útoků.
Podle všeho útočník oslovuje především personalisty firem, hledající nové zaměstnance.
„Virus skrytý v e-mailu byl přiložen do dobře sepsané zprávy, která se vydávala za přihlášku do výběrového řízení, což vytvářelo dojem legitimity. Přílohy zprávy nesly fiktivní jméno uchazeče nebo dokonce jeho domnělou fotografii,“ uvádí CheckPoint.
„Budu rád, když nahlédnete do přiložených dokumentů, a těším se na osobní setkání,“ psal v jedné ze zpráv útočník, jenž do přiloženého CV zakomponoval také stahovač viru, který následně personalistův počítač infikoval.
Po každém z úspěšných druhů útoků byli pak jednotliví napadení osloveni s „obchodní nabídkou“ na koupi programu, který data za stanovené výkupné ve většině případů také odblokoval.
Nenechte se vydírat
Podle odborníků na kyberbezpečnost by lidé, jejichž počítače byly Cerberem infikovány, peníze za odšifrování dat platit neměli.
Už proto, že není jisté, zda k odblokování po zaslání výkupného skutečně dojde. Navíc hrozí, že se virus po nějaké době v přístroji objeví znovu.
„Obecně platí, že nejlepší obranou je dobrá prevence. Lidé by se tedy měli vyvarovat otevírání podezřelých příloh e-mailů nebo návštěv pochybných webů,“ říká Shaulov, podle něhož je také na místě svá data průběžně zálohovat.
„Pokud ale k infikování již došlo, pak je třeba virus z počítače odstranit a k odblokování souborů využít speciálních programů, z nichž jeden jsme sami vytvořili,“ říká Shaulov. Jiní odborníci pak doporučují třeba dešifrovací program Kaspersky Ransomware Decryptor nebo nástroje jako ShadowExplorer či Recuva, které jsou schopny obnovit data z takzvaných stínových kopií.
Cerber se však dále šíří a inovuje, což dokládá červencové spuštění jeho nové varianty jménem Cerber 2.
„Vznik této verze dokládá, že trh vyděračských virů je jako všechny druhy byznysů soutěživý. Aby váš produkt zůstal pro zákazníky v podobě virových distributorů atraktivní, musíte zkrátka jít s dobou,“ uzavírá zpráva izraelského CheckPointu.
Zdroj: http://byznys.ihned.cz
