TOP

Platforma kybernetické bezpečnosti

Kybernetičtí vyděrači

Motto: „Ransoware může zaútočit na každého, ale hackeři stále více míří na cíle, které raději zaplatí.“ Brian Heater, IT žurnalista

Kybernetičtí vyděrači

Ransomware dnes patří k velmi „perspektivním“ kybernetickým hrozbám. Poskytuje totiž novodobým kybernetickým lapkům nástroj, jak celkem jednoduše a přitom prakticky bez možnosti odhalení získat peníze i od malých a z pohledu kybernetické kriminality celkem nezajímavých firem či dokonce od běžných uživatelů.

Ransomware

Ransomware je ve skutečnosti škodlivý kód, malware, který po spuštění znemožní napadený systém nebo data využívat. Za obnovení přístupu obvykle se vyžaduje výkupné (angl. Ransom). V současné době se vyskytují tři formy ransomware. První z nich, označovaná jako Locker, pouze blokuje přístup k počítači nebo k napadenému systému, takže jej uživatel nemůže využívat. Šifrující ransomware, obvykle nazývaný Crypto, zašifruje soubory a výkupné požaduje za vydání šifrovacího klíče, kterým je lze obnovit. Moderní ransomware pak kombinuje oba způsoby útoku.

Historie ransomware

Ač se to zdá nepravděpodobné, historie ransomware je dlouhá a bohatá. První ransomware virus, označovaný jako AIDS Trojan, vytvořil v roce 1989 Joseph L. Popp. Byl distribuován na neuvěřitelných 20 000 nakažených disketách mezi účastníky mezinárodního kongresu o AIDS, který pořádala mezinárodní zdravotnická organizace WHO. Virus využíval symetrického šifrování jmen souborů a způsob jejich obnovy byl nalezen poměrně záhy. Odstartoval však již skoro třicetiletou historii vyděračských útoků. 

O sedmnáct let později, v roce 2006, se objevuje jiný, zcela nový kmen ransomware virů nesoucí název Archiveus. Poprvé v historii ransomware útoků používá asymetrické RSA šifrování a jeho prolomení je mnohem složitější. Kompletně šifruje obsah adresáře „My Documents“ a pro získání klíče vyžaduje provést platbu na zadaných webových stránkách. V roce 2011 se objevuje další rafinovaný ransomware trojan. Vystupuje jako systémové hlášení Windows vyžadující od uživatele obnovení aktivace systému z důvodů krádeže. Po spuštění vyžaduje od uživatele, aby zavolal údajně na bezplatné zahraniční telefonní číslo. Hovor je však přesměrován na dlouhé čekání a oběť platí výkupné v telefonních poplatcích za mezistátní spojení. 

O rok později se v Evropě objevuje další kmen ransomware, Reveton. Uživatelům infikovaných počítačů hlásí, že jejich zařízení bylo zneužito k ilegálním aktivitám a k odemknutí systému musí prostřednictvím voucheru vystaveného na anonymní platební službu zaplatit pokutu. Některé varianty dokonce dokázaly zobrazovat pohled z kamery počítače, který měl dokazovat, že uživatel je monitorován. Po Revetonu následovala celá plejáda dalších tzv. policejních ransomware malwarů. Zpráva Policie České republiky z 30. 12. 2014 mimo jiné praví: „Jednotlivé případy výskytu ransomware „Policie“ byly zaznamenány útvary Policie České republiky na celém území státu. Informační systémy Policie České republiky evidují celkem 871 oznámení tohoto druhu. Policie České republiky nedisponuje souhrnnými statistickými údaji ohledně trestné činnosti související s uvedeným malware, tj. ani údaji o celkové způsobené škodě. Škodu hrozící v souvislosti s uvedeným malware nelze kvalifikovaně odhadnout, neboť velká část případů výskytu ransomware „Policie“ zřejmě nebyla Policii České republiky oznámena.

Rok 2013 představuje v historii ransomware zlom, rodí se první „moderní“ šifrující malware, CryptoLocker, který se šíří prostřednictvím infikovaných stránek či důvěryhodně se tvářícími emaily. Využívá již tehdy existující botnetové sítě GameOver Zeus a později i populárních distribučních peer-to-peer sítí. CryptoLocker šifruje soubory se specifickými příponami pomocí AES-256. Klíč následně zašifruje 2048 bitovým RSA šifrováním pomocí klíče vytvořeného na řídících serverech, tzv. command-and-control nebo zkráceně C2, zřizovaných v síti TOR v běžně nepřístupné, tzv. temné části internetu. Útočníci používající CryptoLocker později zavedli ještě jednu novinku. Nezaplatí-li oběť v zadaném termínu, zvyšují cenu a hrozí i případným vymazáním klíče ze své databáze, což učiní soubory navždy nedostupnými.

V roce 2014 přichází CryptoDefense, ransomware, který pro zvýšení anonymity kromě úkrytu v síti TOR používá pro realizaci plateb kryptoměnu Bitcoin (BTC). Pro šifrování využívá vestavěných funkcí Windows, klíč je uložen ve tvaru prostého textu přímo v napadeném počítači. Na to se bohužel přišlo poměrně pozdě, zatímco tvůrci nedostatek promptně opravili a vylepšenou verzi pustili do světa pod názvem CryptoWall. Ten navíc uměl doplnit registry Windows o vlastní záznamy a současně se přidat k programům spouštěným při startu systému, čímž výrazně zkomplikoval odstraňování z napadeného počítače. CryptoWall zaútočil v několika vlnách a podle zprávy Cyber Threat Alliance vydané v roce 2015 napáchal globální škody za více než 325 milionů USD. 

Novou kvalitu v ransomware útocích přináší CTB-Locker. Na rozdíl od svých předchůdců, kteří pro anonymizaci zdrojů používali složitou vícevrstvou architekturu tvořenou proxy servery, botnety či několikanásobnými bitcoinovými peněženkami, CTB-Locker komunikuje s C2 serverem v TOR síti přímo. Jako první rovněž začal ve Windows počítačích mazat záložní stínové kopie. V roce 2016 byl speciálně upraven tak, aby specificky cílil na webové servery.

V roce 2014 spatřily světlo světa první ransomwary orientované na mobilní zařízení s operačním systémem Android: Sypeng, Koler a SimplLocker. O rok později přichází LockerPin. V roce 2015 začíná útočit vysoce propracovaný ransomware TeslaCrypt. K šifrování souborů používá AES-256, privátní AES klíč poté šifruje pomocí RSA s délkou 4096 bitů. Obsahuje funkce zvyšující jeho odolnost a komplikující odstranění. V roce 2016 autoři TeslaCrypt však věnovali svůj primární šifrovací klíč antivirové společnosti ESET.

Moderní ransomware

Počet různých ransomware útočníků v poslední době výrazně roste stejně jako jejich propracovanost a spektrum cílů. LowLevel04 a Chimera, poprvé zjištěné rovněž ještě v roce 2015, necílí jen na soubory v počítačích Windows. LowLevel04 napadá vzdálené desktopy a terminálové služby. Neroznáší jej ale malware nebo exploity. Útoky jsou vedeny ručně útočníky, jimž se podaří se k vzdálenému nebo terminálovému serveru přihlásit. Nejdříve odmapují vnitřní systémy a disky, a poté distribuují ransomware manuálně. Dokážou smazat i aplikace a systémové nebo bezpečnostní záznamy. Chimera zase nevyhrožuje šifrováním souborů, nýbrž zveřejněním citlivých a privátních dat.

2016

Opravdový pytel s ransomware se ale roztrhl v loňském roce. Objevuje se první kód napsaný v javascriptu, Ransom32. Využití javascriptu rozšiřuje potenciální možnosti útoků na další platformy, které jej podporují, např. Linux nebo Mac OS. Další ransomware, 7ev3n, se vyznačuje nejenom tím, že vyžaduje dosud vůbec nejvyšší výkupné, 13 BTC, což je v současném kurzu skoro 400 000 Kč, ale také tím, že si jeho tvůrci dali záležet na jeho naprosté nevystopovatelnosti. Nejenom že šifruje soubory, ale při nezaplacení výkupného současně zlikviduje Windows. Nejnovější varianta 7ev3n-HONE$T však vyžaduje už nižší výkupné a je vybavena méně destruktivními funkcemi.
Další nechvalně známý ransomware Locky byl původně vyvinut pro výzkumné účely a jeho tvůrci umístili otevřený kód na GitHub. Zde se jej okamžitě zmocnili kybernetičtí záškodníci a upravili ho k nekalým účelům. Na základě změněného kódu vzniklo nepřeberné množství různých variant, které se masívně šířily a šíří internetem prostřednictvím agresivních phishingových útoků. Locky stojí i za loňskými útoky na nemocnice v Kentucky, v Kalifornii nebo v Kansasu.
Ransomware SamSam, označovaný také jako SAMAS cílí zase na aplikační servery JBoss. Jeho zvláštností je, že obsahuje komunikační kanál, jímž mohou útočníci v reálném čase komunikovat se svými oběťmi.

Ransomware se nevyhnulo ani operačnímu systému Mac OS. KeRanger, zjištěný rovněž v roce 2016 a distribuovaný prostřednictvím BitTorrent klientu pro MAC OS X, je podepsán MAC certifikátem a může tak obejít bezpečnostní ochranu Apple. Ransomware Petya se zase šíří prostřednictvím úložiště Dropbox. Přepíše zaváděcí záznam disku a poté disk zašifruje jako celek. Nezaplatí-li napadený do sedmi dnů výkupné, které činí okolo 400 USD, částka se zdvojnásobuje. Modernější variantou Petya je ransomware Mischa. Dalším zdokonalením odolnosti a resistence je schopnost malware zašifrovat svůj vlastní zdrojový kód v napadeném stroji, kterou jako první použil ransomware Maktab. O tom, že vynalézavost tvůrců nezná mezí, svědčí třeba i ransomware Jigsaw. Součástí upozornění na platbu výkupného je populární postava Jigsaw z legendárního hororu Saw. Za každou hodinu zpoždění platby výkupného smaže Jigsaw jeden soubor. Při pokusu o zastavení procesu mazání, například restartováním počítače smaže návdavkem rovnou tisíc souborů.

Dalším z nejnovějších a masivně distribuovaných typů ransomware je CryptXXX. Obsahuje takové funkcionality, jako je detekce nástrojů pro oddělené spouštění aplikací, např. SandBox, monitorování aktivit myši, speciální protokoly pro komunikaci s řídícím serverem a platbu prostřednictvím sítě TOR. ZCryptor, objevený v květnu 2016, je zase prvním šifrujícím červem. Kromě již obvyklých vlastností jako je šifrování souborů, zápis klíčů do registrů Windows atd., je vybaven i nástroji umožňující mu se samostatně šířit a infikovat další zařízení a systémy v síti včetně sdílených disků.

V příští části se budeme věnovat distribuci ransomware a ochraně proti infekci.

Dag Jeger.