Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport KSN: mobilne oprogramowanie ransomware w latach 2014-2016

Tagi:

Dane statystyczne

Aktywność oprogramowania ransomware mobilnego, chociaż nie znalazła tak szerokiego oddźwięku w mediach jak ransomware PC, również znacząco wzrosła w okresie objętych tym raportem. Zwłaszcza w drugiej połowie.

1_auto.png

Rys. 12: Liczba użytkowników, którzy co najmniej raz zetknęli się z mobilnym oprogramowaniem ransomware w okresie od kwietnia 2014 do marca 2016 r.

Od kwietnia 2014 r. do marca 2015 r. rozwiązania bezpieczeństwa firmy Kaspersky Lab przeznaczone dla systemu Android ochroniły 35 413 użytkowników przed mobilnym oprogramowaniem ransomware. Rok później liczba ta wzrosła niemal czterokrotnie do 136 532 użytkowników. Udział użytkowników zaatakowanych przy użyciu ransomware jako odsetek użytkowników zaatakowanych przy użyciu dowolnego rodzaju szkodliwego oprogramowania również wzrósł: z 2,04% w latach 2014-2015 do 4,63% w latach 2015-2016. Krzywa wzrostu może być mniejsza niż ta dotycząca oprogramowania ransomware dla PC, nadal jednak jest wystarczająco znacząca, aby potwierdzić ten niepokojący trend.         

Rozkład geograficzny mobilnego oprogramowania ransomware jest podobny do rozkładu geograficznego ransomware dla komputerów PC, jednak z kilkoma znaczącymi różnicami. W okresie 2014-2015 odsetek użytkowników mobilnych zaatakowanych przy użyciu ransomware był dość niski, znacznie niższy niż w przypadku tego zagrożenia dla komputerów PC.

 

Państwo

% użytkowników zaatakowanych przy użyciu oprogramowania
ransomware w stosunku do wszystkich użytkowników, którzy zetknęli się z szkodliwym oprogramowaniem  

Stany Zjednoczone

10,4%

Kazachstan

7,8%

Ukraina

6,7%

Niemcy

4,5%

Wielka Brytania

2,6%

Federacja Rosyjska

2,5%

Białoruś

1,7%

Arabia Saudyjska

1,6%

Szwajcaria

1,5%

Brazylia

0,16%

 

Rys. 13: Top 10 państw o najwyższym odsetku użytkowników mobilnych zaatakowanych przy użyciu szkodliwego oprogramowania z kategorii Trojan-Ransom jako odsetek użytkowników zaatakowanych przy użyciu dowolnego rodzaju mobilnego szkodliwego oprogramowania. (Każde państwo posiada ponad 5 000 unikatowych użytkowników produktów firmy Kaspersky Lab przeznaczonych dla urządzeń z systemem Android). Okres badawczy: kwiecień 2014 – marzec 2015.

Jak widać na rys. 13, w okresie 2014-2015 lista państw, w których użytkownicy byli najbardziej narażeni na zetknięcie się z mobilnym oprogramowaniem ransomware znacząco różniła się od tej opartej na danych dotyczących użytkowników komputerów PC. Na prowadzeniu w rankingu znalazły się Stany Zjednoczone, w których 10,4% użytkowników zostało zaatakowanych oprogramowaniem ransomware. Za nimi uplasował się Kazachstan (7,8%) Ukraina (6,7%) oraz Niemcy (4,5%). Rosja znalazła się niżej w zestawieniu, głównie dlatego że krajobraz lokalnych zagrożeń w tym czasie był zdominowany przez szkodliwe oprogramowanie Trojan-SMS.   

W okresie 2015-2016 ranking ten zmienił się znacząco, zarówno pod względem kolejności państw jak i proporcji użytkowników, którzy zetknęli się z oprogramowaniem ransomware.   

 

Państwo

% użytkowników zaatakowanych przy użyciu oprogramowania ransomware w stosunku do wszystkich użytkowników, którzy zetknęli się z szkodliwym oprogramowaniem  

Niemcy

22,90%

Kanada

19,61%

Wielka Brytania

16,13%

Stany Zjednoczone

15,64%

Kazachstan

14,42%

Włochy

12,54%

Holandia

12,30%

Hiszpania

5,27%

Federacja Rosyjska

4,91%

Ukraina

4,63%

Rys. 14: Top 10 państw o najwyższym odsetku użytkowników mobilnych zaatakowanych przy użyciu szkodliwego oprogramowania z kategorii Trojan-Ransom jako odsetek użytkowników zaatakowanych przy użyciu dowolnego rodzaju szkodliwego oprogramowania mobilnego. (Każde państwo posiada ponad 5000 unikatowych użytkowników produktów firmy Kaspersky Lab przeznaczonych dla urządzeń z Androidem). Okres badawczy: kwiecień 2015 – marzec 2016 r.

Niemcy zostały liderem (22,9% zaatakowanych użytkowników), a tuż za nimi uplasowała się Kanada (19,61%), Wielka Brytania (16,13%) i Stany Zjednoczone (15,64%).

Najwyraźniej, profil celów mobilnego oprogramowania ransomware znacznie różni się od celu oprogramowania ransomware dla komputerów PC. Trudno powiedzieć dokładnie, dlaczego tak jest, można jednak przyjąć, że w państwach, które uplasowały się na szczycie listy ransomware mobilnego, infrastruktura mobilna i płatności elektronicznych jest znacznie lepiej rozwinięta i rozpowszechniona niż w państwach, które znalazły się na dole listy lub poza nią. Przestępcy lubią znaleźć się możliwie najbliżej pieniędzy swoich ofiar, dlatego z pewnością odpowiada im możliwość zaatakowania użytkownika, który może przelać okup kilkoma kliknięciami lub dotknięciami ekranu.   

 

Główni aktorzy mobilnego oprogramowania ransomware

W całym okresie objętym raportem badacze z Kaspersky Lab zdołali zidentyfikować kilka rodzin mobilnego oprogramowania ransomware, z którymi użytkownicy naszych produktów mieli najczęściej styczność. W okresie 2014-2015 były to: Pletor, Fusob, Svpeng oraz Small. W okresie 2015-2016 Svpeng znacznie ograniczył swoją aktywność, odpowiadając za jedynie niewielki udział zaatakowanych użytkowników.  

W pewnym momencie w okresie 2014-2015 Svpeng – pierwotnie znany jako szkodliwe oprogramowanie bankowe – został zmodyfikowany przez swoich twórców w taki sposób, aby mógł zablokować zainfekowane urządzenie. Od tego czasu śledziliśmy obie wersje Svpenga: bankową i wyłudzającą okup. Ta druga zyskała znaczną popularność w latach 2014-2015, odpowiadając za 5,64% użytkowników zaatakowanych przy użyciu dowolnego szkodliwego oprogramowania.       

Sytuacja zmieniła się w drugim okresie, gdy oprogramowanie ransomware spadło na dół rankingu Top 30 zagrożeń. Jednak swą aktywność wznowiła wersja bankowa rodziny Svpeng, co prawdopodobnie oznacza, że twórcy szkodliwego oprogramowania po prostu stracili zainteresowanie tworzeniem oprogramowania ransomware i postanowili skoncentrować się na oprogramowaniu bankowym.

Mniej więcej ta sama sytuacja miała miejsce w przypadku Pletora – szkodnika uważanego za pierwszy przykład oprogramowania ransomware, stworzonego rzekomo przez autorów niesławnego trojana bankowego Acecard. W okresie 2014-2015 szkodnik ten odpowiadał za dość znaczny odsetek użytkowników mobilnych zaatakowanych przy użyciu oprogramowania ransomware, jednak do lat 2015-2016 zniknął z czołówki, pozostawiając „na rynku” tylko trzy duże rodziny oprogramowania ransomware.

2_auto.png

Rys. 15: Rozkład udziału zaatakowanych użytkowników wśród najaktywniejszych rodzin mobilnego oprogramowania ransomware w okresie 2014-2015 (lewa strona) w porównaniu z okresem 2015-2016 (prawa strona).

Innym istotnym zjawiskiem występującym na przestrzeni 24 miesięcy objętych raportem była rywalizacja między dwiema dużymi rodzinami oprogramowania ransomware: Small oraz Fusob. W okresie 2014-2015 lidera stanowiła rodzina Small - przynajmniej pod względem odsetka zaatakowanych użytkowników. Szkodniki z tej rodziny odpowiadały za 69,11% wszystkich użytkowników, którzy co najmniej jeden raz zetknęli się z mobilnym oprogramowaniem ransomware. Jednak rok później prowadzenie przejęła rodzina Fusob, która zaatakowała 56,25% użytkowników. Rodzina Small zajęła drugą pozycję (37,23% zaatakowanych użytkowników). Szkodliwe oprogramowanie z rodzin Svpeng, Pletor, Small oraz Fusob może zostać sprzedane przez ich autorów innym cyberprzestępcom lub rozprzestrzeniane za pośrednictwem sieci afiliowanych – wszystkie cztery rodziny przeszły wiele modyfikacji. Jednak Small i Fusob zostały zmodyfikowane w największym stopniu, co wyraźnie pokazują statystyki.        

W przeciwieństwie do oprogramowania ransomware dla komputerów PC, które zostało już stosunkowo szeroko przeanalizowane przez badaczy z różnych firm, w tym Kaspersky Lab, mobilne oprogramowanie ransomware nie zostało jeszcze dogłębnie zbadane. Aby wypełnić tę lukę, prezentujemy krótki opis przykładów najbardziej rozpowszechnionych i niebezpiecznych mobilnych programów ransomware od kwietnia 2016 r.

Ransomware Fusob

W kwietniu 2016 r. Trojan-Ransom.AndroidOS.Fusob stanowił najpopularniejszego trojana mobilnego: zaatakował użytkowników w ponad 100 krajach na całym świecie. Pierwsze próbki oprogramowania Trojan-Ransom.AndroidOS.Fusob zostały wykryte przez ekspertów z Kaspersky Lab na początku stycznia 2015 r. 

3_auto.png

Rys. 16: Komunikat wyświetlony przez oprogramowanie ransomware Fusob

Trojan-Ransom.AndroidOS.Fusob był najaktywniej rozprzestrzeniany w następujących państwach:

Państwo

% użytkowników zaatakowanych przez oprogramowanie Fusob

Niemcy

41,5

Stany Zjednoczone

14,5

Wielka Brytania

11,4

Włochy

8,8

Meksyk

4,4

Kanada

3,6

Szwajcaria

1,9

Holandia

1,6

Hiszpania

1,4

Japonia

1,2

Rys.16: Odsetek użytkowników zaatakowanych przy użyciu oprogramowania ransomware Fusob jako odsetek wszystkich użytkowników zaatakowanych przy użyciu dowolnego rodzaju mobilnego oprogramowania ransomware

Jak tylko trojan zostanie wykonany [?], sprawdza język urządzenia (Locale.getDefault().getCountry()) i w przypadku następujących państw nie wykonuje żadnych szkodliwych działań:

  • KZ Kazachstan
  • AZ Azerbejdżan
  • BG Bułgaria
  • GE Gruzja
  • HU Węgry
  • UA Ukraina
  • RU Federacja Rosyjska
  • AM Armenia
  • BY Białoruś

Jeśli dane państwo nie znajduje się na liście, trojan żąda praw administratora urządzenia i wyświetla komunikat informujący użytkownika, że jego urządzenie jest aktualizowane. Z urządzenia wciąż można korzystać, ale trojan blokuje dostęp do jego ustawień, nakładając na nie własne okno. W ten sposób zabezpiecza się przed usunięciem.  

W tym czasie trojan gromadzi informacje dotyczące urządzenia i przesyła je osobom atakującym. W trakcie tej czynności wrzuca dwa różne zestawy danych na serwer kontroli (C&C). Pierwszy z nich zawiera informacje dotyczące urządzenia, takie jak model urządzenia, wersja systemu operacyjnego itd. Dane te są szyfrowane przy użyciu algorytmu Base64 i przesyłane na serwer przestępców. Drugi zestaw danych zawiera między innymi lokalizację użytkownika oraz rejestr połączeń z nazwiskami z listy kontaktów. Zestaw ten jest szyfrowany przy użyciu algorytmu AES i wrzucany na cyberprzestępczy serwer kontroli.   

Następnie trojan czeka na polecenie osób atakujących zawierające niezbędne dane do zablokowania urządzenia.

W tym celu szkodnik wykorzystuje plik HTML otrzymany z serwera kontroli. Sam trojan posiada funkcjonalność, która może zostać aktywowana z tego pliku.  

4.png

Rys. 17: Fragment kodu oprogramowania ransomware Fusob

Spośród kilku funkcji zintegrowanych w trojanie, dwie są szczególnie niepokojące. Są to: getImage(), która służy do zrobienia zdjęcia przy użyciu aparatu z przodu urządzenia, oraz inst(), która służy do instalowania wcześniej pobranego pliku APK.    

Przestępcy żądają zazwyczaj od 100 do 200 dolarów za odblokowanie urządzenia. Okup należy zapłacić w formie kodów z kart iTunes typu pre-paid.

5_auto.png

Rys. 18. Okno dialogowe, w którym należy podać kod karty podarunkowej w celu odblokowania urządzenia 

Szkodniki z tej rodziny są rozprzestrzeniane głównie za pośrednictwem stron pornograficznych; występują zwykle pod nazwą xxxPlayer, naśladując aplikację multimedialną do oglądania filmów pornograficznych.

6.png

Rys. 19: Przykład rodzaju strony internetowej, za pośrednictwem której rozprzestrzenia się szkodliwe oprogramowanie Fusob

Kliknięcie przycisku “Download App Now!” (Pobierz aplikację teraz!) powoduje pobranie trojana z rodziny Fusob na urządzenie użytkownika. Co ciekawe, po jakimś czasie strona ta przekierowała nas na inną stronę, która próbowała wyłudzić 100 dolarów w podobny sposób co Fusob.

7.png

Rys. 20: Strona internetowa pojawiająca się po pobraniu szkodliwego oprogramowania o nazwie Fusob

Ponadto, ostatnio odnotowano wiele przypadków wykorzystania zestawu do tworzenia exploitów, aby ukradkiem dostarczyć tego trojana na urządzenia z systemem Android.

Przeanalizowaliśmy źródła infekcji, które były najaktywniejsze w momencie powstawania tego raportu. Większość z nich jest zarejestrowana na adresy e-mail w domenie yandex.ru. Ponadto większość serwerów kontroli tego trojana jest hostowanych w Rosji lub zawiera dane rejestracyjne sugerujące, że osoba, która je zarejestrowała, mówi po rosyjsku. Jednak analiza ogromnej liczby modyfikacji tego trojana, począwszy od jego najwcześniejszych wcieleń, nie dostarczyła żadnych dowodów potwierdzających język, jakim posługiwali się autorzy. Jedyną wskazówką, jaką zdołaliśmy znaleźć w kodzie pliku HTML służącym do zablokowania urządzenia, jest komentarz w języku rosyjskim. Wszystko to, w połączeniu z faktem, że trojan ten nie atakuje użytkowników rosyjskich, sugeruje, że autorzy trojana lub rozprzestrzeniający go przestępcy posługują się językiem rosyjskim. 

8_auto.png

Rys. 21: Fragment kodu Fusoba wskazujący możliwe pochodzenie jego autorów  

Ransomware Small

W kwietniu 2016 r. ponad 12% zaatakowanych użytkowników było celem przedstawicieli rodziny Trojan-Ransom.AndroidOS.Small, która stanowiła drugą pod względem popularności rodzinę trojanów ransomware. Szkodniki te znajdują się na naszym radarze od połowy czerwca 2014 roku.

Niemal 99% użytkowników zaatakowanych przez tego trojana jest zlokalizowanych w zaledwie trzech państwach:

Państwo

% zaatakowanych użytkowników

Federacja Rosyjska

54,6

Kazachstan

26,9

Ukraina

17,2

Rys. 22: Rozkład prób infekcji oprogramowaniem ransomware Small w kwietniu 2016 r.

Rodzina ta składa się z trzech głównych grup:

Pierwsza grupa zawiera niewielkie i bardzo podstawowe trojany ransomware. Po uruchomieniu żądają praw administratora urządzenia, aby uniemożliwić usunięcie trojana. Wkrótce po tym wyświetlają komunikat żądający okupu, który pojawia się na ekranie przykrywającym wszystkie okna. To uniemożliwia korzystanie z urządzenia.   

9_auto.png

Rys. 23: Komunikat wyświetlany przez oprogramowanie ransomware Small (grupa 1)

Szkodniki te atakują głównie rosyjsko-języcznych użytkowników, żądając od 700 do 3 500 rubli w zamian za odblokowanie urządzenia. Odnotowaliśmy również próbki, których celem byli angielskojęzyczni użytkownicy. Mają podobną funkcjonalność, ale żądają 300 dolarów za odblokowanie urządzenia.    

10.png

Rys. 24: Komunikat wyświetlany angielskojęzycznym użytkownikom przez oprogramowanie ransomware Small (grupa 1)

Drugą grupę w rodzinie Trojan-Ransom.AndroidOS.Small stanowią programy szyfrujące. Ich funkcjonalność jest niemal identyczna jak ta opisana wyżej – jedyna różnica polega na tym, że po zablokowaniu urządzenia trojany te zaczynają szyfrować pliki na karcie pamięci.

11_auto.png

Rys. 25: Fragment kodu oprogramowania ransomware Small

Trzecią grupę rodziny Trojan-Ransom.AndroidOS.Small stanowi wielofunkcyjny trojan ransomware. Jego zachowanie określają polecenia otrzymywane z serwera kontroli. Po uruchomieniu trojan ten żąda praw administratora urządzenia i wrzuca na serwer cyberprzestępców informacje dotyczące urządzenia. Informacje te obejmują numer telefonu, model urządzenia, IMEI oraz wersję systemu operacyjnego. Ponadto, szkodnik jest zarejestrowany w systemie GCM. Trojan może otrzymać polecenia zarówno z serwera kontroli jak i za pośrednictwem GCM. Może wykonać następujące polecenia: 

  • START – rozpocznij główną usługę trojana
  • STOP – zakończ główną usługę trojana
  • RESTART – zrestartuj główną usługę trojana
  • URL – zmień adres serwera kontroli (C&C)
  • MESSAGE – wyślij SMS na określony numer z określonym tekstem
  • UPDATE_PATTERNS – aktualizuj reguły przetwarzania przychodzących wiadomości SMS
  • UNBLOCK – wyłącz prawa administratora urządzenia
  • UPDATE – pobierz plik z podanego adresu URL i zainstaluj go
  • CONTACTS – wyślij określony SMS do wszystkich kontaktów z listy kontaktów
  • PAGE – zwróć się do określonego serwera kontroli w celu uzyskania polecenia
  • ALLMSG –wrzuć wszystkie SMS-y z urządzenia na serwer cyberprzestępców
  • ALLCONTACTS – wrzuć wszystkie kontakty z urządzenia na serwer przestępców
  • ONLINE – zwróć się do serwera kontroli
  • NEWMSG – zapisz określony SMS na urządzeniu
  • LOCKER – wyświetl tekst z losowym żądaniem
  • LOCKER_UPDATE – aktualizuj tekst w okupem
  • LOCKER_BLOCK – zablokuj urządzenie
  • LOCKER_UNBLOCK – odblokuj urządzenie
  • CHANGE_GCM_ID – zmień GCM ID

Po uruchomieniu trojan przechwytuje również przychodzące wiadomości SMS. Przetwarza je zgodnie z regułami otrzymanymi z centrum kontroli. Może otrzymać następujące polecenia za pośrednictwem wiadomości SMS:

  • 3458 – wyłącz prawa administratora urządzenia
  • Deblock – odblokuj urządzenie
  • hi – włącz przesyłanie danych mobilnych
  • ask – wyłącz przesyłanie danych mobilnych
  • privet – włącz WiFi
  • ru – wyłącz WiFi
  • 393838 – oprócz polecenia wiadomość powinna zawierać nowy, zaszyfrowany adres C&C

W większości przypadków otrzymaliśmy podobne polecenia zablokowania urządzenia z żądaniem okupu rzędu 1900 rubli.

“command”: “job”, “data”: { “command”: “LOCKER”, “data”:{ “payMsg”: “To pay the fine, transfer no less than 1,900 rubles to the phone number: +79688343708 from any terminal to top up mobile accounts in Russia! “}}}”

Otrzymaliśmy również kilka poleceń wysłania SMS-ów na numer dużego banku rosyjskiego. Sztuczkę tę można wykorzystać do kradzieży pieniędzy z konta bankowego, jeśli jest powiązane z numerem telefonu ofiary.

Trojany ransomware z tej rodziny są głównie rozprzestrzeniane za pośrednictwem stron pornograficznych; jednak wykryliśmy je również w spamie SMS. 

Dane rejestracyjne C&C, obszar rozprzestrzeniania trojana oraz rosyjski tekst w jego kodzie sugerują, że rodzina Trojan-Ransom.AndroidOS.Small została stworzona przez rosyjsko-języcznych twórców. 

Ransomware Svpeng

Ponad 97% użytkowników zaatakowanych przez trojany ransomware z tej rodziny było zlokalizowanych w Stanach Zjednoczonych. W kwietniu 2016 r. wykryliśmy tę rodzinę w 9 krajach. Po raz pierwszy zidentyfikowaliśmy ją w czerwcu 2014 r. i uważamy, że została stworzona przez te same osoby co w przypadku trojana bankowego Svpeng.

Po uruchomieniu trojan żąda praw administratora urządzenia. Następnie gromadzi niezbędne informacje: listę połączeń oraz historię odwiedzonych stron internetowych; robi również zdjęcie przy użyciu wbudowanego w urządzenie aparatu. Następnie trojan blokuje urządzenie, nakładając na wszystkie okna plik HTML. Z pomocą tego pliku może uzyskać dostęp do przygotowanych wcześniej informacji.

12.png

Rys. 26: Komunikat wyświetlany przez oprogramowanie ransomware Svpeng

W większości przypadków, trojan żąda 500 dolarów za odblokowanie urządzenia. Podobnie jak inne grupy mobilnego oprogramowania ransomware, jest rozprzestrzeniany za pośrednictwem stron pornograficznych. 

Różnice pomiędzy oprogramowaniem ransomware dla komputerów PC a urządzeń mobilnych

W przeciwieństwie do oprogramowania ransomware dla komputerów PC, większość wariantów mobilnych to raczej proste programy blokujące, które wykorzystują pewne funkcje techniczne systemu operacyjnego Android w celu wyświetlenia okna z wiadomością żądania okupu, nałożonego na inne okna. Od czasu do czasu badacze z Kaspersky Lab odkrywają przykłady oprogramowania ransomware dla systemu Android potrafiące szyfrować pliki na zainfekowanym urządzeniu. Jednak, eksperci z Kaspersky Lab nie wierzą, że oprogramowanie ransomware szyfrujące dla urządzeń mobilnych znacząco rozwinie się w przyszłości. Jest to spowodowane funkcjami bezpieczeństwa zaimplementowanymi ostatnio w systemie Android, które ograniczają możliwości aplikacji osób trzecich w zakresie uzyskania nieograniczonego dostępu do plików użytkowników. Ponadto, szyfrowanie nie jest tak skuteczne na urządzeniach mobilnych jak na komputerze PC, ponieważ Android i popularne aplikacje dla tego systemu często są wyposażone w funkcje, które umożliwiają automatyczne wykonywanie kopii zapasowych danych w chmurze, co naturalnie nie dotyczy komputerów PC.       

Krótko mówiąc, przestępcy atakujący urządzenia mobilne nie muszą inwestować zasobów w rozwój szkodliwego oprogramowania szyfrującego, ponieważ szkody, jakie mogą wyrządzić, są ograniczone. Nie można tego powiedzieć o klasycznych programach blokujących; są one znacznie bardziej wydajne na urządzeniu mobilnym niż na komputerze PC. Różnica jest prosta: jeśli użytkownik komputera PC zetknie się z ransomware szyfrującym – nawet wyrafinowanym – w najgorszym wypadku, będzie mógł usunąć dysk twardy z zainfekowanego komputera PC, załączyć go do innego komputera PC i ręcznie usunąć wszystkie szkodliwe pliki. W przypadku urządzenia mobilnego jest to prawie niemożliwe, ponieważ nie da się łatwo usunąć jego dysku twardego ani przeanalizować go z pomocą urządzenia zewnętrznego.    

Być może to głównie z tego powodu krajobraz ransomware mobilnego składa się w większości z programów blokujących ekrany.

Część 3. Jak to działa

Jak już wspomniano wcześniej, oprogramowanie crypto-ransomware istnieje od lat. Sporadyczne próby przekształcenia go w dochodowy model biznesowy zostały zidentyfikowane przez badaczy z Kaspersky Lab już na początku 2006 roku wraz z wykryciem rodziny ransomware Gpcode oraz naśladowców tego szkodnika. Zastosowano standardową metodę: po udanej infekcji szkodliwy program wyświetlał wiadomość o okupie i żądał okupu, zwykle około stu dolarów, które należało dostarczyć przelewem bankowym.  

13_auto.png

Rys. 27: Przykład wiadomości pozostawionej przez przestępców na komputerze zainfekowanym przez oprogramowanie podobne do Gpcode’a od 2008 roku.

Jednak za tymi pierwszymi próbami rozprzestrzeniania oprogramowania crypto-ransomware nie stał żaden przemysł „criminal-to-criminal”. Zwykle było to działanie jednego przestępcy lub niewielkiej grupy przestępców i chociaż w okresie 2006-2011 Gpcode lub podobne próbki oprogramowania crypto-ransomware regularnie pojawiały się na naszym radarze, intensywność ataków w tym czasie nie była tak duża jak obecnie.

Kilka lat po ostatnich falach ataków przy użyciu szkodnika Gpcode i jego następców cyberprzestępcy finansowi postawili na crypto-ransomware jako sposób zarabiania nielegalnych dochodów. 

Być może najbardziej znamiennym przykładem tego trendu był niesławny botnet Gameover Zeus. Pierwotnie został stworzony w celu kradzieży danych uwierzytelniających umożliwiających dostęp do serwisów bankowości online, jednak w pewnym momencie twórcy tego botnetu zaczęli go wykorzystywać, aby infekować swoje ofiary oprogramowaniem ransomware Cryptolocker i żądać od nich okupu. Szkody wyrządzone przez botnet były rozległe, na szczęście jednak w 2014 r., na skutek międzynarodowej akcji kierowanej przez Europol i FBI, botnet został zamknięty.

Aktywność związana z oprogramowaniem ransomware stanowiła swego rodzaju działalność uboczną dla twórców botnetu – w ten sposób chcieli „zarobić” na tych komputerach PC w botnecie, które nie posiadały dostępu do systemu bankowości online. Zidentyfikowano również kilka innych grup cyberprzestępców rozprzestrzeniających szkodliwe oprogramowanie finansowe, które wykorzystywały crypto-ransomware. Jednak model ten nie rozpowszechnił się szeroko i to nie on spowodował, że crypto-ransomware znajduje się na obecnym poziomie.   

Jak to działa: działalność sieci afiliowanych

Nie jest tajemnicą, że większość obecnych programów crypto-ransomware posiada rosyjskie korzenie, zarówno jeśli chodzi o autorów szkodliwego kodu jak i osoby, które rozprzestrzeniają szkodliwe oprogramowanie i żądają okupu. Ugrupowania stojące za atakami ransomware mają w większości niewielki lub średni rozmiar i współpracują ze sobą za pośrednictwem sieci afiliowanych.

Niewielkie ugrupowania często składają się z amatorów, którzy są jednak niezwykle zmotywowani i skłonni zainwestować pieniądze i czas w jakąkolwiek aktywność, która może przynieść pieniądze. Ugrupowania średniej wielkości posiadają zwykle jakichś profesjonalnych programistów oraz specjalistów ds. technologii WWW. Potrafią oni tworzyć szkodliwe oprogramowanie jak również budować i obsługiwać infrastrukturę IT, która stanowi technologiczną bazę szkodliwego oprogramowania.    

Na przestrzeni ostatnich kilku lat ugrupowania średniego rozmiaru zdołały stworzyć kilka „produktów”, które, w przypadku oprogramowania ransomware, stanowią swego rodzaju zestaw DIY, który przestępcy posiadający mniejsze umiejętności mogą nabyć, zmodyfikować do własnej unikatowej wersji szkodliwego oprogramowania, a następnie wykorzystać do zarabiania pieniędzy. W tym celu dostosowaliby zestaw w taki sposób, aby działał z określonymi serwerami kontroli, zaszyfrowaliby pliki przy użyciu określonych kluczy itd. Następnie próbowaliby sami rozprzestrzeniać nowo stworzone szkodliwe oprogramowanie (inwestując dodatkowe kwoty w zakup ruchu, wysyłek spamowych lub wynajmując zestawy exploitów) lub skłoniliby innych przestępców – nowicjuszy – aby wykonywali takie działania za pośrednictwem programów afiliowanych. 

Dzięki takiemu modelowi biznesowemu wielu partnerów afiliowanych otrzymuje unikatową wersję szkodliwego oprogramowania od właściciela sieci afiliowanej i podejmuje się jej dystrybucji: rozprzestrzeniając ją za pośrednictwem stron internetowych, spamu oraz stosując inne sposoby propagacji. Za każdym razem, gdy ofiara infekcji takim szkodliwym oprogramowaniem płaci okup, partner afiliowany otrzymuje określoną sumę od właściciela sieci, który zgarnia dla siebie lwią część wyłudzonych pieniędzy. 

Wykorzystywanie przez cyberprzestępców modelu biznesowego opartego na sieci afiliowanej w celu ułatwienia rozprzestrzeniania szkodliwego oprogramowania nie jest niczym nowym. W przeszłości model ten był stosowany do rozprzestrzeniania programów blokujących ekrany, trojanów SMS i naturalnie trojanów bankowych, wraz z tysiącami różnych programów adware i pornware.

14_auto.png

Rys. 28: Możliwości, jakie program afiliowany daje uczestnikom. Oprócz mocnego algorytmu szyfrowania program ten oferuje partnerom przyjazny interfejs dla strony docelowej w sieci Tor, która służy jako serwer proxy sieci Web dla transakcji związanych z okupem.

Ten model biznesowy wydaje się bardziej opłacalny w przypadku oprogramowania ransomware niż jakiegokolwiek innego rodzaju szkodliwego oprogramowania. Głównym powodem jest to, że ofiary oprogramowania ransomware zwykle płacą za “uwolnienie” swoich plików, a tym samym pompują pieniądze w podziemie cyberprzestępcze.

Dlaczego ilość oprogramowania ransomware rośnie tak szybko?

Przede wszystkim dlatego, że użytkownicy płacą.

Wydaje się, że w ostatnich latach zwykli użytkownicy i firmy znaleźli się w sytuacji, gdy informacje przechowywane na ich komputerach PC są wystarczająco cenne, aby rozważać spełnienie żądania okupu. Sytuację tę przyspieszyło masowe przejście firm na wykorzystywanie dokumentów cyfrowych i zautomatyzowanych procesów biznesowych w księgowości i innych codziennych czynności. Firma, której dokumentacja podatkowa została zaszyfrowana przy użyciu oprogramowania ransomware tuż przed upływem terminu składania zeznań podatkowych w urzędzie skarbowym, nie ma wyboru – musi zapłacić okup. Właśnie na tym żerują przestępcy. W efekcie, oprogramowanie crypto-ransomware stało się rodzajem szkodliwego oprogramowania, które może wyrządzić firmie szkody materialne, sprawiając, że krytyczne pliki operacyjne są niemożliwe od odczytania. Taką szkodę nie zawsze można cofnąć, dlatego niekiedy zapłacenie okupu jest jedynym sposobem na odzyskanie danych.     

Kolejnym istotnym czynnikiem, który pozytywnie wpłynął na wzrost ilości oprogramowania ransomware, jest pojawienie się nowych narzędzi płatności. Wraz z nowymi crypto-walutami często pojawiają się instrukcje użycia „dla opornych”, z których zwykli użytkownicy mogą nauczyć się, jak wykorzystywać takie waluty.   

W przeszłości cyberprzestępcy wykorzystywali legalne systemy płatności lub na wpół legalne serwisy w celu przelania pieniędzy sobie nawzajem i od ofiary. Problem cyberprzestępców polega na tym, że legalne systemy płatności, w odpowiedzi na wzrost liczby oszustw, zaczęły śledzić i blokować podejrzane transakcje, sprawiając, że przelew pieniężny stał się znacznie bardziej ryzykownym przedsięwzięciem dla cyber-oszustów.

W przypadku podziemia cyberprzestępczego i na wpół legalnych systemów płatności, problem polega na tym, że użytkownicy takich systemów nie dostają żadnej gwarancji (żadnych rekompensat, ochrony przed innymi przestępcami), a prywatność transakcji jest zawsze niepewna. W ostatecznym rozrachunku los każdego znanego nielegalnego systemu płatności (od E-gold do Liberty Reserve) jest zawsze taki sam: prędzej czy później zostaje dezaktywowany, na skutek dochodzenia organów ścigania lub z innego powodu.

Z tego powodu transakcje pieniężne zawsze stanowiły obszar ryzyka dla cyberprzestępców. Jednak sytuacja zmieniła się znacząco, gdy cena crypto-walut – w szczególności bitcoina – wzrosła i ustabilizowała się na wystarczającym poziomie, aby wielu użytkowników mogło wymienić rzeczywiste pieniądze. Przestępcy zaczęli wykorzystywać zalety crypto-walut w stosunku do innych rodzajów e-waluty: anonimowość i rozproszony charakter, dzięki którym oszukańcze transakcje mogą zostać ukryte, a organy ścigania nie są w stanie nic zrobić, ponieważ system nie posiada żadnego centrum ani właściciela. Cechy te pomagają wspierać prawa jednostek do prywatności, niestety dają jednocześnie cyberprzestępcom niezawodne i tajne narzędzie płatności. 

Ransomware zyskał dość rentowny ekosystem przestępczy, w którym pojawiły się wspierane pieniędzmi zaatakowanych użytkowników, określone nisze dla różnych typów przestępców. Sieci afiliowane stały się dla nich głównym sposobem generowania zysku. A – co bardziej niebezpieczne – otworzyli drzwi do świata przestępczego dla tych, którzy nie posiadają wystarczającej wiedzy czy doświadczenia, aby stworzyć własne oprogramowanie ransomware. Ze względu na istnienie wielu sieci afiliowanych na rynku potrzebują jedynie podstawowych umiejętności programistycznych oraz projektowania internetowego.      

Innym istotnym powodem wzrostu ilości oprogramowania crypto-ransomware jest to, że zwalczanie tego zagrożenia może być trudne dla organów ścigania. Większość ofiar programów szyfrujących to zwykli ludzie, którzy nie zawsze zgłaszają atak na policję. To powoduje, że organy ścigania i eksperci ds. kryminalistyki mają bardzo mało dowodów, z którymi mogą pracować: przedstawiciele organów ścigania posiadają za mało zgłoszonych przypadków, aby uzasadnić dochodzenie, a specjalistom ds. kryminalistyki brakuje rzeczywistych dowodów, które mogą wykorzystać przeciwko cyberprzestępcom stosującym crypto-ransomware. W Kaspersky Lab chcemy zmienić tę sytuację i jesteśmy gotowi pomóc organom ścigania i innym zainteresowanym organizacjom w zakresie technicznej analizy szkodliwego oprogramowania. Presja ze strony prawa jest cennym narzędziem w walce z oprogramowaniem ransomware. Potwierdza to sprawa przeciwko przestępcom, którzy rozprzestrzeniali szkodliwe programy blokujące ekrany w 2010 r. Aresztowania, które miały miejsce w Rosji w sierpniu 2010 r., pokazały innym cyber-przestępcom, że konsekwencje ich działań mogą być poważne. Fala programów blokujących ekrany zaczęła opadać po tych aresztowaniach. Wierzymy, że to samo podejście działałoby w przypadku cyberprzestępców stosujących oprogramowanie crypto-ransomware.

Wnioski i prognozy

W oparciu o statystyki i trendy opisane w tym raporcie sformułowaliśmy następujące wnioski:

  • Na komputerach PC oprogramowanie ransomware szyfrujące wyparło z krajobrazu zagrożeń programy blokujące ekrany, sprawiając, że kategoria Trojan-Ransom jest niemal utożsamiana z oprogramowaniem ransomware szyfrującym.   
  • Z kolei mobilne oprogramowanie ransomware to szkodliwe oprogramowanie z możliwością zablokowania ekranu urządzenia i nie zanosi się na to, aby oprogramowanie crypto-ransomware dla urządzeń mobilnych zyskało w najbliższym czasie większą popularność wśród cyberprzestępców.
  • Chociaż ze statystyk wynika, że ataki przy użyciu oprogramowania crypto-ransomware są przeprowadzane na skalę masową, za większością z nich stoi zaledwie kilka grup szkodliwego oprogramowania, których przeważająca część jest rozprzestrzeniana za pośrednictwem programów afiliowanych.   
  • Jedną z głównych przyczyn obecnego wzrostu ilości oprogramowania ransomware szyfrującego jest dostępność gotowych zestawów do tworzenia nowych wersji oprogramowania ransomware. Podobnie jak w przypadku programów blokujących ekrany i trojanów bankowych, programy szyfrujące są nowym czarnym koniem w podziemiu cyberprzestępczym.  
  • Narzędzia umożliwiające anonimowość płatności i infrastruktury pomagają przestępcom stosować ransomware przy stosunkowo niewielkim ryzyku. To, w połączeniu z dostępnością gotowych do wykorzystania szkodliwych narzędzi, spowodowało, że na rynku pojawiło się wielu cyberprzestępców o niewielkich umiejętnościach.

Oprócz powyższych wniosków uważamy, że na podstawie aktualnego krajobrazu zagrożeń ransomware można sformułować kilka prognoz odnośnie ewolucji tego zagrożenia w przyszłości.  

Prognozy:

  • Model oparty na wyłudzeniach nadal będzie stosowany. Mobilne oprogramowanie ransomware pojawiło się jako kontynuacja oprogramowania ransomware dla komputerów PC i w ślad za nim pojawi się prawdopodobnie szkodliwe oprogramowanie atakujące urządzenia, które znacznie różnią się od komputera PC czy smartfona. Mogą to być urządzenia połączone z internetem, takie jak smartwatche, telewizory smart TV czy inne inteligentne produkty, w tym domowe oraz samochodowe systemy rozrywki. Istnieje kilka weryfikacji koncepcji (proof-of-concept) dla niektórych z tych urządzeń, a pojawienie się rzeczywistego szkodliwego oprogramowania atakującego inteligentne urządzenia to tylko kwestia czasu.   
  • Ponieważ kroki prawne to jeden z niewielu sposobów, aby rozbić aktywność grup stojących za oprogramowaniem crypto-ransomware, należy spodziewać się kolejnych aresztowań osób rozprzestrzeniających oprogramowanie ransomware. W 2015 r. Kaspersky Lab pomagał holenderskiej policji w dochodzeniu dotyczącym ataków przy użyciu oprogramowania ransomware o nazwie CoinVault. Efektem dochodzenia było aresztowanie dwóch podejrzanych i publikacja kluczy deszyfracji online. 

Nowe aresztowania są niezbędne w celu skutecznej walki z oprogramowaniem crypto-ransomware, ponieważ zagrożenia te znacznie zwiększają ryzyko, że przestępcy podejmą tą szkodliwą aktywność.

  • Będą tworzone technologie do ochrony użytkowników przed oprogramowaniem ransomware szyfrującym. Produkty firmy Kaspersky Lab są wyposażone w specjalną technologię, która potrafi wykryć próbę zaszyfrowania plików przez nieznaną aplikację i stworzyć kopie zapasowe takich plików, ratując tym samym dane użytkowników. Spodziewamy się, że podobne technologie zostaną stworzone przez innych producentów ochrony.   

Co należy robić, aby zabezpieczyć się przed atakami przy użyciu crypto-ransomware

Chociaż oprogramowanie crypto-ransomware należy do najgroźniejszych typów szkodliwego oprogramowania, jakie zostały kiedykolwiek stworzone, a konsekwencje jego działania mogą być naprawdę poważne, w Kaspersky Lab uważamy, że istnieją sposoby zabezpieczenia siebie i swojej organizacji przed tym zagrożeniem. 

Wskazówki dla klientów indywidualnych:

  • Wykonywanie kopii zapasowych to konieczność. Jeśli kiedykolwiek pomyślałeś, że kiedyś powinieneś w końcu pobrać i zainstalować to dziwne, nudne oprogramowanie do wykonywania kopii zapasowych, dzisiaj jest ten dzień. Im wcześniej kopie zapasowe staną się kolejnym nawykiem podczas Twojej codziennej pracy z komputerem PC, tym wcześniej staniesz się odporny na wszelkie rodzaje oprogramowania ransomware.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa. Podczas korzystania z niego nie wyłączaj zaawansowanych funkcji ochrony, które z pewnością posiada. Zwykle są to funkcje, które umożliwiają wykrywanie nowego oprogramowania ransomware na podstawie jego zachowania.  
  • Dopilnuj, aby oprogramowanie na Twoim komputerze PC było aktualne. Najbardziej rozpowszechnione programy (Flash, Java, Chrome, Firefox, Internet Explorer, Microsoft Windows oraz Office) posiadają funkcję automatycznych aktualizacji. Włącz ją i nie ignoruj żądań instalacji aktualizacji wyświetlanych przez takie aplikacje.
  • Uważaj na pliki pobierane z Internetu. Zwłaszcza z niezaufanych źródeł. Innymi słowy, jeśli rzekomy plik mp3 ma rozszerzenie .exe, z pewnością nie jest to nagranie muzyczne, ale szkodliwe oprogramowanie. Najlepszym sposobem, aby mieć pewność, że pobierana zawartość rzeczywiście jest tym, czym się wydaje, jest upewnienie się, że posiada właściwe rozszerzenie i pozytywnie przeszła sprawdzanie przy użyciu rozwiązania bezpieczeństwa na komputerze PC.      
  • Należy znać nowe metody stosowane przez cyber-oszustów, aby nakłonić ofiary do zainstalowania szkodliwego oprogramowania. W tym celu należy czytać wiadomości i specjalistyczne źródła informacji, takie jak Securelist.pl czy Kaspersky Daily.     
  • Jeśli z jakiegoś powodu Twoje pliki zostały zaszyfrowane przy użyciu oprogramowania ransomware, a sprawcy żądają od Ciebie zapłacenia okupu, pod żadnym pozorem nie płać. Każdy bitcoin przelany cyberprzestępcom zwiększa ich przekonanie o dochodowości tego rodzaju cyberprzestępczości, co z kolei prowadzi do powstawania nowych programów ransomware. Jednocześnie, wiele firm z branży bezpieczeństwa, w tym Kaspersky Lab, zwalcza oprogramowanie ransomware każdego dnia. Niekiedy możliwe jest stworzenie narzędzia deszyfrowania dla niektórych rodzajów oprogramowania ransomware, innym razem w wyniku współpracy z organami ścigania można uzyskać klucze szyfrowania dla niektórych rodzin oprogramowania ransomware, co ostatecznie może doprowadzić do odszyfrowania zaszyfrowanych plików. Warto również pamiętać, że tworzenie, rozprzestrzenianie i żądanie okupu w zamian za odszyfrowanie to działania uznawane za przestępcze w większości krajów na świecie. Aby policja mogła wszcząć dochodzenie, należy zgłosić atak tym organom.      

Wskazówki dla firm

  • Wykonywanie kopii zapasowych to konieczność. Po infekcji komputerów firmowych oprogramowanie ransomware prawdopodobnie zacznie szyfrować pliki, które są niezbędne w codziennej pracy Twojej firmy. Jeśli wykonanie kopii zapasowych wszystkich plików znajdujących się w sieci korporacyjnej jest technicznie niewykonalne, należy wybrać najbardziej krytyczne (dokumenty księgowe, dane klientów, dokumenty prawne itd.), wyizolować je i regularnie sporządzać ich kopię zapasową. 
  • Należy stosować niezawodne rozwiązanie bezpieczeństwa klasy enterprise i pod żadnym pozorem nie wyłączać jego zaawansowanych funkcji, ponieważ to one umożliwiają wykrycie nieznanych zagrożeń.
  • Należy wyszkolić personel: bardzo często infekcja oprogramowaniem ransomware spowodowana jest brakiem wiedzy dotyczącej powszechnych cyberzagrożeń i metod wykorzystywanych przez przestępców w celu infekowania swoich ofiar.
  • Ważne jest regularne zarządzanie łatami.
  • Nie należy płacić okupu, lecz zgłosić atak na policję.

Kaspersky Lab oferuje wielopoziomową ochronę przed tym szeroko rozpowszechnionym, coraz większym zagrożeniem. Rozwiązania firmy zwalczają wszelkie znane rodzaje oprogramowania ransomware w celu zapewnienia ochrony danym użytkowników. Stosowanie tych rozwiązań pozwala wykryć większość programów żądających okupu, gdy próbują przeniknąć do urządzenia. Jednak, nawet jeśli szkodliwe oprogramowanie zdoła się prześlizgnąć, napotka kolejną warstwę ochrony – technologię Kontrola systemu – która potrafi zablokować i cofnąć szkodliwe zmiany dokonane na urządzeniu, takie jak zaszyfrowanie plików czy zablokowanie dostępu do monitora.