Home → Analizy → Zagrożenia → Kaspersky Security Bulletin → Kaspersky Security Bulletin 2016. Rewolucja oprogramowania ransomware
Wprowadzenie
W 2016 r. oprogramowanie ransomware nadal nękało użytkowników na całym świecie, trzymając w szachu dane i urządzenia, zarówno użytkowników indywidualnych jak i firm.
Liczby mówią za siebie:
W 2016 roku wzrosło również wyrafinowanie i różnorodność oprogramowania ransomware. Można wymienić tu zmianę taktyki przez tego rodzaju programy w przypadku trafienia na oprogramowanie finansowe, oprogramowanie napisane w językach skryptowych, wykorzystywanie nowych ścieżek infekcji, bardziej ukierunkowane oprogramowanie oraz oferowanie gotowych rozwiązań „ransomware jako usługa” tym, którzy posiadają mniejsze umiejętności, zasoby lub mniej czasu – a wszystko to za pośrednictwem coraz większego i coraz bardziej efektywnego ekosystemu podziemia.
Jednocześnie, w 2016 roku świat zaczął się jednoczyć w celu odparcia zagrożenia:
W lipcu uruchomiony został projekt No More Ransom łączący policję, Europol, Intel Security oraz Kaspersky Lab. W październiku przyłączyło się 13 kolejnych organizacji. Współpraca ta zaowocowała, między innymi stworzeniem wielu bezpłatnych narzędzi deszyfracji online, które jak dotąd pomogły tysiącom ofiar oprogramowania ransomware odzyskać swoje dane.
To zaledwie wierzchołek góry lodowej – pozostaje jeszcze wiele do zrobienia. Razem możemy osiągnąć znacznie więcej niż ktokolwiek z nas jest w stanie zrobić samodzielnie.
Co to jest oprogramowanie ransomware?
Ransomware występuje w dwóch odmianach. Najpopularniejszą formą jest oprogramowanie kryptograficzne. Programy te szyfrują dane na urządzeniu ofiary i żądają pieniędzy, obiecując w zamian przywrócenie danych. Z kolei działanie programów blokujących nie ma wpływu na dane przechowywane na urządzeniu. Zamiast tego, programy te uniemożliwiają ofierze uzyskanie dostępu do urządzenia. Wyświetlane na ekranie żądanie okupu wygląda zwykle jak zawiadomienie od organu ściągania o przeglądaniu przez użytkownika nielegalnej zawartości WWW oraz nałożeniu na niego za to kary.
„Większość programów ransomware opiera się na nietypowym zaufaniu między ofiarą a osobą atakującą: założeniu, że po otrzymaniu zapłaty zablokowane pliki zostaną zwrócone. Cyberprzestępcy wydają się zadziwiająco profesjonalni jeśli chodzi o spełnienie tej obietnicy”.
GReAT, Prognozy zagrożeń dla 2017 roku
Cerber i Locky pojawiły się w wczesną wiosną. Oba szkodniki to nieprzyjemne, złośliwe odmiany oprogramowania ransomware, które szeroko rozprzestrzeniały się, głównie za pośrednictwem załączników do wiadomości spamowych i zestawów do tworzenia exploitów. Szybko zdobyły pozycję „głównych graczy”, atakując zarówno osoby indywidualne jak i korporacje. Tuż za nimi uplasował się CryptXXX. Wszystkie trzy rodziny wciąż ewoluują i żądają okupu na całym świecie, działając obok szkodników o ugruntowanej pozycji, takich jak CTB-Locker, CryptoWall oraz Shade.
W październiku 2016 roku lista rodzin oprogramowania ransomware, które były najczęściej wykrywane przez produkty firmy Kaspersky Lab, kształtowała się następująco:
Nazwa |
Werdykty* |
Odsetek użytkowników** |
|
1 |
CTB-Locker |
Trojan-Ransom.Win32.Onion / |
25,32 |
2 |
Locky |
Trojan-Ransom.Win32.Locky / |
7,07 |
3 |
TeslaCrypt (aktywny do maja 2016 r.) |
Trojan-Ransom.Win32.Bitman |
6,54 |
4 |
Scatter |
Trojan-Ransom.Win32.Scatter / |
2,85 |
5 |
Cryakl |
Trojan-Ransom.Win32.Cryakl |
2,79 |
6 |
CryptoWall |
Trojan-Ransom.Win32.Cryptodef |
2,36 |
7 |
Shade |
Trojan-Ransom.Win32.Shade |
1,73 |
8 |
(werdykt generyczny) |
Trojan-Ransom.Win32.Snocry |
1,26 |
9 |
Crysis |
Trojan-Ransom.Win32.Crusis |
1,15 |
10 |
Cryrar/ACCDFISA |
Trojan-Ransom.Win32.Cryrar |
0,90 |
* Dane te opierają się na werdyktach wykrycia wygenerowanych przez produkty firmy Kaspersky Lab uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne.
** Odsetek użytkowników, którzy stanowili cel określonej rodziny oprogramowania ransomware kryptograficznego w stosunku do wszystkich użytkowników zaatakowanych przy użyciu tego rodzaju oprogramowania.
Być może największą niespodzianką 2016 roku była dezaktywacja TeslaScrypt oraz opublikowanie jego klucza głównego, prawdopodobnie przez samych twórców szkodliwego oprogramowania.
Encryptor RaaS, jeden z pierwszych trojanów oferujących innym przestępcom model ransomware jako usługa „zwinął swój kram”, po tym jak część jego botnetu zastała „rozmontowana” przez policję.
Następnie, w lipcu udostępniono około 3 500 kluczy dla oprogramowania ransomware Chimera, opublikowanych przez osobę, która utrzymywała, że jest odpowiedzialna za oprogramowanie ransomware Petya/Mischa. Jednak zważywszy na to, że ugrupowanie Petya wykorzystało część kodu źródłowego Chimera dla własnego oprogramowania ransomware, tak naprawdę mogła to być ta sama grupa, która po prostu uaktualniła swój pakiet produktów i wywoływała zamieszanie.
Podobnie Wildfire, którego serwery zostały przechwycone i dla którego opracowano klucz deszyfrowania wspólnym wysiłkiem Kaspersky Lab, Intel Security oraz policji holenderskiej, pojawił się ponownie jako Hades.
Badacze opracowali „edukacyjne” oprogramowanie ransomware, aby dać do rąk administratorów systemów narzędzie umożliwiające symulowanie ataków przy użyciu oprogramowania ransomware oraz testowanie swoich zabezpieczeń. Przestępcy szybko przejęli te narzędzia do własnych szkodliwych celów.
Aby pomóc innym, twórca edukacyjnego oprogramowania ransomware Hidden Tear & EDA2 opublikował jego kod źródłowy w GitHub. Jak można było się spodziewać, w 2016 roku pojawiły się liczne szkodliwe trojany oparte na tym kodzie. Wśród nich znajdował się Ded Cryptor, który zmieniał tapetę na komputerze ofiary na zdjęcie „złego” Świętego Mikołaja i żądał dwóch bitkoinów (około 1 300 dolarów dolarów) okupu. Innym podobnym programem był Fantom, który symulował ekran aktualizacji Windowsa.
Nowe podejścia do ataków przy użyciu oprogramowania ransomware, które zostały zidentyfikowane po raz pierwszy w 2016 roku, obejmowały szyfrowanie dysku w ten sposób, że blokowano dostęp do, lub szyfrowano, wszystkie pliki jednocześnie. Przykładem takiego podejścia jest Petya, który szyfruje indeks wzorca dysku twardego użytkownika, a tym samym uniemożliwia ponowne uruchomienie. Inny trojan, Dcryptor, znany również jako Mamba, posunął się o krok dalej, blokując cały dysk twardy. Szkodnik ten jest szczególnie nieprzyjemny, ponieważ szyfruje każdy sektor dysku, łącznie z systemem operacyjnym, aplikacjami, współdzielonymi plikami i wszystkimi danymi osobistymi – przy użyciu kopii oprogramowania otwartego źródła DiskCryptor.
Infekcja przy użyciu trojana Dcryptor jest przeprowadzana ręcznie – osoby atakujące łamią hasła metodą brute-force w celu uzyskania zdalnego dostępu do maszyny ofiary. Chociaż nie jest to nowość, popularność tego podejścia znacznie wzrosła w 2016 roku, kiedy często stosowano je do atakowania serwerów i uzyskania dostępu do systemu korporacyjnego.
Jeśli atak powiedzie się, trojan zainstaluje się i zaszyfruje pliki na serwerze, a może nawet we wszystkich dostępnych udziałach sieciowych. Wykryliśmy, że podejście to stosował TeamXRat do rozprzestrzeniania swojego oprogramowania ransomware na brazylijskich serwerach.
W sierpniu wykryliśmy próbkę Shade’a, która posiadała nietypową funkcjonalność: jeśli zainfekowany komputer był wykorzystywany w usługach finansowych, szkodnik ładował i instalował oprogramowanie szpiegujące, prawdopodobnie z długofalowym celem kradzieży pieniędzy.
Ransomware w językach skryptowych
Kolejnym trendem, który zwrócił naszą uwagę w 2016 roku, była rosnąca liczba programów kryptograficznych napisanych w językach skryptowych. W samym tylko trzecim kwartale trafiliśmy na kilka nowych rodzin napisanych w języku Python, w tym na programy HolyCrypt oraz CryPy, jak również Stampado, który został napisany w AutoIt.
Wiele spośród nowych trojanów wyłudzających okup, jakie zostały wykryte w 2016 r., charakteryzowały się niską jakością; niewyrafinowaniem jak również niedociągnięciami w programowaniu i błędami wynikającymi z niedbałości w komunikatach o okupie.
Towarzyszył temu wzrost ilości oprogramowania ransomware naśladowczego. Zauważyliśmy między innymi, że:
Prawdopodobnie najbardziej wyróżniającym się naśladowcą, jakiego wykryliśmy w tym roku, był Polyglot (znany równie z jako MarsJoke). Szkodnik ten kopiuje wygląd i metodę przetwarzania plików stosowaną przez CTB-Lockera.
Oczekuje się, że w 2017 roku wszystkie te trendy będą jeszcze bardziej nasilone.
„Ponieważ rosnąca popularność ransomware powoduje, że na ścieżkę tę decydują się wkroczyć przestępcy „niższej klasy", prawdopodobnie pojawi się coraz więcej oprogramowania „ransomware", które nie będzie już cechowała ta swoista gwarancja jakości czy ogólne umiejętności kodowania pozwalające dotrzymać obietnicy. Przewidujemy pojawienie się „amatorskiego” oprogramowania ransomware, które blokuje pliki lub dostęp do systemu lub po prostu kasuje pliki, zmusza ofiarę do zapłacenia okupu, nie dostarczając niczego w zamian”.
GReAT, Prognozy zagrożeń dla 2017 r.
Chociaż ransomware jako usługa nie jest nowym trendem, w 2016 roku ten model propagacji dalej rozwijał się i coraz więcej twórców tego rodzaju oprogramowania oferowało swój produkt „na żądane”. Podejście to okazało się niezwykle atrakcyjne dla przestępców, którym brakuje umiejętności, zasobów lub chęci, aby opracować własne oprogramowanie.
Istotnymi przykładami oprogramowania ransomware, które pojawiło się w 2016 roku i wykorzystywało ten model, są programy Petya/Mischa oraz Shark, który zmienił następnie swoją nazwę na Atom.
Ten model biznesowy staje się coraz bardziej wyrafinowany:
Strona partnera oprogramowania ransomware
Partner często umawia się na tradycyjny, oparty na prowizji system wynagrodzenia. Na przykład, z „tabeli płatności” dla oprogramowania ransomware Petya wynika, że jeśli partner zarobi 125 bitcoinów miesięcznie, po odliczeniu prowizji zostanie mu 106,25 bitcoina.
Tabela płatności Petya
Występuje również wstępna opłata za korzystanie. Ktoś, kto chce wykorzystywać np. oprogramowanie ransomware Stompado, musi wyłożyć 39 dolarów.
Ponieważ nie brak przestępców, którzy oferują usługi w zakresie rozprzestrzeniania spamu, opracowywania żądań okupu itd., osoba chcąca parać się takimi atakami może bez trudu rozpocząć ten proceder.
Najbardziej „profesjonalni” cyberprzestępczy oferowali swoim ofiarom pomoc techniczną, przeprowadzając je przez proces zakupu bitcoinów w celu zapłacenia okupu, a niekiedy nawet byli otwarci na negocjacje. Każdy kolejny krok zachęcał ofiarę do zapłacenia.
Eksperci z Kaspersky Lab badający oprogramowanie ransomware w Brazylii zauważyli, że w przypadku wielu ataków, pewne znaczenie miał branding oprogramowania ransomware. Osoby, które pragnęły rozgłosu medialnego oraz wywołania strachu wśród klientów, wybierały nagłaśniane tematy związane z celebrytami – natomiast te, które chciały pozostać poza radarem, opierały się pokusie sławy i pozostawiały swoim ofiarom jedynie e-mail w celu skontaktowania się z nimi oraz adres bitcoin w celu dokonania zapłaty.
W 2016 roku najpopularniejsze rodziny oprogramowania ransomware nadal preferowały płatność w bitcoinach. Żądania okupu w większości nie były wygórowane, wynosząc średnio około 300 dolarów, jednak w niektórych przypadkach żądano – i płacono – znacznie wyższe kwoty.
W innych przypadkach, dotyczących w szczególności operacji o zasięgu regionalnym i tych „wykonanych ręcznie”, preferowano często opcję płatności w walucie lokalnej – chociaż to oznaczało również, że cyberprzestępcy nie mogli już ukrywać się poprzez wtopienie się w tłum reszty „szumu” ransomware.
W pierwszych trzech miesiącach 2016 roku 17% ataków przy użyciu oprogramowania ransomware było wymierzonych przeciwko korporacjom – to oznacza, że co dwie minuty zostaje zaatakowana jakaś firma na świecie1. Do końca III kwartału odsetek tych ataków zwiększył się do 23,9% - co równa się jednemu atakowi co 40 sekund.
Według badania firmy Kaspersky Lab, w 2016 roku jedna na pięć firm na całym świecie doświadczyła incydentu naruszenia bezpieczeństwa IT w wyniku ataku przy użyciu oprogramowania ransomware.
„Pojawia się bardziej ukierunkowane oprogramowanie ransomware, grupy przestępcze starannie wybierają swoje cele i atakują je przy użyciu techniki spear-phish ze względu na posiadane przez nie dane oraz/lub ich zależność od dostępności tych cennych danych”. John Fokker, koordynator zespołu ds. cyfrowych holenderskiej krajowej jednostki ds. zwalczania przestępczości z wykorzystaniem zaawansowanej technologii |
|
Niektóre branże są bardziej dotknięte niż inne, jednak z naszego badania wynika, że wszystkie są narażone
Branża |
% zaatakowanych przy użyciu oprogramowania ransomware |
|
1 |
Edukacja |
23 |
2 |
IT/Telekomunikacja |
22 |
3 |
Rozrywka/Media |
21 |
4 |
Usługi finansowe |
21 |
5 |
Budownictwo |
19 |
6 |
Sektor rządowy/publiczny/obrony |
18 |
7 |
Produkcja |
18 |
8 |
Transport |
17 |
9 |
Ochrona zdrowia |
16 |
10 |
Handel detaliczny/hurtowy/rekreacja |
16 |
Odwet
Najnowsze wersje produktów firmy Kaspersky Lab przeznaczone dla małych firm zostały wyposażone w funkcjonalność ochrony przed szkodliwym oprogramowaniem kryptograficznym. Ponadto, udostępniono nowe, bezpłatne narzędzie do ochrony przed oprogramowaniem ransomware przeznaczone dla wszystkich firm, które można pobrać i stosować niezależnie od wykorzystywanego rozwiązania bezpieczeństwa.
Narzędzie Kaspersky Anti-Ransomware Tool for Business to „lekkie” rozwiązanie, które może działać jednocześnie z innym oprogramowaniem antywirusowym. Narzędzie to wykorzystuje dwa komponenty niezbędne do wczesnego wykrywania trojanów: rozproszoną sieć Kaspersky Security Network oraz Kontrolę systemu, która monitoruje aktywność aplikacji.
Kaspersky Security Network szybko sprawdza reputację plików i adresów URL stron internetowych przy użyciu chmury, a Kontrola systemu monitoruje zachowanie programów i zapewnia ochronę proaktywną przed nieznanymi jeszcze wersjami trojanów. Co istotne, narzędzie to potrafi wykonywać kopię zapasową plików otwieranych przez podejrzane aplikacje i cofać zmiany, jeśli działania podjęte przez programy okażą się szkodliwe.
25 lipca 2016 roku krajowa policja holenderska, Europol, Intel Security oraz Kaspersky Lab poinformowały o uruchomieniu projektu No More Ransom – niekomercyjnej inicjatywy, która łączy organizacje publiczne i prywatne i ma na celu informowanie o zagrożeniach związanych z oprogramowaniem ransomware oraz pomoc w odzyskaniu swoich danych.
Utworzony w ramach tej inicjatywy portal internetowy zawiera obecnie osiem narzędzi deszyfracji, z czego pięć zostało opracowanych przez Kaspersky Lab. Mogą one pomóc przywrócić pliki zaszyfrowane przez ponad 20 rodzajów szkodliwego oprogramowania kryptograficznego. Jak dotąd ponad 4 400 ofiar odzyskało swoje dane – a tym samym zaoszczędzono ponad 1,5 miliona dolarów potencjalnego okupu.
W październiku do projektu przystąpiły organy ścigania z kolejnych 13 państw, w tym z Bośni i Hercegowiny, Bułgarii, Kolumbii, Francji, Węgier, Irlandii, Włoch, Łotwy, Litwy, Portugalii, Hiszpanii, Szwajcarii oraz Wielkiej Brytanii.
Cele projektu wspiera również Eurojust oraz Komisja Europejska. Spodziewamy się również, że wkrótce zostaną ogłoszeni kolejni partnerzy z sektora prywatnego oraz organów ścigania.
„Partnerstwa publiczno-prywatne stanowią istotę i siłę inicjatywy NMR. Są one niezbędne dla skutecznego i sprawnego rozwiązania problemu – dzięki temu mamy znacznie większe możliwości i zasięg niż same organy ścigania”.
Steven Wilson, szef EC3 Europolu
„Zachęcamy do zgłaszania ataku. Każda ofiara posiada ważny dowód, który może dostarczyć nieocenionych informacji. W zamian za to możemy zapewnić jej wiedzę i chronić przed podejrzanymi „ofertami” osób trzecich dotyczących odszyfrowania danych. Musimy jednak pracować nad tym, aby więcej oficerów organów ścigania wiedziało, jak postępować z przestępczością cyfrową”.
Ton Maas, koordynator zespołu ds. cyfrowych holenderskiej krajowej jednostki ds. zwalczania przestępczości z wykorzystaniem zaawansowanej technologii
Wierzymy, że tak – ale tylko poprzez wspólną pracę. Ransomware to lukratywny proceder przestępczy. Aby go zahamować, świat musi zjednoczyć się w celu przerwania łańcucha przestępców i utrudnienia im przeprowadzania ataków i odnoszenia z nich zysków.
1Szacunki oparte na następujących danych: 17% 372 602 unikatowych użytkowników, na urządzeniach których produkty firmy Kaspersky Lab zablokowały ataki ransomware w I kwartale 2016 r. oraz 23,9% 821 865 unikatowych użytkowników, na urządzeniach których produkty firmy Kaspersky Lab zablokowały ataki ransomware w III kwartale 2016 r.
Analizy
Blog