Kaspersky Security Bulletin 2016. Rewolucja oprogramowania ransomware

Wprowadzenie

W 2016 r. oprogramowanie ransomware nadal nękało użytkowników na całym świecie, trzymając w szachu dane i urządzenia, zarówno użytkowników indywidualnych jak i firm.

Liczby mówią za siebie:

• Pojawiły się 62 nowe rodziny oprogramowania ransomware.
• Liczba modyfikacji oprogramowania ransomware wzrosła 11-krotnie: z 2 900 nowych modyfikacji w styczniu/marcu do 32 091 w lipcu/wrześniu.   
• Liczba ataków na firmy w okresie od styczniem do końca września wzrosła trzykrotnie: to oznacza, że o ile wcześniej ataki miały miejsce co 2 minuty, później już co 40 sekund.   
• W przypadku osób fizycznych, częstotliwość ataków zwiększyła się z co 20 sekund do co 10 sekund.
• Jedna na pięć małych i średnich firm, które zapłaciły okup, nigdy nie odzyskała swoich danych.  

W 2016 roku wzrosło również wyrafinowanie i różnorodność oprogramowania ransomware. Można wymienić tu zmianę taktyki przez tego rodzaju programy w przypadku trafienia na oprogramowanie finansowe, oprogramowanie napisane w językach skryptowych, wykorzystywanie nowych ścieżek infekcji, bardziej ukierunkowane oprogramowanie oraz oferowanie gotowych rozwiązań „ransomware jako usługa” tym, którzy posiadają mniejsze umiejętności, zasoby lub mniej czasu – a wszystko to za pośrednictwem coraz większego i coraz bardziej efektywnego ekosystemu podziemia.      

Jednocześnie, w 2016 roku świat zaczął się jednoczyć w celu odparcia zagrożenia:

W lipcu uruchomiony został projekt No More Ransom łączący policję, Europol, Intel Security oraz Kaspersky Lab. W październiku przyłączyło się 13 kolejnych organizacji. Współpraca ta zaowocowała, między innymi stworzeniem wielu bezpłatnych narzędzi deszyfracji online, które jak dotąd pomogły tysiącom ofiar oprogramowania ransomware odzyskać swoje dane.

To zaledwie wierzchołek góry lodowej – pozostaje jeszcze wiele do zrobienia. Razem możemy osiągnąć znacznie więcej niż ktokolwiek z nas jest w stanie zrobić samodzielnie.

Co to jest oprogramowanie ransomware?

Ransomware występuje w dwóch odmianach. Najpopularniejszą formą  jest oprogramowanie kryptograficzne. Programy te szyfrują dane na urządzeniu ofiary i żądają pieniędzy, obiecując w zamian przywrócenie danych. Z kolei działanie programów blokujących nie ma wpływu na dane przechowywane na urządzeniu. Zamiast tego, programy te uniemożliwiają ofierze uzyskanie dostępu do urządzenia. Wyświetlane na ekranie żądanie okupu wygląda zwykle jak zawiadomienie od organu ściągania o przeglądaniu przez użytkownika nielegalnej zawartości WWW oraz nałożeniu na niego za to kary.

Ransomware: główne trendy i odkrycia w 2016 roku

„Większość programów ransomware opiera się na nietypowym zaufaniu między ofiarą a osobą atakującą: założeniu, że po otrzymaniu zapłaty zablokowane pliki zostaną zwrócone. Cyberprzestępcy wydają się zadziwiająco profesjonalni jeśli chodzi o spełnienie tej obietnicy”.

GReAT, Prognozy zagrożeń dla 2017 roku

Nowości i pożegnania

Nowości – w 2016 roku świat powitał oprogramowanie Cerber, Locky oraz CryptXXX  - jak również 44 287 nowych modyfikacji ransomware

Cerber i Locky pojawiły się w wczesną wiosną. Oba szkodniki to nieprzyjemne, złośliwe odmiany oprogramowania ransomware, które szeroko rozprzestrzeniały się, głównie za pośrednictwem załączników do wiadomości spamowych i zestawów do tworzenia exploitów. Szybko zdobyły pozycję „głównych graczy”, atakując zarówno osoby indywidualne jak i korporacje. Tuż za nimi uplasował się CryptXXX. Wszystkie trzy rodziny wciąż ewoluują i żądają okupu na całym świecie, działając obok szkodników o ugruntowanej pozycji, takich jak CTB-Locker, CryptoWall oraz Shade.        

W październiku 2016 roku lista rodzin oprogramowania ransomware, które były najczęściej wykrywane przez produkty firmy Kaspersky Lab, kształtowała się następująco:

* Dane te opierają się na werdyktach wykrycia wygenerowanych przez produkty firmy Kaspersky Lab uzyskanych od użytkowników produktów firmy Kaspersky Lab, którzy zgodzili się udostępnić swoje dane statystyczne. 

** Odsetek użytkowników, którzy stanowili cel określonej rodziny oprogramowania ransomware kryptograficznego w stosunku do wszystkich użytkowników zaatakowanych przy użyciu tego rodzaju oprogramowania.

Rozstania – pożegnał natomiast Teslascrypt, Chimera oraz Wildfire – a przynajmniej na to wygląda…

Być może największą niespodzianką 2016 roku była dezaktywacja TeslaScrypt oraz opublikowanie jego klucza głównego, prawdopodobnie przez samych twórców szkodliwego oprogramowania.    

Encryptor RaaS, jeden z pierwszych trojanów oferujących innym przestępcom model ransomware jako usługa „zwinął swój kram”, po tym jak część jego botnetu zastała „rozmontowana” przez policję.

Następnie, w lipcu udostępniono około 3 500 kluczy dla oprogramowania ransomware Chimera, opublikowanych przez osobę, która utrzymywała, że jest odpowiedzialna za oprogramowanie ransomware Petya/Mischa. Jednak zważywszy na to, że ugrupowanie Petya wykorzystało część kodu źródłowego Chimera dla własnego oprogramowania ransomware, tak naprawdę mogła to być ta sama grupa, która po prostu uaktualniła swój pakiet produktów i wywoływała zamieszanie.           

Podobnie Wildfire, którego serwery zostały przechwycone i dla którego opracowano klucz deszyfrowania wspólnym wysiłkiem Kaspersky Lab, Intel Security oraz policji holenderskiej, pojawił się ponownie jako Hades.

Wykorzystywanie „edukacyjnego” oprogramowania ransomware 

Badacze opracowali „edukacyjne” oprogramowanie ransomware, aby dać do rąk administratorów systemów narzędzie umożliwiające symulowanie ataków przy użyciu oprogramowania ransomware oraz testowanie swoich zabezpieczeń. Przestępcy szybko przejęli te narzędzia do własnych szkodliwych celów. 

Aby pomóc innym, twórca edukacyjnego oprogramowania ransomware Hidden Tear & EDA2 opublikował jego kod źródłowy w GitHub. Jak można było się spodziewać, w 2016 roku pojawiły się liczne szkodliwe trojany oparte na tym kodzie. Wśród nich znajdował się Ded Cryptor, który zmieniał tapetę na komputerze ofiary na zdjęcie „złego” Świętego Mikołaja i żądał dwóch bitkoinów (około 1 300 dolarów dolarów) okupu. Innym podobnym programem był Fantom, który symulował ekran aktualizacji Windowsa.       

Niekonwencjonalne podejścia

• Dlaczego zadawalać się plikiem, skoro można mieć dysk? 

Nowe podejścia do ataków przy użyciu oprogramowania ransomware, które zostały zidentyfikowane po raz pierwszy w 2016 roku, obejmowały szyfrowanie dysku w ten sposób, że blokowano dostęp do, lub szyfrowano, wszystkie pliki jednocześnie. Przykładem takiego podejścia jest Petya, który szyfruje indeks wzorca dysku twardego użytkownika, a tym samym uniemożliwia ponowne uruchomienie. Inny trojan, Dcryptor, znany również jako Mamba, posunął się o krok dalej, blokując cały dysk twardy. Szkodnik ten jest szczególnie nieprzyjemny, ponieważ szyfruje każdy sektor dysku, łącznie z systemem operacyjnym, aplikacjami, współdzielonymi plikami i wszystkimi danymi osobistymi – przy użyciu kopii oprogramowania otwartego źródła DiskCryptor.       

• Technika infekcji „ręcznej”

Infekcja przy użyciu trojana Dcryptor jest przeprowadzana ręcznie – osoby atakujące łamią hasła metodą brute-force w celu uzyskania zdalnego dostępu do maszyny ofiary. Chociaż nie jest to nowość, popularność tego podejścia znacznie wzrosła w 2016 roku, kiedy często stosowano je do atakowania serwerów i uzyskania dostępu do systemu korporacyjnego.   

Jeśli atak powiedzie się, trojan zainstaluje się i zaszyfruje pliki na serwerze, a może nawet we wszystkich dostępnych udziałach sieciowych. Wykryliśmy, że podejście to stosował TeamXRat do rozprzestrzeniania swojego oprogramowania ransomware na brazylijskich serwerach.      

• Infekcja dwa w jednym

W sierpniu wykryliśmy próbkę Shade’a, która posiadała nietypową funkcjonalność: jeśli zainfekowany komputer był wykorzystywany w usługach finansowych, szkodnik ładował i instalował oprogramowanie szpiegujące, prawdopodobnie z długofalowym celem kradzieży pieniędzy.   

Ransomware w językach skryptowych

Kolejnym trendem, który zwrócił naszą uwagę w 2016 roku, była rosnąca liczba programów kryptograficznych napisanych w językach skryptowych. W samym tylko trzecim kwartale trafiliśmy na kilka nowych rodzin napisanych w języku Python, w tym na programy HolyCrypt oraz CryPy, jak również Stampado, który został napisany w AutoIt.

Długa lista amatorów i naśladowców

Wiele spośród nowych trojanów wyłudzających okup, jakie zostały wykryte w 2016 r., charakteryzowały się niską jakością; niewyrafinowaniem jak również niedociągnięciami w programowaniu i błędami wynikającymi z niedbałości w komunikatach o okupie.   

Towarzyszył temu wzrost ilości oprogramowania ransomware naśladowczego. Zauważyliśmy między innymi, że:

• Bart kopiuje tekst żądania okupu oraz styl strony płatności Locky’ego.
• Oparta na Autoit kopia Locky’ego (określana jako AutoLocky) wykorzystuje to samo rozszerzenie „.locky”.  
• Crusis (znany jako Crysis) kopiuje rozszerzenie „.xtbl” pierwotnie wykorzystywane przez Shade’a.
• Xorist kopiuje cały system nazewnictwa plików szyfrowanych przez Crusisa.

Prawdopodobnie najbardziej wyróżniającym się naśladowcą, jakiego wykryliśmy w tym roku, był Polyglot (znany równie z jako MarsJoke). Szkodnik ten kopiuje wygląd i metodę przetwarzania plików stosowaną przez CTB-Lockera.   

Oczekuje się, że w 2017 roku wszystkie te trendy będą jeszcze bardziej nasilone.

„Ponieważ rosnąca popularność ransomware powoduje, że na ścieżkę tę decydują się wkroczyć przestępcy „niższej klasy", prawdopodobnie pojawi się coraz więcej oprogramowania „ransomware", które nie będzie już cechowała ta swoista gwarancja jakości czy ogólne umiejętności kodowania pozwalające dotrzymać obietnicy. Przewidujemy pojawienie się „amatorskiego” oprogramowania ransomware, które blokuje pliki lub dostęp do systemu lub po prostu kasuje pliki, zmusza ofiarę do zapłacenia okupu, nie dostarczając niczego w zamian”.

GReAT, Prognozy zagrożeń dla 2017 r.

Rozkwit działalności związanej z oprogramowaniem ransomware

Powstanie ransomware-jako-usługi (RaaS)

Chociaż ransomware jako usługa nie jest nowym trendem, w 2016 roku ten model propagacji dalej rozwijał się i coraz więcej twórców tego rodzaju oprogramowania oferowało swój produkt „na żądane”. Podejście to okazało się niezwykle atrakcyjne dla przestępców, którym brakuje umiejętności, zasobów lub chęci, aby opracować własne oprogramowanie.    

Istotnymi przykładami oprogramowania ransomware, które pojawiło się w 2016 roku i wykorzystywało ten model, są programy Petya/Mischa oraz Shark, który zmienił następnie swoją nazwę na Atom.     

Ten model biznesowy staje się coraz bardziej wyrafinowany:

Strona partnera oprogramowania ransomware

Partner często umawia się na tradycyjny, oparty na prowizji system wynagrodzenia. Na przykład, z „tabeli płatności” dla oprogramowania ransomware Petya wynika, że jeśli partner zarobi 125 bitcoinów miesięcznie, po odliczeniu prowizji zostanie mu 106,25 bitcoina.      

Tabela płatności Petya

Występuje również wstępna opłata za korzystanie. Ktoś, kto chce wykorzystywać np. oprogramowanie ransomware Stompado, musi wyłożyć 39 dolarów.    

Ponieważ nie brak przestępców, którzy oferują usługi w zakresie rozprzestrzeniania spamu, opracowywania żądań okupu itd., osoba chcąca parać się takimi atakami może bez trudu rozpocząć ten proceder. 

Od sieci opartych na prowizji po pomoc dla klientów i branding

Najbardziej „profesjonalni” cyberprzestępczy oferowali swoim ofiarom pomoc techniczną, przeprowadzając je przez proces zakupu bitcoinów w celu zapłacenia okupu, a niekiedy nawet byli otwarci na negocjacje. Każdy kolejny krok zachęcał ofiarę do zapłacenia.

Eksperci z Kaspersky Lab badający oprogramowanie ransomware w Brazylii zauważyli, że w przypadku wielu ataków, pewne znaczenie miał branding oprogramowania ransomware. Osoby, które pragnęły rozgłosu medialnego oraz wywołania strachu wśród klientów, wybierały nagłaśniane tematy związane z celebrytami – natomiast te, które chciały pozostać poza radarem, opierały się pokusie sławy i pozostawiały swoim ofiarom jedynie e-mail w celu skontaktowania się z nimi oraz adres bitcoin w celu dokonania zapłaty.       

Nadal chodzi o bitcoiny

W 2016 roku najpopularniejsze rodziny oprogramowania ransomware nadal preferowały płatność w bitcoinach. Żądania okupu w większości nie były wygórowane, wynosząc średnio około 300 dolarów, jednak w niektórych przypadkach żądano – i płacono – znacznie wyższe kwoty.   

W innych przypadkach, dotyczących w szczególności operacji o zasięgu regionalnym i tych „wykonanych ręcznie”, preferowano często opcję płatności w walucie lokalnej – chociaż to oznaczało również, że cyberprzestępcy nie mogli już ukrywać się poprzez wtopienie się w tłum reszty „szumu” ransomware.

Ransomware kieruje swoje ataki przeciwko firmom

W pierwszych trzech miesiącach 2016 roku 17% ataków przy użyciu oprogramowania ransomware było wymierzonych przeciwko korporacjom – to oznacza, że co dwie minuty zostaje zaatakowana jakaś firma na świecie¹. Do końca III kwartału odsetek tych ataków zwiększył się do 23,9% - co równa się jednemu atakowi co 40 sekund. 

Według badania firmy Kaspersky Lab, w 2016 roku jedna na pięć firm na całym świecie doświadczyła incydentu naruszenia bezpieczeństwa IT w wyniku ataku przy użyciu oprogramowania ransomware.

• W ciągu ostatnich 12 miesięcy ataki przy użyciu oprogramowania ransomware dotknęły 42% małych i średnich firm. 
• 32% z nich zapłaciło okup.
• Jedna na pięć firm nigdy nie odzyskała swoich plików, nawet po zapłaceniu okupu.
• 67% firm, które zostały zaatakowane przez oprogramowanie ransomware, straciło część lub wszystkie swoje dane korporacyjne, natomiast jedna na cztery próbowała przywrócić dostęp do danych przez kilka tygodni.   

• Socjotechnika i błąd ludzki pozostają kluczowymi czynnikami jeśli chodzi o podatność firmy na ataki. Jeden na pięć przypadków dotyczących znacznej utraty danych wynikał z nieostrożności lub braku świadomości pracownika.  

Niektóre branże są bardziej dotknięte niż inne, jednak z naszego badania wynika, że wszystkie są narażone 

Ataki przy użyciu oprogramowania ransomware, o których donosiły media

• Głównym celem ataków stały się szpitale – ataki te miały potencjalnie destrukcyjny wpływ obejmujący odwołanie operacji, przeniesienie pacjentów do innych szpitali oraz itp.
  • Najbardziej znany przykład ataków przy użyciu oprogramowania ransomware miał miejsce w marcu, gdy przestępcy zablokowali komputery centrum medycznego Hollywood Presbyterian Medical Center w Los Angeles do czasu zapłacenia przez szpital 17 000 dolarów.
  • W ciągu kilku tygodni od tego incydentu zaatakowane zostały również liczne szpitale w Niemczech.
  • W Wielkiej Brytanii 28 trustów narodowej służby zdrowia przyznało się do tego, że padło ofiarą ataków w 2016 roku.   
• Dostawca hostowanych usług w chmurze VESK zapłacił prawie 23 000 dolarów okupu w celu odzyskania dostępu do jednego ze swoich systemów w następstwie ataku we wrześniu.  
• Wiodące media, łącznie z New York Times, BBC oraz AOL, zostały zaatakowane przez szkodliwe oprogramowanie zawierające ransomware w marcu 2016 roku.
• Uniwersytet Calgary w Kanadzie, który stanowi główne centrum badawcze, przyznał się do zapłacenia około16 000 dolarów w zamian za odzyskanie wiadomości e-mail, które zostały zaszyfrowane na tydzień.
• Niewielki posterunek policyjny w Massachusetts zapłacił okup w wysokości 500 dolarów (w bitcoinach) w celu odzyskania istotnych danych związanych z prowadzonymi sprawami, po tym jak oficer otworzył „zatruty” załącznik do wiadomości.   
• Nawet branża wyścigów samochodowych nie została oszczędzona: znanemu zespołowi wyścigowemu NASCAR groziła utrata danych o wartości milionów na skutek ataku TeslaCrypt, który miał miejsce w kwietniu.  

Odwet

Przy użyciu technologii

Najnowsze wersje produktów firmy Kaspersky Lab przeznaczone dla małych firm zostały wyposażone w funkcjonalność ochrony przed szkodliwym oprogramowaniem kryptograficznym. Ponadto, udostępniono nowe, bezpłatne narzędzie do ochrony przed oprogramowaniem ransomware przeznaczone dla wszystkich firm, które można pobrać i stosować niezależnie od wykorzystywanego rozwiązania bezpieczeństwa.   

Narzędzie Kaspersky Anti-Ransomware Tool for Business to „lekkie” rozwiązanie, które może działać jednocześnie z innym oprogramowaniem antywirusowym. Narzędzie to wykorzystuje dwa komponenty niezbędne do wczesnego wykrywania trojanów: rozproszoną sieć Kaspersky Security Network oraz Kontrolę systemu, która monitoruje aktywność aplikacji.     

Kaspersky Security Network szybko sprawdza reputację plików i adresów URL stron internetowych przy użyciu chmury, a Kontrola systemu monitoruje zachowanie programów i zapewnia ochronę proaktywną przed nieznanymi jeszcze wersjami trojanów. Co istotne, narzędzie to potrafi wykonywać kopię zapasową plików otwieranych przez podejrzane aplikacje i cofać zmiany, jeśli działania podjęte przez programy okażą się szkodliwe.   

Poprzez współpracę: inicjatywa No More Ransom

25 lipca 2016 roku krajowa policja holenderska, Europol, Intel Security oraz Kaspersky Lab poinformowały o uruchomieniu projektu  No More Ransom – niekomercyjnej inicjatywy, która łączy organizacje publiczne i prywatne i ma na celu informowanie o zagrożeniach związanych z oprogramowaniem ransomware oraz pomoc w odzyskaniu swoich danych.  

Utworzony w ramach tej inicjatywy portal internetowy zawiera obecnie osiem narzędzi deszyfracji, z czego pięć zostało opracowanych przez Kaspersky Lab. Mogą one pomóc przywrócić pliki zaszyfrowane przez ponad 20 rodzajów szkodliwego oprogramowania kryptograficznego. Jak dotąd ponad 4 400 ofiar odzyskało swoje dane – a tym samym zaoszczędzono ponad 1,5 miliona dolarów potencjalnego okupu.

W październiku do projektu przystąpiły organy ścigania z kolejnych 13 państw, w tym z Bośni i Hercegowiny, Bułgarii, Kolumbii, Francji, Węgier, Irlandii, Włoch, Łotwy, Litwy, Portugalii, Hiszpanii, Szwajcarii oraz Wielkiej Brytanii.

Cele projektu wspiera również Eurojust oraz Komisja Europejska. Spodziewamy się również, że wkrótce zostaną ogłoszeni kolejni partnerzy z sektora prywatnego oraz organów ścigania.  

 „Partnerstwa publiczno-prywatne stanowią istotę i siłę inicjatywy NMR. Są one niezbędne dla skutecznego i sprawnego rozwiązania problemu – dzięki temu mamy znacznie większe możliwości i zasięg niż same organy ścigania”.  

Steven Wilson, szef EC3 Europolu

Ochrona przed oprogramowaniem ransomware – jak pozostać bezpiecznym

1. Regularnie wykonuj kopię zapasową danych.
2. Korzystaj z niezawodnego rozwiązania bezpieczeństwa, pamiętając o włączeniu kluczowych funkcji, takich jak Kontrola systemu.
3. Dopilnuj, aby oprogramowanie było zawsze aktualne na wszystkich urządzeniach, z których korzystasz.
4. Zachowaj ostrożność wobec załączników do wiadomości lub wiadomości od osób, których nie znasz. W razie wątpliwości, nie otwieraj ich.
5. Jeśli prowadzisz firmę, powinieneś również wyszkolić swoich pracowników oraz zespół IT; przechowuj poufne dane oddzielnie; ogranicz dostęp; wykonuj kopie zapasowe wszystkich danych, zawsze.  
6. Jeśli będziesz miał pecha i padniesz ofiarą programu szyfrującego, nie panikuj. Wykorzystaj niezainfekowany system, aby sprawdzić naszą stronę w ramach inicjatywy No More Ransom; może znajdziesz narzędzie deszyfracji, które pomoże ci odzyskać Twoje dane.     
7. Na koniec, niemniej ważne jest pamiętanie o tym, że oprogramowanie ransomware to wykroczenie. Jeśli padniesz jego ofiarą, zgłoś to lokalnym organom ścigania.  

„Zachęcamy do zgłaszania ataku. Każda ofiara posiada ważny dowód, który może dostarczyć nieocenionych informacji. W zamian za to możemy zapewnić jej wiedzę i chronić przed podejrzanymi „ofertami” osób trzecich dotyczących odszyfrowania danych. Musimy jednak pracować nad tym, aby więcej oficerów organów ścigania wiedziało, jak postępować z przestępczością cyfrową”.      

Ton Maas, koordynator zespołu ds. cyfrowych holenderskiej krajowej jednostki ds. zwalczania przestępczości z wykorzystaniem zaawansowanej technologii

Dlaczego nie należy płacić – porady holenderskiej krajowej jednostki ds. przestępczości z wykorzystaniem zaawansowanej technologii

1. Staniesz się większym celem.
2. Nie można ufać przestępcom – być może nigdy nie odzyskasz swoich danych, nawet jeśli zapłacisz.
3. Kwota następnego okupu będzie wyższa.
4. Zachęcisz w ten sposób przestępców.

Czy można kiedykolwiek wygrać walkę z oprogramowaniem ransomeware?

Wierzymy, że tak – ale tylko poprzez wspólną pracę. Ransomware to lukratywny proceder przestępczy. Aby go zahamować, świat musi zjednoczyć się w celu przerwania łańcucha przestępców i utrudnienia im przeprowadzania ataków i odnoszenia z nich zysków.

1Szacunki oparte na następujących danych: 17% 372 602 unikatowych użytkowników, na urządzeniach których produkty firmy Kaspersky Lab zablokowały ataki ransomware w I kwartale 2016 r. oraz 23,9% 821 865 unikatowych użytkowników, na urządzeniach których produkty firmy Kaspersky Lab zablokowały ataki ransomware w III kwartale 2016 r.