Еволюцията на рансъмуера или как успяхме да стигнем дотук

Оригиналът е на Marcel Blackbeard

1
841

В наши дни почти не минава седмица без да се появи новина за нова голяма рансъмуер атака. В началото сумата на откупа бе няколко стотици долари, но сега нарасна до милиони. Как стигнахме до подобно положение, когато днес нашите данни и ползваните от нас онлайн услуги могат да бъдат криптирани, а за да получим паролата, трябва да се разделим с крупна сума? И ако една-единствена атака от подобен род дава възможност да се спечелят милиони, дали всичко това ще приключи един ден?

Историята на рансъмуера

Доктор Джоузеф Л. Поп (Joseph L. Popp), който е изследовател в сферата на биологията, е известен и като първият човек, който е поискал откуп чрез софтуер. През месец декември 1989 година Поп изпратил по пощата 20000 дискети с надпис „Информация за СПИН-а – основни материали“ до стотици изследователски институти в 90 държави. На дискетата има интерактивна анкета, с помощта на която е възможно да се провери какъв е рискът от заразяване със СПИН на базата на отговорите на потребителя. По време на попълването на тази анкета, първият рансъмуер AIDS Trojan криптира файловете в компютрите на потребителите след като анкетата бъде стартирана определен брой пъти.

Принтерите, включени към заразените компютри, са разпечатвали инструкции, в които се казва, че е необходимо да се направи банков превод или да се даде чек за сума от $189 в Пощенска кутия в Панама. Поп възнамерявал да разпространи още два милиона дискети с AIDS, но е арестуван на път към САЩ, където е трябвало да присъства на семинара на Световната здравна организация на тема СПИН. Въпреки уликите срещу доктор Поп, той така и не е признат за виновен.

За щастие на компютърните специалисти от това време, в кода на Поп е използвано симетрично криптиране и за отстраняване последствията от първата рансъмуер атака сравнително лесно е написан софтуерен инструмент за декриптиране на файловете. За периода от 1991 до 2004 година няма значителни рансъмуер атаки, но редица експерти счетоха този период за затишие преди буря.

Технологичният процес в еволюцията на рансъмуера

В началото на новия век хакерите вече разполагат с готови шаблони за създаване на рансъмуер и достъп до три изключително важни технологични аспекта, до които Поп не е имал достъп…

  1. Ефективна и свръхбърза система за обмен на файлове, съединяваща милиони компютри по целия свят – тоест, уеб-пространството
  2. Достъп към много по-надеждни алгоритми за асиметрична криптография за криптиране на файловете, които не могат да бъдат заразени
  3. Платежна платформа, осигуряваща скорост, анонимност и възможност за автоматично декриптиране след плащането на откупа, каквато е например екосистемата на биткойна

Благодарение на съчетаването на тези три фактора рансъмуерът получава голяма популярност. Ето какви са ключовите събития в историята на тази изключително неприятна компютърна зараза:

  • 2006-та – Archiveus използва RSA-1024 за криптиране на файловете, поради което те не могат да бъдат декриптирани. Жертвите на този рансъмуер, за да получат необходимата парола за декриптиране, се е налагало да купуват и изпращат някои специфични лекарства от аптеките, които не се продават свободно
  • 2008 – появява се биткойнът. Сега рансъмуерите за всяка една отделна жертва могат да създават уникални платежни адреси и биткойнът става най-предпочитаното платежно средство
  • 2021 – биткойнът се развива много добре и броят на рансъмуер атаките нараства експоненциално. През първите две тримесечия на 2011 година бе съобщено за 30 000 подобни зарази. Към края на третото тримесечие този брой на рансъмуер атаки бе удвоен

 
  •  2012 – Reveton започва да използва основните принципи на вируса Vundo, като се прилага тактика на заплашване, за да бъдат бакарани жертвите да плащат. След като криптира файловете червеят Reveton започва да се преструва на съобщение от правоохранителните органи, с което жертвата се предупреждава, че е извършила престъпление. За въпросното „престъпление“ най-често се посочва изтеглянето и/или използването на пиратски софтуер
    • По същото време на сцената се появява Citadel – специализирана среда за съвсем лесното разработване и разпространяване на най-разнообразни вируси и за управлението на ботнети, които разпространяват рансъмуер с помощта на платени програми.
  • 2013-2015 – започва съчетаването на 2048 криптиране RSA, скриването на публичния ключ и използването на C&C сървъри в Tor пространството, както и използването на ботнета Gameover Zeus за разпространяването на заразата. Именно по този начин CryptoLocker става най-агресивният и плодотворен рансъмуер
 

    • Към 2014 година мобилният троянец, който първоначално е предназначен за кражбата на информация за дебитни карти, еволюционира в рансъмуер. На жертвите се блокира достъпа до телефона им се изпращат обвинения за гледане на детска порнография
    • През месец май 2015 година се появява мощната система Ransomware-as-a-Service (RaaS), при която операторите на RaaS започват да получават 20% от всеки заплатен с биткойни откуп
  • 2016 – появява се Ransom32, изцяло написан на Javascript, HTML и CSS. Това е първият многоплатформен рансъмуер, който може да заразява устройства работещи под управлението на Windows, Linux и Mac OS
    • Locky започна да се разпространява чрез фишингови атаки с помощта на зловредно прикрепяне към документите на Microsoft Word. По време на пика на неговото разпространяване, този рансъмуер успява да зарази до 100 хиляди компютърни устройства на ден
    • KeRanger е първият рансъмуер, който заразява файловете на Mac и системата за възстановяване на Mac чрез изключване функцията за възстановяване на операционната система, която дава възможност но потребителя да се върне към предишното некриптирано състояние

 
  • 2017 – WannaCry и Petya отново привлича вниманието към рансъмуера. WannaCry е криптиращ червей с полуавтоматично размножаване и използване на най-различни уязвимости в операционната система
    • В началото на 2017 година WannaCry успя да зарази над 250 хиляди компютърни устройства. Това бе най-голямата рансъмуер атака в историята, финансовите загуби от която достигнаха четири милиарда долара
    • NotPetya (вариация на Petya от 2016 година) – още един крипточервей, използващ същите уязвимости като WannaCry, въпреки излезлите пачове за безопасност, които би трябвало да защитят потребителите именно подобни атаки, но които много потребители пренебрегнаха. И двата варианта на този рансъмуер много ярко подчертават опасността за работа с неподдържани системи и необходимостта от инсталирането на обновяванията по безопасност.

  • 2018 – ransomcloud успя да докаже, че облачните акаунти за електронна поща, като например Office 365, също са уязвими към рансъмуер атаки. За щастие, това бе само потвърждение на тази концепция, което бе разработено от бял хакер
    • В същото време анонимността на биткойна престана да бъде гарантирана и киберпрестъпниците започнаха да мигрират към други криптовалути. Някой от новите рансъмуери, като например Annabelle и AVCrypt, както и новата версия SamSam включват мощни функции за скриване и за възпрепятстване на какъвто и да било анализ след извършването на атаката.

По-късно експертите по информационна безопасност започнаха да съобщават, че хакерите вече използват мощни отдалечени виртуални машини, за да маскират процеса на криптиране на файловете от рансъмуера. Файлът или папката бързо се копират и се криптират с помощта на мощна виртуална машина в електронен облак. След това се връщат криптирани, а оригиналните файлове се премахват. Почти няма използвани ресурси на потребителския компютър, антивирусните програми не могат да разпознаят атаката, а потребителите нищо не подозират.

Еволюцията на тактиката на рансъмуера

 Освен използването на най-прогресивни технологии рансъмуерите станаха много по-агресивни и започнаха да използват изключително изобретателни методи за повишаване успеха за заплащането на откупа.

Хакерите започнаха да се фокусират върху критично важната инфраструктура и големите организации. Така например, през 2016 година чрез рансъмуер бяха атакувани няколко болници, включително Hollywood Presbyterian Medical Center, Ottawa Hospital и Kentucky Methodist Hospital. Във всички тези случаи бе блокирана различна медицинска апаратура, криптирани бяха медицинските картони, което рязко застраши здравето на пациентите. Късмет имаха единствено болниците, които използваха ежедневно резервно копиране и възстановяване на информацията. За съжаление, на останалите са наложи да плащат огромни откупи, за да могат да си възстановят услугите по здравеопазването на населението.

Рансъмуерът през 1989 и 2019 години

През месец март 2018 година редица онлайн услуги на Атланта излязоха от строя заради мощна рансъмуер атака. Поисканият откуп от 55 хиляди щатски долара в биткойни бе платен, но разходите по възстановяване на работата достигнаха 2,6 милиона.

През месец май 2021 година рансъмуерът DarkSide за една седмица извади от строя критично важна инфраструктура, отговаряща за доставките на 45% от бензина, необходим на 13 щати на Северна Америка. Жертвата на тази атака бе Colonial Pipeline, която плати сериозните 4,4 милиона щатски долара, за да си възвърне достъпа до своите системи. Подобни големи плащания на откуп още по-силно мотивираха хакерите да намират много по-изобретателни методи за печалба от рансъмуер.

По това време злоумишлениците започнаха да използват тактиката „криптирай и открадни данните“. Хакерите бързо разбраха, че от местата, където е възможно да се осъществи рансъмуер атака, съвсем лесно могат да бъдат откраднати самите данни. По този начин атакуващите не само криптират файловете на жертвите, но и копират критично важна информация, като заплашват да я публикуват, ако откупът не бъде платен. По този начин, дори и дадена организация да успее да си възстанови данните от архив, не може да допусне публикуването на подобна чувствителна информация и плаща откупа.

Бъдещето на рансъмуера

Cybersecurity Ventures съобщи, от началото на тази година броят на рансъмуер атаките се е увеличил с 57%. През 2020 година загубите от подобни атаки достигна 20 милиарда щ. долара, а това е със 75% повече в сравнение с предходната 2019 година.

Освен това, рансъмуер атаките стават все по фокусирани върху конкретни крупни жертви. Това са организации от сферата на здравеопазването, комуналните услуги, застраховането и въобще всички, които осигуряват критично важни услуги и е ясно, че могат да платят солидни откупи.

Защо се наблюдава подобен внезапен ръст на рансъмуер атаките?

Това е изключително доходно занятие! Дори и малък процент от рансъмуер атаките да бъде успешен, той дава огромна печалба. Нека да дадем няколко примера от тази година:

  • CWT Global — 4,5 милиона щатски долара
  • Colonial Pipeline — 4,4 милиона щатски долара
  • Brenntag North American Division — 4,4 милиона щатски долара
  • Travelex — 2,3 милиона щатски долара
  • Калифорнийският университет в Сан-Франциско — 1,14 милиона щатски долара

Тези атаки са само една микроскопична част от успешните рансъмуер кампании. За съжаление, плащането на тези толкова високи откупи мотивира хакерите да търсят нови техники на заразяване, разпространение и извличане на данните.

Специалистите силно се опасяват от това, че рансъмуерът ще започне да се появява в облачните услуги и като цяло ще се прехвърли към схемите Infrastructure-as-a-Service (IaaS) и Platform-as-a-Service (PaaS).

Противодействието

В края на 2020 година бе стартирана програмата Ransomware Task Force (RTF). Коалиция от над 60 участника от различни сфери – промишленост, държавни органи, полиция – започнаха да търсят решения за предотвратяването на рансъмуер атаки. През месец април тази година RTF публикува отчета Combating Ransomware: A Comprehensive Framework for Action, в който са описани 48 приоритетни препоръки за борба с рансъмуера. Тези усилия в наши дни започнаха да оказват въздействие и до края на тази година навярно ще разберем доколко успешна е борната с тази коварна зараза.

Абонирай се
Извести ме за
guest
1 Коментар
стари
нови
Отзиви
Всички коментари