Generalnie rzecz ujmując Ransomware jest rodzajem złośliwego oprogramowania (malware), który po aktywacji szyfruje pliki (wszystkie lub część) na komputerze ofiary i żąda okupu za ich odszyfrowanie.

Jest to coraz powszechniejszy i niezwykle groźny atak, o czym między innymi świadczy powstanie usług RaaS, czyli Ransomware as a Service

Ransomware – początek, czyli jak to w ogóle się zaczęło?

Historia powstania oprogramowania żądającego okup (Ransomware) sięga aż 1989 roku. Właśnie wtedy Joseph Popp napisał program zwany „PC Cyborg” lub „AIDS”. Jego działanie opierało się na szyfrowaniu wszystkich plików w katalogu „C:”, co przejawiało się w ukrywaniu plików oraz szyfrowaniu ich nazw. PC Cyborg aktywował się dopiero po 90 uruchomieniach systemu i żądał zapłaty 189 dolarów za „odnowienie licencji” firmie PC Cyborg Corporation, która w zamian miała przekazać program do usunięcia złośliwego kodu. Sam Joseph Popp został uznany za niepoczytalnego, przez co uniknął procesu sądowego. Obiecał jednak, że cały zysk z działania swojego programu przeznaczy na badania nad lekarstwem na AIDS.

Natomiast w 1996 roku Adam L. Young oraz Mordechaj Yung wymyślili sposób na wykorzystanie kryptografii klucza publicznego (o kryptografii i infrastrukturze klucza publicznego przeczytasz tutaj) do ataków Ransomware. Udowodnili oni, że trojan PC Cyborg  był nieskuteczny ze względu na korzystanie z algorytmu symetrycznego, gdyż istniała możliwość wydobycia klucza deszyfrującego z kodu źródłowego tego trojana. Sami natomiast opracowali i wdrożyli eksperymentalnego wirusa szyfrującego używającego algorytmów RSA oraz TEA do hybrydowego szyfrowania danych. Zasada działania tego złośliwego oprogramowania polegała na szyfrowaniu plików ofiary, aby następnie wysłać asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i po dokonaniu zapłaty przekazywał ofierze symetryczny klucz deszyfrujący.

Kolejny przełom nastąpił w 2004 roku wraz z atakiem GpCode, który wykorzystywał algorytm RSA do szyfrowania danych. Następnie głośnym echem odbiły się ataki za pomocą trojanów, takich jak TROJ.RANSOM.A, Archiveus, KRotten, Cryzip, czy majArchive, które wykorzystywały coraz bardziej wyrafinowane algorytmy szyfrujące RSA z kluczami o coraz większej długości. Ponadto cechą charakterystyczną tych ataków było żądanie coraz wyższych kwot okupów za deszyfrowanie danych. W ten trend wpisywał się wykryty w czerwcu 2006 roku trojan Gpcode.AG, który był zaszyfrowany publicznym kluczem RSA o długości 660 bitów. Co ciekawe już w czerwcu 2008 roku wykryto jego nowy wariant, czyli Gpcode.AK, który korzystał z 1024 bitowego klucza RSA.

Następnym „krokiem milowym” w rozwoju oprogramowania Ransomware był koniec roku 2013, kiedy to na masową skalę zaczął rozprzestrzeniać się trojan CryptoLocker. Wykorzystywał on platformę cyfrowej waluty Bitcoin do pozyskiwania okupu. Jeszcze w grudniu 2013 roku portal ZDNet.com przeanalizował informacje o transakcjach dokonanych w Bitcoinie w okresie od 15 października do 18 grudnia 2013 roku. Z dokonanej analizy wyniknęło, że hakerzy, którzy stworzyli CryptoLockera, otrzymali ok. 27 milionów dolarów z okupów. Sam wirus rozprzestrzeniał się w kolejnych miesiącach i na jego podstawie powstały wirusy takie jak CryptoLocker 2.0, który jednak nie był bezpośrednio powiązany z CryptoLockerem, CryptoDefense – jego pierwsze wersje zawierały błąd w kodzie, w wyniku którego na komputerze ofiary umieszczany był klucz prywatny w dostępnej dla użytkownika lokalizacji, co było spowodowane wbudowanymi interfejsami deszyfrującymi systemu Windows, czy trojan wykryty w sierpniu 2014 roku, który był głównie przeznaczony do ataków na urządzenia NAS (czyli umożliwiających podłączenie zasobów pamięci dyskowych bezpośrednio do sieci komputerowej) firmy Synology.

Natomiast od 2015 roku można zaobserwować dalszy rozwój oprogramowania Ransomware, które zaczęło infekować systemy i serwery Linuksowe. Ponadto niektóre szczepy wirusów typu Ransomware zaczęły wykorzystywać serwery pośredniczące (proxy) powiązane z usługami ukrytymi sieci Tor do łączenia się z serwerami kontrolnymi, co utrudniało śledzenie dokładnej lokalizacji cyberprzestępców.

Czym obecnie jest Ransomware?

Powyższy wstęp może dawać wrażenie zrozumienia podstaw ataku Ransomware. Czy jednak rzeczywiście tak jest? Aby odpowiedzieć na to pytanie warto przyjrzeć się współczesnej i najnowszej definicji złośliwego oprogramowania szyfrującego. Przedstawiając czym jest ten atak warto przedstawić źródłosłów tej nazwy, stanowiący zlepek dwóch angielskich wyrazów, mianowicie ransom (okup) oraz software (oprogramowanie). Ten rodzaj złośliwego oprogramowania odpowiada za infekowanie oraz blokowanie systemu komputerowego poprzez szyfrowanie wybranych plików znajdujących się na dysku lokalnym, ale również umieszczonych na dysku sieciowym. Cechą charakterystyczną jest pojawienie się na ekranie zainfekowanego komputera okna lub pliku zawierającego instrukcję odszyfrowania plików i odblokowania systemu, która informuje, że dostęp do danych zostanie przywrócony po wpłaceniu atakującemu określonej kwoty, zazwyczaj w określonej kryptowalucie. W rzeczywistości jednak hakerzy nie tylko szyfrują dane, ale także je wykradają, aby szantażować ofiarę upublicznieniem wykradzionych danych w przypadku nieopłacenia okupu.

Co ważne, szyfry wykorzystywane przez złośliwe oprogramowanie, jeżeli są poprawnie użyte, uniemożliwiają odszyfrowanie danych bez posiadania klucza deszyfrującego, co skazuje ofiarę na łaskę i niełaskę atakujących.

Oczywiście czasem zdarzają się błędy w kodzie złośliwego oprogramowania lub upublicznienie odpowiednich kluczy umożliwia odszyfrowanie danych, jednak są to sporadyczne sytuacje.

Warto wskazać, że najczęściej do ataków Ransomware dochodzi poprzez:

• znane podatności w publicznie dostępnych usługach, takich jak VPN, RDP czy serwery pocztowe, lecz tutaj istotną rolę gra czas, ponieważ takie podatności są wykorzystywane w ciągu godzin lub dni po ich upublicznieniu,
• nieodpowiednio zabezpieczone (np. słabym hasłem) kanały zdalnego dostępu do infrastruktury i publicznych usług, takich jak RDP, VNC, FTP czy bazy danych,
• socjotechnikę i phishing, najczęściej w postaci wiadomości email nakłaniających do pobrania i uruchomienia załączonego lub umieszczonego w linku pliku.

Typy złośliwego oprogramowania typu Ransomware

Generalnie występują trzy typy oprogramowania typu Ransomware, różniące się od siebie powagą zagrożenia:

1. oprogramowanie scareware, czyli oprogramowanie zastraszające – jego działanie polega na podszywaniu się pod oprogramowanie zabezpieczające lub pracowników wsparcia technicznego i wyświetlaniu komunikatów, np. w postaci wyskakującego okienka z informacją o zainfekowaniu komputera złośliwym oprogramowaniem, którego usunięcie wymaga uiszczenia stosownej opłaty; jego negatywny wpływ polega na stałym wyświetlaniu męczących i denerwujących komunikatów w przypadku wcześniejszego ich ignorowania,
2. oprogramowanie powodujące blokadę ekranu, co całkowicie uniemożliwia korzystanie z komputera, a na całym ekranie wyświetla się komunikat podszywający się pod Policję lub inny państwowy organ bezpieczeństwa oraz informujący o wykryciu nielegalnej aktywności na danym komputerze oraz o możliwości odblokowania komputera po wpłacie określonej kwoty – oczywiście cyberprzestępcom,
3. oprogramowanie szyfrujące, które szyfruje, a często także kradnie pliki jednocześnie żądając okupu za ich deszyfrację i odesłanie – z uwagi na to, że ten typ oprogramowania Ransomware jest najpoważniejszy, poświęciłem mu poniższy fragment artykułu.

Jak działa program typu Ransomware w postaci oprogramowania szyfrującego?

Po dokonaniu infekcji, czyli zapisania się w pamięci komputera taki program rozpoczyna skanowanie lokalnych i sieciowych magazynów danych (np. dysków, baz danych) w poszukiwaniu plików do zaszyfrowania, z reguły ważnych dla firmy lub osoby prywatnej, w zależności od celu ataku. Warto zaznaczyć, że oprogramowanie typu ransomware szyfruje również pliki kopii zapasowych, o ile przechowywane są na zainfekowanym urządzeniu, aby ofiara nie mogła odzyskać zaszyfrowanych informacji, a tym samym odstąpić od zapłaty okupu. Co do zasady program typu Ransomware przeszukuje komputer ofiary oraz zasoby sieciowe, do których podłączony jest zainfekowany komputer, w celu odnalezienia:

• plików pakietu Microsoft Office, takich jak .xls, .docx, pptx oraz ich starszych wersji, np. .doc, .xls, .ppt,
• obrazów zapisanych w formatach .jpg, jpeg, .png, .gif,
• rysunków technicznych, zapisywanych z reguły w formacie .dwg,
• danych zapisanych jako .sql czy .ai,
• plików wideo w formatach .mp4, .m4a, .avi.

Jednakże najczęściej kod różnych programów służących do szyfrowania plików i żądania okupu jest pisany tak, aby programy te w pierwszej kolejności wyszukiwały pliki pakietu Microsoft Office, ponieważ w zdecydowanej większości przypadków ważne dokumenty firmowe są przechowywane w jednym z formatów tego pakietu.

Podkreślić należy, że program typu Ransomware może być uruchomiony zaraz po infekcji, jak również może czekać w uśpieniu określoną ilość jednostek czasu lub określoną liczbę uruchomień komputera. To zależy od twórcy złośliwego oprogramowania oraz celu ataku.

W tym miejscu warto zaznaczyć, że w celu utrudnienia odszyfrowania danych nowsze programy Ransomware stosują łącznie szyfrowanie symetryczne oraz asymetryczne (tzw. podejście hybrydowe). Wyraża się to w generowaniu przez złośliwe oprogramowanie dwóch zestawów kluczy i zastosowanie łańcucha szyfrowania, w którym klucz symetryczny odpowiedzialny jest za szyfrowanie plików. Następnie generowana jest para kluczy po stronie klienta, gdzie klucz publiczny służy do zaszyfrowania pliku klucza symetrycznego. Kolejno program typu Ransomware generuje parę kluczy, czyli klucz publiczny i klucz prywatny na serwerze kontrolowanym przez cyberprzestępców. Klucz publiczny serwera służy do zaszyfrowania klucza prywatnego wygenerowanego po stronie klienta i tak zaszyfrowany klucz prywatny klienta jest wysyłany hakerom. Po zapłaceniu okupu przez ofiarę klucz prywatny serwera pozwala na rozszyfrowanie klucza prywatnego klienta. Rozszyfrowany klucz prywatny klienta służy do odwrócenia łańcucha szyfrowania i deszyfracji wcześniej zaszyfrowanych danych.

Czy na ataki Ransomware narażone są urządzenia mobilne?

Niestety na postawione powyżej pytanie należy udzielić odpowiedzi twierdzącej, a same ataki na szeroką skalę zaczęły być stosowane już w 2014 roku. Wypłynęły one na fali popularności CryptoLockera i podobnych programów wywodzących się z tej samej rodziny złośliwego oprogramowania. Programy typu Ransomware dedykowane urządzeniom mobilnym, np. telefonom komórkowym czy smartfonom, blokują je wyświetlając komunikat informujący o zablokowaniu danego urządzenia na skutek niezgodnej z prawem działalności jego użytkownika. Odblokowanie urządzenia może nastąpić jedynie po uiszczeniu stosownej opłaty, czyli sam model ataku jest identyczny z opisanym powyżej atakiem w postaci oprogramowania powodującego blokadę ekranu komputera. Oczywiście urządzenie mobilne może zostać zainfekowane takim programem poprzez instalację złośliwej aplikacji, często pochodzącej z niepewnego źródła. Na szczęście łatwo można odblokować tak zainfekowane urządzenie mobilne uruchamiając je w bezpiecznym trybie, co umożliwia usunięcie złośliwej aplikacji i przywrócenie dostępu do urządzenia.

Co należy zrobić, jeżeli dojdzie już do infekcji?

Oczywiście pierwszym pomysłem może być zapłacenie okupu cyberprzestępcom. Jednakże, pomijając ewentualne konsekwencje prawne, nie mamy pewności, że po zapłaceniu okupu otrzymamy klucz deszyfrujący dane, a same dane wykradzione przez przestępców nie zostaną opublikowane.

Stąd też po dojściu do infekcji należy podjąć następujące kroki:

1. W pierwszej kolejności należy odizolować zainfekowaną maszynę, co polega na odłączeniu jej od sieci zarówno przewodowej jak i bezprzewodowej, przy czym zainfekowany komputer powinno się wyłączyć jedynie w przypadku gdy nie jest możliwe jego odłączenie od sieci. Warto zaznaczyć, że pamięć RAM może zawierać informacje niezbędne do analizy incydentu oraz późniejszego odszyfrowania zaszyfrowanych danych, a po wyłączeniu maszyny informacje te zostaną bezpowrotnie utracone. Z tego względu warto pozostawić zainfekowany komputer w trybie hibernacji oraz wykonać kopię zapasową zainfekowanych plików, co pozwoli na odzyskanie zaszyfrowanych plików i danych po pojawieniu się stosownego dekryptora, czyli oprogramowania umożliwiającego odszyfrowanie danych.
2. Następnym krokiem jest identyfikacja źródła infekcji oraz jego eliminacja. Pomocne są tutaj logi oraz ich analiza pod kątem nietypowych działań czy połączeń sieciowych. Brak eliminacji źródła infekcji może prowadzić do kolejnych ataków.
3. Kolejnym działaniem jest określenie rodziny złośliwego oprogramowania, co zazwyczaj dokonuje się przez analizę monitu z żądaniem okupu oraz przykładowych zaszyfrowanych plików. Ponadto analizie takiej poddawane są inne dostępne dane, między innymi adresy mailowe z monitu zawierającego żądanie okupu, rozszerzenia zaszyfrowanych plików oraz adresy portfeli kryptowalut (np. Bitcoina). Dane te pomagają w przybliżeniu określić rodzinę oprogramowania Ransomware, z którą mamy do czynienia. Jest to o tyle istotne, ponieważ w przypadku istnienia odpowiedniego dekryptora będzie można podjąć próbę odzyskania zaszyfrowanych plików. Warto dodać, że pomocne w tym zakresie są dwa narzędzia webowe, czyli nomoreransom.org oraz malwarehunterteam.com, które pomagają odszukać właściwe dekryptory.
4. Po dokonaniu identyfikacji złośliwego oprogramowania należy przywrócić działanie systemów umożliwiając prowadzenie najbardziej priorytetowych działań. Do ich przywrócenia należy wykorzystać czyste, prekonfigurowane obrazy systemów.
5. Niemniej ważny jest ostatni krok, czyli zgłoszenie incydentu zespołowi CSIRT NASK poprzez stronę incydent.cert.pl albo poprzez email: cert@cert.pl. CSIRT NASK rekomenduje wysłanie jako załączniki minimum dwóch zaszyfrowanych plików oraz monitu z żądaniem okupu. Ponadto zalecane i rekomendowane jest dołączenie próbki złośliwego oprogramowania, które zainfekowało daną maszynę oraz logów z zainfekowanego komputera i systemów bezpieczeństwa z czasu infekcji, a także oryginałów zaszyfrowanych plików, o ile się zachowały.

Czy można zabezpieczyć się przed atakiem Ransomware?

Oczywiście można się skutecznie zabezpieczyć przed atakiem Ransomware, ale w tym celu powinno się przestrzegać przedstawionych poniżej kilku zasad.

1. Należy mieć ustanowione odpowiednie procedury wykonywania kopii zapasowych oraz prowadzić regularną ich weryfikację, w szczególności w oparciu o regułę 3-2-1, czyli:
   – należy przechowywać co najmniej 3 kopie danych,
   – co najmniej dwie kopie danych powinny być przechowywane na różnych nośnikach danych,
   – co najmniej jedna kopia powinna być odizolowana, aby zapobiec jej zaszyfrowaniu w przypadku ataku Ranosomware.
   Pamiętać należy także o przeprowadzaniu regularnych testów przywracania danych z kopii zapasowych, co zapobiegnie sytuacji niemożliwości przywrócenia danych w krytycznym dla przedsiębiorstwa momencie, jakim jest np. atak Ransomware.
2. Oczywiście niezwykle istotną kwestią jest dbanie o aktualizację posiadanego oprogramowania, gdyż nowe wersje zawierają łatki bezpieczeństwa, które usuwają luki w zabezpieczeniach odnalezione w poprzednich wersjach. Zalecenie to dotyczy zarówno aktualizacji systemowych, jak i usług webowych oraz aplikacji, takich jak np. przeglądarki, programy biurowe czy pocztowe.
3. Kolejną bardzo ważną zasadą jest stosowanie segmentacji sieci poprzez zapewnienie jej separacji logicznej w postaci sieci VLAN (Virtual Local Area Network) oraz fizycznej. Segregacja taka może być zastosowana pomiędzy różnymi jednostkami organizacyjnymi w firmie (np. biurami, działami, zespołami), co pozwala na ograniczenie skutków potencjalnej infekcji tylko do jednej z podsieci. Z uwagi na niezwykłą wagę przedmiotowego zagadnienia, bezpieczeństwu sieci, jej fragmentowaniu oraz zasadom im towarzyszącym poświęcę w przyszłości przynajmniej jeden artykuł.
4. Nie należy także zapominać o weryfikacji publicznie dostępnych usług internetowych a także wersji oprogramowania udostępniającego te usługi w sieci. Jest to o tyle istotne, że obecnie najczęściej do infekcji złośliwym oprogramowaniem szyfrującym dochodzi poprzez niezabezpieczone lub podatne usługi dostępne z poziomu Internetu. Przeprowadzanie regularnych audytów usług sieciowych pozwala na określenie zasadności udostępniania pewnych usług w Internecie, a także bieżącą kontrolę aktualności oprogramowania i posiadania przez nie najnowszych łatek bezpieczeństwa. Nie bez znaczenia także pozostaje stworzenie właściwej polityki bezpieczeństwa dla ustanawiania odpowiednio silnych haseł oraz wprowadzenie uwierzytelniania minimum dwuskładnikowego (2FA) tam gdzie jest to możliwe. Ponadto w ramach tej zasady konieczne jest wprowadzenie polityki ciągłego zarządzania zmianami oraz ich dokumentowania, a także prawidłowego procesu monitorowania i zarządzania podatnościami.
5. Piąta zasada to zabezpieczenie środowiska pracy oraz eliminacja potencjalnych źródeł infekcji zarówno na poziomie ludzkim, jak i sprzętowym. Tutaj niezwykle ważne jest odpowiednie przeszkolenie pracowników, aby zwracali uwagę na próby phishingu oraz ataki socjotechniczne. Ważne jest, aby pracownicy wiedzieli jak zweryfikować próbę podszycia się pod zaufanego nadawcę określonej treści, np. wiadomości email, zwracali uwagę na rozszerzenia załączonych plików, czy weryfikowali zamieszczane w wiadomościach linki. Natomiast ze strony administracyjnej niezwykle istotne jest prowadzenie odpowiedniej polityki w zakresie komunikacji elektronicznej, choćby poprzez weryfikację nadawcy wiadomości, stosowanie filtrów antyspamowych, czy filtrowanie wiadomości po rozszerzeniach zamieszczonych w nich załączników. Ponadto należy stosować polityki bezpieczeństwa zapobiegające uruchomieniu kodu w potencjalnie złośliwych dokumentach, czyli np. makr w dokumentach pakietu Microsoft Office.
6. Hardening – czyli utwardzanie systemów i stacji roboczych, w szczególności poprzez:
   1. wykorzystywanie oprogramowania antywirusowego, które jest regularnie aktualizowane,
   2. wprowadzenie odpowiednio skonfigurowanej listy ACL (Access Control List) w celu zastosowania polityki najmniejszych przywilejów (least privileges), co przejawia się w udzieleniu jak najmniejszego dostępu poszczególnym pracownikom do zasobów sieciowych i systemowych, ale zarazem na tyle szerokich, aby mogli prawidłowo wykonywać swoją pracę, np. sekretarka powinna mieć dostęp do systemu obsługującego korespondencję, ale już dostęp do akt osobowych poszczególnych pracowników powinien być dla takiego pracownika zabroniony; omawiając tą zasadę warto dodać, że jeżeli dany użytkownik (np. pracownik) nie potrzebuje możliwości zapisu danych w określonym katalogu, to powinien mieć nadane uprawnienia tylko do odczytu, co ograniczy potencjalne straty w przypadku kompromitacji jego konta,
   3. wprowadzenie rozwiązań typu SRP (Software Restriction Policies), AppLocker czy WDAC służących do definiowania lokalizacji, z których:
      • może być uruchamiane oprogramowanie, np.:
        – foldery System oraz System32, lub
        – foldery Program Files oraz Program Files (x86),
      • zabronione jest uruchamianie oprogramowania (są to w szczególności lokalizacje, w których hakerzy najczęściej umieszczają złośliwe oprogramowanie), np.:
        – foldery tymczasowe,
        – folder AppData oraz LoalAppData,
        – folder ProgramData oraz UserProfile,
   4. dokładne testowanie reguł oraz dostosowanie ich do wymagań organizacji jeszcze przed wdrożeniem produkcyjnym konkretnego oprogramowania,
   5. wprowadzenie ograniczenia możliwości uruchomienia skryptów PowerShell, ponieważ coraz częściej są one wykorzystywane w atakach Ransomware.
7. Nie należy także zapominać o zasadzie aktywnego i bieżącego monitorowania zdarzeń w sieci, dzięki czemu będzie można szybko wykryć atak oraz skutecznie go zablokować. Prowadzenie stałego monitoringu zdarzeń sieciowych znacznie usprawnia analizę powłamaniową w przypadku skutecznego przeprowadzenia ataku Ransomware.
   Jednakże aby właściwie prowadzić monitoring sieci należy:
   1. dokonać takiej konfiguracji urządzeń, by wysyłały logi co centralnego serwera logów, a same logi także były zapisywane w kopii zapasowej; co ważne logi na centralnym serwerze powinny być przechowywane przez minimum 14 dni od ich zapisania,
   2. korzystać z systemów IDS (Intrusion Detection System), które na bieżąco analizują logi pochodzące z poszczególnych urządzeń,
   3. ponadto dla systemów Windows należy włączyć oraz poprawnie skonfigurować Audit Logging, serwis Sysmon (który uzupełnia informacje z Audit Loging) oraz usługę WEF (Windows Event Forwarding), dzięki którym można przesłać wybrane logi do serwera WEC (Windows Event Collector),
   4. dodatkowo dla systemów Linux należy włączyć oraz prawidłowo skonfigurować usługę Syslog.

RaaS, czyli Ransomware as a Service

Świat zmienia się coraz szybciej. O tym truizmie wiedzą także cyberprzestępcy, którzy dostosowują swoją ofertę do zmieniających się wymagań przestępczego czarnego rynku. Dotychczasowe, popularne na początku lat dwutysięcznych ataki Ransomware, stały się dla atakujących nieopłacalne, ponieważ ofiary nie płaciły okupu, a stałe poprawianie złośliwego kodu, tak aby był nie do złamania dla dekryporów było związane z wysokimi kosztami. Aby zachować wysokie zyski z ataków Ransomware twórcy zaawansowanego konia trojańskiego z opcją szyfrowania plików (GrandGrab) w połowie 2019 roku zmienili model biznesowy. Właśnie tak powstała usługa Ransomware as a Service, w skrócie RaaS, początkowo opierająca się na sprzedaży kodów złośliwego oprogramowania GrandGrab. Obecnie ta specyficzna usługa polega na sprzedaży oprogramowania Ransomware (zazwyczaj przez jego twórcę) każdemu kto jest zainteresowany jego zakupem. Tutaj klientami są zarówno osoby indywidualne, grupy przestępcze, jak i państwa. Oferty RaaS można znaleźć w Darknecie, a transakcje rozliczane są w kryptowalutach. Ceny zaczynają się już, w przeliczeniu, od kilkudziesięciu dolarów, a górna granica nie jest ustalona i zależy od wybranego pakietu i zakresu usługi.

Prawie koniec Ransomware, czyli Sodinokibi w akcji

Kiedy twórcy trojana GrandGrab rozpoczynali sprzedaż jego kodów źródłowych, większość z osób zajmujących się bezpieczeństwem cyfrowym nie widziała dużego zagrożenia w nowej ofercie, która pojawiła się na czarnym rynku. Powszechnym było przekonanie, że era szyfrowania dla okupu dobiega końca, ponieważ największy program służący do ataków Ransomware nie był już rozwijany, firmy stały się odporne na ten typ ataków, przez co dostarczanie tego malware’u i infekcja były coraz trudniejsze. Właśnie wtedy, gdy wydawało się, że niebezpieczeństwo ataków Ransomware zostało zażegnane pojawił się następca GrandGrab, czyli Sodinokibi. Przyjmuje się, że bazą do jego powstania były kody źródłowe trojana GrandGrab. Ten wirus doprowadził do powstania nowej rodziny złośliwego oprogramowania oraz nowego modelu ataków Ransomware – rozwój Sodinokibi doprowadził do jednego z najgłośniejszych ataków Ransomware. Był 31 grudnia 2019 roku. Właśnie tego dnia hakerzy przeprowadzili atak na Travelex, jedną z największych na świecie firm obsługujących wymianę walut. Najpierw wykradli 5 GB danych, a następnie rozpoczęli szyfrowanie systemów. Początkowo cyberprzestępcy domagali się 3 milionów dolarów okupu w zamian za odszyfrowanie systemów, ale szybko zwiększyli swoje żądanie do 6 milionów dolarów. To zachowanie hakerów dało początek nowemu modelowi ataku – szybsza płatność pozwala odszyfrować pliki w niższej cenie, ale jeśli firma zwleka z zapłatą okupu cena wzrasta. Ponadto, co też było novum, cyberprzestępcy żądali okupu także za nieupublicznienie wykradzionych Travelex danych, którymi były wrażliwe dane klientów tej firmy wraz z numerami ich kart kredytowych i informacjami o transakcjach finansowych. Za sukces ataku odpowiadało nieaktualne i podatne oprogramowanie serwerów VPN Pulse Secure.

Wykorzystana przez hakerów krytyczna luka w zabezpieczeniach została upubliczniona już w lutym 2019 roku i opisana w CVE-2019-11510 (o tym czym jest CVE przeczytasz w tym artykule) z oceną 10 w dziesięciostopniowej skali CVSS (Common Vulnerability Scoring System). Błąd w kodzie umożliwiał zdalne ujawnienie plików w oprogramowaniu Pulse Connect Secure w postaci jawnego tekstu, w tym nazw użytkowników i ich haseł. Wykorzystując tą podatność hakerzy zyskali dostęp do wewnętrznej sieci Travelex, a malware Sodinokibi wykorzystując podatności związane z deserializacją w serwerze WebLogic (CVE-2019-2725, ocena CVSS: 9.8/10) oraz podatność typu Elevation of Privilege (zwiększenie uprawnień) w sterowniku Win32k (CVE-2018-8453, ocena CVSS: 7.8/10) systemu Windows umożliwił hakerom uzyskać konto i uprawnienia administratora domeny, co umożliwiło poruszanie się po sieci za pomocą VNC, oraz zainstalowanie PsExec (zamiennika telnet, umożliwiającego wykonywanie procesów w innych systemach, wraz z pełną interakcyjnością dla aplikacji konsolowych, bez konieczności ręcznego instalowania oprogramowania klienckiego), jako pliku java.exe. Następnie hakerzy wyłączyli mechanizmy bezpieczeństwa na endpointach (komputerach usytuowanych na końcach sieci) i wgrali na nie wirusa Sodinokibi właśnie za pomocą PsExec. Z uwagi na to, że Travelex nie chciał zapłacić okupu, cyberprzestępcy opublikowali najpierw próbkę danych, a następnie wszystkie wykradzione informacje.

Znane ataki Ransomware

O historycznych atakach Ransomware możesz przeczytać w moim artykule prezentującym 10 największych ataków hakerskich.

W tym miejscu chciałbym jednak przedstawić pięć stosunkowo nowych ataków Ransomware, które odbiły się głośnym echem w głównie Polsce, ale także i za granicą.

1. Atak na Lotnicze Pogotowie Ratunkowe z lutego 2022 roku – przez ponad tydzień jednostki Lotniczego Pogotowia Ratunkowego nie mogły korzystać z systemu przesyłania informacji o prowadzonych interwencjach, strony www oraz poczty elektronicznej. Cyberprzestępcy zażądali okupu w wysokości 390 tysięcy dolarów.
2. Atak na Centrum Zdrowia Matki Polki w Łodzi z listopada 2022 roku – w tym przypadku szpital postanowił bronić się przed atakiem i by zminimalizować jego skutki zdecydował się na czasowe wyłączenie systemów informatycznych. Do momentu pełnego przywrócenia systemów pacjenci musieli być obsługiwani przy wykorzystaniu tradycyjnej papierowej dokumentacji, co poważnie zakłóciło funkcjonowanie tego szpitala i doprowadziło do opóźnień w wydawaniu dokumentacji medycznej, czy w wypisywaniu pacjentów.
3. Atak na Urząd Marszałkowski Województwa Mazowieckiego z grudnia 2022 roku – w ramach tego ataku hakerom udało się zaszyfrować dostęp do system elektronicznego zarządzania dokumentami, co doprowadziło do wyłączenia infrastruktury projektowej Węzła Regionalnego i utraty dostępu do niego przez 300 jednostek samorządu terytorialnego oraz utraty dostępu do danych osobowych administrowanych przez Urząd Marszałkowski. Urząd w wydanym komunikacie nie potwierdził wycieku danych osobowych ani ich ujawnienia, informując że „istnieje duże prawdopodobieństwo, że dane przetwarzane w systemach objętych incydentem są w posiadaniu osób trzecich (…)”.
4. Atak na Uniwersytet Artystyczny im. Magdaleny Abakanowicz w Poznaniu ze stycznia 2023 roku – po przełamaniu zabezpieczeń hakerom udało się doprowadzić do zaszyfrowania i wykradzenia danych osobowych pracowników i współpracowników uczelni, w tym nazwisk, adresów oraz serii i numerów dowodów osobistych. Na skutek ataku przez kilka dni była niedostępna infrastruktura informatyczna, a zagrożone atakiem środowisko serwerowe, które obsługiwało system kadrowo-płacowy, musiało zostać usunięte i postawione na nowo, co na szczęście było możliwe dzięki posiadaniu przez uczelnię jego kopii zapasowej.
5. Atak na system Śląskiej Karty Usług Publicznych z lutego 2023 roku – system ten umożliwia między innymi płatności za parkowanie oraz płatności za bilety komunikacji miejskiej w Metropolii Górnośląsko – Zagłębiowskiej zamieszkałej przez prawie dwa miliony ludzi. Na skutek ataku przez prawie dwa tygodnie zablokowany był system utrudniając codzienne życie mieszkańców tej metropolii. Na szczęście udało się przywrócić system do pełnej funkcjonalności dzięki tworzonym codziennie kopiom zapasowym. Warto dodać, że dane osobowe ludzi nie były zagrożone, ponieważ nie były gromadzone w tym systemie.

Podsumowanie

Ataki Ransomware mają długą historię sięgającą końca lat’80 ubiegłego wieku. Swój rozkwit przeżywały na początku lat dwutysięcznych, aby na nowo odrodzić się w połowie 2019 roku i od razu stać się jednym z największych zagrożeń bezpieczeństwa cybernetycznego, o czym świadczy raport KPMG „Barometr Cyberbezpieczeństwa 2022”, z którego wynika, że 1/3 badanych firm przyznała, że w przeszłości stała się ofiarą ataku Ransomware.

Z uwagi na rozwój usług związanych ze sprzedażą złośliwego oprogramowania szyfrującego (RaaS) zagrożenie tymi atakami znacznie wzrosło a sami cyberprzestępcy stali się jeszcze bardziej wyrafinowani szantażując swoje ofiary ujawnieniem wykradzionych danych oraz znacznym podwyższaniem ceny okupu w przypadku zwlekania z zapłatą.

Pomimo tego, że ataki Ransomware są niezwykle groźne i dotyczą całej struktury informatycznej od stacji końcowych (endpointów) poprzez serwery, dyski sieciowe, na urządzeniach mobilnych kończąc, to można skutecznie zapobiegać tego typu atakom stosując właściwe zasady działania, które zaprezentowałem w treści artykułu. Posiadając odpowiednio skonfigurowane  i na bieżąco aktualizowane oprogramowanie, znając swoje usługi wystawione w sieci oraz mając zatrudnionych świadomych pracowników, którzy przechodzą regularne szkolenia z zakresu cyberbezpieczeństwa, można śmiało opierać się próbom ataków typu Ransomware.

Autor: Michał Mamica