Zaloguj się do usług
bezpieczeństwa
29 maja 2019
Ransomware – historia upadku, czy cisza przed burzą?

Kolejny tydzień to kolejny materiał z Raportu CERT Orange Polska 2018. Dzisiaj o jednym z najbardziej palących tematów ubiegłego roku. A jak będzie w tym roku? Na to pytanie odpowie nasz ekspert, Piotr Kowalczyk. Zapraszamy do lektury, a najlepiej rzecz jasna do przeczytania całego Raportu!


Rok 2017 bez wątpienia był zdominowany przez ransomware. Nagłówki portali tematycznych, specjalne agendy podczas konferencji cyberbezpieczeństwa i natłok pracy developerów oprogramowania bezpieczeństwa oscylował wokół takich zagrożeń jak WannaCry, Not-Petya czy BadRabbit. Obok tych uderzających głównie w przedsiębiorstwa gigantów szalały ich dystrybuowane przez malspam odmiany. 

Nic dziwnego zatem, że większość predykcji na rok 2018 przewidywało więcej tego samego i lepiej. Jak się okazało, te prognozy okazały się w dużej mierze błędne. W Polsce, zmianami powiało już w styczniu, kiedy propagowany w kampaniach malspamowych Nymaim regularnie dostarczający na stacje moduły szyfrujące pliki, przerzucił się na oprogramowanie wykradające dane uwierzytelniające i hasła do serwisów bankowych, pocztowych i innych popularnych aplikacji webowych.

Trend ten kontynuowany był przez kolejne miesiące, a liczba przypadków infekcji ransomware, choć wciąż widoczna uległa wyraźnemu zmniejszeniu. Po raz pierwszy od rozpoczęcia publikacji raportu CERT Orange Polska, aktywność ransomware uległa zmniejszeniu, liczbowo tylko o 4%, a w stosunku do wszystkich wykrywanych w 2018 roku zdarzeń, niemal o 20% w stosunku do roku poprzedniego. Na tak zwany „upadek” ransomware składa się kilka czynników. Zeszłoroczny sukces dużych kampanii jest pierwszym z nich. O ransomware stało się głośno nie tylko w świecie bezpieczeństwa IT. Publiczne media poruszały ten temat w wiadomościach, powstawały specjalne programy, a portale internetowe regularnie zamieszczały newsy o bieżących kampaniach i zestawy porad jak chronić się przed infekcją i jak radzić sobie jeśli do niej doszło.

Do innych powodów zaliczyć można gwałtowny wzrost cryptojackingu, wykorzystywanego zamiast żądań okupu do generowania potencjalnych zysków w wirtualnych portfelach przestępców, zmniejszenie proporcji przychodów w stosunku do poniesionych kosztów prowadzenia kampanii czy zwykłe zmęczenie materiału. Nie bez znaczenia jest także rosnąca liczba klientów rozwiązań chmurowych, zarówno tych oferowanych dla firm, jak i usług skierowanych dla osób prywatnych. W takim scenariuszu groźba zaszyfrowania kilku plików na dysku, podczas gdy większość krytycznych danych składowana jest relatywnie bezpiecznie w infrastrukturze usługodawcy, zwyczajnie blednie. Tym bardziej gdy za odszyfrowanie przestępcy życzą sobie wcale niemałych kwot. Przywoływany wcześniej GandCrab żądał równowartości 500 dolarów, czyli kwoty za którą można by nabyć budżetowego laptopa, albo parę dobrych dysków, licencje AV i coś na dokładkę.

Stawiając sprawę w ten sposób, okazać się może, że droga od skutecznego ataku do pozyskania jakichkolwiek środków z żądania okupu wcale nie musi być łatwa. Nie tylko muszą oni trafić na użytkownika, nie mającego żadnego innego źródła backupu, nie tylko ofiara musi uzyskać dostęp do kryptowaluty, w której przyjmowany jest okup to jeszcze sama procedura przetransferowania środków może zakończyć się niepowodzeniem wynikającym z nie dość precyzyjnej instrukcji czy błędu po stronie użytkownika. Nic dziwnego, że w obliczu takich przeszkód dla wielu przestępców cryptojacking zaczął prezentować się jako cicha, trudniej wykrywalna i o wiele mniej kłopotliwa alternatywa.

Na to by skreślać ransomware z listy liczących się zagrożeń jest jeszcze o wiele za wcześnie. Cryptojacking, tak jak i notowania kryptowalut na giełdzie po gwałtownym boomie, zaczyna spadać na ziemię, pytanie czy przestępcy nie powrócą do starych, sprawdzonych już metod jest zatem na miejscu.

Przesłanek ku temu jest wiele. Choć znane marki takie jak Locky, Cerber i TorrentLocker niemalże zniknęły z radarów cyberbezpieczeństwa w 2018 roku, na scenie pojawiło się wiele mniejszych naśladowców, a liczba wariantów oprogramowania szyfrującego nigdy nie była większa. W stosunku do roku ubiegłego, zmieniło się jednak jedno – ich zastosowanie.

Poza opisywanym już GandCrabem, którego twórcy oferują swoje rozwiązanie jako płatną usługę dla innych cyberprzestępców oraz kilkoma mniejszymi graczami (takimi jak zaobserwowany w 2Q2018 GlobeImposter), model biznesowy przestał polegać na zainfekowaniu jak największej ilości urządzeń osobistych przypadkowych osób, w nadziei na to, że przynajmniej co dziesiąta pomyśli o zapłacie.

Rozpoczął się czas łowów, a przeprowadzane ataki zaczęły stawać się coraz bardziej ukierunkowane na cele, od których szansa na wyłudzenie środków była jak największa. Wzorcowym przykładem jest grupa przestępcza odpowiedzialna za ransomware SamSam, której oprogramowanie uderzyło w służbę zdrowia i stanowe organizacje rządowe w USA.

Zamiast masowych infekcji były ukierunkowane kampanie, zamiast natychmiastowej infekcji tuż po dostarczeniu oprogramowania na dysk była stopniowa inwigilacja i identyfikacja najbardziej wrażliwych danych i najkrytyczniejszych systemów. Często też, jak w przypadku ataku na urząd miejski w Atlancie, do inicjalnej infekcji nie doszło za pomocą spear phishingu, a technik brute force, przełamujących słabe hasła dostępowe do urządzeń pracowników z otwartym protokołem zdalnego dostępu.

Ransomware uległ zmianie również w strukturze kodu coraz częściej stosując techniki polimorficzne zmieniające sumę kontrolną pliku w celu uniknięcia sygnaturowej detekcji bądź wydłużające czas szyfrowania lub ograniczającej liczbę jednocześnie „obsługiwanych” plików, tak by obejść operujące na behawioralnych regułach metody prewencji.

Oczywiście ataki wymierzone w sektory publiczne bądź infrastrukturę służby zdrowia nie są przypadkowe również z innego względu. Takie instytucje korzystają często z nieaktualnych systemów operacyjnych, na których termin „przydatności do użytku” minął już kilka lat temu, a ostatnie aktualizacje bezpieczeństwa były kilka lat temu, o ile w ogóle.

Masa podatności, brak adekwatnych środków detekcji, a przy tym nieustanna potrzeba zachowania ciągłości operacji stanowi idealne środowisko do przypuszczenia jakiegokolwiek ataku, a ransomware, posiadający możliwość unieruchomienia krytycznych elementów infrastruktury jest wyborem numer jeden.

Pytanie czy ransomware przestanie się liczyć, czy może jego liczni twórcy w oczekiwaniu na atak inwigilują infrastruktury niczego nieświadomych przedsiębiorstw, jest zatem nadal aktualne.


Ostatnie aktualności

Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl