Conform experţilor în cybersecurity, „ransomware“ este un tip de malware sofisticat care blochează accesul victimei la sistemul de calcul sau la fişierele stocate pe acesta. În funcţie de efect, acesta poate fi de tip lockscreen ransomware sau crypto-ransomware. Prima categorie blochează accesul utilizatorului la sistemul de calcul, la dispozitivul mobil sau la o componentă funcţională a acestora, cum ar fi sistemul de operare. Un exemplu comun este troianul WinLocker sau „police-themed ransomware“, utilizat pentru a derula atacuri în care mesajul de răscumpărare spunea că PC-ul a fost indisponibilizat de autorităţi din cauza implicării în activităţi ilegale, iar pentru deblocare este necesară plata unei amenzi într-un cont. Acest ransomware se bazează pe o tehnică de social engineering pentru a conferi legitimitate mesajului, manipulând utilizatorul prin asocierea cu un element de autoritate precum instituţia Poliţiei, fapt care creşte şansele ca răscumpărarea, deghizată sub forma unei amenzi, să fie plătită.
Cel de-al doilea tip, pe care îl vom aborda in extenso în acest articol, este aşa-numitul encryption sau crypto-ransomware, care odată intrat în computer criptează fişierele şi, în multe cazuri, schimbă denumirile acestora, adăugând o extensie care conţine numele malware-ului (de exemplu, „.locky“, sau, în varianta mai recentă a ransomware-ului Locky, „.odin“). După criptarea fişierelor, este afişat un mesaj prin care victimei i se dă un termen de plată a răscumpărării, în caz contrar datele urmând a fi distruse. Plata trebuie realizată prin criptomoneda nedetectabilă Bitcoin, pentru a fi imposibilă identificarea unei legături directe cu atacatorii.
Printre caracteristicile care definesc acest tip de ransomware, iese în evidenţă faptul că decriptarea nu este posibilă fără tool-uri specializate, ceea ce în multe cazuri pare să nu dea utilizatorului altă soluţie decât plata răscumpărării. Deşi aceasta este în aparenţă alternativa cea mai la îndemână, achitarea ransom-ului nu garantează recuperarea fişierelor şi, în plus, datorită calităţii de „buni platnici“, vă va transforma într-o ţintă sigură pentru noi atacuri.
De la malware la ransomware
Deşi pare dificil de imaginat în epoca internetului, prototipul ransomware-ului de azi, apărut în 1989 sub denumirea de AIDS Trojan, s-a propagat iniţial în computerele infectate prin intermediul unor dischete, transmise victimelor prin poştă (clasică, nu electronică). La fel ca grupările de criminalitate cibernetică din prezent, atacatorul se baza pe o tehnică de manipulare (social engineering) pentru a persuada recipienţii să introducă floppy-disk-ul în computere şi să deschidă aplicaţia ce conţinea codul maliţios. Majoritatea victimelor erau unităţi de cercetare medicală afiliate World Health Organization, iar aplicaţia de pe dischetă poza într-un sistem interactiv menit să contribuie la educaţia pentru autoprotecţia anti-HIV.
După descărcare, troianul AIDS cripta fişierele din computere şi afişa un mesaj care instruia victimele să transmită o sumă la un oficiu poştal din Panama pentru a obţine cheia de decriptare.
Autorul acestui malware, omul de ştiinţă Dr. Joseph Popp, a susţinut în apărarea sa că urma să doneze banii obţinuţi pentru a finanţa lupta anti-HIV, însă atacul său a condus la pierderea unor rezultate importante în acelaşi domeniu, deoarece victimele erau unităţi de cercetare medicală.
În prezent, utilizând aproximativ acelaşi concept, însă metode mult mai sofisticate, s-a dezvoltat aşa-numitul second-generation encryption ransomware (precum Locky, CryptoLocker, CryptoWall, etc.), „familii“ compuse din versiuni ale acestora fiind dezvoltate şi updatate zilnic.
Cum atacă ransomware-ul
Un element important pe care trebuie să îl avem în vedere este faptul că second-generation malware trece în general nedetectat, eludând vigilenţa multor antiviruşi, prin diverse metode de anonimizare. De exemplu, majoritatea familiilor de ransomware au încorporate mecanisme anti-sandboxing (mecanism de securitate utilizat de antiviruşi pentru a executa programele sau codurile suspecte fără a afecta computerul), care „păcălesc“ soluţiile antivirus. Unele variante au abilitatea de a rămâne „adormite“ în timpul rulării soluţiei antivirus, activându-se doar în momentul în care computerul devine vulnerabil. De aceea, cea mai bună protecţie împotriva ransomware este prevenţia.
Cum putem preveni infectarea cu ransomware? Cel mai frecvent mod de infectare, conform studiilor cercetătorilor în cybersecurity, este prin campanii de spam e-mail care conţin ataşamente cu executabile maliţioase. Problema cu respectivele e-mailuri este faptul că acestea se bazează în mod frecvent pe cercetarea prealabilă a comportamentului online al victimei, folosind informaţiile obţinute pentru a crea aparenţa de legitimitate. Ataşamentele sunt deseori deghizate în facturi (invoice-uri) false, presupuse mesaje de la parteneri de afaceri sau instituţii publice etc., convingând în acest mod utilizatorul să le deschidă. Ce putem face într-o astfel de situaţie este să verificăm cu atenţie provenienţa oricărui e-mail suspect (neaşteptat sau nesolicitat) înainte de a deschide un ataşament.
O altă metodă comună de infectare este prin click-uri pe link-uri maliţioase, care apar uneori pe site-uri legitime, însă cu vulnerabilităţi de securitate exploatate de hackeri. Link-urile respective redirecţionează traficul spre servere de comandă şi control (C&C), de unde malware-ul recepţionat se downloadează pe dispozitiv utilizând un backdoor (o vulnerabilitate dintr-un software neupdatat, de exemplu). Ce putem face în acest caz este să actualizăm în permanenţă softurile utilizate, deoarece astfel rezolvăm vulnerabilităţile care se pot transforma în backdoors pentru viruşi. Trebuie să evităm accesarea de link-uri suspecte sau de reclame de pe pagini web.
Cea mai eficientă cale de a nu pierde datele şi a evita în acelaşi timp să dezvoltăm cyber-paranoia de fiecare dată când primim un invoice pe e-mail sau intenţionăm să dăm un click este să folosim back-up-uri. Back-up în acest caz nu înseamnă doar stocarea într-un cloud, pentru că există variante de ransomware care criptează şi acele date în cazul în care cloud-ul este sincronizat cu dispozitivul infectat şi, prin intermediul cloud-ului, infecţia se poate răspândi. Opţiunea cea mai sigură ester ca pentru datele sensibile să existe şi un back-up offline precum un hard-disk extern, iar în cazul în care se utilizează un cloud, acesta să fie deschis doar periodic pentru sincronizarea datelor.
„Do’s and don’ts“
Dacă vă confruntaţi cu un astfel de atac, înainte să luaţi in calcul plata recompensei, este bine să ştiţi că există site-uri specializate care conţin chei de decriptare pentru mai multe tipuri de ransomware, acestea fiind actualizate permanent.
O iniţiativă comună a Europol şi a Poliţiei din Olanda, în cooperare cu Kaspersky Labs şi Intel Security a condus la crearea bazei de date „No More Ransom“, disponibilă online, care conţine aproximativ 160.000 de tool-uri care pot ajuta la recuperarea fişierelor criptate. Este recomandat în prima etapă ca malware-ul să fie eliminat de pe dispozitivul infectat cu ajutorul unei soluţii antivirus, urmând ca ulterior să fie utilizată cheia de decriptare (în cazul în care aceasta a putut fi identificată pe „No More Ransom“ sau pe alte platforme de cybersecurity similare). De asemenea, este recomandată transmiterea unei alerte privind atacul ransomware către autorităţile responsabile, cu precădere în cazul în care infrastructura infectată aparţine unei instituţii publice.
Vestea bună în ceea ce priveşte atacurile ransomware este că acestea pot fi prevenite adoptând un comportament online responsabil. Cea mai puţin bună este că odată infectat dispozitivul, există şansa ca fişierele să nu poată fi decriptate înainte ca acestea să fie şterse de atacator ca urmare a neplăţii ransom-ului, în special în cazul în care malware-ul este o versiune recentă, pentru care nu a fost făcută publică cheia de decriptare.
Consensul experţilor în cybersecurity este că plata ransom-ului, după cum am menţionat anterior, nu este o garanţie de recuperare a fişierelor; dimpotrivă, reprezintă o încurajare pentru grupările de criminalitate cibemetică de a derula în continuare astfel de atacuri, în unele cazuri acestea putând avea implicaţii grave. În cursul anului 2015, de exemplu, sistemul informatic al Hollywood Presbiterian Medical Center California a fost indisponibilizat printr-un atac ransomware, activitatea medicală fiind reluată doar după plata către atacatori a 40 de Bitcoins (aproximativ 17.000 de euro).
Atacurile de tip ransomware sunt o afacere profitabilă, indiciile arătând că acestea vor creşte ca număr, amploare şi grad de complexitate, printre ţintele probabile numărându-se inclusiv infrastructuri care furnizează servicii critice. În acest context, adoptarea unor măsuri legislative care să determine creşterea nivelului de securitate cibernetică a instituţiilor publice şi a utilizatorilor privaţi este imperios necesară pentru gestionarea acestui risc.
Abstract
Imagine this scenario: you’ve been working on something important that comprises sensitive data, putting a lot of research into it over an extended period of time. All of a sudden, the names of the files stored on your laptop become unrecognizable, their extensions changed into something like „.locky”. You rub your eyes, thinking you’ve accidentally entered an alternate universe, inhabited by „Thor” characters that have taken control over your computer. Unfortunately, you’re not entirely wrong, and you’ll soon notice a ransom note on your computer screen stating that your files have been encrypted and in order to recover them, you’ll have to pay a certain amount of the virtual currency known as Bitcoin (which is untraceable and therefore will not lead the authorities to the attackers). If you fail to do so in due time, your files will be destroyed and you’ll lose all the important data you’ve collected and worked on.
Autori: Alin-Marcel Pop şi Andrada-Nicoleta Halgaş
