Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Krótka historia ransomware'u

Data publikacji: 04-01-2022 Autor: Adam Kamiński

Od ENIAC-a i Z1 do Fugaku, od ARPANET-u po kwantowe sieci komunikacyjne – komputery i internet przeszły bardzo długą drogę. Ich rozwojowi nieodłącznie towarzyszyła ewolucja złośliwego oprogramowania. Bugi i wirusy, dostosowywane do coraz wymyślniejszych zapór i antywirusów, stawały się jeszcze groźniejsze i bardziej wyrafinowane wraz ze zmianami w technologii cyfrowej. Jeden z najpopularniejszych ostatnio, zasługujący na miano cybernetycznej pandemii naszych czasów, ma już ponad 30 lat.

 

Rok 2020 był przerażający pod względem liczby cyberataków, jednak z raportu Fortinetu „Global Threat Landscape” wynika, że w ciągu ostatnich 12 miesięcy odnotowano kolejny, 10,7-krotny wzrost wymuszeń z użyciem oprogramowania ransomware (tygodniowa średnia liczba ataków w czerwcu 2020 r. wynosiła prawie 14 tys., a rok później już prawie 150 tys.). Stały się one nie tylko bardziej powszechne, ale również groźniejsze.


Ataki na organizacje w sektorach o znaczeniu krytycznym zwiastujące nadejście ransomware’owych gangów paraliżują łańcuchy dostaw największych firm i wpływają na codzienne życie bardziej niż kiedykolwiek wcześniej. Jednym z przykładów jest majowy atak na Colonial Pipeline, który spowodował tymczasowe, ale poważne zakłócenie dostaw paliwa na dużych odcinkach wschodniego wybrzeża Stanów Zjednoczonych. Colonial Pipeline, aby odzyskać kontrolę nad rurociągiem, zapłacił 4,4 mln dol. DarkSide’owi, rosyjskiemu podmiotowi odpowiedzialnemu za ataki. Kolejny majowy atak, tym razem na JBS, największego na świecie przetwórcę mięsa, wywołał widmo podobnych zakłóceń w dostawach tego produktu w USA. JBS zapłacił atakującym 11 mln dol. za rozwiązanie problemu. Przychody z cyberprzestępczości z użyciem ransomware’u wzrosły w 2020 r. o 311% (w porównaniu z rokiem poprzednim) i osiągnęły szacunkową wartość 350 mln dol. Choć obecnie oprogramowanie szantażujące opiera się na złożonym modelu biznesowym zagrażającym funkcjonowaniu wielu gałęzi gospodarki, jego historia zaczyna się od ataków z użyciem zawirusowanych dyskietek.


Trojan AIDS


Pierwszy w historii atak ransomware został przeprowadzony w 1989 r. na branży medycznej za pomocą programu AIDS (znanego również jako PC Cyborg od nazwy fikcyjnej firmy żądającej zapłaty – PC Cyborg Corporation) napisanego przez Josepha Poppa. Podczas konferencji Światowej Organizacji Zdrowia poświęconej tematyce AIDS rozdano 20 tys. zainfekowanych dyskietek. Zawierały one program do analizy ryzyka zachorowania oraz złośliwe oprogramowanie, które wykonywało się automatycznie wraz z 91. uruchomieniem komputera. Wirus ukrywał foldery i szyfrował ich nazwy, a także wyświetlał informację, że licencja użytkownika na korzystanie z niektórych plików wygasła. Aby odzyskać dostęp, użytkownicy musieli wpłacić 189 dol. do PC Cyborg Corporation na skrzynkę pocztową w Panamie. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS. Trojan AIDS był dość łatwy do pokonania, ponieważ wykorzystywał prostą kryptografię symetryczną, a wkrótce potem pojawiły się narzędzia do deszyfrowania plików.


Young & Yung


W 1996 r. Adam L. Young i Mordechai Yung wykazali, że powodem małej skuteczności trojana AIDS było użycie algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego. Pomysł na używanie kryptografii klucza publicznego do ataków ransomware’owych wdrożyli w eksperymentalnym wirusie szyfrującym na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten wirus-szyfrator (z ang. cryptovirus), stworzony w 1995 r. i opisany w dokumencie „IEEE S & P” w roku 1996, sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.


Archiveus i GPcode


Wraz z rozpowszechnieniem łączy szerokopasmowych idealne warunki do rozwoju i prężnej działalności miały nowe formy cyberprzestępczości. W 2006 r. pojawił się trojan Archiveus, który był pierwszym oprogramowaniem ransomware korzystającym z szyfrowania RSA. Blokował on wszystkie pliki w katalogu „Dokumenty” i wymagał od ofiar zakupu produktów w aptece internetowej w celu uzyskania 30-cyfrowego kodu klucza, dającego możliwość odzyskania dostępu. W tym samym roku komputery infekowało GPcode metodą spear phishingu. Trojan rozsyłany był jako załącznik do e-maili wyglądających jak podania o pracę. Wykryty w czerwcu 2006 r. GPcode, podobnie jak Archiveus, używał 660-bitowego klucza publicznego RSA do szyfrowania plików w katalogu „Dokumenty”. Aby uzyskać kod dostępu, ofiary były zmuszone zapłacić okup. W czerwcu 2008 r. wykryto wariant znany jako Gpcode.AK, korzystając z 1024-bitowego klucza RSA.


Wirus policyjny – Reveton


Oszuści działający w „realu” mają swoją metodę „na wnuczka” lub „na policjanta”, cyberprzestępcy również mieli swojego „policyjnego trojana”. Utworzony jako złodziej haseł na podstawie trojana Citadel (a ten na trojanie Zeus) trojan Reveton przekształcił się w oprogramowanie ransomware i zaatakował Europę w 2012 r. Po uruchomieniu program szantażujący obejmował wszystkie aplikacje i funkcje pełnoekranową stroną internetową z wiadomością o używaniu komputera w nielegalnych celach (np. do ściągania oprogramowania bądź pornografii dziecięcej), a jej nadawcą były rzekomo organy ścigania żądające zapłacenia „grzywny” za pośrednictwem usługi takiej jak Ukash lub Paysafecard pod groźbą aresztowania. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika.


W przeciwieństwie do ransomware’ów, takich jak Archievus czy trojan AIDS, sieć dystrybucji Reveton była szeroko rozpowszechniona i popularna wśród hakerów z kilku powodów. Po pierwsze, ransomware działa jako część serii pakietów złośliwego oprogramowania, często „wynajmowanych” przez ich twórców za opłatą. Te pakiety, takie jak BlackHole i Cool Exploit Kit, ładowały stronę internetową zawierającą wirusy i złośliwe oprogramowanie.


Gdy użytkownik wchodził w interakcję z witryną, skanowała ona jego urządzenie w poszukiwaniu przestarzałych lub możliwych do wykorzystania wtyczek – zwykle Java, za pośrednictwem exploita CVE-2012-1723 – i ładowała urządzenie za pomocą złośliwego oprogramowania. Reveton był również dostarczany w wiadomościach spamowych i phishingowych, co utrudniało przypięcie do jednego źródła. Późniejsze jego wersje i ewolucje infekowały smartfony poprzez pobieranie fałszywych aplikacji.


Po umieszczeniu na urządzeniu Reveton instalował się jako plik .dll, tworząc dla siebie skrót w folderze startowym systemu Windows. Służyło to dwóm celom – uruchamiał się z każdym startem systemu Windows, a ponadto, ponieważ nie był to plik .exe, nie można go zatrzymać za pomocą menedżera zadań systemu Windows. Niektóre warianty po prostu blokowałyby dostęp do aplikacji, inne ponadto szyfrowały pliki ofiary.

 

Wyjątkowe w tym ransomwarze było to, że różne jego odmiany mogły podszywać się pod wiadomości od lokalnych organów ścigania ofiar – przykładowo wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU.


Pierwotny twórca i dystrybutor zestawu exploitów BlackHole, rosyjski programista pod pseudonimem „Paunch”, został aresztowany w 2013 r., choć nie wiadomo, czy był autorem oryginalnego szkodliwego oprogramowania Reveton. Samo złośliwe oprogramowanie nadal istnieje w różnych formach, gdyż jest zbyt rozpowszechnione, aby całkowicie je wyeliminować.

 

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"