Nie taki wirus nudny, jak go malują, czyli czego to hakerzy nie wymyślą...

2016 rok można zdecydowanie nazwać rokiem ransomware. Według raportu „2016 Security Roundup: A Record Year for Enterprise Threats” przygotowanego przez Trend Micro, w ubiegłym roku liczba nowych rodzin oprogramowania ransomware wzrosła o 748%! Prognozy również nie napawają optymizmem... Eksperci przewidują, że ataki z wykorzystaniem ransomware będą się nasilać, a suma okupów wpłaconych na rzecz cyberprzestępców może wynieść w tym roku więcej niż w ubiegłym – czyli zdecydowanie powyżej miliarda dolarów...

„Typowe” ransomware to takie, które szyfruje pliki, a w zamian za ich odzyskanie żąda okupu. Jednak niejednokrotnie mieliśmy już do czynienia z urozmaiconymi odmianami wirusa. W dzisiejszym poście chcielibyśmy napisać właśnie o dość nietypowych atakach. Hakerzy bywają bowiem czasami bardzo pomysłowi.

Android TV na celowniku

FLocker, czyli ransomware, które atakuje nie tylko telefony z Androidem, ale także... telewizory z systemem Android TV. Portale branżowe informowały o tym zagrożeniu w czerwcu ubiegłego roku. Wówczas ofiarami padły osoby posiadające telewizory marki Sharp i Philips z Bułgarii, Kazachstanu, Białorusi, Rosji, Armenii, Ukrainy i Węgier. FLocker podszywał się pod policję lub agencje rządowe, oskarżał użytkownika o popełnienie przestępstwa i blokował telewizor. Oczywiście właściciel zainfekowanego urządzenia był informowany o wysokości haraczu odszkodowania i czasie, jaki ma na jego zapłacenie.

Będę grał w grę

Rensenware to nieco żartobliwa odmiana ransomware. Wirus oczywiście szyfruje nasze dane, jednak w zamian za ich odszyfrowanie nie żąda okupu. Chce... byśmy zagrali w grę i zdobyli dobry wynik (uzyskali wpis do tabeli wyników). Mowa tu o Touhou Seirensen – Undefined Fantastic Object, czyli dość wymagającej, japońskiej strzelance. Na tym etapie sprawa wcale nie wydaje się łatwa, gdyż uzyskanie zadowalającego wyniku jest naprawdę trudne i wymaga sporych umiejętności. Kiedy zagrożenie zostało ujawnione w sieci, jego twórca... opublikował przeprosiny i udostępnił narzędzie deszyfrujące. Taki tam żarcik...

Wspólniku, podaj dalej

Standardowe ransomware żąda okupu w zamian za odszyfrowanie plików. Popcorn Time daje jednak swoim ofiarom pewną furtkę... Typowy scenariusz wygląda następująco: zapłacisz okup w wysokości jednego bitcoina (około 3300 zł) i odzyskasz swoje pliki. Opcja numer dwa: prześlesz (z powodzeniem) Popcorn Time dalej i w zamian za to Twoje pliki zostaną odszyfrowane. Jeżeli przynajmniej dwie osoby, którym prześlesz złośliwe oprogramowanie, zapłacą okup – klucz deszyfrujący dostaniesz całkowicie za darmo. I staniesz się przy okazji wspólnikiem cyberprzestępców. Ty wybierasz. PS: czterokrotne błędne wprowadzenie klucza deszyfrującego powoduje całkowite usunięcie zainfekowanych plików.

Do trzech razy sztuka

O ciekawym ataku z wykorzystaniem ransomware usłyszeliśmy pod koniec stycznia bieżącego roku. Ofiarą hakerów stał się... austriacki hotel. Hakerzy chyba za punkt honoru wzięli sobie przeprowadzenie skutecznego ataku na Romantik Seehotel Jägerwirt. Dwa z nich udało się powstrzymać, jednak trzeci okazał się skuteczny. Włamywacze uruchomili ransomware, które zablokowało działanie systemu sterującego zamkami w obiekcie. Poprzez wiadomości pishingowe zainfekowali komputer, który obsługiwał system zamków w pokojach hotelowych. Na szczęście do ataku doszło w ciągu dnia, kiedy goście hotelowi szusowali na stoku. Nikt zatem nie został uwięziony w swoim pokoju. Kierownik hotelu poinformował, że po 17 latach pora wrócić do tradycyjnych zamków w drzwiach... ;)

Król być zły!

Na podstawie powyższych przykładów można wysnuć wniosek, że motywacje cyberprzestępców mogą być naprawdę bardzo różne. Motywacją twórców ransomware o nazwie RanRan była... polityka. Hakerzy żądali bowiem od swoich ofiar nie okupu, a publicznego wyrażenia nieposłuszeństwa wobec przywódców ich krajów. Być może nie byłoby to nic dziwnego, gdyby nie fakt, iż RanRan został wykryty na Filipinach i w Arabii Saudyjskiej, czyli w państwach, w których – delikatnie mówiąc – głowy państw nie najlepiej radzą sobie z krytyką. Każdy wyraz sprzeciwu obywatela oznacza kłopoty, takie jak na przykład więzienie czy kary cielesne.

Aby odzyskać zaszyfrowane pliki, ofiara musiała utworzyć dokument „ransomware.txt”, zapisać w nim słowo „Hacked!” i podpisać je swoim adresem email. Kolejnym krokiem było wgranie pliku na specjalną stronę z antyrządowymi treściami. A to już oznacza spore ryzyko... Jeżeli bowiem organ cenzorski kraju trafi na opozycyjną witrynę z listą adresów email osób sprzeciwiających się władzy, dotarcie do nich będzie możliwe jak po sznurku.

Kup sobie wirusa i zrób komuś psikusa

W ostatnich dniach mogliśmy poznać Karmen, dystrubuowany w modelu RaaS – Ransomware as a Service. Co to oznacza? Niejaki DevBitox sprzedaje na czarnym rynku szkodliwy kod za jedyne 175 dolarów. Dalej sprawa wygląda dość... standardowo. Wirus jest rozpowszechniany za pośrednictwem załączników email i poprzez zainfekowane witryny. Jeżeli użytkownik pobierze Karmen, ten szyfruje mu pliki i w zamian za ich odszyfrowanie żąda okupu. Jednak jest jeden haczyk. Kiedy podczas infekowania komputera szkodnik wykryje na nim moduł bezpiecznego testowania wirusów (tzw. środowisko sandboxowe) bądź oprogramowanie analityczne, automatycznie kasuje własne narzędzie deszyfrujące. Karmen to naprawdę złośliwe oprogramowanie...

Edukacja przede wszystkim

Na koniec prawdziwa wisienka na torcie. Ramsomware, które... edukuje swoje ofiary. Koolova po zaszyfrowaniu plików nie żąda zapłacenia okupu. Nie wymaga także obrażenia głowy państwa, zainfekowania innych czy zagrania w grę. Wirus zmusza ofiarę do poszerzenia wiedzy poprzez przeczytanie dwóch artykułów dotyczących ransomware i bezpieczeństwa komputerowego. Kiedy użytkownik to zrobi, może pozyskać klucz deszyfrujący pliki poprzez kliknięcie odpowiedniego przycisku. Uwaga! Trzeba mieć na uwadze, że omawiane ransomware rzeczywiście szyfruje pliki. Kiedy upłynie czas wyznaczony na zapoznanie się z lekturą, dane zostaną usunięte. Także... nie ma żartów ;)

Omówiliśmy tylko siedem rodzajów ransomware, które w jakimś stopniu różnią się od tych „tradycyjnych”. Jedno jest pewnie – nie można odmówić ich twórcom pomysłowości. Słyszałeś o innej, nietypowej odmianie ransomware albo miałeś z jakąś do czynienia? Podziel się swoimi doświadczeniami w komentarzu!