История на заплахата Ransomware: Минало, настояще и бъдеще

Разглеждаме историята на софтуера за изнудване и как е еволюирал през годините.

Масираната атака на зловредния софтуер WannaCry през май 2017 обсеби заглавията по целия свят и вкара една нова фраза в публичното пространство – софтуер за изнудване (Ransomware).

В киберсигурността и в техническите среди обаче, отдавна се говори за ransomware. Всъщност, през последното десетилетие, ransomware е може би най-доходоносната и широко разпространена кибернетична заплаха в уеб пространството. Според данните на правителството на САЩ, атаките на ransomware от 2005 г. насам надхвърлят броя на атаките, нарушаващи сигурността на данните онлайн.

Може би фактът, че атаките на ransomware не са традиционно глобални по мащаб, спомогна да се задържи извън обхвата на радара на обществената осведоменост. WannaCry промени всичко това. Засягайки над 300 000 компютъра по целия свят, WannaCry влезе в новинарските заглавия със  сриването на няколко големи институции, включително Националната здравна служба на Обединеното кралство (NHS).

Ако WannaCry беше от типа мащабни кибератаки, способни да накарат света да ги забележи и отчете, по всичко личи, че той можеше да предначертае в известна степен бъдещето. Докато червеите, използвани за разпространение на ransomware стават все по-усъвършенствани, а методите, използвани за тяхното разпространение по-ефективни, вероятността от все по-големи и мащабни атаки нараства.

В тази статия ще разгледаме историята на ransomware, проследявайки неговото развитие до момента, в който излезе от сенките и се установи като една от най-големите заплахи за киберсигурността на 21-ви век. Ще отбележим основните инциденти, различните използвани методи, основните нововъведения, довели до недалечната глобална атака, преди да разгледаме какво можем да очакваме в бъдеще.

Какво е Ransomware?

На първо място, няколко дефиниции. Ransomware попада в класа зловреден софтуер, предназначен специално за финансова изгода. Но за разлика от вирусите, използвани при хакерски атаки, ransomware не е предназначен за придобиване на достъп до компютър или ИТ система, с цел отмъкване на данни от тях. Нито пък се опитва да изиграе жертвите си с малки суми, както се опитват да действат разните фалшиви антивирусни „scareware“ и фишинг измами.

За съжаление на жертвите ефектът от ransomware е съвсем реален.

Ransomware работи, като прекъсва работата на компютърната система, което я прави неизползваема. След това, извършителите на атаката изпращат на собствениците ѝ съобщение с искане за откуп, срещу който обещават да анулират промените.

Повечето примери за ransomware попадат в една от две основни категории. Някои ransomware вируси ще блокират потребителя от устройството му, като замразят процесора, поемат контрола върху системата за проверка на потребителя или подобен метод. Други видове ransomware, обикновено наричани crypto-ransomware, вместо това ще криптират дисковете за съхранение и тяхното съдържание, което прави невъзможно отварянето на папки и файлове или стартиране на програми.

В повечето случаи, след като ransomware се изпълни на дадена система, това също ще задейства изпращането на съобщението за откуп. То може да се появи на екрана на заключена система, или в случай на криптоатака, може дори да бъде изпратено по имейл или във вид на моментално  съобщение до жертвата.

Предистория на Ransomware

Троянският кон AIDS (СПИН)

Първият широко известен случай на ransomware всъщност предшества появата на онлайн заплахата, която днес разпознаваме вече почти две десетилетия. През 1989 г. Йозеф Л. Поп, академик от Харвард, участва в конференция на Световната здравна организация за СПИН. Подготвяйки се за конференцията той записал 20 000 дискети, които да изпрати на делегатите и ги озаглавил „Информация за СПИН – въвеждащи дискети“.

Това, което нищо неподозиращите делегати не осъзнали обаче, бил фактът, че дискетите всъщност съдържали компютърен вирус, който, след като останалото съдържание в дискетата било възпроизведено, останал скрит, в латентно състояние, в компютрите на жертвите за известно време. След 90 рестартирания, вирусът се събудил, бързо започнал да кодира файлове и да скрива директории. Било изведено съобщение, информиращо потребителите, че системите им ще се върнат към нормалния си работен режим, само след като изпратят 189 долара в пощенска кутия в Панама.

Находчивостта на д-р Поп изпреварила многократно времето му и били нужни още 16 години, преди някой да поеме отговорността за неговата ransomware идея и да се справи с нея в епохата на интернет. Самият Поп е арестуван, но никога не е бил изправен пред съда поради лошо психическо здраве.

2005: Нулевата година

До появата на следващите примери за ransomware, д-р Джоузеф Л. Поп отдавна бе забравен и интернет преобрази изцяло компютърния свят. Например, интернет направи разпространението на всички видове злонамерен софтуер много по-лесно за киберпрестъпниците, а натрупалите се години позволиха на програмистите да разработят много по-мощни криптиращи методи от тези, използвани от д-р Поп.

GPCoder

Един от първите примери за ransomware, разпространяван онлайн, е троянецът GPCoder. Идентифициран за първи път през 2005 г., GPCoder зарази таргетираните Windows системи и файлове с множество различни разширения. Веднъж открити, файловете бяха копирани в криптирана форма, а оригиналите изтрити от системата. Новите криптирани файлове бяха нечетими и използването на силно RSA-1024 криптиране гарантира, че опитите за тяхното отключване биха имали нищожен шанс за успех. На началния екран на потребителите се извеждаше съобщение, насочващо ги към.txt файл, качен на техния работен плот, съдържащ подробности за това, как да бъде платен откупа и да се отключат засегнатите файлове.

Archievus

През същата година, в която бе идентифициран GPCoder, друг троянски кон, с помощта на сигурно 1024-битово RSA криптиране, също излезе на сцената. Вместо да се насочи към определени изпълними файлове и разширения на файлове, Archievus просто криптираше всичко в папката „Моите документи“ на жертвата. На теория това означава, че жертвата може да използва компютъра си и всички файлове, съхранявани в други папки. Но тъй като повечето хора по подразбиране съхраняват много от по-важните си файлове, включително работните документи, в папката „Моите документи“, ефектът бе поразителен.

За да изчистят Archievus, жертвите бяха насочвани към уебсайт, откъдето трябваше да закупят 30-цифрена парола – няма голям шанс да я налучкате.

2009 – 2012: Осребряване

На тези ранни форми на онлайн ransomware им отне известно време да наберат инерция в подземния свят на киберпрестъпленията. Приходите от троянски коне като GPCoder и Archievus бяха сравнително ниски, главно защото те лесно биваха засичани и премахвани от антивирусните програми, което означава, че срокът им на годност за генериране на пари е кратък.

Като цяло, кибернетичните банди на деня предпочитаха да се придържат към хакване, фишинг и подлъгване на хора с фалшиви антивирусни измами.

Първите признаци на промяна започнаха да се появяват през 2009 г. През тази година, известен „scareware“ вирус, наречен Vundo, смени тактиката и започна да функционира като ransomware. Преди това, Vundo бе заразил компютърни системи и след това бе задействал свой собствен сигнал за сигурност, насочвайки потребителите към фалшиво решение. През 2009 г. обаче, анализаторите забелязаха, че Vundo е започнал да криптира файлове на компютрите на жертвите, продавайки истински антидот, за да ги отключи.

Това бе и първият признак, че хакерите започват да се усещат, че има пари в ransomware. Предвид разпространението на анонимни платформи за разплащане онлайн, също така стана по-лесно да получават откупи в по-голям мащаб. Плюс това, разбира се, самият ransomware постоянно се усъвършенстваше.

До 2011 г. капките се превърнаха в буен поток. През първото тримесечие на същата година бяха засечени 60 000 нови атаки на ransomware. До първото тримесечие на 2012 г. те нараснаха до 200 000. Изследователите на Symantec са пресметнали, че до края на 2012 г., черният пазар на ransomware е достигнал стойност от 5 милиона долара.

Троянецът WinLock

През 2011 г. се появи нова форма на ransomware. Троянският кон WinLock се счита за първият широко разпространен пример за това, което по-късно стана известно като ransomware „Locker“. Вместо да криптира файлове на устройството на жертвата, Locker просто прави невъзможно вписването в устройството.

WinLock стартира тенденция за ransomware, която имитираше оригинални продукти, подражавайки на старата тактика на scareware. Заразявайки Windows системи, той копираше системата за активиране на продукти на Windows, заключвайки потребителите, и ги принуждаваше да купят ключ за активиране. Добавяйки допълнителна доза арогантност към атаката, съобщението, показано на фалшивия екран за активиране, всъщност казваше на жертвите, че профилът им в Windows трябва да бъде повторно активиран поради измама, преди да ги насочи да позвънят на международен номер, за да разрешат проблема. Телефонният номер бе маскиран като безплатен, но всъщност трупаше голяма сметка, която вероятно е влязла в джобовете на престъпниците стоящи зад зловредния софтуер.

Reveton и ‘Police’ Ransomware

Вариация по темата на имитиране на софтуерни продукти, с цел подмамване на жертвите да плащат фалшиви абонаменти, е появата на т.нар. ‘полицейски’ ransomware. При тези атаки зловредният софтуер се прицелва в заразените системи със съобщения, които твърдят, че са от правораздаващите агенции и държавни органи, заявявайки, че е установено, че устройството е било използвано за незаконни дейности. Устройството ще бъде заключено и „конфискувано“, докато не бъде платен някакъв подкуп или глоба.

Тези примери често се разпространяват през порнографски сайтове, услуги за споделяне на файлове и всяка друга уеб платформа, която може да бъде използвана за потенциално незаконни цели. Идеята е без съмнение да се изплашат или засрамят жертвите, за да платят подкупа, преди да имат възможност да помислят рационално дали заплахата от наказателно преследване е истинска или не.

За да направят така, че атаките да изглеждат по-автентични и заплашителни, police ransomware често се персонализира според местонахождението на жертвата, показва IP адреса им, а в някои случаи и видео поток в реално време през собствената им уеб камера, подмятайки им, че са наблюдавани и записвани.

Един от най-известните примери за police ransomware е известен като Reveton. Плъзнали първоначално из Европа, щамовете на Reveton станаха достатъчно разпространени, за да започнат да се появяват и в САЩ, където на жертвите се казваше, че са под наблюдение от страна на ФБР и им се нареждаше да заплатят „глоба“ от 200 ш.д., за да бъде отключено устройството им. Плащането се извършваше чрез предплатени електронни токен услуги като MoneyPak и Ukash. Тази тактика бе възприета и от други полицейски ransomware като Urausy и Kovter.

2013 – 2015: Назад към криптирането

През втората половина на 2013 г. се появи нов вариант на крипто-ransomware, който очерта нов етап в битката за киберсигурността. CryptoLocker промени играта за ransomware по няколко начина. Първо, той не си губеше времето с евтини измами и тактиките на разни шмекери и измамници, като scareware и police ransomware. Програмистите на CryptoLocker бяха много директни в това, което правеха, изпращайки недвусмислено послание до жертвите си, че всичките им файлове са били кодирани и ще бъдат изтрити, ако откупът не бъде платен в рамките на три дни.

Второ, CryptoLocker демонстрира, че нивото на криптиране, което киберпрестъпниците вече могат да наложат, е значително по-високо от онези, които бяха актуални, когато първият криптовирус се появи, почти цяло десетилетие преди това. С помощта на C2 сървъри в скрита Tor мрежа, програмистите на CryptoLocker успяха да генерират 2048-битово RSA криптиране на публични и частни ключове, за да заразят файлове с определени разширения. Това действаше като двойно обвързване – всеки, който търси публичния ключ като основа, за да разбере как да декриптира файловете, би се затруднил, тъй като те са били скрити в мрежата на Tor, докато частният ключ, държан от програмистите, е изключително силен сам по себе си.

И трето, CryptoLocker поде една съвсем нова авантюра спрямо начина, по който се разпространява. Първоначално инфекцията се разпространи чрез ботнет Gameover Zeus, мрежа от заразени „зомби“ компютри, използвани специално за разпространение на зловреден софтуер чрез интернет. Следователно, CryptoLocker маркира първия пример за разпространение на ransomware чрез заразени уеб сайтове. CryptoLocker обаче също се разпространяваше посредством spear phishing, по-специално прикачени към имейли файлове, изпратени до фирми, направени да изглеждат като оплакване от страна на клиент.

Всички тези функции стават доминиращи характеристики на ransomware атаките, тъй като са повлияни от това колко успешен бе CryptoLocker. Предвид това, че исканата сума за декриптиране на всяка една от заразените системи е 300 щ. д. смята се, че CryptoLocker е генерирал на разработчиците си около 3 милиона щ. д.

Лукови глави и биткойни

CryptoLocker до голяма степен бе изкаран от играта през 2014 г., когато ботнетът Gameover Zeus беше свален, но вече имаше много имитатори, готови да поемат щафетата. CryptoWall беше най-значимият, работейки със същото RSA криптиране на публичния частен ключ на, генерирано зад завесата на Tor мрежата и разпространявано чрез фишинг измами.

Луковият рутер, по-известен като Tor, започва да играе все по-голяма роля в разработването и разпространението на ransomware. Наречен така заради начина, по който маршрутизира интернет трафика през сложна глобална мрежа от сървъри, за която се казва, че е подредена като пластовете на лука, Tor е проект за анонимност, създаден, за да помогне на хората да запазят за себе си онова, което вършат онлайн. За съжаление, това привлича кибер престъпници, които искат да запазят дейността си скрита от очите на правораздаващите органи, откъдето идва и ролята, която се пада на Тор да изиграе в историята на ransomware.

CryptoWall също потвърди нарастващата роля, която Bitcoin играе в ransomware атаките. До 2014 г. крипто-валутата бе избраният начин на плащане. Предплатените електронни кредити бяха анонимни, но трудни за изплащане без изпиране, докато Bitcoin можеше да се използва онлайн като обикновена валута за директна търговия и трансакции.

До 2015 г. само за CryptoWall бе пресметнато, че е генерирал 325 милиона долара.

Атаки срещу Android

Друга важна стъпка в историята на ransomware е разработването на версии, с прицел към мобилните устройства. Първоначално те бяха насочени изключително към устройства с Android, възползвайки се от отворения код на мобилната операционна система.

Първите примери се появиха през 2014 г. и копираха формата на police-ware. Sypeng, който зарази устройства чрез фалшиво съобщение за обновяване на Adobe Flash, заключваше екрана и извеждаше фалшиво стряскащо съобщение от ФБР, искайки 200 долара. Koler бе подобен вирус, който е забележителен с това, че е един от първите примери за ransomware червей, самовъзпроизвеждащ се злонамерен софтуер, който създава свои собствени пътища за разпространение. Koler автоматично изпращаше съобщение до всички в списъка с контакти на заразеното устройство, с връзка за сваляне на червея.

Въпреки името си, SimplLocker беше ранен тип крипто-ransomware за мобилни устройства, докато повечето други бяха под формата на атаки срещу заключване. Друга иновация, която се появи с ransomware за Android, беше появата на инструментариума на DIY, който потенциалните киберпрестъпници можеха да си купят онлайн и да конфигурират сами. Един от първите примери беше комплект, базиран на троянеца Pletor, който бе продаден за 5000 долара онлайн.

2016: Заплахата еволюира

2016 се очакваше да бъде една от най-важните години за ransomware. Нови начини на предаване, нови платформи и нови видове зловредни програми се добавят към сериозно развиващата се заплаха, която постави началото на мащабните глобални атаки.

Еволюцията на CryptoWall

За разлика от много примери за ransomware, които получават своя звезден миг и след това биват неутрализирани от едно или друго решение, заплахата от CryptoWall никога не е изчезвала. Развивайки се през четири отделни издания, CryptoWall въведе за първи път техники, имитирани от други ransomware, като например използването на копирани ключови записи в системния регистър, така че зловредният софтуер да се зарежда при всяко рестартиране. Това е умно, защото зловредният софтуер не винаги се изпълнява незабавно, чакайки да може да се свърже с отдалечения сървър, съдържащ криптиращия ключ. Автоматичното зареждане при рестартиране увеличава шансовете за това.

Locky

С агресивното си, базирано на фишинг разпространение, Locky създаде прецедент, следван от подобните на WannaCry, за чистата скорост и мащаб на разпространението си. Има данни, че в в най-силния си период, Locky успявал да зарази до 100 000 нови системи на ден, с помощта на франчайз системата, използвана за пръв път от инструментариума на Android, за да стимулира все повече и повече престъпници да се присъединят към разпространението му. Той също предвещава атаката на WannaCry, като взима на прицел доставчиците на здравни услуги, тъй като неговите създатели обърнали внимание на факта, че основните обществени услуги бързо плащали откупи, за да стартират отново своите системи.

Многоплатформеност

2016 посрещна и появата на първия ransomware скрипт, който да засегне Mac системите. KeRanger беше особено неприятен, защото успя да криптира резервните копия на Time Machine, както и обикновени файлове на Mac, преодолявайки обичайната способност на Mac да се връщат към по-ранните им версии, при възникване на проблем.

Малко след KeRanger се появи и първият ransomware, способен да зарази няколко операционни системи. Програмиран с JavaScript, Ransom32 на теория е способен да въздейства на устройства, работещи под Windows, Mac или Linux.

Известни слабости на заплахата

Така наречените „exploit kits“ са протоколи за предаване на зловреден софтуер, които са насочени към известни уязвимости в популярните софтуерни системи за имплантиране на вируси. Комплектът Angler е пример за такъв, за който се знае, че е използван за ransomware атаки най-рано през 2015 г. Нещата се ускориха през 2016 г. с редица високопрофилни ransomware вируси, насочени към слаби места в Adobe Flash и Microsoft Silverlight – един от които беше CryptoWall 4.0.

Крипточервей

Следвайки новаторството на вируса Koler, крипточервеите станаха част от ransomware мейнстрийма през 2016 г. Един от примерите беше червеят ZCryptor, за когото за първи път съобщиха Microsoft. Разпространявайки се първоначално чрез спам-фишинг атаки, ZCryptor успя да се разпространи автоматично през различни вързани в мрежа устройства, саморазмножавайки и самоизпълявайки се.

2017: Годината в която Ransomware бе разбит

Предвид бързия напредък в сложността и мащаба на ransomware атаките през 2016 г., много анализатори по киберсигурността вярваха, че е въпрос на време преди да се задейства истински глобален инцидент, от мащаба на най-големите хакерски нападения и пробиви в бази данни. WannaCry потвърди тези страхове, обсебвайки водещите заглавия по целия свят. Но WannaCry далеч не е единственият ransomware, който заплашва компютърните потребители тази година.

WannaCry

На 12 май 2017 г. ransomware червеят, който ще стане известен по цял свят, като WannaCry, порази първите си жертви в Испания. Само за няколко часа той плъзнал из стотици компютри в десетки страни. Дни по-късно тази цифра нараства до повече от четвърт милион, което прави WannaCry най-голямата ransomware атака в историята, накарала целия свят да се изправи и да й обърне сериозно внимание.

WannaCry е съкратено от WannaCrypt, позовавайки се на факта, че WannaCry е криптовирус. По-точно е крипточервей, способен да се самовъзпроизвежда и разпространява автоматично.

Това, което направи WannaCry толкова ефективен и успя да така да шокира широката общественост, бе начинът, по който се разпространи. Нямаше измами с фишинг, нямаше сваляния от компрометирани ботнет сайтове. Вместо това, WannaCry отбеляза нов етап в еволюцията на ransomware, с прицел към известни уязвимости на компютрите. Той бе програмиран да преравя мрежата за компютри, работещи на по-стари версии на Windows Server, които имат известен пропуск в сигурността, и да ги заразява. Веднъж след като е заразил компютър вързан в мрежа, той бързо претърсва други със същия недостатък и също ги заразява.

Ето как WannaCry се разпространи толкова бързо и защо е особено силен в атакуването на системите на големи организации, включително банки, транспортни власти, университети и обществени здравни служби, като NHS в Обединеното кралство. Именно затова влезе в толкова много новинарски заглавия.

Но това, което шокира много хора, бе фактът, че уязвимостта в Windows, от която WannaCry се с възползвал, е била идентифицирана преди години от Агенцията за национална сигурност на САЩ (NSA). Но вместо да предупреди света за това, NSA запази мълчание и направи собствена разработка, за да използва слабостта като кибернетично оръжие. Всъщност, WannaCry е изграден върху система, разработена от агенция за държавна сигурност.

Petya

Следвайки плътно по петите WannaCry, друга трансконтинентална ransomware атака срина хиляди компютри в четирите краища на света. Известен като Petya, това, което бе най-забележително при тази атака, беше, че този ransomware използва същата уязвимост на Windows, от която се възползва и WannaCry, показвайки колко мощно би могло да бъде планираното от NSA  кибероръжие. Стана ясно също, че въпреки че създадената кръпка бе широко достъпна след нападението на WannaCry, колко трудно е всъщност да бъдат накарани потребителите да се придържат към последните актуализации за сигурност.

LeakerLocker

В знак за това, колко непостоянна е заплахата от ransomware, една от най-новите мащабни атаки, която оглави новините, се връща назад към дните на тактиките на измама и изнудване, но с актуализиран обрат. Взимайки на прицел Android устройствата, LeakerLocker заплашва да сподели цялото съдържание на устройството на мобилния потребител с всички в списъка му с контакти. Така че, ако на телефона ви има нещо смущаващо или компрометиращо, по-добре плащайте, или всички ваши приятели, колеги и роднини скоро ще видят каквото имате да криете.

Какво бъдеще очаква ransomware?

Предвид експоненциалния ръст в приходите, които киберпрестъпниците са успели да направят от ransomware, разумно е да предположим, че в бъдеще ще чуваме много повече за него. Успехът на WannaCry в комбинирането на технологията за саморазпространение на червеи и прицелът в известните уязвимости на системата, вероятно е създал прецедент за характера на повечето атаки в краткосрочен план. Но би било наивно да мислим, че разработчиците на ransomware вече не мислят напред и не разработват нови начини за инфектиране, разпространяване и монетизиране на своя зловреден софтуер.

И така, какво можем да очакваме?

Едно от големите притеснения е потенциалът на ransomware да започне да таргетира цифрови устройства, различни от компютри и смартфони. Тъй като Интернет на нещата започва подем, все по-общото оборудване, което използваме в ежедневието, се цифровизира и се свързва с интернет. Това създава огромен нов пазар за киберпрестъпниците, които могат да изберат да използват ransomware, за да блокират достъпа на собствениците на автомобили до техните превозни средства или да настроят термостата за централно отопление в домовете на жертвите си на замръзване, което същите могат да отменят са ако платят откуп. По този начин възможността ransomware да влияе пряко върху ежедневието ни ще се нарасне.

Друга възможност е ransomware да отмести мерника си от отделните устройства и техните потребители. Вместо да взима на мушка файловете, съхранявани на даден компютър, ransomware би могъл да си постави за цел да използва SQL инжекции за да криптира цели бази данни, съхранявани на мрежови сървър. Резултатите биха били катастрофални – цялата инфраструктура на едно глобално предприятие може да бъде повредена в един ход, или цялостни интернет услуги да бъдат замразени, засягайки така стотици хиляди потребители.

Както и да еволюира, трябва да сме готови за едно бъдеще, в което ransomware ще бъде основна киберзаплаха. Затова преглеждайте внимателно отворените от вас имейли, уеб сайтовете, които посещавате, и поддържайте актуализациите си на програмите за защита, или може би ще искате да поплачете (wanna cry) заедно с всички други жертви на ransomware преди вас.

Може ли VPN да предотврати Ransomware атаки?

Макар VPN да не може да ви предпази от злонамерени атаки, технологията повишава нивото на защита на вашата система, правейки я по-надеждна. С VPN имате много предимства.

  • Когато използвате VPN услуга, вашият IP адрес е скрит и имате анонимен достъп до мрежата. Това прави по-трудно за създателите на зловреден софтуер да таргетират компютъра ви. Обикновено те търсят по-уязвими потребители.

  • Когато споделяте или осъществявате достъп до данни онлайн през VPN, тези данни са криптирани и остават до голяма степен недостъпни за създателите на зловредни програми.

  • Надеждните VPN услуги също така вкарват съмнителни URL адреси в черния си списък.

Вследствие на тези фактори, използването на VPN услуга ви предпазва от зловреден софтуер, включително Ransomware. Има много VPN услуги, от които можете да избирате. Уверете се, че VPN доставчикът, при когото се регистрирате, е с добра репутация и притежава нужния опит в областта на онлайн сигурността.

Ако търсите VPN услуга, разгледайте нашите най-препоръчителни VPN услуги от наши доверени потребители.

Това беше ли ви от полза? Споделете го!