DEFINICjA RANSOMWARE
tzw. wathering hole – studnia wody7. Polega to na przygo-towaniu odpowiedniej „zainfekowanej” oprogramowaniem wymuszającym strony w sieci internetowej, na którą prze-kierowywani są użytkownicy np. wybranej korporacji, którzy zostali nakłonieni do akceptacji tzw. pop-up, okienka z odpo-wiednio przygotowaną „atrakcyjną” informacją, która pojawia się podczas przeglądania różnych serwisów www. Cyberprze-stępcy mogą też w wyniku rekonesansu dowiedzieć się, jakie strony są najczęściej odwiedzane przez pracowników, i taką stronę infekują w celu przeprowadzenia ataku.
Kolejnym sposobem atakowania użytkowników są różnego rodzaju exploity8, które miały za zadanie wykrycie słabości systemu użytkownika i dobranie odpowiedniego ataku powo-dującego blokadę dostępu do komputera. Przykładem takiego zestawu programów typu exploit może być „Blackhole”, któ-ry wykorzystuje podatności występujące w plikach typu PDF oraz programach opartych na Javie. Mając taki exploit, należy tylko dostarczyć spreparowany program do użytkownika – po-tencjalnej ofiary.
Pranie pieniędzy pochodzących z ransomware
Każdy z systemów płatniczych wykorzystywanych przy oka-zji ataku ransomware ma za zadanie ukrycie bądź uniemożli-wienie dotarcia do cyberprzestępcy lub jego bezpośredniego wskazania. Dlatego najczęściej w tego typu działaniach są wykorzystywane systemy płatności on-line bądź też sys-temy pre-paid, które w zamian za wpłaconą gotówkę lub wykonany przelew elektroniczny generują kod o określo-nej wartości. Następnie można tymi kodami posługiwać się w systemach kasyn lub gier on-line i – w przypadku wygra-nej – można swobodnie dokonać przelewów na swoje konto i wypłacić pieniądze uzyskane z gry – całkowicie legalnie.
Jest to jeden z systemów pozwalający na tzw. pranie pienię-dzy. Innym rozwiązaniem są systemy parabankowe, które za pośrednictwem Internetu pośredniczą w różnego rodzaju anonimowych transakcjach wpłat/wypłat/przelewów/trans-ferów gotówki. Do takich systemów należy m.in. Perfect Money, Web Money, które nie są powiązane z żadnym syste-mem bankowym, co utrudnia prowadzenie ustaleń organom ścigania. Ponadto systemy te bardzo rzadko weryfikują tożsa-mość osoby zakładającej konto, więc ustalenie, kto faktycz-nie jest właścicielem danego konta i kto dokonywał wpłaty/
wypłaty środków, jest praktycznie niemożliwe. Jeden z ta-kich systemów − Liberty Reserv − został zajęty przez orga-ny ścigania USA w związku z ustaleniami i potwierdzeniem funkcjonowania na zasadzie prania pieniędzy w systemie.
Jak wynika z ustaleń, Liberty Reserv w trakcie swojej dzia-łalności wprowadził do legalnego obrotu około 6 bilionów USD. Kolejnym sposobem jest „doładowywanie” kodami kart kredytowych lub debetowych, a następnie wykorzysty-wanie podstawionych osób w celu wypłaty określonych kwot pieniędzy bezpośrednio z bankomatów9. Ten typ działalności przestępczej ukierunkowany jest całkowicie na osiągnięcie zysku. Atak przeprowadzony na użytkowniku ma za zada-nie wymusić od zada-niego okup i wpłatę w sposób zadany przez atakującego cyberprzestępcę. W prowadzonych działaniach związanych ze zwalczaniem tego typu działalności przestęp-czej prowadzi się pewne zestawienia, które pokazują skalę dochodów, jakie płyną do cyberprzestępców. Oczywiście nie
są to wszystkie dane, które w sposób całkowity pokazywa-łyby, z jakim zagrożeniem mamy do czynienia, chociażby ze względu na fakt, iż część osób płaci okup, nie informu-jąc organów ścigania czy też firm i organizacji zajmuinformu-jących się bezpieczeństwem. Z prowadzonych szacunków zakłada się, iż 3% użytkowników dotkniętych atakiem ransomware płaci okup10. W jednej z operacji cyberprzestępcy, opisanej przez eksperta ds. bezpieczeństwa wynika, iż w jednym ata-ku zostało zainfekowanych 25 tys. komputerów. Ponad 800 osób z krajów UE zapłaciło okup w wysokości 70 000 euro.
Biorąc pod uwagę transakcje „prania pieniędzy” wymagają-ce dodatkowego zaangażowania podziemia cybernetycznego, tzw. underground, całkowity zysk wynosił ok. 40 000 euro11. Inny atak z wykorzystaniem jednej z wersji oprogramowa-nia wykorzystywanego do wymuszeoprogramowa-nia okupu – „Reventon”
– pozwolił na infekcję około 500 tys. komputerów w 18 dni.
I w tym wypadku zyski cyberprzestępców musiały być znacz-ne. Ostatnio coraz częściej wykorzystywane w tym procederze są kryptowaluty – bitcoin. System ten oparty jest na zaufaniu do systemu wymiany peer-to-peer (P2P), gdyż bitcoinów nie emituje żaden bank i nie mają one pokrycia w żadnej walucie, kruszcu czy towarze. Sama waluta jest „kopana”, czyli gene-rowana przez komputery w wyniku wykonywania skompliko-wanych operacji matematycznych dodatkowo gwarantowa-nych z użyciem szyfrowania. Sam system bazuje na zaufaniu użytkowników, przez co wartość bitcoina wynosi tyle, ile lu-dzie/użytkownicy są w stanie za niego zapłacić. Uznaje się, że twórcą (lub grupą twórców) tego systemu wirtualnej waluty jest nieznany nikomu bliżej Satoshi Nacamoto12.
Analiza trendów i rozwoju zagrożenia
Biorąc pod uwagę łatwość dostępu do programów będących podstawą przeprowadzania ataku oraz szybkość, z jaką uzy-skuje się dochody z tego typu działalności – ransomware, nie powinien dziwić fakt, iż jest to obecnie najbardziej dynamicz-nie rozwijająca się gałąź cyberprzestępczości.
Według szacunków producentów oprogramowania antywiru-sowego oraz niezależnych ekspertów istnieje duże prawdo-podobieństwo utrzymania się trendu ukierunkowanych ata-ków na małe i duże przedsiębiorstwa oraz ich zasoby, które mogą stanowić ważny element funkcjonowania13. Zblokowa-nie dostępu do krytycznych zasobów mogłoby spowodować bardzo poważne przerwy w działalności organizacji, dlate-go przestępcy, przewidując to, próbują znaleźć rozwiązanie i sposób na przeprowadzenie ataku. Dochody z takich dzia-łań na pewno będą ogromne, co potwierdzają coroczne ra-porty na ten temat.
Kolejny bardzo ważny obszar, na który każdy użytkownik powinien zwrócić uwagę, to wszelkie rozwiązania mobilne, zwłaszcza te pracujące na najpopularniejszych platformach systemowych – Android, iOS. Skuteczne ataki są bardzo czę-ste, dlatego cyberprzestępcy nie będą ustawać w ciągłym po-dejmowaniu działań skutkujących rozwojem oprogramowa-nia ransomware na te platformy. Przykładem może być tutaj podszywanie się cyberprzestępców pod aplikację mobilną do zabezpieczenia przed różnego rodzaju „kodem złośliwym”.
Pod pozorem skanowania systemu operacyjnego urządzenia i identyfikacji potencjalnych zagrożeń program po urucho-mieniu blokował dostęp do urządzenia, wymuszając okup.
Z uwagi na podejmowanie działań zmierzających do od-szyfrowywania plików zablokowanych kodem przez cyber-przestępców sięgają oni po bardziej skomplikowane metody szyfrowania i wykorzystują do tego szyfry oparte na krzy-wych eliptycznych, które pozwalają na uzyskanie bardziej skutecznego efektu szyfrowania bez możliwości skuteczne-go przeciwdziałania14. W dalszym ciągu do obsługi płatności pochodzących z ataków typu ransomware będą wykorzysty-wane systemy kryptowalut, bądź utrudniające identyfikację końcowego odbiorcy lub utrudniające to organom ścigania w sposób znaczny. Ponadto obecnie oprogramowanie ran-somware, po zablokowaniu dostępu do komputera użytkow-nikowi, wykrada „czas pracy” procesora zainfekowanej stacji PC do tzw. wykopywania bitcoin-ów. Następny krok, jakiego należy się spodziewać ze strony atakujących, to przygotowa-nie wersji ransomware na platformy dotychczas uznawane za bezpieczne, czyli Linux bądź też platformy przemysłowe.
Podobnie jak w przypadku innych zagrożeń ich ewolucja miała zbliżony przebieg. Najpierw były atakowane platfor-my popularne pod względem liczby użytkowników, a następ-nie pojawiały się wersje ataków na mnastęp-niej używane platformy systemowe. Do skutecznego przeprowadzania ataków wyko-rzystywane są różne schematy pozwalające na wciągnięcie użytkownika w miejsce w sieci, z którego jest przeprowa-dzany atak. Ten sposób ewoluował od pojedynczych e-ma-ili rozsyłanych do użytkowników, do specjalnie przygoto-wanych stron www, tzw. studni wody przekierowujących i infekujących komputer „koniem trojańskim”. Z uwagi na wysoką skuteczność obecnych ataków z wykorzystaniem szyfrowania plików czy blokowaniem dostępu do komputera ofiary należy się spodziewać coraz wyższych kwot za odblo-kowanie. Obecnie zdarzają się wymuszenia sięgające ponad 1000 USD. Niejednokrotnie w przypadku ataku z wykorzy-staniem oprogramowania typu ransomware „ZeroLocker” za szybką wpłatę otrzymuje się rabat w wysokości ponad 50%.
Przy czym płatność może zostać zrealizowana tylko z wyko-rzystaniem kryptowaluty15. Ponadto obserwuje się przypadki bardzo agresywnych technik postępowania cyberprzestęp-ców, które polegają na ataku ransomware z automatycznym przesyłaniem na komputer ofiary zdjęć zawierających treści związane z seksualnym wykorzystywaniem dzieci. Ma to na celu „skłonienie” ofiary do szybkiej wpłaty okupu. Czę-sto też w systemach ataku wykorzystywany jest mechanizm ograniczonego czasu przeznaczonego na dokonanie płatno-ści (48 lub 72 h), po którym kwota ulega zwiększeniu lub kasowane są informacje wybrane losowo z dysku ofiary.
Odnotowano również ataki ransomware, których celem było zablokowanie/szyfrowanie dostępu do informacji ofiary, ale efektem nie było uzyskanie okupu, lecz usunięcie danych, typowe działanie o charakterze sabotażu np. „NotPetya”. Na uwagę zasługuje również fakt występowania pewnego ro-dzaju konfliktu pomiędzy cyberprzestępcami używającymi ransomware jako źródła dochodu oraz pozostałymi, którzy stosują bardziej dyskretne metody do uzyskiwania interesu-jących ich informacji, np. grupami zorganizowanymi APT (Advaced Persistent Threat). Przy skutecznym ataku wymu-szającym okup użytkownik ma możliwość odtworzenia sys-temu, a więc usunięcia wszystkich danych wraz z systemem operacyjnym i wgrania ich ponownie na nośnik elektronicz-ny. Automatycznie są usuwane przy tej okazji inne programy
„złośliwe”. Powoduje to od pewnego czasu konflikty pomię-dzy gangami cybernetycznymi16.
PoDsumowanie
Działalność cyberprzestępców skupiająca się na dostarczaniu, organizowaniu, przeprowadzaniu ataków z wykorzystaniem oprogramowania typu ransomware będzie dalej ewoluować z uwagi na szybkość i skuteczność, zapewniającą efekt w posta-ci zablokowania/zaszyfrowania ważnych, krytycznych zasobów dla użytkownika stacji komputerowej oraz – co za tym idzie – skuteczne wymuszenie okupu, które stanowi pokaźny dochód przestępczy. Jest to obecnie jeden ze sposobów prowadzenia działań cyberprzestępczych. Stosują je grupy specjalizujące się w tego typu aktywności, które współpracują ze sobą, dzieląc się
„obszarami specjalizacji” w przygotowaniu, przeprowadzeniu ataku oraz przekazaniu środków pieniężnych pochodzących od ofiar ataku, a także tzw. praniu pieniędzy w celu legalizacji ich pochodzenia. Zidentyfikowano również systemy „Rasnomware as a Service” w skrócie RaaS, na które bardzo często można się natknąć w sieci DarkNet. Polegają na oferowaniu całego pakie-tu oprogramowania oraz systemów wspierających takie kampa-nie dowolnej osobie, która wyrazi chęć infekowania w celu po-zyskania środków z okupu. Podział między dostawcą systemu do ataku ransomware a wykonawcą ataków ma najczęściej pro-porcje 30% do 70% dochodu. Coraz częściej dochodzi również do ataków na kluczowe systemy związane z funkcjonowaniem społeczeństwa, np. szpitale, systemy transportu kolejowego, lot-niczego. Efekt jest jeden – właściciel takiego systemu po prostu płaci okup, gdyż skutki braku funkcjonowania mogłyby zagra-żać życiu i zdrowiu.
Użytkownicy końcowi, administratorzy, osoby od-powiadające za bezpieczeństwo powinny pamiętać o podstawowych zasadach związanych z utrzyma-niem bezpieczeństwa, na które należy zwrócić szczególną uwagę. Należą do nich m.in. aktualizo-wanie systemu operacyjnego, dbanie o aktualiza-cję i poprawną konfiguraaktualiza-cję oprogramowania an-tywirusowego. Otrzymując różnego rodzaju prze-syłki e-mail, nie wolno akceptować ani uruchamiać załączników, jeżeli nie jesteśmy pewni ich pocho-dzenia. Na odwiedzanych stronach internetowych trzeba dokładnie czytać wyświetlane komunikaty i nie akceptować instalacji dodatkowych progra-mów czy też aplikacji, które mogą się wyświetlać.
Ponadto należy zadbać o prawidłowy przebieg or-ganizacji oraz przeprowadzenia szkoleń dla użyt-kowników i uświadamiać im powagę zagrożenia, a także możliwe do realizacji schematy ataków prowadzonych przez cyberprzestępców. Szczegól-nie trzeba podkreślić skalę zagrożenia oraz jego skutki. Jest to oczywiście pewien zbiór tzw. do-brych praktyk, jednakże należy mieć na uwadze, iż po drugiej stronie znajdują się ludzie poszukujący zysków i ich działania nie stanowią stałego, za-mkniętego zbioru schematów do realizacji, co po-kazuje analiza zagrożenia, jak również aktualne doniesienia od firm, organizacji, instytucji zajmu-jących się bezpieczeństwem teleinformatycznym.
Jednocześnie rozwój tego zagrożenia stawia przed organa-mi ścigania nowe wyzwania powodujące konieczność stałe-go monitorowania i podejmowania wysiłków na rzecz sku-tecznego zwalczania i eliminowania przestępców. Jednym z głównych wyznaczników skutecznej współpracy jest po-dejmowanie wspólnych działań na poziomie międzynarodo-wym z wykorzystaniem Europolu oraz Interpolu17 oraz przy dużym wsparciu i współpracy ze strony dostawców inter-netowych oraz producentów oprogramowania, bez których walka z cyberprzestępcami byłaby niemożliwa bądź znacznie utrudniona. Obecnie Centrum Zwalczania Cyberprzestep-czości – EC3 przy Europolu może wskazać kilka spraw o za-sięgu międzynarodowym związanych z wymuszaniem okupu w sieci Internet, które dzięki współpracy organów ścigania z różnych krajów zakończyły się sukcesem – ujęciem spraw-ców organizatorów całego procederu. Oczywiście nie eli-minuje to całego zagrożenia, nie spowoduje to zaprzestania występowania zagrożenia ransomware w sieci, ale pokazuje, jak skuteczna może być działalność policji oraz współpra-cujących partnerów w walce z cyberprzestępcami. Ponadto przy wsparciu Europolu EC3 – powstał projekt „No More Ransom”, z własną stroną internetową, na której możemy znaleźć m.in. oprogramowanie deszyfrujące, pozwalające na odzyskanie danych i informacji bez konieczności opłacania wysokich kwot okupu cyberprzestępcom.
1 Police Ransomware. Threat Assessment, Europol, 2014, s. 6.
2 Trend Micro Incorporated, Police Ransomware Update, 2012, s. 1.
3 W bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę.
Zob. Inżynieria społeczna, w: Wikipedia, http://pl.wikipedia.org/
wiki/Inżynieria_społeczna_(informatyka) [dostęp: 30.11.2017 r.].
4 Szyfrowanie asymetryczne – szyfrowanie z wykorzystaniem klu-cza publicznego oraz prywatnego.
5 Ransomware/cryptolocker, https://suport.kaspersky.com [dostęp:
30.11.2017 r.].
6 Koń trojański – określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje, dodatkowo implementuje niepożądane, ukryte przed użytkownikiem różne funkcje. Zob. Koń trojański, w: Wikipedia, https://pl.wikipedia.org/
wiki/Koń_trojański_(informatyka) [dostęp: 30.11.2017 r.].
7 Watering hole attack, w: Wikipedia, http://en.wikipedia.org/wiki/
Watering_hole_attack [dostęp: 10.10.2017].
8 Exploit – złośliwe oprogramowanie wykorzystujące luki programi-styczne lub innych podatności w celu przejęcia kontroli nad sprzę-tem komputerowym lub innym urządzeniem elektronicznym, zob.
M. Sawicki, Cyberprzestępczość, C.H. Beck, s. 96.
9 Police Ransomware threat assessment, Europol, 2014, s. 11.
10 Raport: Symantec, Ransomware: A Growing Menace, 2012.
11 http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware -operation.
12 Bitcoin, w: Wikipedia, https://pl.wikipedia.org/wiki/Bitcoin [do-stęp 10.10.2017].
13 Police Ransomware a Threat Assessment, Europol, 2014, s. 12.
14 Kryptografia krzywych eliptycznych, w: Wikipedia, https://pl.wiki-pedia.org/wiki/Kryptografia_krzywych_eliptycznych.
15 http://www.zdnet.com/new-zerolocker-crypto-ransomwa-re-offers-discount-for-paying-up-quickly-or-1000-in-bitcoin -7000032779/?utm_source=dlvr.it&utm_medium=twitter#fta-g=RSS86a1aa4.
16 Ransomware: A Growing Menace – Symantec 2012, s. 10.
17 Interpol ICPO – International Criminal Police Organisation, www.interpol.int.
Literatura
Siwicki M., Cyberprzestępczość, C.H. Beck, Warszawa 2013.
Ransomware: a growing meanance – Symentec, 2012.
Police Ransomware. Threat Assessment, Europol, 2014.
Trend Micro Incorporated, Police Ransomware Update, 2012.
Netografia
Bitcoin, w: Wikipedia, https://pl.wikipedia.org/wiki/Bitcoin.
Interpol ICPO – International Criminal Police Organisation, www.
interpol.int.
Inżynieria społeczna, w: Wikipedia, http://pl.wikipedia.org/wiki/In-żynieria_społeczna_(informatyka).
Kryptografia krzywych eliptycznych, w: Wikipedia, https://pl.wikipe-dia.org/wiki/Kryptografia_krzywych_eliptycznych.
http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware -operation.
Koń trojański, w: Wikipedia, https://pl.wikipedia.org/wiki/Koń_tro-jański_(informatyka).
http://www.zdnet.com/new-zerolocker-crypto-ransomwa-re-offers-discount-for-paying-up-quickly-or-1000-in-bitcoin -7000032779/?utm_source=dlvr.it&utm_medium=twitter#fta-g=RSS86a1aa4Ransomware/cryptolocker, https://suport.kasper-sky.com.
Watering hole attack, w: Wikipedia, http://en.wikipedia.org/wiki/Wa-tering_hole_attack.
Summary
Ransomware – forcing ransom in the network
In recent years we experienced the intensive growth of attacks with the use of malicious Ransomware* extorting the ransom. Cy-bercriminals in a very short time released more and more blocking programs, from one version to another more advanced in methods of blocking the access – up to the use of cryptographic elliptical algorithms encrypting information/data.
In 2017 a ransomware software, attacking information resources of companies, develops dynamically. NotPetya or WannaCry are only some of varieties of this very dangerous software. Its insert-ing it into the company network can effectively block the opera-tion of the enterprise till the moment the ransom is paid. However about 75% of such attacks does not end so well. The purpose of NotPetya/Expetya – as it turns out after analyses – is the destruc-tion of data rather than the extordestruc-tion of ransom.
Since the beginning of the appearance of Ransomware attacks we can observe not only a development of the very software, but also attack vectors. In the nearest future one should not expect weakening of these very attacks, but it is necessary to consider new vulnerabilities, attack vectors and the fact that everyone can become a target of the attack. Therefore it is worth to disseminate the knowledge about Ransomware.
* program blocking of the access to the information using the cryptography and ransom demands
Tłumaczenie: Renata Cedro
Oszustwo nigeryjskie lub nigeryjski szwindel (inaczej – afry-kański szwindel, z ang. Nigerian scam, 419 scam – ta ostatnia nazwa wywodzi się od artykułu w kodeksie karnym Nigerii, dotyczącym tego przestępstwa) jest to prosty proceder prze-stępczy – oszustwo, wręcz naiwne, najczęściej zapoczątkowa-ne kontaktem poprzez wykorzystanie poczty elektroniczzapoczątkowa-nej.
Polega na wciągnięciu (dawniej – przypadkowej, obecnie – coraz częściej typowanej) ofiary w grę psychologiczną, której fabuła jest oparta na fikcyjnym transferze dużej kwo-ty pieniędzy (często przesadnie wygórowanej – nawet rzędu kilkunastu milionów funtów lub dolarów amerykańskich), z jednego z krajów afrykańskich (najczęściej Nigerii, choć aktualnie może również chodzić o każdy inny kraj – coraz częściej w grę wchodzi Wielka Brytania, Hiszpania) – mają-cą na celu wyłudzenie pieniędzy od ofiary zaślepionej wizją zbliżającej się fortuny. Przestępstwo to, przeżywające swoją drugą młodość dzięki wszechobecnemu Internetowi, mało ma wspólnego z cyberprzestępczością i zaawansowanymi tech-nologiami. Wykorzystuje głównie socjotechnikę i aż jest nie-wiarygodne, że ktoś może paść jego ofiarą – przy całej jego prostocie i braku najmniejszego elementu finezji.
Na arenie międzynarodowej powyższą problematykę, nie-przerwanie od ok. połowy lat 90. ubiegłego wieku, bada U.S.
Secret Service1, ale nawet ta służba stoi na stanowisku, że
od-zyskanie pieniędzy jest praktycznie niemożliwe. Jednak na-dal zwraca się z prośbą o przesyłanie, przez pokrzywdzonych takimi przestępstwami, wszelkich informacji otrzymywanych przez oszustów na adres:
The United States Secret Service, Financial Crimes Division,
950 H Street, NW, Washington, D.C. 20223.
Na gruncie prawa polskiego tego rodzaju przestępstwo zostało spenalizowane w przepisie art. 286 § 1 ustawy z dnia 6 czerw-ca 1997 r. – Kodeks karny (Dz. U. z 2017 r. poz. 2204).
„Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania (…)”2. Przestępstwo to jest zagro-żone karą pozbawienia wolności od 6 miesięcy do 8 lat.
Niestety wykrywalność sprawców tego rodzaju przestępstw jest znikoma, co może być również wynikiem niezadowalają-cej jakości współpracy z nigeryjskimi organami ścigania. Sy-tuacja ta pozwala na dużą swobodę działań przestępczych, do tego stopnia, że oszuści dokonujący tego typu czynów niejed-nokrotnie nawet nie używają narzędzi do ukrywania swojego prawdziwego adresu IP. Z drugiej strony – brak kamuflowania