Podział na złych cyberprzestępców i uciśnionych internautów właśnie przestaje obowiązywać. Ekspresowy rozwój sektora RaaS (Ransomware-as-a-service) już teraz umożliwia zarabianie na szyfrowaniu cudzych danych niemal każdemu użytkownikowi sieci. A chętnych nie brakuje – w ostatnim kwartale liczba domen obsługujących zagrożenia szyfrujące wzrosła o 3500%. Firma ANZENA, dostawca rozwiązań do tworzenia i szybkiego przywracania danych z backupu analizuje przyczyny popularności groźnego trendu.
Nie wiesz, jak skutecznie przeprowadzić atak szyfrujący? Spokojnie, doradzimy! Po prostu ustal wysokość okupu, czas na jego wpłacenie i zacznij zarabiać na szyfrowaniu cudzych danych!
– tak wkrótce mogą reklamować się twórcy wirusów do wynajęcia w formie usługi. Firma ANZENA alarmuje, że to właśnie rosnąca popularność trendu zagrożenie-jako-usługa napędza rosnący rynek ransomware. Rynek, który w kilkanaście miesięcy ewoluował z drobnych wyłudzeń w potężny biznes operujący atakami na skalę przemysłową. Wskaźnikiem rozwoju sektora może być liczba domen ransomware – tylko w pierwszym kwartale 2016 roku wzrosła ona o 3500% w stosunku do Q4 2015. Według danych firmy Infoblox najwięcej złośliwych witryn powstaje obecnie w Stanach Zjednoczonych (41% wzrostu), ale też w Portugalii (17%), Rosji (12%), Holandii (10%), Wielkiej Brytanii (8%) i Islandii (6%). Dlaczego coraz więcej osób chce zarabiać na szyfrowaniu cudzych danych?
- Niski próg wejścia
Do niedawna wynajęcie zagrożenia wiązało się z opłatą wstępną. Twórcy malware’u zrozumieli, że od opłat lepszą inwestycją jest czas osób rozprowadzających zagrożenia (dystrybutorów). Przykładem jest krążący od kilku dni po sieci komunikat rekrutacyjny autorstwa osoby zwanej „ransomware boss”. Tekst otwarcie zachęca do zarabiania „dużych pieniędzy w nieuczciwy sposób”, uspokajając potencjalnych dystrybutorów, że „nie muszą uiszczać żadnych opłat”, a ich brak doświadczenia „nie stanowi żadnego problemu”. Chętni otrzymują dostęp do zagrożeń, którymi mają zaatakować maksymalną liczbę celów. Mogą przy tym dowolnie konfigurować parametry zagrożenia włącznie z wysokością żądanego okupu. Sam sposób ataku zależy od inwencji dystrybutora – w grę wchodzą np. mailowe kampanie spamowe, fałszywe reklamy i niedozwolone w przeglądarkach metody pozycjonowania zarażonych stron (tzw. BlackHat SEO). W przypadku udanego zaszyfrowania danych ofiary otrzymuje ona polecenie kontaktu z autorem zagrożenia. Gdy okup w walucie Bitcoin zostaje opłacony, boss wysyła dystrybutorowi 40% udziału. Podział zysków jak na standardy RaaS jest dość nietypowy – w większości zagrożeń twórca oddaje dystrybutorowi 75-95% okupu chcąc zachęcić go do kolejnych ataków. Z ustaleń firmy Flashpoint, która wykryła całą akcję wynika, że średnie miesięczne zarobki wynosiły do tej pory 600$ dla pośrednika i 7500$ dla bossa.
- Duży (dalej) może więcej
Chcesz kosić haracze? Sierp jest za darmo, ale niektórzy wolą zapłacić za znacznie efektywniejszy kombajn. Przykładem takiego zagrożenia „premium” w modelu RaaS jest Nuclear Exploit Kit wynajmowany cyberprzestępcom za kilka tysięcy dolarów miesięcznie. W jego panelu sterowania atakujący łatwo skomponuje swój własny zestaw zagrożeń, a następnie pośle go w sieć zarządzanymi przez siebie kampaniami. Raport firmy Checkpoint ujawnia, że w samym kwietniu 2016 użytkownicy Nuclear EK zaatakowali ponad 1,8 mln maszyn skutecznie infekując blisko 185 tysięcy urządzeń. Zagrożenia szyfrujące wykryto w 78% udanych infekcji. Jeśli cyberprzestępcy nie zadowoli taki atak o skuteczności 9,95% to za odpowiednią kwotę łatwo zamówi wersję wirusa zmodyfikowaną wedle swoich wytycznych.
- Anonimowość
Od samego początku złośliwego szyfrowania finanse biznesu ransomware maskowane są transakcjami w sieci TOR i kryptowalutą BitCoin. Taki model działania ma w założeniu ukrywać tożsamość twórców i osób rozprowadzających zagrożenie przed ewentualnymi sankcjami prawnymi. Gwarancji sieciowej niewidoczności co prawda nie ma, jednak wielu cyberprzestępcom zdaje się to nie przeszkadzać i trudno oczekiwać, by zaczęło przeszkadzać początkującym wyłudzaczom. A jeśli nawet to…
- Cyberprzestępca? To nie ja!
Warto zwrócić uwagę na psychologiczny wymiar trendu: rozpowszechniając proste narzędzia do finansowych wymuszeń RaaS może zamazywać podział na cyberprzestępców i internautów w świadomości użytkowników. Firma ANZENA przywołuje słowa autora jednego z pierwszych zagrożeń w modelu RaaS o pseudonimie Tox. Wątpliwości moralne wynikające z szyfrowania cudzych danych skwitował on krótko: „Oczywiście, że żal mi ofiar, ale nie jest tak źle: twój dzień będzie pewnie zepsuty, jednak to minie. Z drugiej strony ktoś, kto dostanie twój okup może być w złej sytuacji finansowej. Może to nie jest w porządku, ale to właśnie jest równowaga.” Amatorzy cyberataków mogą się tłumaczyć zaprzeczeniami w rodzaju: „każdy tak robi / zrobiłby na moim miejscu”, „jeśli nie ja, ktoś inny to zrobi” czy wreszcie „wszystkich nas nie złapią” – fałszywy argument takiej powszechności wykroczenia, że przestaje być ono wykroczeniem. Niepokojące? Jeśli przyjąć, że masowa chęć szybkiego zarobku będzie co najmniej taka, jak dziś chęć bezpłatnego obejrzenia filmu czy pobrania mp3 to w najczarniejszym scenariuszu sieć zamieni się w pole bitwy, na którym przetrwają tylko posiadacze backupu – jedynego zabezpieczenia przed skutkami szyfrowania.
- Jest prosto, będzie prościej
Od początku 2015 zauważono co najmniej 8 zagrożeń działających w modelu RaaS: Tox, FAKBEN, Encryptor RaaS, Hidden Tear, ORX Locker, Ransom32, Janus, Alphalocker. Nie wszystkie były bezpłatne, nie wszystkie były proste w obsłudze. Ale to się zmienia, bo jak każda nowoczesna usługa ransomware ma być przyjazny – na tyle, by użytkownik bez specjalistycznej wiedzy mógł szybko zarobić na jego rozprowadzaniu. Zagrożenia szyfrujące to rynek jak każdy inny. Sukces odniosą na nim ci, którzy dostarczą najprostszych, najskuteczniejszych zagrożeń popartych dodatkowo świetną i szybką obsługą klienta. Im więcej zadowolonych dystrybutorów, tym większa szansa autora zagrożenia na udział we wpłacanych przez ofiary haraczach.
A jakie szanse mają same ofiary?
Na szczęście wcale nie takie małe, jeśli tylko będą pamiętać o podstawowych środkach bezpieczeństwa. Ponieważ ataki szyfrujące rozprowadzane są głównie przez spam, należy zachować szczególną ostrożność klikając podejrzane wiadomości mailowe. Otwarcie załącznika udającego fakturę może w najgorszym przypadku skończyć się zaszyfrowaniem nie jednego komputera, ale całego segmentu firmowej sieci generując olbrzymie straty finansowe. A jeśli już padliśmy ofiarą szantażystów to jedynym sposobem wymigania się od haraczu będzie przywrócenie kopii bezpieczeństwa. Warto więc o niej pamiętać.
