Acțiune:
O istorie a Ransomware unde a început și unde se întâmplă
Ransomware este un tip de malware care împiedică accesul normal la un sistem sau fișiere, cu excepția cazului în care victima plătește o răscumpărare. Majoritatea oamenilor sunt familiarizați cu variantele cript-ransomware, unde fișierele sunt încapsulate în criptare necircabilă, dar paradigma este de fapt mult mai veche decât aceea.
De fapt, ransomware-ul datează de aproape zece ani. Ca multe amenințări la adresa securității calculatorului, aceasta a provenit din Rusia și țările vecine. De la prima descoperire, Ransomware a evoluat pentru a deveni o amenintare din ce in ce mai puternica, capabila sa extraga rascumparari tot mai mari.
Early Ransomware: din Rusia cu ură
Primele exemplare de răscumpărare au fost descoperite în Rusia între 2005 și 2006. Acestea au fost create de criminali organizați ruși și vizează în mare parte victimele rusești, precum și cei care trăiesc în țările vecine rusofone, cum ar fi Belarus, Ucraina și Kazahstan.
Una dintre aceste variante de ransomware a fost numită TROJ_CRYZIP.A. Acest lucru a fost descoperit în 2006, cu mult înainte de termenul stabilit. Acesta a afectat în mare măsură mașinile care rulează Windows 98, ME, NT, 2000, XP și Server 2003. Odată descărcate și executate, acestea vor identifica fișiere cu un anumit tip de fișier și le vor muta într-un folder ZIP protejat prin parolă, originale. Pentru ca victima să-și recupereze fișierele, ar trebui să transfere 300 de dolari unui cont E-Gold.
E-Gold poate fi descris ca un predecesor spiritual al BitCoin. O monedă digitală anonimă, bazată pe aur, administrată de o companie cu sediul în Florida, dar înregistrată în Saint Kitts și Nevis, a oferit o relație anonimă, dar a devenit rapid favorizată de criminali organizați ca o metodă de spălare a banilor murdari. Acest lucru a condus guvernul american să îl suspende în 2009, iar compania sa îndoit nu după mult timp.
Mai târziu, variantele de răscumpărare ar folosi cripto-valute anonime, cum ar fi Bitcoin, carduri de debit preplătite și chiar numere de telefon premium ca metodă de plată.
TROJ_RANSOM.AQB este o altă variantă de răscumpărare identificată de Trend Micro în 2012. Metoda de infectare a fost aceea de a înlocui Master Boot Record (MBR) de Windows cu propriul cod malware. Când computerul a pornit, utilizatorul va vedea un mesaj de răscumpărare scris în limba rusă, care a cerut victimei să plătească 920 ucraineni Hryvnia prin intermediul QIWI - un sistem de plăți cu sediul în Cipru și deținut de ruși. Când este plătit, victima ar primi un cod, ceea ce le-ar permite să-și restabilească computerul la normal.
Având în vedere că mulți dintre operatorii de răscumpărare identificați sunt identificați din Rusia, s-ar putea argumenta că experiența dobândită în direcționarea pieței interne le-a făcut mai capabili să vizeze utilizatorii internaționali.
Opriți, poliție!
Spre sfârșitul anilor 2000 și începutul anilor 2010, ransomware-ul a fost din ce în ce mai recunoscut ca o amenințare pentru utilizatorii internaționali. Dar a existat încă un drum lung înainte de a fi omogenizat în varianta puternică, cripto-ransomware pe care o vedem astăzi.
În acest timp, a devenit obișnuit ca ransomware să se implice în aplicarea legii pentru a extrage răscumpărări. Aceștia ar acuza victima că ar fi implicați într-o crimă - de la simpla încălcare a drepturilor de autor, la pornografia ilicită - și vor spune că computerul lor este în curs de investigare și a fost blocat.
Atunci le-ar oferi victimei o alegere. Victima ar putea alege să plătească a “amenda”. Aceasta ar scădea taxele (inexistente) și ar fi returnat accesul la computer. Dacă victima a întârziat, amenda se va dubla. Dacă victima a refuzat să plătească integral, răscumpărarea îi va amenința cu arestarea, judecarea și pedeapsa închisorii.
Cea mai largă variantă recunoscută a poliției de răscumpărare a fost Reveton. Ceea ce a făcut Reveton atât de eficient a fost că a folosit localizarea pentru a părea mai legitimă. S-ar rezolva situația în care a fost bazat utilizatorul și apoi s-ar impersona autoritățile locale competente.
Deci, dacă victima avea sediul în Statele Unite, nota de răscumpărare pare a fi de la Departamentul de Justiție. Dacă utilizatorul era italian, ar fi adoptat stilul Guardia di Finanza. Utilizatorii britanici ar vedea un mesaj de la Poliția Metropolitană din Londra sau Poliția din Strathclyde.
Producătorii lui Reveton și-au acoperit toate bazele. A fost localizat pentru aproape fiecare țară europeană, precum și Australia, Canada, Noua Zeelandă și Statele Unite. Dar a avut un defect. Deoarece nu cripta fișierele utilizatorului, acesta ar putea fi eliminat fără efecte adverse. Acest lucru ar putea fi realizat cu un CD antivirus live sau prin bootarea în modul sigur.
CryptoLocker: Primul mare Crypto-Ransomware
Crypto-ransomware nu are nici un defect. Utilizează criptarea aproape incomparabilă pentru a închide fișierele utilizatorului. Chiar dacă malware-ul a fost eliminat, fișierele rămân blocate. Acest lucru pune o presiune imensă pe victimă să plătească.
CryptoLocker a fost primul CryptoLocker recunoscut de criptografiere CryptoLocker este cel mai periculos malware vreodată și aici e ceea ce puteți face CryptoLocker este cel mai rău malware vreodată și iată ce puteți face CryptoLocker este un tip de software rău intenționat care face computerul complet inutilizabil prin criptarea tuturor din fișierele dvs. Apoi, solicită plata în avans înainte de a vă întoarce accesul la computer. Citiți mai multe și a apărut spre sfârșitul anului 2013. E greu de estimat amploarea utilizatorilor infectați cu orice grad de precizie. ZDNet, un jurnal de tehnologie foarte respectat, a urmărit patru adrese bitcoin folosite de malware și a descoperit că au primit aproximativ 27 milioane de dolari în plăți.
A fost distribuită prin atașamente de e-mail infectate, care au fost propagate prin intermediul rețelelor de spam imense, precum și prin intermediul gamenet-ului ZeuS. Odată ce a compromis un sistem, ar cripta în mod sistematic fișierele de documente și media cu criptografie puternică cu cheie publică RSA.
Victima ar avea apoi o perioadă scurtă de timp pentru a plăti o răscumpărare de 400 USD sau 400 EUR, fie prin Bitcoin, fie prin GreenDot MoneyPak - un sistem de vouchere preplătit favorizat de infractorii cibernetici. Dacă victima nu a plătit în termen de 72 de ore, operatorii au amenințat că vor șterge cheia privată, făcând imposibilă decriptarea.
În iunie 2014, serverele de distribuție CryptoLocker au preluat o coaliție de cadre universitare, furnizori de securitate și agențiile de aplicare a legii din cadrul Operațiunii Tovar. Doi furnizori - FireEye și Fox-IT - au putut accesa o bază de date cu chei private folosite de CryptoLocker. Apoi au lansat un serviciu care le-a permis victimelor să-și decripte fișierele gratuit. CryptoLocker este mort: Iată cum puteți obține fișierele înapoi! CryptoLocker este mort: Iată cum puteți obține fișierele înapoi! Citeste mai mult
Deși CryptoLocker avea o durată scurtă de viață, a demonstrat definitiv că modelul cripto-ransomware ar putea fi unul lucrativ și a dus la o cursă înarmată cvasi-digitală. În timp ce furnizorii de securitate au pregătit măsuri de atenuare, infractorii au lansat variante de răscumpărare din ce în ce mai sofisticate.
TorrentLocker și CryptoWall: Ransomware devine mai inteligent
Unul dintre aceste variante îmbunătățite de ransomware a fost TorrentLocker, care a apărut la scurt timp după căderea CryptoLocker.
Aceasta este o formă destul de pietonală de cripto-ransomware. Ca majoritatea formelor de cripto-ransomware, vectorul său de atac este atașamentele de email rău intenționate, în special documentele Word cu macrocomenzi rău-intenționate Cum să vă protejați de malware-ul Microsoft Word Cum să vă protejați de malware-ul Microsoft Word Știați că computerul dvs. poate fi infectat de malware Microsoft Documente de la Office sau că ați putea fi impiedicat să activați setările de care au nevoie pentru a infecta computerul? Citeste mai mult . Odată ce o mașină este infectată, aceasta va cripta sortimentul obișnuit de fișiere media și de birou utilizând criptarea AES.
Cea mai mare diferență a fost prezentată în notele de răscumpărare afișate. TorrentLocker ar afișa răscumpărarea necesară în moneda locală a victimei. Deci, dacă mașina infectată are sediul în Australia, TorrentLocker ar afișa prețul în dolari australieni TorrentLocker este un nou Ransomware Down Under. Și e rău. TorrentLocker este un nou Ransomware Down Under. Și e rău. Citiți mai multe, plătibile în BitCoin. Ar fi chiar listat schimburile BitCoin locale.
Au existat chiar inovații în procesul de infecție și obfuscare. Luați CryptoWall 4.0, de exemplu, cea mai recentă tulpină din familia temută de cripto-ransomware.
Acest lucru a schimbat modul în care infectează sistemele și acum redenumite toate fișierele infectate, împiedicând astfel utilizatorul să determine ce a fost criptat și făcându-l mai greu să restabilească de la o copie de rezervă.
Ransomware vizează acum platformele de nișă
Copleșitor, ransomware vizează computerele care rulează Windows și, într-o măsură mai mică, smartphone-urile care rulează Android. Motivul pentru care poate fi atribuit în mare parte cotei de piață. Multe persoane folosesc Windows decât Linux. Acest lucru face din Windows o țintă mai atractivă pentru dezvoltatorii de programe malware.
Dar, în ultimul an, această tendință a început să inverseze - deși încet - și începem să vedem cripto-ransomware vizând utilizatorii Mac și Linux.
Linux.Encoder.1 a fost descoperit în noiembrie 2015 de Dr.Web - o importantă firmă rusă de securitate cibernetică. Acesta este executat la distanță de un defect în Magento CMS și va cripta un număr de tipuri de fișiere (fișiere de birou și media, precum și tipuri de fișiere asociate aplicațiilor web) utilizând criptografia cu chei publice AES și RSA. Pentru a decripta fișierele, victima va trebui să plătească o răscumpărare de un bitcoin.
La începutul acestui an, am văzut sosirea ransomware-ului KeRanger, care vizează utilizatorii Mac Ce amenințări de securitate se confruntă cu utilizatorii de Mac în 2016? Ce amenințări la adresa securității se confruntă cu utilizatorii de Mac în 2016? Deservite sau nu, Mac OS X are reputația că este mai sigur decât Windows. Dar reputația asta merită încă? Ce amenințări de securitate există pentru platforma Apple și cum afectează utilizatorii? Citeste mai mult . Acest lucru a avut un vector de atac neobișnuit, deoarece a intrat în sistem prin infiltrarea actualizărilor software ale transmisiei - un client BitTorrent popular și legitim.
În timp ce amenințarea de răscumpărare a acestor platforme este mică, este în mod incontestabil în creștere și nu poate fi ignorată.
Viitorul Ransomware: Distrugerea ca serviciu
Deci, cum arată viitorul răscumpărării? Dacă ar fi trebuit să spun în cuvinte: mărci și francize.
În primul rând, să vorbim despre francize. O tendință interesantă a apărut în ultimii ani, în sensul că dezvoltarea de ransomware a devenit incredibil de commoditized. Astăzi, dacă sunteți infectat cu ransomware, este în întregime plauzibil ca persoana care la distribuit, nu este persoana care la creat.
Apoi, există branding. În timp ce multe tulpini de rromi au câștigat recunoașterea numelui pentru puterea distructivă pe care o posedă, unii producători își propun să își producă produsele ca fiind anonime și generice.
Valoarea unui ransomware cu etichetă albă este că poate fi rebrandată. De la o tulpină principală de răscumpărare, pot apărea alte sute. Probabil acesta este motivul pentru care, în primul trimestru al anului 2015, au fost colectate peste 725.000 de eșantioane de răscumpărare de către McAfee Labs. Aceasta reprezintă o creștere trimestrială de aproape 165%.
Se pare extrem de puțin probabil ca forțele de ordine și industria de securitate să poată opri această maree.
Ați fost lovit de răscumpărare? Ați plătit, ați pierdut datele sau ați reușit să depășiți problema într-un alt mod (poate o copie de rezervă)? Spuneți-ne despre asta în comentariile!
Creditele de imagine: confidențialitatea și securitatea de către Nicescene prin Shutterstock
Explorați mai multe despre: Computer Security, Ransomware.