Cyber sigurnost Security Services

Kako se razvijao ucjenjivački softver ransomware

U ovom broju osvrnut ćemo se na jednu od najrazornijih vrsta malwarea koji mogu napasti vaš računar ili pametni telefon. Riječ je o tzv. ucjenjivačkom softveru, čija su sve češća meta i kompanije zbog veće vjerovatnoće isplate otkupnine

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Ransomware je vrsta zlonamjernog softvera, odnosno malwarea, koju hakeri koriste kako bi korisniku onemogućili pristup računaru ukoliko ovaj u određenom roku ne uplati sumu novca kako bi ponovo mogao pristupiti svojim fajlovima. Riječ ransomware izvedenica je od engleske riječi ransom, što u prijevodu znači ucjena, i ware, koje označava softver. Ransomware uglavnom napada na dva načina: ili zaključa vaš računar i onemogući vam pristup u potpunosti ili – u gorem i danas češćem slučaju – enkriptira sve vaše fajlove (ponekad i čitav hard disk), tako da čak i nakon njegovog uklanjanja s računara većinu tih fajlova vjerovatno nećete moći povratiti.

Historijat nastanka

Prvi oblik ransomwarea pojavio se u Rusiji prije otprilike deset godina. Kreirali su ga pripadnici krugova ruskog organizovanog kriminala i u početku je ciljao samo žrtve koje su živjele na području Rusije i okolnih država poput Ukrajine, Kazahstana i Bjelorusije. Posljednjih godina ransomware se sve češće spominje kao prijetnja internacionalnim korisnicima interneta. Ponekad ga zovu i policijskim malwareom, jer se ucjena često provodi pod krinkom policijskih snaga. U tim slučajevima žrtva će primiti poruku u kojoj stoji da joj je računar pod istragom zbog navodne posjete zabranjenim pornografskim sajtovima ili kršenja autorskih prava. Napadač će tražiti od žrtve da plati otkupninu ukoliko želi da „optužbe“ budu odbačene, s tim da će, ako bude odlaganja u plaćanju, suma koju treba platiti rasti. Ukoliko žrtva potpuno odbije platiti otkupninu, zaprijetit će joj se hapšenjem, suđenjem, pa čak i zatvorom.

Najpoznatiji oblik takozvanog policijskog ransomwarea jeste Reveton, koji je bio posebno uspješan zato što je koristio lokalizaciju kako bi žrtva povjerovala da joj poruku šalju policijske snage iz države u kojoj živi. Tako bi žrtvi napada Revetonom, koja živi u SAD-u, stigla poruka za koju djeluje kao da dolazi od njihovog Ministarstva pravde, dok bi Britanac dobio poruku od navodne londonske Metropolitan policije. Iako je Reveton bio lokaliziran za svaku evropsku državu, kao i za SAD, Australiju, Kanadu i Novi Zeland, ipak je imao jednu manu: pošto nije enkriptirao korisnikove fajlove, moglo ga se se ukloniti pomoću bilo kojeg antivirusa, bez ikakvih sporednih efekata.

CryptoLocker: najopasniji ransomware

Za razliku od Revetona, CryptoLocker se nije tako lako mogao ukloniti iz sistema. CryptoLocker je prvi put primijećen 2013. godine i smatra se jednim od najopasnijih tipova ransomwarea na svijetu. On kriptira sve bitne računarske fajlove metodom dva RSA ključa, javnog i privatnog. Pošto vam za otključavanje podataka trebaju oba ključa, a privatni ključ se šalje na neki udaljeni server – vi, zapravo, plaćate otkupninu za njega. Iznos može biti 300 ili 3.000 dolara, sve zavisi od „apetita” napadača. CryptoLocker koristi skoro neprobojnu enkripciju kako bi zaplijenio korisnikove fajlove, pa čak i kada je malware uklonjen, fajlovi i dalje ostaju zaključani i samim time nedostupni korisniku. Ipak, CryptoLocker nije bio dugog vijeka. Samo godinu dana od nastanka, u junu 2014. godine, srušeni su serveri za širenje ovog ransomwarea u operaciji Tovar. Nažalost, s ukidanjem CryptoLockera nisu prestali svi problemi. Nakon što su cyber kriminalci otkrili sve prednosti lake zarade preko ovog tipa ransomwarea, nakon njega ubrzo su se pojavile nove, sofisticiranije verzije.

Jedan od njih je bio TorrentLocker, koji se pojavio ubrzo nakon uklanjanja CryptoLockera. TorrentLocker koristi maliciozne e-mail attachmente kako bi napao korisnikov računar. Najveća razlika između njega i ostalih tipova ransomwarea jeste u tome što on otkupninu traži u lokalnoj valuti, tako da će od Australca tražiti otkupninu u australskim dolarima, a od nekog iz BiH u konvertibilnim markama, s tim da tražena suma može biti isplaćena u Bitcoin valuti, a čak će vam izlistati i Bitcoin mjenjačnice u poruci kojom je objavio napad na vaš računar.

Najnovija verzija kriptografskog malwarea CryptoWall 4.0 jasno pokazuje da se svakodnevno radi na unapređivanju ransomwarea, tako da ovaj spomenuti, recimo, prilikom napada mijenja nazive svih zaraženih fajlova, što žrtvi otežava prepoznavanje toga koji fajlovi jesu, a koji nisu šifrirani. Zbog toga ih je teže povratiti s backupa.

Ugroženi svi operativni sistemi

Iako je ransomware tradicionalno napadao kompjutere sa Windows operativnim sistemom i, u manjoj mjeri, Android pametne telefone, posljednjih nekoliko godina svjedoci smo napada ransomwareom na Linux sisteme i Mac računare. Tako je 2015. godine Dr.Web, velika ruska kompanija koja se bavi informatičkom sigurnošću, otkrila Linux.Encoder.1 ransomware, a početkom ove godine otkriven je i KeRanger ransomware, koji je ciljao na Mac računare. Iako su napadi na ove platforme znatno manje učestali nego na Windowsu i Androidu, njihov broj se iz godine u godinu sve više povećava, što izaziva zabrinutost kod njihovih korisnika.

Budućnost ransomwarea

U posljednjih nekoliko godina ransomware se pretvorio u isplativu robu. Naime, danas postoji velika vjerovatnoća da, ako je vaš računar zaražen ransomwareom, osoba koja ga je zarazila nije ona koja ga je kreirala. I dok s jedne strane imamo poznate, već imenovane tipove ransomwarea koji su svoje nazive „zaradili“ zbog razornih moći koje posjeduju, sve je češća pojava da se neki proizvođači posebno trude da ovakve proizvode učine što je moguće više generičkim i anonimnijim. Zahvaljujući toj praksi, danas imamo takozvani white-label ransomware, kojeg može kupiti bilo ko i rebrendirati ga, odnosno imenovati kako želi, pa od jednog tipa ransomwarea može nastati neograničen broj novih, a svi potiču od jednog izvora. Kako onda izgleda budućnost ransomwarea? U svakom slučaju svijetlo, dok nama pada mrak na oči zbog brojnih mogućnosti koje njegov razvoj nudi cyber kriminalcima.

Rani primjer kriptografskog napada

Jedna od prvih varijanti ransomwarea, koja je otkrivena 2006. godine, prije nego što je termin i skovan, zvala se TROJ_CRYZIP.A. Kada se pokrene, ovaj ransomware identifikuje određene tipove datoteka i smješta ih u posebnu, šifrom zaštićenu ZIP arhivu, istovremeno brišući originale sa žrtvinog računara. Da bi žrtva napada povratila svoje originalne fajlove, morala je uplatiti 300 dolara na sada već ugašen E-gold servis. Naime, kako je ovaj servis nudio anonimnost korisnicima, ubrzo su ga masovno počeli koristiti kriminalci za pranje novca, zbog čega je na kraju i ugašen.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *