Сигурност

Кой, как и защо превърна рансъмуера в печеливша стратегия

CIO Media

Виртуалните откупи бяха почти непознати, докато не се появи биткойнът

Андрада Фискутеан, CSO

Един декемврийски ден на 1989 г. Еди Вилемс получава дискета, която променя живота му. Дава му я неговият шеф, тъй като решава, че етикетът й е интригуващ: "AIDS Version 2.0" - нова и непозната по онова време болест. Тъй като компанията, в която Еди Вилемс работи, продава медицински застраховки наред с другите неща, малко информация за СПИН може да се окаже съблазнителна, мисли си началникът му. И така той иска 27-годишният Вилемс да тества софтуера.

Специалистът по всичко Вилемс поставя 5.25-инчовата дискета в персоналния си компютър. Стартира програмата и попълва цялото проучване, предназначено да каже дали някой може да е заразен със СПИН. "И това беше, казва Вилемс. Помислих си: добре, тук няма нищо специално. Вероятно ще я изхвърля."

Когато на следващия ден включва компютъра си, Вилемс забелязва, че на него има по-малко папки, но не се замисля за това. На третия ден обаче се случва нещо странно. "На екрана имаше съобщение, които искаше от мен да платя, казва Вилемс. Трябваше да изпратя по пощата 189 долара до пощенска кутия в Панама или няма да мога да използвам повече компютъра си. Помислих си: "Какво е това?"

Вилемс изключва компютъра и използва дискета с файлове за рестартирането му. Вижда, че директориите му още са си там, но са скрити, а имената на файловете са сменени със стрингове от случайни знаци. За щастие съдържанието на документите не е променено, но имената им изглеждат странно.

"Помислих си: това е криптиране, казва той. Но беше напълно абсурдно. Програмата не беше създадена от истински ИТ професионалист." Анализ на зловредния софтуер, публикуван един месец по-късно в бюлетина за вируси в изданието от януари 1990 г., отбелязва почти същото: "Въпреки че концепцията е гениална и изключително опасна, действителното програмиране е доста неумело."

Вилемс пише малка програма за възстановяване на имената на файловете, което по негови думи му отнема десетина минути. След това казва на шефа си, че е възможно да има грешка в програмата AID и смята да изхвърли дискетата.

AIDS Trojan е първият рансъмуер
Това, което Вилемс не знае, е, че AIDS Trojan (познат още като PC Cyborg), предизвиква хаос в целия свят. Смята се, че 20 000 компютърни ентусиасти, медицински изследователски институции и изследователи, които са присъствали на международната конференция за СПИН на Световната здравна организация в Стокхолм, са получили дискети като тази, достигнала до Вилемс. Подлият софтуер е приписан на американския биолог д-р Джоузеф Поп, с диплома от "Харвард". Той е арестуван за разпространяване на компютърния вирус и получава няколко обвинения за изнудване. По-късно обаче е обявен за психически негоден да се изправи в съда.

Когато Вилемс вижда имената на криптираните си файлове, той не го приема като проблем със сигурността. Едва няколко дни по-късно попада на репортаж по белгийската телевизия (компанията, в която работи, е базирана в Белгия) и осъзнава мащаба на случващото се. Дава обширни интервюта и скоро неговият метод за декриптиране е използван не само в Белгия, но и в далечни страни като Япония. "Проклетото нещо" го направи известен и без да осъзнае, постила пътя му към успешна кариера. Сега Вилемс е експерт по сигурността в G DATA.

През онази луда седмица на декември 1989 г. Вилемс прави още едно правилно нещо: в крайна сметка той не изхвърля дискетата и сега с гордост я държи на показ у дома си, тъй като "това е една от малкото останали AIDS дискети в света", казва той.

Дискетата предвеща нов тип атака, който струва на компании по света общо милиарди долари годишно. "Никога не съм мислил, че рансъмуерът ще се превърна в такава тенденция", казва Вилемс.

Подобряване на концепцията: Криптовирусно изнудване
Рансъмуерът започва бавно. Идеята за криптиране на данните на хората и искането на пари остава спяща за няколко години след инцидента с троянеца AIDS Trojan. Но се появява отново през 1995 г., когато двама криптографи - Адам Л. Янг и Моти Янг, са настанени в една и съща стая в Колумбийския университет в Ню Йорк сити. В името на науката те получават "предостатъчно време, през което да обмислят дистопията на утрешния ден", както пишат по-късно в доклад.

Двамата са наясно с AIDS Trojan и неговите ограничения, а именно, че кодът за декриптиране може да бъде извлечен от кода на зловредния софтуер. И така предвид експеримента, който правят, си задават въпроса колко разрушителен би могъл да бъде най-мощният вирус.

Отговорът е във филма "Пришълец". Те се вдъхновиха от прегръщащото лица създание, което обвива краката си около лицето на жертвата и не е възможно да бъде отделено. Премахването на най-разрушителния компютърен вирус трябва да "носи дори повече вреда, отколкото ако бъде оставен на мястото, на което вече е проникнал", смятат те.

Идеята, до която достигат обаче, е малко по-различна. Двамата измислят термина "криптовирусно изнудване", концепция, при която хакерът използва публичен и частен ключ за криптиране. Тя поставя публичния ключ в криптовируса, но запазва частния характер на частния криптографски ключ. Зловредният софтуер генерира произволен симетричен ключ, който се използва за криптиране на данните на жертвата. Този ключ се криптира с публичния ключ. След това той "анулира симетричния ключ и обикновения текст и после поставя бележка за откуп, която съдържа текста на асиметричния шифър и средство за контакт с хакера", пише в доклад

Янг и Янг мислят, че с този процес може да се изнудва за електронни пари, въпреки че по онова време не съществуват електронни пари. Те представят идеята си на конференцията IEEE Security and Privacy през 1996 г. в Оуклънд, Калифорния, и на нея се гледа като на нещо, което е едновременно "иновативно и някак си вулгарно".

PGPCoder води следващата вълна на модерния рансъмуер
Скоро след края на конференцията методът е изоставен. Атаките с рансъмуер започват да стават значими през 2005 г., когато GPCoder или GPCode се развихря. Вирусът криптира файлове с определени разширения като .doc, .html, .jpg, .xls, .rar и .zip. Освен това създава файл "!_READ_ME_!.txt" във всяка папка, в който се дават указания как жертвата може да си получи обратно данните. Искат се откупи между 100 и 200 долара в електронно злато или сметка в Liberty Reserve. Освен GPCode други троянци като Krotten, Cryzip, TROJ.RANSOM.A, MayArchive и Archiveus започват да използват по-съвършено RSA криптиране с увеличаващ се размер на ключа.

Около 2010 г. киберпрестъпниците вече знаят добре как да правят пари от рансъмуер. Троянски кон с името WinLock, създаден в Русия, вероятно е донесъл на създателите си 16 милиона щатски долара. WinLock изобщо не използва криптиране; вместо това той ограничава достъпа на жертвата до системата, като показва порнографски снимки. На онези, които искат да използват отново машините си, е казано да изпратят SMS до номер с добавена стойност, който струва около 10 долара, и мнозина притеснени жертви решават да платят. Руската полиция накрая арестува бандата в Москва.

В допълнение към скъпите SMS-и за плащане на откуп се използват и телефонни повиквания. През 2011 г. троянски кон наподобява известието за активиране на продукт Windows. Той казва на потребителите, че трябва да активират отново своите операционни системи, тъй като са станали жертва на измама. Това означава, че трябва да се обадят на международен номер и да предоставят шестцифрен код. Предполага се, че тези обаждания са безплатни, но бяха насочвани през оператор, който таксува големи суми.

С течение на времето бандите за рансъмуер се стремят към по-умни схеми за правене на пари и затова продължават да разнообразяват стратегиите си. През 2012 г. фамилията от рансъмуер Reveton превзе заглавията и отбеляза появата на така наречения "рансъмуер за прилагане на закона". Екранът на заразения компютър показва страница, която включва емблемите на Интерпол, ФБР или местната полиция, на която се казва, че от него е извършено престъпление от рода на изтегляне на незаконни файлове. По тази причина този тип зловреден софтуер е наречен още сплашващ софтуер (scareware). Жертвата е инструктирана да плати няколкостотин или дори няколко хиляди долара с предплатена карта.

В първите години след 2010 г. рансъмуерът е печеливш, но не много разпространен. Киберпрестъпниците имат трудности при получаването на пари от жертви чрез традиционните канали. Тази нелегална индустрия разцъфтява, когато се появява биткойнът. През 2013 г. светът се запозна с разрушителния CryptoLocker, зловредния софтуер, който даде старт на революцията на рансъмуера.

Ясен бизнес модел
В средата на септември 2013 г. изследователят по сигурността в Sophos Честър Висньевски попада на CryptoLocker - зловредният софтуер, който отбеляза началото на нова ера. CryptoLocker е насочен към компютри с Windows и повечето потребители го получават чрез zip файл, прикачен към имейл, който изглеждаше изпратен от легитимна компания. В zip архива има файл с двойно разширение - изглежда като PDF, но в действителност е изпълним файл. (Троянският кон се разпространява също и с помощта на Gameover ZeuS Trojan и ботнет.)

След стартирането на файла той извиква сървъри за команди и управление, които генерират 2048-битова двойка RSA ключове. Той държи частния ключ, но изпраща публичния към заразения компютър и го използва, за да криптира файлове с определени разширения. Паралелно с това троянският кон преглежда мрежата, за да търси още файлове, които да повреди. На финала потребителят получава съобщение, което го инструктира да плати откуп в рамките на следващите 72 или 100 часа. Жертвата може да избира валута: американски долар, евро или еквивалентно количество биткойни.

"В началото престъпниците използваха само един портфейл биткойни, казва Висньевски. Мислех, че това би бил начин за проследяване колко жертви плащат на тези престъпници." Изследователят държи под око този портфейл седмица след седмица и в края на октомври киберпрестъпниците най-после разбират, че са наблюдавани от специалистите по сигурност, и започват да сменят портфейла с биткойни.

Междувременно обаче през него минават милиони щатски долари, казва Висньевски.

CryptoLocker е свален през юни 2014 г., а през август фирмата по сигурност Fox-IT слага ръка на базата данни с частни ключове, така че потребителите успяват да декриптират своите файлове безплатно.

Успехът на този рансъмуер вдъхновява тълпа от подражатели. "Изведнъж, буум! Не беше само CryptoLocker. Имаше 50, разказва Висньевски. Щом като хората разбраха, че бандата е направила милиони само за няколко седмици, котката изскочи от чувала."

Компанията за продукти за сигурност Symantec отчита, че броят на разновидностите на рансъмуер експлодира през 2014 г., за което помага моделът за получаване на откупи в биткойни. Скоро друг зловреден софтуер, CryptoWall, прави над 18 милиона щатски долара по оценка на ФБР и достига пазарен дял почти 60%. По-малки играчи като TorrentLocker си създават репутация, като се прицелват в държави в Европа, Австралия и Нова Зеландия.

Смартфони, Mac и Linux платформи
През 2014 и 2015 г., когато навлизането на смартфона се увеличава с над 50%, бандитите виждат още повече възможности. На пазара на Android по това време има четири големи играчи: Svpeng (появи се най-напред), Pletor, Small и Fusob, които имаха вградена някаква "етика за кражба". Когато Fusob инфектира телефон, първото нещо, което прави, е да провери езика на устройството. Ако е руски или някой други източноевропейски език, зловредният код не прави нищо. Това предполага, че авторите му са базирани в региона и не искат да крадат пари от "свои хора". Ако обаче езикът е друг, Fusob показва фалшив екран, който обвинява потребителя в закононарушение. В него се твърди, че може да бъде заведено криминално дело, ако не бъде платена глоба между 100 и 200 долара. Повечето жертви са от Германия, Обединеното кралство и САЩ.

През 2016 г. хакерите се насочват към още повече платформи. Рансъмуерът KeRanger е първият по рода си, който поразява Mac машини, докато Linux.Encoder преследва компютри с Linux. Ransom32 пък е първият рансъмуер, написан в JavaScript с цел да заразява машини, изпълнявани на няколко платформи.

Появяват се десетки нови фамилии рансъмуер, насочени както към индивидуални потребители, така и към компании. Доклад на Kaspersky, публикуван през същата година, твърди, че на всеки 40 секунди бива ударена една компания, а на всеки 10 секунди - индивидуален потребител. Появяват се вирулентни щамове като Chimera, Cerber, Locky, CryptXXX, CTB-Locker и TeslaCrypt, които достигнат пазарен дял почти 50% и правят модела рансъмуер-като-услуга все по-популярен.

Към този момент нещата не изглеждат добре - лошите момчета просперират, докато потребители и компании плащат купища пари. Наистина някои банди от киберпрестъпници са неутрализирани по време на международни операции, но въпреки това изглежда, че имат предимство в състезанието. Става належащо да бъде направено нещо, което да помогне на компании и потребители да не се налага да плащат откупи. Въпросът се решава на кратка среща в Хага.

Добрите момчета се обединяват
Специалистите по сигурност усещат, че играят безнадеждна игра на гоненица с бандите за откупи. Колкото повече случаи затварят, толкова повече се появяват. Разрешаването на един инцидент в даден момент очевидно не е достатъчно да обезкуражи киберпрестъпниците. "Всеки мислеше, че трябва да се направи нещо по-голямо", казва Радж Самани, главен учен в McAfee.

През пролетта на 2016 г. Самани се намира в Европейския център за киберпрестъпления на Европол в Нидерландия. Там той е в компанията на експерти по сигурността от Kaspersky и нидерландската полиция. По време на тази визита те обсъждат дали е възможно компаниите по сигурност да се обединят в органите за прилагане на закона и да изградят платформа, където потребителите да намерят всички ключове за декриптиране безплатно?

"Аз казах: абсолютно, разказва Самани. Ние трябва да направим това." Всички в залата се съгласиха бързо и така се роди проектът NoMoreRansom.org. "Не мисля, че срещата продължи повече от 10 минути", продължава ученият от McAfee.

Експертите веднага разделят задачите си за проекта NoMoreRansom. Отговорността на Самани е да идентифицира компания, която да хоства платформата. "Аз съм в добри отношения с AWS и затова казах на моите приятели: Можете ли да хоствате нещо за нас, ако аз не искам да платя за това, казва той. И между другото вероятно това ще бъде един от най-търсените уебсайтове в света."

Ръководителите на Amazon Web Services се отнасят с разбиране. На въпроса колко посещения да очакват дневно на тази платформа Самани предполага 12 000. "Още на първия ден имаше 2.4 милиона посещения", спомня си експертът.

Проектът NoMoreRansom е пуснат официално през юли 2016 г. и събира положителни отзиви. "За мен това е наистина чудесен пример как трябва да работят публично-частните партньорства", казва Самани. След четиригодишно съществуване проектът има повече от 100 партньори - компании по сигурност и правоприлагащи агенции от целия свят.

Но малко след пускането на NoMoreRansom бандите за киберпрестъпления се прегрупират. "Трябваше да адаптират техниките си, за да накарат хората да продължат да плащат откупи, казва Самани. Ние ги принудихме да измислят нови неща."

Рансъмуерът приема различни форми
Анализаторът на зловреден код Беноа Ансел, който работи за CSIS Security Group в Дания, наблюдава как се развива целият този процес. Той често чете във форуми, където банди за рансъмуер обменят "най-добри практики", разработват планове и говорят за тлъсти печалби. И вижда как измислят нови неща, както предвижда Самани.

Според Ансел в тези форуми има висока степен на сътрудничество. Дори конкуренти работят заедно, за да създадат по-добри схеми. "Докато правят пари, всеки е приятел с всички други", казва Ансел.

Пазарът на киберпрестъпления е много тясно специализиран. "Там има хора, които знаят как да изпращат спам, хора, които събират имейл адреси, има разработчици, мрежови инженери, хора, които реализират печалбата." Всеки получава своя дял, докато дадена операция с рансъмуер е успешна.

В един момент, когато киберпрестъпниците забелязват, че по-малко жертви плащат откупа, няколко канала на тези форуми обсъждат проблема, разказва Ансел. Някои групи излизат с идеята за промяна на начина на работа на рансъмуера. Вместо да криптират файловете на дадена компания, те могат да ги откраднат и след това да заплашат, че ще ги публикуват онлайн, ако не бъде платен откуп. Хакери зад щамовете Maze и REvil/Sodinokibi използват именно тази тактика.

Ансел се страхува, че бандите за рансъмуер все по-често ще се насочват към критична инфраструктура, общини и сектори като здравеопазването, които са изключително важни за обществото. Точно това правят хакерите, които стоят зад рансъмуера SamSam. Те атакуват администрацията на град Атланта, Джорджия, и няколко други общини, болници и университети, търсейки жертви, които ще пострадат най-много и заради това е по-вероятно да платят откупа. В края на 2018 г. министерството на правосъдието на САЩ обвинява двама иранци, за които се смята, че стоят зад тези атаки, твърдейки, че са взели 6 милиона щатски долара в платени откупи, а са причинили загуби от 30 милиона щатски долара на жертвите.

SamSam едва ли е единственият пример. Хакерите зад рансъмуера на руски език Ryuk, който се появи през втората половина на 2018 г., също удариха големи организации, правителствени мрежи и общини. Към жертвите му спадат училища в Rockville Centre, Ню Йорк, както и градските администрации на Ню Орлиънс (Луизиана), Ривиера бийч и Лейк сити (Флорида), окръг Джаксън (Джорджия) и окръг Ла Прот (Индиана).

Ансел се притеснява и за ръста на рансъмуера като услуга в последните години. Едно забележително име е GandCrab, открит през 2018 г. Той е създаден от руски говореща група и подобно на ранния зловреден софтуер Fusob за Android проверява езика на машината. Ако е руски език или някой от езиците на бившите съветски републики, той няма да пусне зловредния си товар.

Киберпрестъпници са поканени да се присъединят към операцията, тъй като GandCrab следва бизнес модела на филиали, но те трябва да се съгласят да поделят печалбите си с основния екип на проекта, който взема между 30% и 40%. Тази система създава популярност на GandCrab. В началото на 2019 г. той има 40% от пазара на рансъмуер според Bitdefender, която изчислява, че има 1.5 милиона жертви по целия свят, както домашни потребители, така и организации.

Към май 2015 г. киберпрестъпниците зад този проект обявяват, че са направили достатъчно пари и искат да се оттеглят. Те се хвалят, че са спечелили повече от 2 милиарда щатски долара за по-малко от година и половина. Но изследователи от Secureworks виждат много сходства между GandCrab и нов щам на рансъмуер, наречен REvil или Sondinokibi, който дава основания за съмнение, че може би никой, свързан с GandCrab, не се е оттеглил.

Държави влизат в играта с рансъмуер
Къпането в пари не е идеята, която подхранва всяка атака, казва Ансел. Той е на мнение, че рансъмуерът вече не е онзи рансъмуер, който познават, тъй като някои групи го използват като примамка.

WannaCry например, който засегна повече от 230 000 компютъра в 150 страни през май 2017 г., вероятно е работа на държава, а именно Северна Корея. Зловредният софтуер използва изтекъл NSA инструмент, Windows експлойт, наречен EternalBlue. Когато се атакува компютър, от жертвата се искат пари - 300 долара в биткойни в рамките на три дена или 600 долара в рамките на седем дена. Онези, които организират операцията обаче, не забогатяват. В крайна сметка те печелят само около 140 000 щатски долара, което кара анализаторите да стигнат до два извода: че WannaCry е предназначен да причини пробив и че е възможно да е имал политически подбуди.

WannaCry е последван през юни 2017 г. от NotPetya, който също разчита на експлойта EternalBlue. Главната му цел е Украйна и е приписван на хакерската група Sandworm, която е част от руската военна разузнавателна организация ГРУ.

Предвид това, границите между киберпрестъпниците и държавните хакери се размиват. Всеки научава нови техники и възприема нови инструменти. "Атаките с рансъмуер стават все по-насочени, сложни и скъпи, дори когато общата честота на атаките остава постоянна", пише Центърът за оплаквания от престъпления в интернет на ФБР през ноември 2019 г.

Съберете всичко това и бъдещето не изглежда обещаващо, казва Вилемс, изследователят по сигурност, който още пази онази дискета за СПИН, променила живота му. "Рансъмуерът, казва той, ще продължава да ни удря здраво - аз съм 100% сигурен за това."

"По някое време ще използвате напълно автоматизирана кола, която се управлява сама. Тя ще бъде хакната, ще последва искане за откуп и вие ще имате само 10 минути да го платите. Ако не платите, колата ви ще катастрофира", казва той.

Мислите за разрушителния рансъмуер на бъдещето вдъхновяват експерта да работи върху научнофантастичен роман, чието действие се развива около 2035 г. В това не толкова далечно бъдеще, когато НАТО контролира интернет и всички наши устройства са онлайн, рансъмуерът може да заеме централно място. Фурни могат да бъдат включвани дистанционно, за да изгорят къщите ни, ако не платим на хакерите, а нашите лични данни могат да бъдат показани публично, ако не се съгласим с искането.

"Ами това в действителност не е научна фантастика, казва Вилемс. Това са тенденциите, които ще виждаме все по-често", заключава той.

Превод и редакция Мариана Апостолова

X