Ten artykuł dotyczy oprogramowania używanego w przestępczości. Zobacz też: ransomware (licencja).
Ransomware (zbitka słów ang.ransom „okup” i software „oprogramowanie”[1][2]) – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy typu ransomware należą do tzw. złośliwego oprogramowania (malware).
Najprostsze typy programów typu ransomware jedynie zakładają na system blokadę[3], stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera[4]. Bardziej zaawansowane formy oprogramowania typu ransomware stosują natomiast technikę zwaną kryptowirusowym wymuszeniem[3] – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych[4]. W prawidłowo przeprowadzonym ataku wymuszeniowym (z wykorzystaniem silnej techniki szyfrowania i unikatowego klucza) przywrócenie danych na własną rękę, bez posiadania klucza deszyfrującego, uchodzi za praktycznie niemożliwe; dlatego też kluczowe jest sporządzanie zewnętrznych kopii zapasowych[4].
W języku polskim na określenie programów typu ransomware funkcjonują terminy: „oprogramowanie wymuszające okup”[5][6], „oprogramowanie szantażujące”[5][7][8].
Działanie
Przebieg ataku
Oprogramowanie wymuszające okup przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware(inne języki). Jedną z operacji wykonywanych przez ransomware może być wyświetlanie fałszywego ostrzeżenia, rzekomo wysłanego przez np. organy ścigania. Według tego typu ostrzeżeń system był używany w nielegalnych celach bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows[9][10][11].
Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows[12], a w skrajnych przypadkach przez modyfikację głównego rekordu rozruchowego lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego[13]. Są znane również takie ataki typu ransomware, do których dochodzi na poziomie przeglądarki internetowej i które ograniczają się do podstawienia stosunkowo niegroźnej strony internetowej, mającej nastraszyć użytkownika komputera[4]. Najgroźniejsze wersje ransomware szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; cyberprzestępcy rzadko korzystają ze słabych szyfrów.
Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci szyfru – stwierdził Oliver Friedrichs, dyrektor do spraw bezpieczeństwa w korporacji Symantec[14].
Motywy cyberprzestępców a odzysk danych
Złamanie większości stosowanych algorytmów szyfrujących jest praktycznie niemożliwe bez dostępu do systemów komputerowych o bardzo wysokiej mocy obliczeniowej[15][16][17]. Jeśli trojan korzysta z szyfru symetrycznego, można poddać program inżynierii odwrotnej w celu wydobycia algorytmu oraz klucza wykorzystywanego przez szkodliwe oprogramowanie i przygotować program deszyfrujący dane.
Celem cyberprzestępców posługujących się oprogramowaniem wymuszającym okup przeważnie jest próba wyłudzenia płatności, w zamian za którą obiecują ofierze usunięcie infekcji (co niekoniecznie musi nastąpić). Taka „pomoc” polega albo na dostarczeniu programu do odszyfrowania plików, albo na wysłaniu kodu odblokowującego, który cofa dokonane zmiany. Z punktu widzenia atakującego, kluczową zaletą ataku za pomocą oprogramowania typu ransomware jest wygodny i trudny do namierzenia system płatności. W celu uzyskania okupu wykorzystywano najróżniejsze metody płatności, m.in. przelewy, wiadomości SMS o podwyższonej opłacie[18], usługi pre-paidowe jak np. Paysafecard[19][20][21], a także cyfrową walutę Bitcoin[22][23][24]. Wykonany w 2016 roku raport na zlecenie Citrix wykazał, że duże firmy gromadzą Bitcoiny w ramach planu awaryjnego[25].
Historia
Programy typu ransomware wykorzystujące kryptografię
Pierwszym znanym programem typu ransomware był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Poppa. Jego kod był odpowiedzialny za ukrywanie plików na dysku i szyfrowanie ich nazw, a także za wyświetlanie informacji, że licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia infekcji. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał, iż cały zysk z działania wirusa przeznaczy na badania nad lekarstwem na AIDS[26].
Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Younga i Mordechaia Yunga; pokazali oni, że trojan AIDS był nieskuteczny ze względu na korzystanie z Algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego, i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus/wirus-szyfrator (z ang.cryptovirus), stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, że ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący.
Young wraz z Yungiem ponadto zasugerowali, że pieniądze elektroniczne mogą również zostać wymuszone za pomocą szyfrowania, przez co „twórca wirusa może z powodzeniem zatrzymać całą sumę, dopóki połowa tej kwoty nie zostanie mu zapłacona”[15]. Nazywali te działania „kryptowirusowym wymuszeniem” – było ono jawnym atakiem należącym do większej grupy ataków z dziedziny tzw. kryptowirologii. Zawierała ona zarówno ataki jawne, jak i niejawne[15].
Przykłady ransomware „żądających” wygórowanych kwot stały się widoczne w maju 2005[27]. Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus(inne języki), Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[28]. W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, żeby w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[29][30][31][32].
Oprogramowanie szyfrujące zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLockera, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, że twórcy CryptoLockera otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[33]. Technika CryptoLockera była w kolejnych miesiącach rozprowadzana na szeroką skalę, w wyniku czego powstały następujące wirusy:
CryptoLocker 2.0 (nie był jednak powiązany z CryptoLockerem)
CryptoDefense (początkowo zawierał on poważną „lukę konstrukcyjną”, w wyniku której na komputerze ofiary był umieszczany klucz prywatny w dostępnej dla użytkownika lokalizacji; spowodowane to było wbudowanymi interfejsami deszyfrującymi systemu Windows)[23][34][35][36],
wykryty w sierpniu 2014 trojan, przeznaczony głównie do ataków na urządzenia NAS, wyprodukowanych przez firmę Synology[37].
W styczniu 2015 ogłoszono, że infekcje oprogramowaniem wymuszającego okup występowały na poszczególnych stronach za pośrednictwem hakowania, oraz poprzez ransomware przeznaczonego[styl do poprawy] na serwerylinuksowe[38][39][40].
Niektóre „szczepy” oprogramowania wymuszającego okup wykorzystywały serwery pośredniczące, powiązane z usługami ukrytymi sieci Tor do łączenia się z ich serwerami kontrolnymi, utrudniając śledzenie dokładnej lokalizacji przestępców[41][42]. Ponadto sprzedawcy z ciemnych stron sieci web zaczęli w coraz większym stopniu oferować tę technologię w ramach modelu oprogramowania jako usługi[42][43][44].
Przykładowe programy
Reveton
Sposób działania
Trojan Reveton zaczął się rozprzestrzeniać w Europie w 2012 roku[19]. Utworzony został na bazie trojana Citadel (który z kolei oparto na bazie trojana Zeus). Rzekomym nadawcą wyświetlanej przez niego wiadomości były organy ścigania, a jej treść oznajmiała o używaniu komputera w nielegalnych celach (np. do ściągania nielegalnego oprogramowania bądź pornografii dziecięcej). Ze względu na takie zachowanie był określany mianem „policyjnego trojana”[45][46][47].
Treść ostrzeżenia głosiła, iż w celu odblokowania systemu użytkownik musi zapłacić grzywnę za pośrednictwem usługi takiej jak Ukash lub Paysafecard. Aby wzbudzić w użytkowniku świadomość tego, iż komputer jest namierzony przez służby, trojan wyświetlał na ekranie adres IP komputera, a niektóre wersje prezentowały obraz z kamery internetowej ofiary, aby sprawić wrażenie nagrywania użytkownika[19][48].
Poszczególne warianty
Warianty zostały zlokalizowane przy użyciu wzorów oficjalnych logo różnych organów ścigania na podstawie kraju ofiary; przykładowo, wersja trojana, która atakowała w Wielkiej Brytanii, zawierała logo m.in. Metropolitan Police Service oraz wydziału PCeU. Inna wersja prezentowała logo royalty collection societyPRS for Music(inne języki) (która przeważnie zarzucała użytkownikowi nielegalne ściąganie muzyki)[49]. W oświadczeniu, mającym na celu ostrzec obywateli przed trojanem Policja wyjaśniła, iż w ramach śledztwa funkcjonariusze nie mają prawa zablokować systemu na komputerze podejrzanego[10][19].
W maju 2012 analitycy zagrożeń z Trend Micro odkryli szablony wariantów trojana skierowanego na Kanadę i USA, które sugerowały, iż jego autorzy mogli obrać na cel mieszkańców Ameryki Północnej[50]. Przed sierpniem 2012 nowa wersja trojana Reveton zaczęła się rozprzestrzeniać w USA, nakłaniając użytkowników do uiszczenia grzywny w wysokości 200 dolarów na konto FBI za pomocą karty MoneyPak[48][51][52]. W lutym 2013 obywatel Rosji został aresztowany w Dubaju przez władze Hiszpanii za udział w grupie przestępczej, która używała Revetona; dziesięć innych osób zostało aresztowanych pod zarzutem prania brudnych pieniędzy[53]. W sierpniu 2014 firma antywirusowa Avast ogłosiła wykrycie nowych wersji Revetona, w których payload zawierał program do kradzieży hasła[54].
CryptoLocker
Kryptowirusy zaatakowały ponownie we wrześniu 2013 – wówczas odkryto trojana CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. Ten program typu ransomware groził usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub kuponu nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ trojan używał bardzo długiego klucza, badacze oraz same ofiary uznali go za bardzo trudny do pokonania[22][55][56][57]. Nawet po upłynięciu terminu „ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC — co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[58][59].
CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych 2 czerwca 2014. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[60][61]. Oszacowano, że do momentu unieszkodliwienia trojana przestępcy wymusili za jego pomocą co najmniej 3 mln dolarów[62].
↑ abcAdamA.YoungAdamA., MotiM.YungMotiM., Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140, DOI: 10.1109/SECPRI.1996.502676, ISBN 0-8186-7417-2(ang.).???
↑AdamA.YoungAdamA., Building a Cryptovirus Using Microsoft's Cryptographic API, JianyingJ.Zhou, JavierJ.Lopez (red.), „Information Security: 8th International Conference, ISC 2005”, Springer-Verlag, 2005, s. 389–401(ang.).
↑AdamA.YoungAdamA., Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, „International Journal of Information Security”, 5 (2), Springer-Verlag, 2006, s. 67–76, DOI: 10.1007/s10207-006-0082-7(ang.).