jak informuje NCA, to lider LockBit, czyli niegdyś najgroźniejszej grupy operującej z Rosji, która oferowała platformę RaaS (ransomware-as-a-service) od 2019 r.
Szacuje się, że LockBit na początku 2023 był odpowiedzialny za 44% incydentów związanych z Ransomware globalnie i wymusili okupy w łącznej wysokości 91 milionów dolarów.
Ulubionym celem grupy były szpitale i firmy z branży medycznej. Przynajmniej 2110 ofiar zostało zmuszonych w jakimś stopniu do negocjacji z cyber kryminalistami.
Do $10 mln nagrody za informacje
Rząd USA oferuje do $10 mln za informacje o Dimitrim, które pomogły by go złapać i aresztować.
Cześć! Nie zwalniamy tempa i dzisiaj poruszę temat ransomware’a. Dużo osób nie zdaję sobie sprawy jakie jest to proste, co postaram się pokazać w dzisiejszym materiale. Jeśli spodoba Ci się temat ransomware i chciałbyś/abyś więcej informacji w tym temacie to prosiłbym Cię o zostawienie wiadomości na adres bezpieczenstwoxd@advatech.pl.
Doskonale wiem, że jest to temat bardzo rozległy. Potraktuj to jako wstęp z kilkoma smaczkami, aby zachęcić Cię do zgłębiania tego tematu. Kawa do ręki i zaczynamy
Co to jest ransomware?
Ransomware można określić jako rodzaj szkodliwego oprogramowania, które działa jak wirtualny porywacz danych. Kiedy komputer zostaje zainfekowany ransomware’em, program ten szyfruje lub blokuje dostęp do ważnych plików i danych na komputerze. Następnie pojawia się komunikat, informujący użytkownika o tym, że jego dane zostały zaszyfrowane, a jedynym sposobem na ich odzyskanie jest zapłacenie okupu, czyli pewnej sumy pieniędzy cyberprzestępcom. Oznacza to, że użytkownik musi zapłacić okup, aby odzyskać dostęp do swoich plików. To bardzo stresujące i frustrujące doświadczenie dla ofiary, ponieważ jej dane są zablokowane, a ona musi podjąć decyzję, czy zapłacić okup w nadziei na odzyskanie swoich danych.
Jakie są rodzaje ransomware?
Jak się różnią pod względem technicznym?
Scareware: zazwyczaj działa jako program szkodliwy, który wyświetla fałszywe komunikaty na ekranie ofiary. Nie zawsze wymaga on dostępu do plików ani nie blokuje ich. Jest to rodzaj oszustwa psychologicznego, a nie szkodliwego kodu, który wpływa na dane. Celem jest zmuszenie użytkownika do zapłacenia okupu w zamian za odblokowanie ekranu.
Crypto-ransomware: stosuje silne algorytmy kryptograficzne do szyfrowania plików ofiary. Po zaszyfrowaniu plików, generuje klucz deszyfrujący, który jest przechowywany na serwerach cyberprzestępców, co uniemożliwia ofierze dostęp do jej danych. Przykładami tego typu ransomware są: Locky, Cerber, Petya, Cryptolocker, WaanCry. Celem jest wyłudzenie pieniędzy poprzez szantaż.
Disk-encryptor: Ten rodzaj ransomware’u działa podobnie do crypto-ransomware’u, ale zamiast szyfrować pojedyncze pliki, szyfruje całe partycje lub dyski twarde. Jest to bardziej zaawansowana technicznie operacja, ponieważ wymaga dostępu do niższego poziomu systemu operacyjnego w celu manipulacji dyskami. Celem jest wyłudzenie okupu za odblokowanie zaszyfrowanych danych.
Screen-locker: Screen-locker blokuje dostęp do ekranu komputera lub urządzenia, wyświetlając komunikat żądający okupu. Technicznie może być to osiągnięte poprzez modyfikację ustawień systemowych lub wykorzystanie funkcji systemu operacyjnego do wyświetlania interfejsu graficznego.
Doxware (Leakware): Ten rodzaj ransomware’u szyfruje pliki, a także kradnie wrażliwe dane ofiary. Technicznie doxware wymaga funkcji kradzieży danych, zazwyczajwykorzystując różne techniki hakowania i infiltracji. Celem jest szantażowanie ofiary na podstawie skradzionych informacji.
RaaS (Ransomware as a Service): Technicznie RaaS to bardziej model biznesowy niż konkretny rodzaj ransomware’u. W praktyce RaaS może wykorzystywać różne techniki i narzędzia dostępne w ramach usługi, w zależności od tego, co oferuje konkretny dostawca RaaS.
Mobile ransomware: Ransomware dla urządzeń mobilnych działa na podobnej zasadzie jak ransomware dla komputerów stacjonarnych, ale może wykorzystywać różne techniki specyficzne dla systemów mobilnych, takie jak manipulacja zezwoleniami aplikacji czy wykorzystanie podatności w systemie operacyjnym.
Extortionware: Jest to ewolucja ransomware’u, która wykracza poza samo szyfrowanie plików. Technicznie extortionware może wykorzystywać różne metody, aby szantażować ofiary na podstawie skradzionych informacji, takie jak groźby ujawnienia wrażliwych danych czy wymuszenie okupu w zamian za niezwłoczne usunięcie skradzionych danych
Jakie mechanizmy wykorzystuje się do infekcji systemów?
Ransomware wykorzystuje różnorodne mechanizmy do infekcji systemów, wykorzystując lukę w zabezpieczeniach lub manipulując zachowaniami użytkowników. Oto kilka głównych mechanizmów wykorzystywanych przez ransomware:
Phishing i Spoofing: To jedna z najczęstszych metod infekcji. Cyberprzestępcy wysyłają fałszywe e-maile lub wiadomości tekstowe, podszywając się pod zaufane źródła, np. firmy, instytucje bankowe czy dostawców usług. Te e-maile zawierają zazwyczaj złośliwe załączniki lub linki, które po kliknięciu mogą uruchomić instalację ransomware.
Exploit Kits: To złośliwe narzędzia wykorzystywane do wykrywania i wykorzystywania luk w oprogramowaniu systemowym, przeglądarkach internetowych czy innych aplikacjach. Ransomware może być instalowany automatycznie, gdy użytkownik odwiedzi zainfekowaną stronę internetową lub kliknie na zainfekowany link.
Wykorzystanie luk w zabezpieczeniach sieciowych: Ransomware może wykorzystać podatności w infrastrukturze sieciowej, takie jak słabe hasła, brak aktualizacji oprogramowania, niewłaściwie skonfigurowane serwery zdalnego dostępu, aby uzyskać dostęp do systemów docelowych.
Złośliwe reklamy (malvertising): Cyberprzestępcy mogą umieszczać złośliwe reklamy na stronach internetowych o dużym ruchu. Po kliknięciu w reklamę lub wyświetleniu jej, ransomware może automatycznie zainstalować się na komputerze użytkownika.
Złośliwe załączniki USB: Ransomware może być przenoszony za pośrednictwem zainfekowanych nośników danych, takich jak pendrive’y lub zewnętrzne dyski twarde, które są podłączane do zainfekowanych systemów.
Ataki zdalnego pulpitu: Atakujący mogą wykorzystać zdalne pulpity, takie jak RDP (Remote Desktop Protocol), aby uzyskać dostęp do zabezpieczonych systemów i zainstalować ransomware.
Złośliwe załączniki poczty elektronicznej: Ransomware może być dostarczane jako złośliwe załączniki do e-maili. Po otwarciu załącznika, złośliwe oprogramowanie może automatycznie rozpocząć proces infekcji systemu.
Złośliwe skrypty JavaScript: Złośliwe skrypty JavaScript mogą być umieszczone na stronach internetowych lub wysłane jako część wiadomości e-mail. Gdy użytkownik odwiedzi zainfekowaną stronę lub otworzy złośliwy e-mail, skrypt może automatycznie uruchomić proces infekcji ransomware.
Jakie są różnice między ransomware działającym w trybie on-demand a ransomware wykorzystującym zaawansowane mechanizmy persystencji?
Ransomware działający w trybie on-demand oraz wykorzystujący zaawansowane mechanizmy persystencji różnią się pod względem sposobu działania i trwałości infekcji. Oto główne różnice między nimi:
Tryb działania:
Ransomware działający w trybie on-demand: W przypadku tego typu ransomware,atakujący ręcznie uruchamiają złośliwe oprogramowanie na zainfekowanych systemach. Atakten może być przeprowadzany manualnie lub za pomocą prostych skryptów, a jegoskuteczność zależy od interakcji atakującego.
Ransomware wykorzystujący zaawansowane mechanizmy persystencji: Ten rodzajransomware działa w sposób automatyczny i nie wymaga stałego udziału atakującego. Pozainfekowaniu systemu, ransomware może pozostać ukryty i aktywny, nawet po ponownymuruchomieniu komputera. Działa on ciągle w tle, co czyni go trudnym do wykrycia i usunięcia
Trwałość infekcji:
Ransomware działający w trybie on-demand: Po wykonaniu ataku i zaszyfrowaniu plików,ransomware może być stosunkowo łatwo usunięty poprzez odłączenie zainfekowanegosystemu od sieci, zatrzymanie procesów złośliwego oprogramowania lub przywrócenie kopiizapasowej.
Ransomware wykorzystujący zaawansowane mechanizmy persystencji: Ten rodzajransomware może być znacznie trudniejszy do usunięcia, ponieważ może pozostać wsystemie nawet po próbach manualnego usuwania. Wykorzystuje on zaawansowane techniki,takie jak ukrywanie się w systemowych plikach czy rejestrze systemowym, aby zapewnićsobie trwałą obecność w zainfekowanym systemie.
Skutki dla ofiar:
Ransomware działający w trybie on-demand: Skutki ataku mogą być ograniczone dokonkretnego momentu, gdy atakujący ręcznie uruchamia złośliwe oprogramowanie. Jeśliofiara ma kopię zapasową przed infekcją, może odzyskać dane i uniknąć konsekwencji.
Ransomware wykorzystujący zaawansowane mechanizmy persystencji: Skutki tegorodzaju ransomware mogą być znacznie poważniejsze, ponieważ infekcja może pozostaćaktywna przez dłuższy czas, a ofiara może nie być świadoma obecności złośliwegooprogramowania. To może prowadzić do długotrwałego szkodzenia danych, utraty kontrolinad systemem czy nawet ukrytego szpiegowania użytkowników.
Wniosek:
Ransomware działający w trybie on-demand może być bardziej widoczny i łatwiejszy do usunięcia, ale może też mieć ograniczoną trwałość infekcji. Z kolei ransomware wykorzystujący zaawansowane mechanizmy persystencji jest trudniejszy do wykrycia i usunięcia, co czyni go bardziej niebezpiecznym dla ofiar
Jak napisać swój pierwszy ransomware
Napiszę bardzo prosty screen-locker aby uzmysłowić osobom nie będącym w tym temacie jakie jest to proste! Wybrałem też ten rodzaj ransomware ponieważ nie jest on szkodliwy, choć może posłużyć jako wkurzający żart.
plik zapisujemy jako ransomware.py i uruchamiamy jako “python3 ransomware.py”. Następnie blokuję się ekran, po zalogowaniu się na konto dostaniemy taką oto informację:
Taka informacja może niektórych przerazić ale spokojnie, nic poza taką informacją nie dzieję się pod spodem.
Bardzo dziękuję za poświęcony czas i doczytanie tego materiału do końca! Jestem otwarty na dalsze dyskusje na temat tego zagadnienia – być może moglibyśmy kontynuować tę tematykę w formie serii? Czy może interesowałoby Cię obejrzenie tego na YouTube? Jeśli tak, daj mi znać pod adresem: bezpieczenstwoxd@advatech.pl
Ode mnie to tyle, do usłyszenia!
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.