Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Spojrzenie na rosjskojęzyczny ekosystem oprogramowania ransomware

Tagi:

Nie jest tajemnicą, że oprogramowanie ransomware szyfrujące stanowi obecnie jeden z kluczowych problemów dotyczących szkodliwego oprogramowania, zarówno dla użytkowników indywidualnych jak i korporacyjnych. Analizując statystyki dotyczące ataków w 2016 roku, odkryliśmy, że w okresie do końca roku zwykły użytkownik był atakowany przy użyciu oprogramowania ransomware szyfrującego średnio co 10 sekund, natomiast co 40 sekund tego rodzaju atak uderzał w jakąś organizację na świecie.   

rs_rans_en_1.png

Rys 1: Statystyki firmy Kaspersky Lab dotyczące zagrożenia ze strony oprogramowania ransomware w 2016 roku

Łącznie, zarejestrowaliśmy ataki przy użyciu oprogramowania ransomware szyfrującego na 1 445 434 użytkowników na całym świecie. Osoby te zostały zaatakowane przez 54 tysiące modyfikacji pochodzących z ponad 60 rodzin oprogramowania ransomware kryptograficznego. 

Można jednak zapytać, dlaczego teraz, skoro oprogramowanie ransomware szyfrujące, jako rodzaj szkodliwego oprogramowania, istniało od połowy pierwszej dekady XX wieku? Należy wyróżnić tu trzy główne powody:

1)      Na rynku cyberprzestępczym można bez trudu kupić kompilację lub konstruktor oprogramowania ransomware  

2)      Łatwo jest nabyć usługę dystrybucji

3)      Oprogramowanie ransomware kryptograficzne, jako biznes, posiada bardzo jasny model monetyzacji za pośrednictwem kryptowalut.

Innymi słowy, jest to dobrze dostosowany, przyjazny dla użytkownika i nieustannie rozwijany ekosystem. Przez ostatnie kilka lat monitorowaliśmy rozwój tego ekosystemu. Chcielibyśmy się podzielić tym, czego się dowiedzieliśmy.

1. W większości przypadków, oprogramowanie ransomware kryptograficzne pochodzi z Rosji

W naszym badaniu ustaliliśmy, między innymi, że 47 spośród ponad 60 rodzin oprogramowania kryptograficznego, jakie wykryliśmy w ciągu ostatnich 12 miesięcy, jest powiązanych z rosyjskojęzycznymi ugrupowaniami lub osobami indywidualnymi. Wniosek ten opiera się na naszej obserwacji forów podziemia, infrastruktury C&C (command and control) oraz innych artefaktów, które można znaleźć w sieci. Trudno wskazać jakiekolwiek przekonujące wyjaśnienie, dlaczego tak wiele spośród rodzin oprogramowania ransomware ma rosyjskie korzenie, można jednak bezpiecznie stwierdzić, że wynika to z tego, że w Rosji i w państwach sąsiednich istnieje wielu dobrze wykształconych i posiadających odpowiednie umiejętności twórców kodu. 

Inną możliwą przyczyną może być to, że rosyjskie podziemie cyberprzestępcze posiada najbogatsze doświadczenie, jeśli chodzi o kampanie z wykorzystaniem oprogramowania ransomware. Przed obecną falą ataków przy użyciu oprogramowania ransomware kryptograficznego miała miejsce inna epidemia szkodliwego oprogramowania związanego z ransomware. Mniej więcej w latach 2009-2011 tysiące użytkowników z Rosji i sąsiednich państw doświadczyło ataków, w których wykorzystano tzw. blokery systemu Windows lub przeglądarki. Tego rodzaju oprogramowanie ransomware blokuje dostęp użytkownika do przeglądarki lub systemu operacyjnego, a następnie żąda okupu w zamian za przywrócenie dostępu. Do zatamowania epidemii przyczyniło się kilka czynników: organy ścigania zareagowały we właściwy sposób i schwytały kilku przestępców zamieszanych w ten proceder; operatorzy telefonii komórkowej utrudnili proces pobierania pieniędzy za pośrednictwem usług SMS premium; a branża bezpieczeństwa zaangażowała wiele zasobów w rozwijanie darmowych usług i technologii odblokowujących.      

Wygląda jednak na to, że doświadczeni przestępcy stosujący ransomware nie zniknęli, po prostu czekali na nowy model monetyzacji, który teraz pojawił się w postaci kryptowalut. Tym razem, jednak, problem oprogramowania ransomware nie ogranicza się do Rosji, ale ma charakter globalny.    

2. Można wyróżnić trzy rodzaje udziału w “biznesie” związanym z ransomware

Rosyjski rynek podziemia związanego z oprogramowaniem ransomware kryptograficznym oferuje obecnie przestępcom trzy różne sposoby wejścia w ten nielegalny interes: 

1)      można tworzyć nowe oprogramowanie ransomware na sprzedaż

2)      można zostać partnerem w programie afiliowanym związanym z ransomware

3)      można zostać właścicielem programu afiliowanego

Pierwszy rodzaj udziału wymaga zaawansowanych umiejętności tworzenia kodu, łącznie z dogłębną znajomością kryptografii. Obserwowani przez nas przestępcy z tej kategorii są jak handlarze bronią: zwykle nie biorą udziału w rzeczywistych atakach, a tylko sprzedają kod.   

rs_rans_en_2_auto.png

Rys. 2: Przykład reklamy sprzedającej unikatowe szkodliwe oprogramowanie kryptograficzne umieszczonej przez twórcę. Autor obiecuje szyfrowanie przy pomocy algorytmów Blowfish i RSA-2048, techniki zapobiegające emulacji, możliwości zaawansowanego skanowania oraz funkcje umożliwiające usuwanie kopii zapasowych oraz kopii w tle informacji przechowywanych na komputerze PC ofiary.  

Niekiedy autorzy szkodliwego oprogramowania sprzedają swoje “produkty” wraz z całym kodem źródłowym po ustalonej cenie (czasami kilku tysięcy dolarów), w innych przypadkach sprzedają konstruktor – narzędzie, które pozwala przestępcom bez doświadczenia w zakresie programowania stworzyć oprogramowanie ransomware kryptograficzne z określoną listą funkcji. 

Poniższa ilustracja daje pewne wyobrażenie tego, jakie możliwości daje cyberprzestępcom konstruktor. Na przykład, umożliwia stworzenie oprogramowania ransomware, które zacznie szyfrować pliki dopiero po 10 minutach braku aktywności użytkownika; zmieni rozszerzenia zaszyfrowanych plików na te wybrane przez przestępcę; i będzie żądało przywilejów administratora do momentu, aż je otrzyma. Pozwala również przestępcom zmieniać tapety na komputerze na losowe oraz implementować niektóre inne funkcje, które można połączyć w bardzo niebezpieczne oprogramowanie.    

rs_rans_en_3_auto.png

Rys.3: interfejs konstruktora oprogramowania ransomware Glove

Konstruktory są zwykle znacznie tańsze niż pełny kod źródłowy unikatowego oprogramowania ransomware (setki dolarów). Jednak autorzy (i posiadacze) takiego oprogramowania często obciążają klientów kosztami każdej nowej kompilacji szkodnika stworzonego przy użyciu swojego oprogramowania.  

Pay-per-build to inny rodzaj monetyzacji stosowany przez autorów oryginalnego oprogramowania ransomware. W tym przypadku, cena spada jeszcze niżej (kilkadziesiąt dolarów), jednak klient otrzymuje szkodliwe oprogramowanie ze stałą listą funkcji.

rs_rans_en_4.png

Rys.  4: Reklama oferująca unikatowe oprogramowanie ransomware kryptograficzne z modelem  pay-per-build

Kompilacja często zawiera nie tylko sam kod szkodliwego oprogramowania, ale również narzędzia do celów statystycznych i interakcji z zainfekowanymi komputerami.

rs_rans_en_5_auto.png

Rys. 5 Przykład panelu kontroli, który jest w zestawie z kompilacją określonej rodziny oprogramowania ransomware

Programy afiliowane, trzeci rodzaj uczestnictwa w biznesie przestępczym związanym z oprogramowaniem ransomware, to dość standardowa forma cyberprzestępczości: właściciele programu dostarczają partnerom wszystkich niezbędnych narzędzi infekcji, a następnie partnerzy pracują nad dystrybucją szkodnika. Im bardziej skuteczne są ich wysiłki, tym więcej pieniędzy dostają. Udział w takich programach nie wymaga nic więcej poza wolę wykonywania pewnych nielegalnych działań oraz kilku bitcoinów na opłatę.

rs_rans_en_6_auto.png

Rys.6: Ogłoszenie dotyczące programu afiliowanego

Co ciekawe, badając rozwój nielegalnego ekosystemu oprogramowania ransomware, zidentyfikowaliśmy dwa rodzaje programów afiliowanych: dla wszystkich oraz dla określonych partnerów.

W przeciwieństwie do programów przeznaczonych dla wszystkich, programy “elitarne” nie przyjmują każdego partnera. Aby zostać partnerem w takim programie, kandydat musi przedstawić osobistą rekomendację od jednego z aktywnych partnerów programu. Ponadto, musi udowodnić, że posiada pewne możliwości dystrybucji szkodliwego oprogramowania. W jednym przypadku zaobserwowanym w zeszłym roku kandydat musiał udowodnić, że potrafi wykonać co najmniej 4000 zakończonych powodzeniem pobrań i instalacji szkodliwego oprogramowania na atakowanym komputerze. W zamian za to, partner otrzymuje niektóre darmowe narzędzia do zaciemniania kompilacji ransomware oraz korzystny współczynnik konwersji – do 3%, co należy uznać za bardzo dobry interes, przynajmniej w porównaniu z tym, co oferują legalne programy afiliowane.

Podsumowując wszystko, co zostało napisane wyżej: elastyczność stanowi główną cechę obecnego nielegalnego ekosystemu ransomware. Daje wiele możliwości osobom ze skłonnością do zachowań przestępczych bez względu na to, jaki poziom umiejętności IT prezentują.   

3.Na rynku istnieje kilka naprawdę dużych graczy

Myli się ten, kto sądzisz, że bycie właścicielem lub partnerem “elitarnego” programu afiliowanego to najwyższy z możliwych szczebel w karierze w świecie oprogramowania ransomware. W rzeczywistości, twórcy oprogramowania ransomware, ich niezależni klienci, partnerzy oraz właściciele programów afiliowanych często pracują dla większego przedsiębiorstwa przestępczego.     

rs_rans_en_7_auto.png

Rys. 7:  Struktura profesjonalnego ugrupowania związanego z oprogramowaniem ransomware składa się z twórcy szkodliwego oprogramowania (będącego również założycielem grupy), właścicieli programu afiliowanego, partnerów programu oraz menadżera, który łączy ich wszystkich w jedno przedsiębiorstwo.  

Obecnie istnieje kilka stosunkowo dużych ugrupowań związanych z oprogramowaniem ransomware z rosyjsko-języcznymi uczestnikami. Przez ostatnie kilka miesięcy badaliśmy działanie jednej z takich grup i poznaliśmy jej sposób działania. Uważamy to ugrupowanie za interesujące, ponieważ zostało stworzone w sposób, który znacznie utrudniał nam zidentyfikowanie wszystkich jego członków. Składa się z następujących członków: twórcy, menadżera, partnerów oraz programów afiliowanych. Według posiadanych przez nas informacji, założyciel i przywódca tego ugrupowania jest autorem oprogramowania ransomware. To on opracował oryginalne ransomware, dodatkowe moduły dla niego oraz infrastrukturę IT wspierającą działanie szkodliwego oprogramowania. Głównym zadaniem menadżera jest szukanie nowych partnerów i wspieranie obecnych. Z dostępnych nam informacji wynika, że menadżer jest jedyną osobą, która kontaktuje się z twórcą. Głównym zadaniem partnerów jest pobieranie nowej wersji oprogramowania ransomware i skuteczne jej rozprzestrzenianie. To oznacza skuteczne infekowanie możliwie największej liczby komputerów PC i żądanie okupu. W tym celu, między innymi, partnerzy wykorzystują posiadane przez siebie programy afiliowane. Twórca zarabia pieniądze poprzez sprzedaż wyłącznego szkodliwego oprogramowania oraz aktualizacji partnerom, a wszyscy inni uczestnicy programu dzielą między sobą w różnych proporcjach zarobione na ofiarach pieniądze. Według naszej wiedzy, w grupie tej działa co najmniej 30 partnerów.

4. Koszty i zyski na rynku podziemia szkodliwego oprogramowania są wysokie

Szacujemy, że przychody ugrupowania podobnego do tego opisanego wyżej mogą sięgać tysięcy dolarów dziennie uzyskanych z zapłaconego przez ofiary okupu. Jednak, podobnie jak w przypadku każdego innego rodzaju szkodliwej aktywności na poziomie profesjonalnym, profesjonalny gracz na rynku oprogramowania ransomware wydaje dużo pieniędzy na zasoby w celu tworzenia, dystrybucji i monetyzacji szkodliwego kodu. 

Struktura kosztów operacyjnych dużego ugrupowania związanego z oprogramowaniem ransomware wygląda mniej więcej tak:

1)      Aktualizacja modułów oprogramowania ransomware

  1. Nowe funkcje
  2. Techniki obejścia
  3. Udoskonalenie szyfrowania

2)      Dystrybucja (spam/zestawy exploitów)

3)      Usługa sprawdzania antywirusowego

4)      Dane uwierzytelniające do zhakowanych serwerów

5)      Wynagrodzenie dla wynajętych profesjonalistów (zwykle są to administratorzy IT, którzy obsługują infrastrukturę serwerową)

Rdzeń metodologii działania ugrupowania stanowi kod ransomware oraz kanały dystrybucji.  

Gang rozprzestrzenia ransomware na cztery różne sposoby:  za pośrednictwem zestawów exploitów, kampanii spamowych, socjotechniki, zhakowanych serwerów dedykowanych i ukierunkowanych ataków hakerskich. Zestawy exploitów to jedne z najdroższych rodzajów narzędzia dystrybucji i mogą kosztować kilkaset tysięcy dolarów tygodniowo, z drugiej strony jednak, ten rodzaj dystrybucji jest jednym z najskuteczniejszych pod względem odsetka zakończonych powodzeniem instalacji.

Drugą pod względem popularności formą dystrybucji są wysyłki spamowe. Wysyłane przez przestępców e-maile typu spear-phishing zwykle podszywają się pod ważną wiadomość od organizacji rządowej lub dużego banku i posiadają szkodliwy załącznik. Z naszych obserwacji w zeszłym roku wynika, że wysyłanie szkodliwego spamu to coś więcej niż rentowna metoda, ponieważ w 2016 roku ilość szkodliwego spamu związanego z ransomware zablokowanego przez nasze systemy była ogromna.  

Niekiedy e-maile otrzymywane przez cele hakerów stosujących oprogramowanie ransomware są legalne z technicznego punktu widzenia. Podczas reagowania na incydenty zaobserwowaliśmy kilka przypadków wiadomości e-mail ze szkodliwym załącznikiem (który ostatecznie szyfrował ważne dane ofiary) wysłanych z legalnego konta e-mail, ale przez nielegalnego użytkownika. Bardzo często są to e-maile od klientów lub partnerów atakowanej organizacji. Gdy pogrzebaliśmy głębiej i porozmawialiśmy z przedstawicielami organizacji, która wysłała szkodliwe e-maile, okazało się, że organizacja ta również została zainfekowana.     

rs_rans_en_8_auto.jpg

Rys. 8: Jak przestępcy wykorzystują jedną zainfekowaną organizację do atakowania innej

Doszliśmy do wniosku, że przestępcy stosujący oprogramowanie ransomware zainfekowali najpierw jedną organizację, następnie uzyskali dostęp do jej systemu e-mail i zaczęli wysyłać wiadomości ze szkodliwym załącznikiem do wszystkich kontaktów firmowych z listy. Trudno przecenić zagrożenie związane z tą formą rozprzestrzeniania oprogramowania ransomware: nawet jeśli odbiorca takiego e-maila jest świadomy głównych metod stosowanych przez cyberprzestępców w celu dystrybucji szkodliwego oprogramowania, nie ma możliwości zidentyfikowania ataku.  

Jak się dowiedzieliśmy, koszty operacyjne ponoszone przez przestępców na wspieranie swoich kampanii mogą w niektórych przypadkach sięgać dziesiątek tysięcy dolarów. Pomimo tego jest to niestety niezwykle dochodowy biznes. Z rozmów, jakie zaobserwowaliśmy na forach podziemia, możemy wnioskować, że w kieszeni cyberprzestępców zostaje prawie 60% przychodów z działalności. Wróćmy więc do naszych szacunków dziennych przychodów ugrupowania cyberprzestępczego, które mogą nawet sięgać dziesiątek tysięcy dolarów.

rs_rans_en_9_auto.jpg

Rys. 9: Typowy poziom zysków do podziału (kolor zielony) w stosunku do kosztów operacyjnych (kolor czerwony) w biznesie związanym z oprogramowaniem ransomware   

Jest to naturalnie szacunek skumulowanego zysku netto: całkowitej kwoty, która jest wypłacana wszystkim uczestnikom kampanii - od zwykłych członków programów afiliowanych po partnerów elitarnych, menadżera i twórcy.  Jest to ogromna ilość pieniędzy. Według naszych obserwacji, partner elitarny zarabia zwykle 40-50  bitcoinów miesięcznie. W jednym przypadku, partner, któremu szczególnie dopisało szczęście, zarobił około 85 bitcoinów w ciągu miesiąca, co według obecnego kursu wymiany bitcoinów, wynosi 85 000 dolarów.       

5. Profesjonalne ugrupowania stosujące ransomware przechodzą na ataki ukierunkowane

Niezwykle niepokojący trend, jaki obecnie obserwujemy, polega na tym, że ugrupowania związane z ransomware posiadające duże budżety rezygnują z atakowania zwykłych użytkowników i, okazjonalnie, małych firm, na rzecz ataków ukierunkowanych wymierzonych w stosunkowo duże organizacje. Podczas jednego z przypadków reagowania na incydenty zaobserwowaliśmy atak ukierunkowany na firmę posiadającą ponad 200 stacji roboczych, natomiast w innym przypadku firma miała ich ponad 1000.

Mechanika tych nowych ataków bardzo różni się od tego, co przywykliśmy obserwować.

1)      Do początkowej infekcji nie wykorzystywano pakietów exploitów czy spamu typu spear-phishing. Zamiast tego znaleźliśmy serwer należący do atakowanej firmy, do którego próbowano się włamać.

2)      W celu wniknięcia do sieci organizacji ugrupowanie wykorzystało exploity i narzędzia otwartego źródła  

3)      Jeśli organizacja posiadała niechroniony serwer z dostępem RDP, ugrupowanie próbowało zaatakować ją metodą brute force

4)      Aby uzyskać niezbędne prawa dostępu w celu zainstalowania oprogramowania ransomware w sieci z narzędziem psexec, wykorzystano narzędzie Mimikatz    

5)      To umożliwiło im uzyskanie stanu trwałego przy użyciu narzędzia RAT otwartego źródła o nazwie PUPY  

6)      Po uzyskaniu punktu zaczepienia w atakowanej sieci ugrupowanie badało ją, wybierało najważniejsze pliki i szyfrowało je przy użyciu specjalnie stworzonej, ale niewidocznej, kompilacji ransomware.    

Inna grupa, którą zidentyfikowaliśmy w innej dużej organizacji, w ogóle nie stosowała żadnego oprogramowania ransomware. Dane były szyfrowane ręczne. W tym celu wybierano istotne pliki na serwerze i przenoszono je do archiwum chronionego hasłem.  

Zakończenie

W obu opisanych wyżej przypadkach ugrupowania stosowały sposób działania charakterystyczny dla cyberprzestępców przeprowadzających ataki ukierunkowane – jednak jesteśmy pewni niemal na 100%, że za tymi atakami stoją te same ugrupowania, które wcześniej specjalizowały się w masowych kampaniach z udziałem ransomware. Są dwa główne powody, dlaczego uważamy, że ugrupowania wykorzystujące ransomware zaczynają implementować w swoich operacjach metody typowe dla ataków ukierunkowanych.

1. Dzięki licznym udanym kampaniom masowym ugrupowania te posiadają teraz wystarczające fundusze, aby inwestować duże pieniądze w wyrafinowane operacje.  

2. Atak przy użyciu oprogramowania ransomware na dużą korporację jest uzasadniony, ponieważ może sparaliżować działanie całej organizacji, powodując ogromne straty. Z tego powodu można żądać wyższego okupu niż w przypadku użytkowników indywidualnych i małych firm.

Zidentyfikowaliśmy już taką mutację z innym niebezpiecznym typem szkodliwej aktywności: cyberatakami finansowymi. Również w tym przypadku zaczęło się od masowych ataków na użytkowników bankowości online. Jednak z upływem czasu ugrupowania przeprowadzające te kampanie zmieniły zainteresowania, biorąc na celownik najpierw małe i średnie firmy, a następnie duże korporacje i same banki.      

Należy zauważyć, że do tej pory biznes związany z oprogramowaniem ransomware uznawany był przez przestępców za bezpieczny. Wynikało to z ich przekonania, że stosując kryptowaluty, nie będą mogli zostać wyśledzeni w ramach zasady „podążaj za pieniędzmi”, jak również braku aresztowania gangów związanych z oprogramowaniem ransomware.       

Sun Tzu powiedział: jeśli znasz swojego wroga i siebie samego, nie musisz obawiać się wyniku stu bitew. Jeśli znasz siebie, ale nie znasz swojego wroga, wraz z każdym zwycięstwem, poniesiesz również porażkę. Jeśli nie znasz ani swojego wroga ani siebie, polegniesz w każdej bitwie.   

Cel tego artykuły jest dwojaki: edukacja osób zainteresowanych zwalczaniem oprogramowania ransomware oraz zwiększenie świadomości problemu, jaki mogą stanowić ataki ukierunkowane z wykorzystaniem oprogramowania ransomware.    

Chociaż szeroko nagłaśniane przypadki stawiania przed sądem przestępców stosujących oprogramowanie ransomware to dopiero kwestia przyszłości, już teraz możemy podejmować działania, aby utrudnić życie ugrupowaniom stosującym oprogramowanie ransomware oraz chronić swoje dane. Po pierwsze, należy regularnie wykonywać kopie zapasowe i przechowywać je na dysku, który jest odizolowany od głównej sieci organizacji.      

Nie wolno również zapominać o zabezpieczeniu serwerów przy użyciu sprawdzonych rozwiązań bezpieczeństwa, które identyfikują i blokują najnowsze wersje rodzin oprogramowania ransomware.  

And the main advice – DO NOT PAY! If you pay the ransom, you money will be pumped into the malicious ecosystem, which is already flooded with funds. The more money criminals get, the more sophisticated tools they get access to, giving them access to much broader attack opportunities.

Jednak główna zasada brzmi – NIE PŁAĆ! Jeśli zapłacisz okup, twoje pieniądze zasilą ekosystem związany ze szkodliwym oprogramowaniem, który już teraz jest dobrze dofinansowany. Im więcej pieniędzy wpadnie do kieszeni przestępców, tym bardziej wyrafinowane narzędzia będą mogli stosować, które zapewnią im znacznie szersze możliwości ataków.