ransomware
Bezpieczeństwo, Ransomware

Ewolucja oprogramowania wymuszającego

Ewolucja oprogramowania wymuszającego Ransomware

Wszyscy dużo słyszeliśmy o oprogramowaniu ransomware, które uniemożliwia dostęp do danych i / lub blokuje komputer lub urządzenie, dopóki nie zapłacisz za klucz szyfrowania. Teraz widzimy wariant tego motywu, który niektórzy nazywają doxware lub oprogramowaniem wymuszającym, który idzie dalej i grozi udostępnieniem publicznie kopii prywatnych dokumentów, zdjęć i wiadomości e-mail na twoim komputerze, jeśli nie zapłacisz. To tylko jeden przykład ewolucji złośliwego oprogramowania w ciągu ostatnich kilku lat i staje się on coraz bardziej agresywny.

Ransomware bierze swoją nazwę od faktu, że przetrzymuje niektóre lub wszystkie twoje pliki jako zakładników i żąda zapłaty za ich uwolnienie. Ten szczególnie haniebny rodzaj złośliwego oprogramowania istnieje przynajmniej od lat 80. XX wieku, kiedy pojawiło się wcielenie znane jako AIDS. Różne trojany ransomware pojawiły się na przestrzeni lat, ale naprawdę wzrosły kilka lat temu, ponieważ Bitcoin zaoferował atakującym możliwość łatwego zbierania pieniędzy bez przechodzenia tradycyjnymi kanałami.

CryptoLocker jest jednym z najbardziej znanych przykładów oprogramowania ransomware. Oryginalna wersja ożyła w 2013 roku, rozpowszechniana za pośrednictwem botnetu i złośliwych załączników e-mail. W następnym roku botnet został usunięty przez konsorcjum organów ścigania, dostawców oprogramowania, komercyjnych firm zajmujących się badaniami bezpieczeństwa i akademickimi wydziałami badań bezpieczeństwa na kilku czołowych uniwersytetach w ramach operacji Tovar.

Botnet nie tylko został zdemontowany, ale także klucze prywatne użyte do szyfrowania plików ofiar zostały przejęte i udostępnione, dzięki czemu konkretna historia zakończyła się pomyślnie. Niestety, daleko było do końca oprogramowania ransomware, a nowe szkodliwe programy wymuszające „pożyczyły” nazwę CryptoLocker, mimo że nie są to technicznie jej warianty.

Inne dobrze znane ataki ransomware to Cryptowall i Reveton dla Windows oraz KeeRanger na Mac OS X. Następnie istnieje cała inna kategoria ransomware atakująca systemy operacyjne na smartfony i tablety.

Oprogramowanie wymuszające staje się mobilne

Wiele osób, zwłaszcza młodych ludzi, rzadko korzysta z komputerów stacjonarnych, a nawet laptopów. To nie znaczy, że przysięgli z Internetu; wręcz przeciwnie, są cały czas online, ale robią to za pomocą urządzeń mobilnych. Nic więc dziwnego, że autorzy oprogramowania ransomware zwrócili uwagę na tworzenie złośliwego kodu atakującego te urządzenia.

Jak wspomniano we wstępie, istnieją zasadniczo dwa rodzaje oprogramowania ransomware:

  • Te, które szyfrują Twoje dane, abyś nie mógł ich przeglądać ani używać, nazywane (odpowiednio) szyfrowaniem oprogramowania ransomware
  • Te, które uniemożliwiają zalogowanie się do komputera lub urządzenia lub użycie jednej lub więcej aplikacji (takich jak przeglądarka internetowa), zwanych blokowaniem oprogramowania ransomware lub po prostu blokowania.

Uwaga: Istnieje również wiele rodzajów oszustw zwanych „scareware”, które tak naprawdę nic nie robią, a jedynie grożą; dotyczy to również wiadomości e-mail, które informują, że FBI znalazło coś nielegalnego na twoim komputerze i aresztują cię, jeśli nie wyślesz pieniędzy za „grzywnę”.

Szyfrowanie oprogramowania ransomware jest najpopularniejsze na komputerowych systemach operacyjnych, ale nie działają one tak dobrze z urządzeniami mobilnymi, ponieważ dane są zwykle przechowywane w chmurze zamiast (lub dodatkowo) na urządzeniu, na którym złośliwe oprogramowanie może je przejąć. Dlatego większość mobilnych programów ransomware to programy blokujące.

Popularne blokery mobilnego oprogramowania ransomware to Small, Fusob, Pletor i Svpeng. Small i Fusob łączą pomysł „groźny” z nakładkami ekranowymi, które uniemożliwiają korzystanie z aplikacji na urządzeniu. Mobilne oprogramowanie ransomware jest często zamaskowane jako legalna aplikacja lub gra innej firmy, instalowana jako „drive-by download” z podejrzanych stron internetowych lub poprzez linki w wiadomościach tekstowych.

Doxware przenosi wymuszenie elektroniczne na nowy poziom

Doxing to stosunkowo nowy termin, który odnosi się do publicznego ujawnienia prywatnych informacji o osobie lub organizacji. Doxware robi (lub grozi) dokładnie odwrotnie niż tradycyjne ransomware; zamiast blokować wrażliwe „dokumenty” i uczynić je niedostępnymi dla ciebie, udostępnia je wszystkim – chyba że zapłacisz.

Jeśli szyfrowanie i blokowanie programów wymuszających jest analogiczne do wzięcia zakładników w celu okupu, oprogramowanie doxware jest porównywalne z programem szantażującym, który żąda pieniędzy, aby zachować tajemnicę. Z tego powodu doxware jest czasem nazywane także oprogramowaniem typu wyciek. Doxware często atakuje pliki e-mail i edytory tekstu. Warianty mobilne mogą uwalniać prywatne wiadomości, zdjęcia lub listy kontaktów z telefonów użytkowników.

Doxware może być bardziej skuteczny niż ransomware w wywoływaniu pozytywnej (z punktu widzenia atakującego) odpowiedzi, ponieważ ofiary mogą obchodzić normalne szyfrowanie ransomware, utrzymując osobne kopie zapasowe danych, lub ominąć programy blokujące, formatując dysk twardy i wykonując czyste przywracanie. Jednak gdy atakujący ma informacje, których nie chcesz upubliczniać, niewiele możesz zrobić, aby temu zapobiec, poza płaceniem.

Zakres problemu

Mimo że jest on z nami od dłuższego czasu, rozprzestrzenianie się oprogramowania wymuszającego eksplodowało w ciągu ostatnich kilku lat, a niektórzy nazwali 2016 rok „rokiem oprogramowania ransomware”, ponieważ zarówno dystrybucja, jak i sam kod stały się bardziej wyrafinowane i coraz bardziej dotknięte użytkownicy komputerów i urządzeń.

Nigdy nie miałem do czynienia z oprogramowaniem wymuszającym na własnych systemach (częściowo dzięki ostrożnym praktykom bezpieczeństwa, a częściowo szczęścia), ale mam wielu przyjaciół i krewnych ze wszystkich środowisk, w tym kilku z branży IT , którzy padli jego ofiarą. Narażeni są zarówno indywidualni użytkownicy, jak i firmy.

Badanie Osterman Research z 2016 r. Wykazało, że prawie połowa respondentów stwierdziła, że ​​ich organizacje padły ofiarą ataku oprogramowania ransomware w ciągu ostatnich 12 miesięcy. Statystyki CNN wykazały, że w pierwszym kwartale 2016 r. Na rzecz atakujących oprogramowanie ransomware wypłacono 209 mln USD, a szacunki FBI wskazują na prawdopodobną utratę oprogramowania ransomware w wysokości 1 miliarda USD lub więcej w tym roku. Ponadto średnie zapotrzebowanie na oprogramowanie ransomware wzrosło z 294 USD w 2015 r. Do 679 USD w 2016 r.

Chociaż ta średnia 679 USD może wydawać się niewielka, mniejsze kwoty wyłudzone od osób fizycznych są równoważone przez znacznie większe okupy skierowane do organizacji, takie jak 3,4 mln USD, których cyberprzestępcy zażądali od prezbiteriańskiego szpitala w Hollywood na początku 2016 r.

Ochrona przed wyłudzeniami

Oczywiście oprogramowanie wymuszające stanowi duże zagrożenie i powinno znajdować się na twoim radarowym zabezpieczeniu. Jak więc chronić przed tym swoją organizację?

Jak można się domyślać, wiele zalecanych środków jest takich samych, aby chronić się przed innymi rodzajami złośliwego oprogramowania:

  • Aktualizuj system operacyjny i aplikacje oraz instaluj wszystkie łatki bezpieczeństwa
  • Regularnie twórz kopie zapasowe ważnych plików w witrynie, która jest odłączona, gdy nie tworzysz kopii zapasowej (aby zapobiec również szyfrowaniu plików kopii zapasowych przez oprogramowanie ransomware)
  • Uwierzytelnij przychodzącą wiadomość e-mail
  • Zaimplementuj blokowanie reklam w przeglądarkach internetowych, ponieważ złośliwe oprogramowanie jest często dostarczane przez „złośliwe reklamy”, nawet w legalnych witrynach
  • Wyłącz niepotrzebne usługi (na przykład CryptoLocker, często atakowane komputery używają protokołu Remote Desktop Protocol, więc wyłączenie RDP, jeśli go nie używasz, pomaga się przed nim zabezpieczyć)

Edukuj użytkowników w zakresie bezpiecznych praktyk komputerowych i regularnie zwiększaj ich znaczenie:

  • Nie klikaj linków w wiadomościach e-mail, tekstach ani na stronach internetowych, którym nie ufasz
  • Pokaż ukryte rozszerzenia plików, aby pliki wykonywalne nie mogły być zamaskowane jako pliki PDF, JPG lub inne bardziej nieszkodliwe typy plików
  • Nie odwiedzaj wątpliwych stron internetowych (pornografia, artykuły, piractwo muzyczne, fora hakerów itp.)
  • Nie pobieraj aplikacji mobilnych z niezaufanych źródeł

Kilku popularnych dostawców zabezpieczeń oferuje pakiety zabezpieczeń do ochrony przed złośliwym oprogramowaniem, w tym oprogramowaniem wymuszającym. Oferują również rozwiązania bezpieczeństwa mobilnego, które są przeznaczone do skanowania telefonu lub tabletu i sprawdzania aplikacji pod kątem znanych baz danych w ich bazach danych, a także mogą ostrzegać o witrynach zainfekowanych oprogramowaniem ransomware (lub innym złośliwym oprogramowaniem).

Większość ekspertów zaleca, aby nie płacić okupu, ponieważ zachęca to przestępców – aw wielu przypadkach ofiary płacą i nigdy nie otrzymały kluczy lub otrzymały klucze, które nie działały. Pamiętaj, że przestępcy z definicji nie są godni zaufania i mają skłonność do niedotrzymywania obietnic.

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Instagram