Ransomware je vrsta malicioznog softvera iz kriptovirologije uz pomoću kojeg hakeri prijete da će objaviti lične podatke žrtve ili trajno blokirati pristup njima osim ako se otkupnina ne isplati. Dok neki jednostavni ransomware softveri mogu zaključati sistem bez oštećenja datoteka, napredniji maliciozni softveri koriste tehniku koja se zove kriptovirusna iznuda. On šifrira podatke žrtve napada, čineći ih nedostupnima, i zahtijeva uplatu otkupnine da bi ih dešifrovao. U pravilno implementiranom napadu kriptovirusne iznude, vraćanje podataka bez ključa za dešifrovanje je vrlo teško, a teško je i ući u trag digitalnim valutama kao što su paysafecard ili Bitcoin kao i u trag drugih kriptovaluta koje se koriste za otkupnine, što otežava praćenje i krivično gonjenje počinitelja.
Ransomware napadi se obično izvode pomoću trojanca prerušenog u legitimnu datoteku koju je korisnik prevaren da preuzme ili otvori kada stigne kao prilog u email-u. Međutim, WannaCry crv, automatski je putovao između računala bez interakcije korisnika.
Počevši od 1989. godine s prvim dokumentovanim ransomware-om poznatim kao AIDS trojanac, upotreba ransomware prevara je porasla na međunarodnom nivou. Bilo je 181,5 miliona ransomware napada u prvih šest mjeseci 2018. godine. Ovaj rekord označava povećanje od 229% u odnosu na isti vremenski okvir u 2017. godini. U junu 2014. godine McAfee je objavio podatke koji pokazuju da je prikupio više nego dvostruko veći broj uzoraka ransomware-a u tom kvartalu nego u istom tromesečju prethodne godine. CryptoLocker je bio posebno uspješan, nabavivši procijenjenih 3 miliona US$ prije nego što su ga vlasti uklonile, a CryptoWall je američki Federalni istražni biro (FBI) procijenio da je do juna 2015. godine prikupio preko 18 miliona američkih dolara. Godine 2020. IC3 je primio 2474 pritužbe identifikovane kao ransomware s prilagođenim gubicima od preko 29,1 miliona dolara. Gubici bi mogli biti i više od toga, navodi FBI. Prema izvještaju SonicWall-a , bilo je oko 623 miliona ransomware napada u 2021. godini.
Funkcionisanje Ransomware-a
Koncept ransomware-a za šifrovanje podataka izmislili su i implementirali Young i Yung na Univerzitetu Columbia i predstavljen je na IEEE konferenciji o sigurnosti i privatnosti 1996. godine. Zove se kriptovirusna iznuda i inspirisan je izmišljenim facehugger-om iz filma Alien. Kriptovirusna iznuda je sljedeći protokol u tri kruga koji se provodi između napadača i žrtve.
- (Napadač→Žrtva) Napadač generiše par ključeva i postavlja odgovarajući javni ključ u maliciozni softver. Maliciozni softver je pušten.
- (Žrtva→Napadač) Da bi izvršio napad kriptovirusne iznude, maliciozni softver generiše nasumični simetrični ključ i njime šifrira podatke žrtve. Koristi javni ključ u malicioznom softveru za šifrovanje simetričnog ključa. Ovo je poznato kao hibridna enkripcija i rezultira malim asimetričnim šifrovanim tekstom kao i simetričnim šifrovanim tekstom podataka žrtve. On nulira simetrični ključ i originalne podatke otvorenog teksta kako bi spriječio oporavak. Postavlja poruku korisniku koja uključuje asimetrični šifrovani tekst i način plaćanja otkupnine. Žrtva napadaču šalje asimetrični šifrovani tekst i e-novac.
- (Napadač→Žrtva) Napadač prima uplatu, dešifruje asimetrični šifrovani tekst sa napadačevim privatnim ključem i šalje simetrični ključ žrtvi. Žrtva dešifruje šifrovane podatke sa potrebnim simetričnim ključem i na taj način završava kriptovirusni napad.
Simetrični ključ se generiše nasumično i neće pomoći drugim žrtvama. Ni u jednom trenutku privatni ključ napadača nije izložen žrtvama i žrtva treba samo poslati vrlo mali šifrovani tekst, šifrovani ključ simetrične šifre, napadaču.
Ransomware napadi se obično izvode pomoću trojanca, ulaskom u sistem putem, na primjer, malicioznog priloga, ugrađene veze u phishing email-u ili ranjivosti u mrežnoj usluzi. Program zatim pokreće korisno opterećenje, koje zaključava sistem na neki način, ili tvrdi da zaključa sistem ali ne uradi to (npr. program za zastrašivanje). Korisni tereti mogu prikazati lažno upozorenje navodno od strane entiteta kao što je agencija za provođenje zakona, lažno tvrdeći da je sistem korišten za nezakonite aktivnosti, sadrži sadržaj poput pornografije i “piratskih” medija.
Neki korisni tereti se sastoje jednostavno od aplikacije dizajnirane da zaključa ili ograniči sistem dok se ne izvrši plaćanje, obično postavljanjem Windows Shell-a, ili čak modifikacijom glavnog zapisa za pokretanje i/ili tabele particija kako bi se spriječilo pokretanje operativnog sistema dok se ne izvrši plaćanje. Najsofisticiraniji korisni sadržaji šifruju podatke, pri čemu mnogi koriste jaku enkripciju za šifrovanje podataka žrtve na takav način da samo autor malicioznog softvera ima potreban ključ za dešifrovanje.
Plaćanje je gotovo uvijek cilj, a žrtva je primorana da plati za uklanjanje ransomware-a bilo davanjem programa koji može dešifrovati podatke, ili slanjem koda za otključavanje koji poništava promjene korisnog opterećenja. Iako napadač može jednostavno uzeti novac bez vraćanja žrtvinih podataka, u najboljem je interesu napadača da izvrši dešifrovanje kako je dogovoreno, jer će žrtve prestati slati uplate ako se sazna da one ne služe ničemu. Ključni element koji omogućava da ransomware radi za napadača je zgodan sistem plaćanja kojem je teško ući u trag. Korišćen je niz takvih metoda plaćanja, uključujući bankovne transfere, tekstualne poruke sa premium tarifom, pre-paid vaučer usluge kao što su paysafecard i Bitcoin kriptovalute.
U maju 2020. godine Sophos je izvijestio da je globalni prosječni trošak otklanjanja napada ransomware-a, uzimajući u obzir zastoje, vrijeme ljudi, cijenu uređaja, cijenu mreže, izgubljenu priliku i plaćenu otkupninu, iznosi 761.106 dolara. Devedeset pet posto organizacija koje su platile otkupninu dobili su povrat svojih podataka.
Istorija
Šifrovanje Ransomeware-a
Prvi poznati napad iznuđivanja malicioznim softverom je “AIDS Trojan” koji je napisao Joseph Popp 1989. godine, imao je grešku u dizajnu koja je bila toliko teška da uopće nije bilo potrebno platiti iznuđivaču. Njegov korisni teret sakrio je podatke na hard disku i šifrovao samo njihova imena, te prikazao poruku u kojoj se tvrdi da je istekla licenca korisnika za korištenje određenog softvera. Od korisnika je zatraženo da plati 189 USD kompaniji “PC Cyborg Corporation” kako bi dobio alat za popravku iako je ključ za dešifrovanje mogao biti izvučen iz koda trojanca. Trojanac je bio poznat i kao “PC Cyborg”. Popp je proglašen psihički nesposobnim da mu se sudi za svoja djela.
Ideju o zloupotrebi anonimnih gotovinskih sistema za sigurno prikupljanje otkupnine od otmice ljudi predstavili su 1992. godine Sebastiaan von Solms i David Naccache. Ova metoda prikupljanja elektronskog novca je također predložena za napade kriptovirusnih iznuda. U von Solms-Naccache scenariju korištena je novinska publikacija, pošto Bitcoin knjige nisu postojale u vrijeme pisanja rada.
Pojam korištenja kriptografije javnog ključa za napade otmice podataka uveli su 1996. godine Adam L. Young i Moti Yung. Young i Yung su kritikovali neuspjeli trojanac za informacije o AIDS-u koji se oslanjao samo na simetričnu kriptografiju, a fatalna mana bila je u tome što se ključ za dešifrovanje mogao izvući iz trojanca, i implementovali su eksperimentalni kriptovirus s dokazom koncepta na Macintosh SE/30 koji je koristio RSA i Tiny Encryption Algoritam (TEA) za hibridno šifrovanje podataka žrtve. Budući da se koristi kriptografija javnog ključa, virus sadrži samo ključ za šifrovanje. Napadač čuva odgovarajuću privatnost, privatni ključ za dešifrovanje. Young i Yungov originalni eksperimentalni kriptovirus natjerao je žrtvu da pošalje asimetrični šifrovani tekst napadaču koji ga dešifruje i žrtvi uz naknadu vraća simetrični ključ za dešifrovanje. Mnogo prije nego što je postojao elektronski novac Young i Yung su predložili da se elektronski novac može iznuditi i šifrovanjem, navodeći da “pisac virusa može efektivno zadržati svu novčanu otkupninu dok mu se ne da polovina. Čak i ako je e-novac bio prethodno šifrovan od strane korisnika, nije od koristi za korisnika ako ga šifrira kriptovirus.” Oni su ove napade nazvali kao ” kriptovirusnu iznudu”,, koji obuhvata i otvorene i prikrivene napade.
Primjeri iznuđivačkog ransomware-a postali su istaknuti u maju 2005. godine. Do sredine 2006. godine, trojanci kao što su Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip i MayArchive počeli su da koriste sofisticiranije šeme RSA enkripcije. Gpcode.AG, koji je otkriven u junu 2006. godine, bio je šifrovan 660-bitnim RSA javnim ključem. U junu 2008. godine otkrivena je varijanta poznata kao Gpcode.AK. Koristeći 1024-bitni RSA ključ, vjerovalo se da je dovoljno velik da je računski neizvodljiv za razbijanje bez usklađenog distribuisanog napora.
Šifrovanje ransomware-a se vratilo po pitanju popularnosti krajem 2013. godine sa širenjem CryptoLocker-a, korišćenjem platforme za digitalnu valutu Bitcoin za prikupljanje novca za otkupninu. U decembru 2013. godine ZDNet je na osnovu informacija o Bitcoin transakcijama procijenio da su između 15. oktobra i 18. decembra operateri CryptoLocker-a naplatili oko 27 miliona američkih dolara od zaraženih korisnika. Tehnika CryptoLocker je naširoko kopirana u narednim mjesecima, uključujući CryptoLocker 2.0, za koji se smatra da nije povezan sa CryptoLocker-om, CryptoDefense koji je u početku sadržavao veliku grešku u dizajnu koja je čuvala privatni ključ na zaraženom sistemu i korisniku je mogao preuzeti lokaciju, zbog upotrebe ugrađenih Windows API-ja za šifrovanje, i otkriće trojanca u avgustu 2014. godine koji je posebno ciljao na mrežne uređaje za skladištenje koje proizvodi Synology. U januaru 2015. godine objavljeno je da su se napadi u stilu ransomware-a dogodili na pojedinačne web stranice putem hakovanja i putem ransomware-a dizajniranog za ciljanje web servera zasnovanih na Linux-u.
Kod nekih infekcija postoji dvostepeni teret, uobičajen u mnogim sistemima malicioznog softvera. Korisnik je prevaren da pokrene skriptu, koja preuzima glavni virus i izvršava ga. U ranim verzijama sistema sa dvostrukim opterećenjem, skripta je bila sadržana u dokumentu Microsoft Office-a sa priloženim VBScript makroom ili u datoteci Windows Scripting Facility-a (WSF). Kako su sistemi za otkrivanje počeli da blokiraju ove korisne podatke prve faze, Microsoft-ov centar za zaštitu od malicioznog softvera identifikovao je trend ka LNK datotekama sa samostalnim Microsoft Windows PowerShell skriptama. U 2016. godine je utvrđeno da je PowerShell umiješan u gotovo 40% sigurnosnih incidenata krajnjih tačaka.
Neki sojevi ransomware-a su koristili proxy-e vezane za skrivene usluge Tor za povezivanje sa svojim komandnim i kontrolnim serverima, povećavajući poteškoće u praćenju tačne lokacije kriminalaca. Nadalje, vendori dark web-a su sve više počeli da nude tehnologiju kao uslugu, u kojoj se prodaje ransomware, spreman za primenu na računarima žrtava, na osnovu pretplate, slično kao Adobe Creative Cloud ili Office 365.
Symantec je klasifikovao ransomware kao najopasniju kibernetičku prijetnju.
28. septembra 2020. godine, kompjuterski sistemi najvećeg američkog pružaoca zdravstvenih usluga, Universal Health Services, bili su pogođeni napadom ransomware-a. Lanac UHS-a sa različitih lokacija prijavio je probleme, a neke lokacije su prijavile zaključane računare i telefonske sisteme od 27. septembra. 2020. godine.
Ransomware koji ne šifruje
U avgustu 2010. godine, ruske vlasti su uhapsile devet osoba povezanih sa trojancem za ransomware poznatim kao WinLock. Za razliku od prethodnog Gpcode Trojanca, WinLock nije koristio enkripciju. Umjesto toga, WinLock je trivijalno ograničio pristup sistemu prikazivanjem pornografskih slika i tražio od korisnika da pošalju SMS s premium tarifom (košta oko 10 USD) kako bi primili kod koji bi se mogao koristiti za otključavanje njihovih mašina. Prevara je pogodila brojne korisnike širom Rusije i susjednih zemalja, navodno je grupa zaradila preko 16 miliona američkih dolara.
Da bi se, 2011. godine pojavio trojanac za ransomware koji je imitirao obavijest o aktivaciji Windows proizvoda i obavijestio korisnike da sistemska instalacija Windowsa mora biti ponovo aktivirana zbog „mogućnosti da budete žrtva prevare“. Ponuđena je opcija online aktivacije, kao i stvarni proces aktivacije Windows-a, ali nije bila dostupna, zahtijevajući od korisnika da pozove jedan od šest međunarodnih brojeva i da unese šestocifreni kod. Iako je maliciozni softver tvrdio da će ovaj poziv biti besplatan, bio je preusmjeren preko lažnog operatera u zemlji s visokim međunarodnim tarifama, koji je stavio poziv na čekanje, uzrokujući da korisnik snosi velike međunarodne naknade za telefonsku komunikaciju.
U februaru 2013. godine pojavio se trojanac za ransomware baziran na kompletu za eksploataciju Stamp.EK, maliciozni softver je distribuisan preko web lokacija hostovanih na projektnim hosting servisima SourceForge i GitHub koji su tvrdili da nude “lažne golišave slike” poznatih ličnosti. U julu 2013. godine pojavio se trojanac za ransomware specifičan za OS X, koji prikazuje web stranicu koja optužuje korisnika za preuzimanje pornografije. Za razliku od svojih kolega zasnovanih na Windows-u, on ne blokira ceo računar, već jednostavno iskorištava ponašanje samog web pretraživača da osujeti pokušaje zatvaranja stranice na uobičajen način.
U julu 2013. godine, muškarac iz Virdžinije, star 21 godinu, čiji je kompjuter sadržavao pornografske fotografije maloljetnih djevojaka s kojima je vodio seksualnu komunikaciju, predao se policiji nakon što ga je prevario FBI MoneyPak Ransomware koji ga je optužio za posjedovanje dječije pornografije. Istragom su otkriveni inkriminisani dosijei, a muškarac je optužen za seksualno zlostavljanje djece i posjedovanje dječije pornografije.
Eksfiltracija (Leakware/Doxware)
Suprotnost ransomware-u je kriptovirološki napad koji je izmislio Adam L. Young i koji prijeti da će objaviti ukradene informacije iz kompjuterskog sistema žrtve umjesto da žrtvi uskrati pristup. U napadu, maliciozni softver eksfiltrira osjetljive podatke do udaljenih instanci malicioznog softvera, a napadač prijeti da će objaviti podatke žrtve osim ako se ne plati otkupnina. Napad je predstavljen na West Point-u 2003. godine i sažet je u knjizi “Maliciozna kriptografija”, kako slijedi: “Napad eksfiltracije se razlikuje od napada iznude na sljedeći način. U napadu iznude, žrtvi je onemogućen pristup vlastitim vrijednim informacijama i mora platiti da ih vrati, gdje je u napadu eksifltracije koji je ovdje predstavljen žrtva zadržava pristup informacijama, ali je njihovo otkrivanje u diskreciji kompjuterskog virusa”. Napad je ukorijenjen u teoriji igara i prvobitno je nazvan “igre bez nulte sume i maliciozni softver koji se može preživjeti”. Napad može donijeti novčanu dobit u slučajevima kada maliciozni softver dobije pristup informacijama koje mogu oštetiti korisnika ili organizaciju žrtve, na primjer, reputaciju koja bi mogla biti narušena objavljivanjem dokaza koji je napad prikupio kao i činjenica da je sam napad bio uspješan.
Uobičajeni ciljevi za eksfiltraciju uključuju:
- Informacije treće strane koje čuva primarna žrtva, kao što su podaci o korisničkom računu ili zdravstveni kartoni
- Informacije koje su vlasništvo žrtve, kao što su poslovne tajne i informacije o proizvodu
- Sramotne informacije, kao što su zdravstveni podaci žrtve ili informacije o ličnoj prošlosti žrtve
Napadi eksfiltracije su obično ciljani, sa odabranom listom žrtava i često preliminarnim nadzorom sistema žrtve kako bi se pronašli potencijalni ciljevi podataka i slabosti.
Mobilni ransomware
Sa povećanom popularnošću ransomware-a na PC platformama, ransomware ciljani na mobilne operativne sisteme takođe se umnožio. Tipično, mobilni ransomware korisni blokovi su blokatori, jer nema dovoljno poticaja za šifriranje podataka jer se mogu lako vratiti putem online sinkronizacije. Mobilni ransomware obično cilja na Android platformu, jer omogućava instaliranje aplikacija iz izvora trećih strana. Korisno opterećenje se obično distribuiše kao APK datoteka koju instalira korisnik koji ništa ne sumnja, može pokušati prikazati poruku o blokiranju iznad svih drugih aplikacija, dok je druga koristila oblik klikanja da navede korisnika da mu da privilegije “administratora uređaja” kako bi postigao dublji pristup sistemu.
Na iOS uređajima su korištene različite taktike, kao što je iskorištavanje iCloud naloga i korištenje Find My iPhone sistema za zaključavanje pristupa uređaju. Na iOS-u 10.3, Apple je zakrpio grešku u rukovanju JavaScript iskačućim prozorima u Safariju koju su iskoristile web stranice ransomware-a. Nedavno se pokazalo da ransomware može ciljati i ARM arhitekture poput onih koje se mogu naći u raznim uređajima Internet of Things-a (IoT), kao što su industrijski IoT edge uređaji.
U avgustu 2019. godine istraživači su pokazali da je moguće zaraziti DSLR fotoaparate ransomware-om. Digitalne kamere često koriste Picture Transfer Protocol to jeste PTP – standardni protokol koji se koristi za prijenos datoteka. Istraživači su otkrili da je moguće iskoristiti ranjivosti u protokolu za zarazu ciljne kamere ransomware-om ili izvršavanje bilo kojeg proizvoljnog koda. Ovaj napad je predstavljen na Defcon sigurnosnoj konferenciji u Las Vegasu kao dokaz koncepta napada a ne kao stvarni maliciozni softver.