Ransomware coraz bezczelniejsze: jeśli nie zapłacisz okupu, to upublicznią twoje dane
Szkodniki typu ransomware stały się częścią internetowejcodzienności – pomimo ulepszeń w oprogramowaniu antywirusowym niemaleje liczba ofiar, którym szyfrują one dane, żądając następnieokupu za ich odszyfrowanie. O ile firmy i organizacje zwykle w takichsytuacjach pokornie płacą, to wiele osób prywatnych potrafipogodzić się ze stratą, uznając, że ich dane po prostu nie sąwarte płatnych w bitcoinach kilkuset dolarów. A co, gdyby szkodnikzagroził, że w razie niezapłacenia okupu zaszyfrowane dokumentyzostaną ujawnione światu? Czy naprawdę nie mamy się czegowstydzić, czego obawiać?
06.11.2015 09:55
Niemieckie stowarzyszenie branży internetowej eco utrzymujeusługę Anti-Botnet Beratungszentrum, której celem jest zbieranieinformacji o złośliwym oprogramowaniu i ograniczanie skutkówcyberataków. Niedawno dzięki niej pochwycono próbkirobaka, który otrzymał nazwę „Chimera” – i który wydajesię być jak dotąd najbardziej zaawansowanym szkodnikiem typuransomware. Na swój cel bierze tak firmy, jak i osoby prywatne,rozsyłając targetowane e-maile, udające oferty pracy lub zapytaniaofertowe. W nich znajduje się sprytnie osadzony link do dokumentówprzechowywanych na Dropboksie.
Jak można się spodziewać, zaraz po otworzeniu dokumentu wpodatnym na atak oprogramowaniu, Chimera rozpoczyna pracę i zaczynaszyfrować dane użytkownika, zarówno lokalnie, jak i na zmapowanychzasobach sieciowych. Po pierwszym restarcie maszyny na pulpiciezobaczymy żądanie niemałego okupu – za klucz do deszyfracjidanych autorzy Chimery chcą ponad 600 euro (ok. 1,8 bitcoina poobecnym kursie).
Nawet kopia zapasowa nie chroni przed Chimerą. W żądaniu okupuporywacze danych informują, że jeśli pieniądze nie wpłyną naich konto w terminie, to dane te zostaną udostępnione publicznie.Na razie nic nie wiadomo, by twórcy Chimery zrealizowali swojepogróżki, ale dla wielu firm, a także wielu prywatnychużytkowników może to być katastrofa. Co prawda Niemcy radzą(wbrew temu, co radzi amerykańskie FBI), by nigdy nie płacićcyberprzestępcom, obiecują, że firmy z branży bezpieczeństwadostarczą w końcu jakieś narzędzie deszyfrujące, ale wydaje sięto naiwnym hurraoptymizmem. Nawet narzędziedeszyfrujące, które zaoferował Kaspersky Lab, działa tylkodlatego, że policji holenderskiej udało się przejąć zawierająceklucze serwery dowodzenia i kontroli – nie ma tu mowy o żadnymprzełomie kryptoanalitycznym. Nie ma co liczyć na to, żenapastnicy po raz drugi popełnią ten sam błąd.
Interesująca za to wydaje się kwestia realności takiegoporwania danych na zewnątrz. Dotąd robaki szyfrowały całegigabajty danych, które przechowywane były tylko lokalnie.Skopiowanie tego na zewnętrzny host jest przy dzisiejszych łączachinternetowych całkowicie możliwe, jednak wymagałoby od napastnikówsporych inwestycji w infrastrukturę. Może to właśnie okaże sięsłabym punktem Chimery – generowany przez nią ruch sieciowymusiałby być na tyle duży, że łatwo byłoby go namierzyć izneutralizować.