Útočníci v posledních letech usilují o stále vyšší efektivitu svých podvodů, a tak už tolik nepromazávají data svých obětí, ale raději hledají cestu, jak na nich vydělat. Phishing přestává zabírat, protože ho už i běžní uživatelé často rozpoznají, a tak musí být jeho autoři stále interaktivnější a vynalézavější. Na popularitě proto získávají intruzivnější metody útoků. Jednou z nich je i tzv. ransomware, který si nesmlouvavě bere za rukojmí počítač nebo v něm uložená citlivá data.
Během června se internetem rozšířila hrozba kombinující strach uživatelů z právní odpovědnosti za své počínání v digitálním světě s možností vykoupení se fiktivním odpustkem. Například společnost AVG informovala o nové variantě útoku, která předstírá, že je zprávou od policie nebo jiných bezpečnostních složek. Tvrdí, že v uživatelově počítači byl nalezen nelegální obsah a dokud uživatel nezaplatí, není mu umožněn přístup do počítače. Hackeři zneužívají jména americké FBI, jejímž jménem počítače blokují. Falešná stránka po uživateli požaduje za jeho odemčení sto dolarů. Peníze má oběť poslat na účet, který ovšem nejde vystopovat.
Pokud jste dosud měli to štěstí a s ransomwarem jste se teoreticky ani prakticky nesetkali, dodejme, že se jedná o specializovanou vyděračskou techniku, kdy útočníci pod pohrůžkou ztráty dat po obětech požadují konkrétní finanční obnos. Ransomware má k maximálnímu rozkvětu nakročeno už několik let, zprvu šlo však o jednoduché vlaštovky spíše naznačující možnosti této metody. Nyní vše nabírá na obrátkách a poslední měsíce a týdny přinášejí stále sofistikovanější útoky.
Původ označení ransomware se váže ke spojení dvou anglických slov ransom (výkupné) a software. Jak útočník svou oběť donutí, aby nakonec zaplatila? Typickým příkladem je podloudné zašifrování uživatelských dat, kdy sice oběť svá data nadále vlastní, nicméně k nim ztratí přístup. Útočník pak požaduje určitou sumu výměnou za odpovídající heslo. Princip až překvapivě jednoduchý, nicméně při kvalitním šifrování a utajení útočníkovy identity dokáže slavit úspěch. Aktuální červnové podvody ve jménu FBI však jdou ještě dále, snaží se uživatele přesvědčit o úplném zablokování počítače až do zaplacení zmíněné stodolarové částky.
Fiktivní upozornění na zablokování počítače americkou FBI. Zdroj: AVG
Nebezpečí na každém kroku
Moderní škodlivý kód z kategorie ransomwaru zpravidla koluje sítí v podobě běžných červů, a z velké části se tedy jedná o podmnožinu této stálé hrozby. Infiltrace počítače probíhá „automaticky“ přes nově zjištěné zranitelnost, nezáplatované skuliny, fiktivní aktualizace apod. Jakmile je první krok v podobě proniknutí do nového systému dokončen, přichází na řadu další činnost, která už závisí pouze na fantazii tvůrců. S železnou pravidelností však jde právě o šifrování důležitých dokumentů, zablokování přístupu nebo jiné metody, které však mají jediného společného jmenovatele: snaží se uživatele donutit zaplatit za obnovení původní funkcionality. Oproti paralelně rejdící skupině falešných antivirů tak peníze z uživatelovy kapsy putují nikoliv z důvodu uměle vyvolaného falešného strachu, ale vinou agresivnější techniky.
Jedním z nejdiskutovanějších dřívějších případů ransomwaru byl například trojský kůň Cryzip, který ukázal mimo jiné i potenciální slabiny tohoto typu škodlivého kódu. Prvním zajímavým aspektem bylo upuštění od vlastního šifrovacího algoritmu a použití poněkud pohodlnějšího řešení v podobě volání již hotového šifrování archívů ZIP. Tvůrce Cryzipu si tak v tomto ohledu ušetřil práci. Odpovídající soubory byly zašifrovány a v aktuálním adresáři vytvořen čitelný textový soubor AUTO_ZIP_REPORT.TXT, který obsahoval instrukce pro zaplacení požadované sumy 300 dolarů.
Za historicky první ransomware je obecně považován trojský kůň PC Cyborg, který na samém konci osmdesátých let minulého století uživatele vehnal do kouta velice jednoduchou historkou. Upozornil je, že licence k vybraným programům vypršela, znemožnil přístup ke stávajícím souborům a požadoval 189 dolarů za vyřešení celého problému. Přístup k datům byl však blokován jednoduchou symetrickou šifrou, a tak se jeho prolomením podařilo najít univerzální všelék. Rozšíření ransomwaru v různých podobách (v čele například s popsaným Cryzipem) přišlo přibližně v roce 2005 a nyní bohužel opět získává na popularitě.
V červnu rozšířený ransomware zneužívající jména FBI těží z automatizovaného nástroje Blackhole Exploit Kit pro nalezení a zneužití nově objevených zranitelností. Uživateli je podstrčen speciálně upravený DLL soubor, jehož zpracování se přidá mezi položky spouštěné při startu systému Windows. Po své aktivaci znemožní přístup k systémovému registru a správci právě běžících procesů, zabrání aktivnímu využití plochy a jednotlivých součástí systému, a poté zobrazí dialog upozorňující na zablokování počítače FBI a výzvu k zaplacení požadované částky.
Legendární Cryzip požadoval platbu za dešifrování dat. Zdroj: Sophos
Hrozba i do budoucna
Slibné vyhlídky by do budoucna mohl mít také vývoj ransomwaru pro mobilní platformu, například chytré telefony. Počet útoků na tato zařízení stále stoupá a jednoho dne se možná dočkáme zašifrování důležitých kontaktů, uložených zpráv i pracovních dat… Chcete svá data z mobilního telefonu zpátky? Zaplaťte výkupné a prostřednictvím SMS vám přijde odpovídající heslo. Nejde o návod, spíše pomyslnou variantu aktuálních hrozeb, které se objevují.
U ransomwaru je oproti jinému škodlivému kódu vždy zvýšené riziko toho, že postižený uživatel o svá data přijde. Pokud totiž tvůrci použijí populární scénář šifrování důležitých dokumentů některým ze spolehlivých kryptografických algoritmů, nemusí již být pro reaktivní obranu dostatečný čas a prostor. Proaktivní ochrana a prevence naopak spočívá v dodržování pravidel slušného chování při brouzdání nedůvěryhodnými webovými stránkami, případně použití antivirových komponent pro obranu v reálném čase. Samozřejmostí by se měla stát pravidelná záloha všech osobních dat a kritických dokumentů. Dá se totiž předpokládat, že právě tyto soubory budou pro záškodníka i nadále prioritou a záminkou k vydírání.