6 minute read
Ransomware jako služba: Kybernetické vydírání pro široké masy
MICHALA BENEŠOVSKÁ
RaaS (ransomware-as-a-service) je obchodní model, který zájemcům prodává nebo pronajímá viry šifrující soubory. Tito kupující nemusí mít žádné technické dovednosti, aby mohli spustit kampaně ransomwaru. Jeho provozovatelé tak již nemusejí sami iniciovat útoky na vysoké úrovni. Místo toho je mohou provádět jednotlivci bez odborných znalostí, ale s potřebnými finančními prostředky. Díky rozmachu služeb RaaS nebyla hrozba kybernetického vydírání nikdy tak dalekosáhlá.
Cílem viru ransomware je kompromitovat osobní nebo firemní systémy a požadovat výkupné za jejich aktiva. Zločinci obvykle používají k šíření ransomwaru různé taktiky:
- Podvody sociálního inženýrství obsahující škodlivé soubory nebo odkazy vedoucí na infikované stránky.
- Prolomení softwaru, které lidi oklame a přiměje je stáhnout si ransomwarový virus.
- Stažení pomocí „drive-by“, kdy uživatelé navštíví falešnou webovou stránku a škodlivý program se nainstaluje bez jejich vědomí.
- Prostřednictvím podvodů na sociálních sítích a nebezpečných zpráv instant messaging nebo SMS.
Ransomware se obvykle dostane do systému jedním z těchto distribučních kanálů a zašifruje zjištěné soubory. Poté krypto-malware požaduje výkupné, obvykle prostřednictvím kryptoměn. Zločinci tvrdí, že oběti po zaplacení obdrží dešifrovací klíč pro obnovení přístupu ke svým datům.
Mezi další znaky ransomwaru patří například:
- Zablokovaný přístup k infikovanému zařízení.
- Zašifrovaným souborům se k jejich názvům přidává nová přípona.
- Výhrůžky zveřejněním ponižujících, implicitních nebo vysoce důvěrných údajů, pokud oběti nesplní požadavky na výkupné.
Podle průzkumu ransomwaru zaznamenaly úřady v roce 2021 celosvětově 2 845 útoků ransomwaru. Přibližně 48 % z nich se zaměřilo na systémy v USA, dalšími oblíbenými cíli byly Francie a Kanada.
Co je to RaaS?
RaaS (ransomware jako služba) je v podstatě obchodní záležitost, kdy hackeři prodávají své ransomwarové nástroje dalším zájemcům. Tito jedinci nepotřebují speciální dovednosti, aby mohli škodlivý software pustit do akce. Do rukou prakticky kohokoliv se tak mohou dostat nebezpečné nástroje, které mohou napáchat nemalé škody.
Vývojáři RaaS a potenciální distributoři navazují obchodní vztahy, které připomínají běžné obchodní vztahy napříč distribučním řetězcem. Každý partner může obdržet osobní kód RaaS s vloženým jedinečným ID. Například REvil RaaS nabízí partnerovi 30 % výdělku, který se po třech úspěšných útocích zvýší na 40 %.
V odvětví RaaS figuruje několik velkých jmen. Jedním z nich je i služba DarkSide, která se prezentuje kulturou startupu a stínovou profesionalitou. Zajímavým zaměřením těchto provozovatelů ransomwaru je citlivá komunikace neboli „dobrý zákaznický servis“.
Týká se to tedy snahy o co nejhladší průběh placení výkupného prostřednictvím specializovaných chatovacích systémů nebo e-mailu. Zástupci RaaS také zaručují, že výměnou za to dostanou dešifrovací software. V žádném případě to však neznamená, že by oběti měly platit výkupné. Koneckonců to jen posouvá odvětví RaaS kupředu.
Jak většina RaaS funguje?
Kromě partnerského modelu, kdy každá strana dostává stanovené procento z výdělku, existují i další modely RaaS.
- Na základě předplatného. Někteří poskytovatelé RaaS mohou podporovat roční nebo měsíční platby za přístup ke svému krypto-malwaru.
- Doživotní licencování. Je také možné, že rádoby hackeři mohou provádět jednorázové platby výměnou za plné sady ransomwaru. Takové nákupy budou samozřejmě pravděpodobně nejdražší.
- Vzácnějším případem je přeměna distributorů na plnohodnotné partnery na plný úvazek. Důvodem mohou být dovednosti nebo odborné znalosti, kterými přispěli k projektu. Takové partnerství pravděpodobně vede k rovnoměrnému rozdělení výdělku.
Průběh škodlivých kampaní pomocí RaaS
Spolupracovníci RaaS se pravděpodobně budou muset vypořádat s distribucí škodlivých zátěží. Phishing je jedním z nákladově efektivních způsobů šíření ransomwaru, což znamená, že většina kampaní probíhá přes klamavé e-maily nebo zprávy. Životaschopné jsou však i jiné cesty, například zveřejnění bezplatného stažení prémiového a velmi populárního softwaru.
Útoky využívající zakoupený RaaS tedy budou pravděpodobně probíhat v řadě kroků (po výběru poskytovatele RaaS):
Spolupracovníci si vyberou konkrétní nebo více distribučních kanálů pro škodlivý software.
Poté vytvoří věrohodné scénáře, například falešné e-mailové zprávy. Pokud si cílové osoby stáhnou škodlivé soubory nebo kliknou na infikované odkazy, ransomware se dostane do systému.
Virus začne řádit, zašifruje soubory, zablokuje přístup a přidá pokyny k zaplacení výkupného. Obvykle hackeři uvádějí své požadavky v souboru TXT, který oběti otevřou na svém zařízení.
Vydírání RaaS může fungovat dvěma způsoby. Jeden vyžaduje platbu za dešifrovací klíč/software k souboru. Druhým je hrozba úniku citlivých nebo dokonce potenciálně usvědčujících informací.
Oběti platí osvědčenými způsoby: nevystopovatelnými možnostmi platby, jako jsou kryptoměny. Záměrem je zde zamlžit trajektorii finančních prostředků a zabránit tak odhalení vývojářů nebo partnerů RaaS.
Zaplacené částky mohou plně patřit spolupracovníkům, pokud si zakoupí možnost doživotní licence. V ostatních případech obdrží procento z výdělku.
Odborníci varují, že by se oběti měly placení výkupného vyhnout. Placení pouze inspiruje a financuje budoucí útoky. Odborníci předložili návrhy směřující k tomu, aby byly platby výkupného nezákonné. Ten však vyžaduje robustní systém podpory obětí RaaS, včetně jednotlivců, podniků a dalších institucí.
Obrana proti RaaS: není třeba platit výkupné
Prevence ransomwaru není vždy možná. Jednotlivci a firmy proto musí investovat prostředky a čas do zajištění odolnosti svých zařízení. V podstatě to znamená zabezpečit aktiva tak, aby škody způsobené krypto-malwarem nebyly tak závažné.
Jak na to?
- Pravidelné zálohování dat. Existuje mnoho možností vytváření záloh důležitých souborů. Můžete zvolit jednoduchou volbu, jako je ukládání dat na externí USB úložiště. Můžete však také sáhnout po cloudových úložných řešeních.
- Udržujte aktualizovaný software. Malware se někdy dostane do systémů díky zranitelnostem nebo mezerám v zabezpečení. Proto je zásadní používat aktualizace operačního systému a jednotlivých softwarových aplikací.
- Neprovádějte interakci s podezřelými zprávami. Pokud obdržíte podezřelé zprávy nebo e-maily, neodpovídejte na ně. Hackeři často používají zastrašovací taktiky, kterými podněcují k neuváženým rozhodnutím. Proto věnujte minutu nebo dvě času kontrole, než otevřete soubory nebo odkazy.
- Software stahujte pouze ze spolehlivých zdrojů. Do systému by se nikdy neměly dostat cracknuté nebo pirátské programy. Nejenže jsou nelegální, ale jejich příchodem se do systému mohou dostat viry.
- Pořiďte si další nástroje pro ochranu online. Je třeba chránit každou činnost, kterou provádíte online.
- Například připojení k bezplatné Wi-Fi nebo nevědomé navštěvování falešných webových stránek může vést k napadení.
Poté, co si všimnete nevyžádaných změn ve svém zařízení a souborech, je zásadní nepanikařit a nedělat ukvapená rozhodnutí. Zde je jednoduchý návod, jak přežít útok ransomwaru:
- Udělejte si snímek obrazovky svého zařízení. Ujistěte se, že jsou viditelné prvky, jako jsou přípony přidané k zašifrovaným souborům. To může pomoci rozpoznat přesný RaaS a bezpečné způsoby, jak získat data zpět.
- Vypněte systém. Odpojte infikované zařízení od sítě, abyste zabránili šíření viru na další připojená zařízení.
- Zkontrolujte, zda jsou k dispozici dešifrovací nástroje. Existují bezplatné možnosti dešifrování, které vytvořili odborníci. Zjistěte si informace o tom, zda má konkrétní kmen ransomwaru speciální nástroj.
- Identifikujte vektor útoku. Určení zdroje nemusí být vždy možné. Možná si však vzpomenete na otevření pochybných e-mailů.
- Upozorněte úřady. Útoky ransomwaru je důležité nahlásit orgánům činným v trestním řízení. Získáte také rady pro zmírnění následků a podporu pro řešení incidentu.
