6 największych ataków ransomware w ciągu ostatnich lat

Największe ataki ransomware, jaki odnotowano w ciągu ostatnich pięciu lat, pokazują, jak zagrożenie tego typu ewoluowało od ciekawostki po potężne niebezpieczeństwo.


Malware - czyli oprogramowanie biorące "w niewolę" pliki na zainfekowanej maszynie - nie jest niczym nowym. Już w 1991 pojawił się PC Cyborg - pierwszy przedstawiciel tego gatunku. Był dystrybuowany poprzez dyskietki i intranet pomiędzy placówkami naukowymi prowadzącymi badania nad AIDS. W połowie 2000 roku działał Archiveus - pierwszy szkodnik ransomware, używający szyfrowania. Został rozpracowany lata temu, w 2006 roku i obecnie hasło dostępu do zaszyfrowanych plików możesz znaleźć nawet na Wikipedii - brzmi ono: mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw. Na początku drugiej dekady XXI wieku pojawiła się seria "policyjnych" pakietów ransomware, w których wzywano ofiarę do zapłacenia "mandatu", aby odblokować pliki. Zapoczątkowały one nową epokę ransomware - anonimowych płatności online, dzięki czemu twórcy szkodników mogli uniknąć odpowiedzialności. Po 2010 roku pojawił się nowy trend: wymuszanie płatności w kryptowalutach. Większość wymuszeń dotyczy płacenia w Bitcoinach, najbardziej cenionej kryptowalucie, aczkolwiek wahania jej kursu sprawiły, że cyberprzestęcpy zaczęli przyjmować okup również w innych.

Przez lata ransomware zmieniło się z ciekawostki w poważne zagrożenie i korzystają z niego nie tylko przestępcy, ale również - oczywiście nieoficjalnie - agencje rządowe i szpiegowskie. Oto lista sześciu największych ataków tego typu na przestrzeni ostatnich pięciu lat.

1. TeslaCrypt

TeslaCrypt to jeden z wariantów CryptoLockera, który pojawił się w 2013 roku. Jest wyspecjalizowany w braniu do niewoli plików powiązanych z grami, czyli - zapisów gier, map, pobranej zawartości, itp. Pliki tego typu są bezcenne dla miłośników cyfrowej rozrywki i przeważnie przechowywane są lokalnie, a nie w chmurze. W 2016 roku to właśnie TeslaCrypt odpowiadał za 48% wszystkich globalnych ataków ransomware. Szkodnik ten był o tyle groźny, że nie pomagały na niego żadne metody i bez hasła nie można było w żaden sposób odzyskać zaszyfrowanych plików. Ale niespodziewanie w twórcy szkodnika stwierdzili, że... kończą z tą zabawą i udostępnili publicznie klucz do zaszyfrowanych treści!

2. SimpleLocker

Im więcej cennych plików pojawiało się na smartfonach, tym więcej odnotowywano mobilnych ransomware. Android stał się ulubionym celem ataków pod koniec 2015 i na początku 2016 roku, gdy czterokrotnie zwiększyła się liczba znanych szkodników ransomware na ten system mobilny. Wiele z nich było tak zwanymi "blockerami" - nie dopuszczały użytkowników do plików poprzez blokowanie pewnych funkcji w interfejsie. SimpleLocker pojawił się pod koniec 2015 i był wyjątkowo agresywny - całkowicie blokował dostęp do wszystkich plików na urządzeniu. Jest to pierwszy znany ransomware, który był pobierany za pośrednictwem uprzednio zainstalowanego w systemie trojana, co znacznie utrudniało jego wykrycie przez inżynierów bezpieczeństwa. Za miejsce jego powstania uznawana jest Europa Wschodnia, ale 3/4 ofiar odnotowano na terenie USA.

SimpleLocker w 2016 roku zainfekował ok. 150 tysięcy urządzeń. Większość z nich poprzez fałszywe aplikacje oraz treści spoza sklepu Google Play. I choć Google pracuje nad systemem, który rozpoznawałby zagrożenia w pozornie niewinnych aplikacjach, niektóre wciąż się przedostają do sklepu.

3. WannaCry

W połowie 2017 roku na świecie uderzyły dwa powiązane ze sobą ataki ransomware, których skutkiem było m.in. zablokowanie szpitali na Ukrainie oraz stacji radiowych w USA. Dwa główne ataki zostały przeprowadzone przez WannaCry, okrzykniętego przez Avast "najbardziej groźnym szkodnikiem w historii". 12 maja odnotowano go po raz pierwszy w Europie, a zaledwie cztery dni później był obecny na ponad 250 tysiącach maszyn w 116 krajach oraz ponad 150 000 urządzeń z Androidem. Ale stoją za nim nie tylko liczby, ale również fakt, że "pierwsza fala ataków używała narzędzi hakerskich, stworzonych przez NSA" - jak zdradził Joe Partlow z ReliaQuest. Szkodnik korzystał z exploita znajdującego się we wprowadzonej przez Microsoft implementacji protokołu SMB. Microsoft szybko załatał dziurę, ale wielu użytkowników nie wprowadziło poprawki. A WannaCry rozprzestrzeniał się agresywnie pomiędzy urządzeniami podpiętymi do sieci, ponieważ do dalszych infekcji nie potrzebna była żadna interakcja z użytkownikiem. Wiele organizacji i firm miało port 445, używający SMB, otwarty na internet, co pomogło w rozplenieniu się szkodnika.

4. NotPetya

Jeżeli przyjąć, że WannaCry był początkiem "nowej epoki ransomware", NotPetya stało się jej potwierdzeniem. Petya po raz pierwszy została odnotowana w 2016 roku, a kilka tygodni po pojawieniu się WannaCry została zaktualizowana. Specjaliści ds bezpieczeństwa określili modyfikację jako NotPetya, aby uniknąć pomyłek, gdyż była tak rozbudowana, że diametralnie różniła się od oryginału. Pogłoski mówiły, że nie jest to ransomware, ale narzędzie rosyjskiego ataku na Ukrainę.

Varun Badhwar, szef i założyciel RedLock, widzi w tym przestrogę: "było dużo dyskusji na temat tego, kto stoi za atakami WannaCry. Ale wiedza o twórcach ransomware nie zapobiega pojawianiu się kolejnych szkodników tego typu. Narzędzia do tworzenia malware i wyszukiwania exploitów są łatwo dostępne w internecie i każdy może z nich korzystać - zaczynając od uczących się skryptowania dzieciaków, kończąc na zorganizowanych grupach przestępczych i hakerach zatrudnianych przez rządy. Szybkość rozprzestrzeniania się NotPetya pokazała, że cyberbezpieczeństwo nie stoi jeszcze na tym poziomie, na jakim powinno. Najlepszą ochronę daje monitorowanie w czasie rzeczywistym ruchu sieciowego w infrastrukturze chmurowej w połączeniu z narzędziami, które automatycznie monitorują ruch sieciowy."

5. SamSam

Ataki przy użyciu oprogramowania znanego pod nazwą SamSam rozpoczęly się w 2015 roku, ale ich efekty zaczęły być odczuwalne dopiero kilka lat później, gdy zaszkodziły Departamentowi Transportu stanu Kolorado, sparaliżowały komputery miasta Atlanta, a także wielu zakładów związanych z ochroną zdrowia. W przeciwieństwie do poprzedników, SamSam miał inną taktykę - zamiast uderzać w znane luki, działał na zasadzie ransomware-as-a-service. Badał cierpliwie wszystkie zabezpieczenia w wybranym celu, a gdy znalazł lukę, wpuszczał za jej pomocą szkodnika. Ten zaś, będąc w systemie, umożliwiał nadanie cyberprzestępcy uprawnień pozwalających na zaszyfrowanie plików - i gotowe.

Choć eksperci podejrzewają, że SamSam pochodzi z Europy Wschodniej, większość jego ataków uderzyła w instytucje w USA. Pod koniec 2018 roku amerykański Departament Sprawiedliwości oskarżył dwóch Irańczyków o stanie za atakami, ktore spowodowały łączne straty w wysokości 30 milionów dolarów. Nie jest jasne, czy rzeczywiście zapłacono tyle okupu. Władza Atlanty pokazały zrzuty ekranu z żądaniami zapłaty, przesłane za pomocą pewnego komunikatora, który został wkrótce zamknięty, jednak okup nie został zapłacony.

6. Ryuk

Ryuk to kolejny ukierunkowany atak ransomware, który odnotowywano w 2018 i 2019 roku - ofiarami stały się m.in. gazety (zainfekowane zostały maszyny Los Angeles Times) oraz instytucje w wyniszczonej przez huragan Florence Karolinie Północnej. Ryuk potrafił wyłączyć opcję przywracania systemu na zainfekowanej maszynie z systemem Windows, co uniemożliwiało cofnięcie zmian spowodowanych przez ransomware. Żądano bardzo wysokiego okupu za klucz deszyfrujący - nic dziwnego, biorąc pod uwagę budżet posiadany przez zaatakowane instytucje. Warto zauważyć, że główne ataki przeprowadzono w okresie bożonarodzeniowym. Analitycy twierdzą, że do stworzenia ransomware zostały wykorzystane duże fragmenty kodu Hermes, który został stworzony przez północnokoreańską grupę hakerów Lazarus. Nie oznacza to jednak, że Ryuk stworzono w tamtym kraju. McAfee podaje, że kod został zakupiony przez kogoś posługującego się językiem rosyjskim, a szkodnik nie atakował komputerów, w których językiem podstawowym był rosyjski, białoruski i ukraiński.

Warto wspomnieć - CryptoLocker

CryptoLocker pojawił się w 2013 roku i zapoczątkował "epokę ransomware". Rozprzestrzeniał się wówczas dziś doskonale znaną nam metodą spreparowanych załączników w wiadomościach e-mail i używał publicznego klucza szyfrowania RSA, aby blokować pliki użytkownika. Za ich odblokowanie żądał oczywiście okupu. Jonathan Penn, dyrektor strategiczny Avast, odnotował, że przez cały 2013 i na początku 2014 infekcji uległo ponad 500 000 maszyn. CryptoLocker był - patrząc na dzisiejsze standardy - bardzo prymitywny i został zniszczony w trakcie Operacji Tovar, które zniszczyła botnet kontrolowany przez szkodnika oraz ujawniła klucze używane przez niego do szyfrowania plików. Ale, jak zauważa Penn, to ransomware otworzyło szeroką bramę dla dziesiątków naśladowców, z których wielu bazowało na kodzie CryptoLockera. Jego różne odmiany wymusiły w 2015 roku ok. 3 milionów dolarów okupów, z czego jeden z nich - CryptoWall - zagarnął połowę tej sumy.

Zmiany na lepsze?

Od 2018 roku zauważa się spadek ilości ransomware w sieci. Jak pokazują statystyki, w 2017 roku 48% organizacji w USA doświadczyło takich ataków, ale w 2018 były ich zaledwie 4%. Składa się na to kilka czynników - ransomware jest często kierunkowany na konkretny rodzaj działalności bądź konkretne ofiary (jak SamSam czy Ryuk). Choć wspomniane 48% to dużo, należy pamiętać, że w tej liczbie znajdują się firmy, które dostały phishingowe e-maile, wykryte przez zabezpieczenia lub firmowy dział IT. Ponadto należy zauważyć, że mniejsza ilość udanych ataków nie oznacza mniejszego zysku cyberprzestępców. Ale również i pośród nich ransomware stał się passe - aby zapłacić okup, ofiara musi wykonać kilka skomplikowanych czynności, zaczynając od zapoznania się z tym, jak działają BitCoiny, co wymaga nierzadko dłuższego czasu, a często zamiast płacić przestępcom, sięgają po pomoc specjalistów.

No i w końcu łatwiej zarobić BitCoiny poprzez cryptojacking - ta metoda to wpuszczenie bitcoinminera do komputera ofiary, a gdy zaczyna działać, wykorzystuje zasoby maszyny do pomocy w kopaniu kryptowaluty. Hakerzy używający tej metody korzystają z tych samych skryptów, których używają spamerzy oraz wykorzystywane są do ataków DDoS. O ile liczba ataków ransomware spada od dwóch lat, o tyle cryptojacking wzrasta w zastraszającym tempie - w ubiegłym roku liczba ataków tego typu była o 450% wyższa, niż w 2017! Dlatego w tej chwili ten rodzaj ataków jest uznawany za najpoważniejsze zagrożenie.