Ransomware

Reading Time: 3 minutes

Jak działa RANSOMWARE?

Aby zwiększyć cierpienia ofiary, ransomware często zawiera zegar odliczający z terminem zapłaty okupu – albo klucz do odszyfrowania zostanie zniszczony, co eliminuje wszelkie szanse na odzyskanie.
Płacenie okupu oznacza często, że osoba atakująca odblokuje maszynę ofiary lub dostarczy klucz do odszyfrowania plików. Jednak w tym przypadku rzadko oznacza złośliwe binarne pochodzenie, “ransomware.exe” w powyższym przykładzie, został usunięty. To będzie wymagało wsparcia IT i SecOps.

Atak niekoniecznie musi się skończyć. Osoby atakujące często ładują dodatkowe złośliwe oprogramowanie na komputerze użytkownika, co umożliwia gromadzenie informacji osobistych, własności intelektualnej i poświadczeń, które mają sprzedawać za dodatkowe dochody.

Ransomware jest podobny do innego złośliwego oprogramowania, ponieważ instaluje się na komputerze i działa w tle bez wiedzy użytkownika. Ale w przeciwieństwie do złośliwego oprogramowania, które ukrywa i przechwytuje cenne informacje, ransomware nie ukrywa się. Gdy ransomware zablokuje komputer użytkownika i / lub zaszyfrowane pliki, powiadomi użytkownika o jego obecności w celu zażądania okupu.

Ransomware może przyjmować różne formy, ale w istocie nie pozwala na dostęp do urządzenia lub plików, dopóki nie zostanie zapłacony okup.

Omawiamy ransomware jako złośliwe oprogramowanie komputerowe, które szyfruje pliki użytkownika lub firmy i zmusza go lub ją do zapłaty opłaty dla hakera w celu odzyskania dostępu do własnych plików. Hakerzy przede wszystkim używają następujących wektorów, aby zainfekować komputer: phishing e-maile, nie zaktualizowane programy, włamania na strony internetowe by zainfekować wchodzących, zatrute reklamy online i pobieralnie bezpłatnych plików i programów.

Ransomware nie tylko szyfruje pliki na stacji roboczej, oprogramowanie jest wystarczająco inteligentne, aby podróżować przez sieć i szyfrować dowolne pliki znajdujące się na zarówno na zmapowanych, jak i niezablokowanych napędach sieciowych. Może to doprowadzić do katastroficznej sytuacji, w wyniku której jeden zainfekowany użytkownik może wstrzymać wydział lub całą organizację. Wyobraźmy sobie system prawny lub system rachunkowości, który ma wszystkie szyfrowane pliki klienta. To się dzieje coraz częściej.
Gdy pliki są szyfrowane, hakerzy będą wyświetlać jakiś ekran lub stronę internetową wyjaśniając, jak zapłacić, aby odblokować te pliki. Dodatkowo ransomware zazwyczaj ma jeden tydzień terminu, który po jego upływie powoduje wzrost okupu. Większość opłat zaczyna się od 300 do 500 dolarów, a po upływie terminu prawdopodobne jest, że wzrośnie do ponad 1000 dolarów.
Płacenie okupu niezmiennie polega na płaceniu formy e-waluty (cryptocurrency), takiej jak Bitcoin, zwanej również BTC. Gdy hakerzy sprawdzą płatności, dostarczają oprogramowanie “decryptor”, a komputer rozpoczyna żmudny proces odszyfrowywania wszystkich plików.

Oto przykład ataku pochodzącego ze spreparowanego maila.

1. Użytkownik końcowy otrzymuje e-mail, który wydaje się być od szefa. Zawiera adres URL do aplikacji SaaS, takiej jak Salesforce, Workday lub ZenDesk.
2. Link otwiera okno przeglądarki i kieruje użytkownika do witryny, która wydaje się legalna. To właściwie strona docelowa zestawu exploitów, który znajduje się w domenach najwyższego poziomu .co .cc (TLD).
3. Po załadowaniu strony serwer internetowy obsługujący zestaw exploitów zaczyna komunikować się z ofiarą. Serwer wysyła żądania dotyczące wersji oprogramowania, na przykład Java, w celu znalezienia słabej wersji, dla której zestaw ma exploit.
4. Po potwierdzeniu wersji słabej wersji zestaw próbuje wykorzystać tę usterkę. Gdy uda się, pakiet exploitów popycha złośliwy plik .EXE – nazwijmy to “ransomware.exe”. Następnie próbuje wykonać złośliwy binarny plik na zainfekowanej maszynie.
5. Z tego procesu binarne wersje procesów potomnych, w tym vssadmin.exe (shadow Copy), usuwają istniejące cienie na zainfekowanej maszynie i tworzą nowe, aby się ukryć. Osoba atakująca robi to w celu ograniczenia możliwości odzyskania plików przez ofiara używając Shadow Copies, które Windows przechowuje w systemie.
UWAGA: włączenie procesu podrzędnego zawierającego kopie woluminów w tle jest zachowaniem nowego wariantu Blokady.
6. Binaria tworzą również plik wykonywalny PowerShell, który ma rozpowszechniać swoje kopie w całym systemie plików. Plik wykonywalny wyszukuje także w systemie plików – pliki określonych rozszerzeń i zaczyna szyfrować te pliki.
7. Proces potomny programu PowerShell.exe tworzy trzy kopie binarnego kodu źródłowego pochodzącego z katalogu, a następnie w katalogu Start, a następnie w katalogu głównym C: \. Te kopie są używane w połączeniu z modyfikacjami rejestru, aby uruchomić spowrotem złośliwe oprogramowanie podczas wyłączenia i restartu systemu oraz zdarzeń logowania.
8. Po zaszyfrowaniu plików ofiary złośliwe oprogramowanie wysyła klucz szyfrowania i inne informacje specyficzne dla hosta z powrotem do serwera sterującego poleceniami.
9. Serwer następnie wysyła wiadomość do ofiary. Może to być prosty “ostrzegający użytkownika o szyfrowaniu i wskazówkach dotyczących wypłaty”. Mogą to być również wskazówki, które powodują pobranie dodatkowego złośliwego oprogramowania, co umożliwia atakującemu kradzież poświadczeń od ofiary.