fb
IT Systems 1-2/2019 IT Security 22. 3. 2019 8:45

Přijde letos velký comeback ransomwaru?

RansomwareV roce 2018  vévodil kybernetickým hrozbám cryptojacking, tedy skrytá těžba kryptoměn na infikovaných zařízeních. Naopak hrozba ransomwaru se loni nečekaně vytratila z čela žebříčku kybernetických hrozeb. Pravděpodobně jen dočasně a v roce 2019 čekejme návrat ransomwaru na výsluní kybernetických rizik.

WannaCry, NotPetya, BadRabbit. To jsou jen tři neznámější druhy vyděračského ransomwaru, které v roce 2017 vyděsily doslova celý svět. Ochromily činnost nemocnic, veřejné i nákladní dopravy, ale také energetických společností. Bezpečnostní experti předpokládali, že hrozba ransomwaru bude dále stoupat a že v roce 2018 přijde vlna dalších, ještě ničivějších útoků. Nestalo se. Ransomware se loni z čela žebříčku kybernetických hrozeb takřka vytratil a vystřídal ho cryptojacking – skrytá těžba kryptoměn.

Cryptojacking jako sezónní záležitost?

Co to je vlastně cryptojacking a kde se vzal? V podstatě jde o odpověď na masivní růst ceny Bitcoinu zejména v druhé polovině roku 2017, kdy se o těžbu kryptoměn začali ve větší míře zajímat i kyberzločinci. Vymysleli způsob, jakým využít výpočetní výkon cizích počítačů pro vlastní těžbu kryptoměn. Stačilo spustit vlnu škodlivých kampaní, při nichž pomocí trojanů natáhli do infikovaných zařízení těžební malware a skrytě na pozadí spustili těžbu. Uživatel, a často šlo i o firmy nebo veřejné úřady, si nemusel ničeho všimnout. Malware pouze kradl část výpočetního výkonu počítače a elektřinu vynaloženou na tento výkon.

Útočníci však nešíří malware se skripty pro těžbu kryptoměn pouze do počítačů a notebooků. Vyplatí se jim napadat i další chytrá zařízení, jako jsou IP kamery nebo samotné routery. Platí totiž, že tyto přístroje bývají mnohem méně zabezpečeny než počítače, takže je snadné do nich proniknout. Sice nejsou tak výkonné jako počítače nebo notebooky, ale lze jich využít pro distribuci e-mailů se škodlivou přílohou dalším uživatelům, která může ransomware nebo právě coinminery obsahovat.

Cryptojacking se nevyhýbá ani smartphonům. V jejich případě může pomoci používání webového prohlížeče Opera nebo Opera Mini, který dokáže zablokovat škodlivé skripty dříve, než začnou na zařízení nelegálně těžit kryptoměny. Blokování reklam a skriptů se dá zapnout i v nastavení aplikace. Pokud používáte iPhone, u prohlížeče Safari můžete použít „1blocker“. Uživatelé prohlížeče Safari uvítají doplněk „No Miner“.
Konkrétně v České republice se z těžebních malwarů šířil zejména JS/CoinMiner, který v lednu 2018 představoval plnou třetinu všech zachycených škodlivých kampaní. Začátkem roku 2018 se ale nezřídka dostal i nad 50 procent, takže šlo opravdu o výjimečně silnou kampaň. Jakmile JS/CoinMiner infikuje zařízení, stáhne do něj škodlivý skript pro Windows Management Instrumentation, který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému. Tím je zajištěna neustálá skrytá těžba kryptoměn vždy, když je zařízení zapnuto.

Návrat ransomwaru na výsluní

Vlna cryptojackingu vrcholila začátkem roku 2018, poté začal tento fenomén postupně mizet. Souvisí to s pádem cen kryptoměn, kdy se například Bitcoin dostal na historická minima a prakticky se nevyplácelo jej již těžit. Zdá se tedy, že znovu přichází čas ransomwaru, který by letos mohl začít velký comeback. Jen už to nemusí být jenom na počítačích nebo noteboocích.
Již na sklonku roku 2017 přišla první varování, že se tvůrci ransomwaru více zaměří na chytrá mobilní zařízení. Dává to logiku: uživatelé se stále častěji přesouvají z klasických desktopů k tabletům, a především k smartphonům. Mobilní zařízení jsou zároveň výrazně méně chráněna bezpečnostním softwarem než počítače nebo notebooky.

Zatímco u desktopových zařízení je míra zabezpečení takřka stoprocentní, smartphone nebo tablet si chrání ani ne polovina uživatelů. Hrozba ransomwarového útoku je přitom u všech zařízení stejně velká. Z mobilních zařízení jsou nejvíce ohrožena ta, která používají nejrozšířenější operační systém Android. Nejčastěji čelí třem hlavním kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům.
V případě lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo. Změní jej tak, že se skutečný majitel do zařízení nedostane.

Crypto ransomwar navíc obsah infikovaného zařízení zašifruje.
„Mobilní“ ransomware se často šíří ve formě aplikace, která vypadá, jako by byla legitimní. Obvykle jde o nějakou hru nebo pornografii – tím se zvyšuje šance, že si škodlivý kód stáhne co největší počet uživatelů. Aby zařízení zůstalo infikováno co nejdéle, snaží se útočníci prostřednictvím škodlivé aplikace získat administrátorská práva. K tomu musí oklamat oběť tak, aby tato práva aplikaci aktivovala. Dělají to například napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva.

Starý dobrý zavirovaný e-mail

Z čeho vycházíme, když předvídáme další velký nástup ransomware kampaní? Důkazem je například nový ruský ransomware Shade, zvaný též Troldesh, který se objevil ve větší míře v lednu letošního roku. Šíří se formou škodlivých javascriptových příloh u nevyžádaných e-mailů. Detekujeme jej jako Win32/Filecoder.Shade. Tato kampaň se poprvé objevila v říjnu 2018, ve větší míře se projevovala okolo Vánoc a naplno se rozjela v polovině ledna 2019. Shade potvrzuje nastupující trend návratu škodlivých příloh v JavaScriptu, což je velmi často používaný vektor útoku. Nejpostiženější zemí bylo Rusko, útočníci však cílili i na Ukrajinu, Francii, Německo a Japonsko.

Jak tento útok probíhá? Oběti přijde e-mail v azbuce s připojeným ZIP souborem, který nese název „info.zip“ nebo „inf.zip“. Na první pohled jde o nevinnou zprávu, která má představovat aktualizaci objednávky zboží nebo služeb a jakoby navazuje na předchozí legitimní komunikaci oběti. Zachycené škodlivé e-maily se vydávaly za ruskou banku B & N Bank nebo obchodní řetězec Magnit.
Konkrétní zpráva vypadala například takto: v předmětu bylo napsáno „Podrobnosti o objednávce“. Text e-mailu zněl: „Zdravím! Posílám vám podrobnosti o objednávce. Dokument je přiložen. Denis Kudrašev, manažer“. Zazipovaná příloha obsahovala javascriptový soubor nazvaný „Information.js“. Po stažení a spuštění se do napadeného zařízení načetl malware, který ESET detekuje jako Win32/Injector. Ten poté do zařízení stáhl a aktivoval ransomware Shade.

Z našeho pohledu jde o návrat ke starší formě šíření malwaru (primárně filecoderů/ransomwarů) prostřednictvím škodlivých příloh e-mailů. Příloha obvykle obsahuje ZIP archiv s javascriptovým downloaderem, který po spuštění stáhne a aktivuje finální payload. Momentálně se tato metoda vrací na scénu po víc než roční pauze.. Menší kampaň, která šířila Filecoder.GandCrab, odstartovala již mezi vánočními svátky a potom prudce rostla od začátku nového roku. Mezitím se objevila specifická kampaň Filecoder.Shade zaměřená na Rusko, která zůstala určitou dobu bez povšimnutí. Domníváme se, že za ní stála jiná skupina než za Filecoder.GandCrab, protože tato kampaň byla sofistikovanější.

Kampaň cílená na Česko je jen otázkou času

Tvůrci Filecoder.Shade měli malware rozmístěný na infikovaných webech po celém světě a využili k jeho šíření patrně botnet, protože pokusy o průnik do počítačů byly dost masivní a zaznamenali je například i na Slovensku. Uživatelé se mohou před touto kampaní bránit tak, že si ověří pravost e-mailů před otevřením přílohy nebo kliknutím na zaslané odkazy. Jednodušší situaci mají uživatelé Gmailu, protože ten již dva roky automaticky blokuje všechny javascriptové přílohy v odesílaných i přijímaných e-mailech. Ti, co používají jiné e-mailové služby, se musí spolehnout na vlastní intuici – banka s uživateli e-mailem prakticky nekomunikuje – nebo kvalitní bezpečnostní software, který dokáže detekovat škodlivé soubory v JavaScriptu.

Ze způsobu šíření ransomwaru Shade plyne, že útočníci cílí na širší masu uživatelů a Rusko bude patrně pouze začátkem větší kampaně, jež by mohla zasáhnout i střední Evropu včetně České republiky. Ze zkušenosti a historie se domníváme, že je to jen otázka času, kdy vznikne specifická kampaň zaměřená na střední Evropu. Z principu věci vyplývá, že bude primárně zacílená na firmy. Filecoder.GandCrab mezi vánočními svátky také mířil na firmy v Německu. Výtěžnost takových kampaní je mnohonásobně vyšší než u individuálních uživatelů. Ať už jde o firmy nebo jednotlivce, nikdo by rozhodně neměl podceňovat správné zabezpečení koncových zařízení a také zálohování dat.

Pavel Matějíček
Autor článku je manažerem technické podpory společnosti ESET.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1