Το ransomware είναι ένας τύπος κακόβουλου λογισμικού που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να κλειδώσουν και να κρυπτογραφήσουν συστήματα και δεδομένα των θυμάτων. Στη συνέχεια, οι επιτιθέμενοι ζητούν από τα θύματα χρήματα, δηλαδή λύτρα, προκειμένου να αποκρυπτογραφήσουν τα συστήματα. Γι’ αυτό το λόγο, το συγκεκριμένο κακόβουλο λογισμικό λέγεται ransomware, που προέρχεται από την αγγλική λέξη “ransom”, που σημαίνει λύτρα.
Δείτε επίσης: FBI και CISA εξέδωσαν ειδοποίηση για το DarkSide ransomware
Το ransomware εντοπίζεται ήδη από το 1989 όταν το «AIDS trojan» χρησιμοποιήθηκε για να εκβιάσει τα θύματα και να ζητήσει χρήματα. Το 1996, ερευνητές από το Columbia University παρουσίασαν σε ένα συνέδριο ένα άλλο ransomware, που κατέδειξε την πρόοδο, τη δύναμη και τη δημιουργία σύγχρονων κρυπτογραφικών εργαλείων.
Έκτοτε, οι εγκληματίες του κυβερνοχώρου έχουν εξελίξει πολύ τις μεθόδους και τις γνώσεις τους και έχουν δημιουργήσει ransomware που μπορούν να προκαλέσουν μεγάλη ζημιά στα θύματα, ενώ ταυτόχρονα επιτρέπουν στους εγκληματίες να βγάλουν χρήματα διατηρώντας την ανωνυμία τους. Αυτός ο τύπος επίθεσης αξιοποιεί ευπάθειες συστημάτων, δικτύων και λογισμικών αλλά και ανθρώπινα σφάλματα.
Η συσκευή-στόχος μπορεί να είναι υπολογιστής, εκτυπωτής, smartphone, wearable, POS και άλλα αλλά το ransomware μπορεί να εξαπλωθεί και σε ολόκληρο δίκτυο.
Οι ransomware επιθέσεις είναι πολύ συχνές τα τελευταία χρόνια. Μεγάλες εταιρείες στις Ηνωμένες Πολιτείες και την Ευρώπη έχουν πέσει θύματα τέτοιων επιθέσεων.
Οι εγκληματίες στον κυβερνοχώρο μπορούν να στοχεύσουν μεμονωμένους χρήστες, αλλά επιλέγουν συνήθως εταιρείες και οργανισμούς, καθώς οι πιθανότητες να λάβουν τα λύτρα είναι μεγαλύτερες.
Οι hackers βάζουν, συνήθως, μια προθεσμία για την πληρωμή των λύτρων. Μέχρι τότε, τα δεδομένα παραμένουν κρυπτογραφημένα και μη προσβάσιμα.
Αν λήξει η προθεσμία και τα θύματα δεν έχουν δώσει τα χρήματα, οι εγκληματίες μπορούν να διαγράψουν οριστικά τα δεδομένα ή όπως συνηθίζεται τελευταία, μπορούν να δημοσιεύσουν δεδομένα, τα οποία έχουν κλέψει πριν την κρυπτογράφηση των συστημάτων.
Δείτε επίσης: Κι άλλη αμερικανική πόλη θύμα ransomware επίθεσης
Τα λύτρα που ζητούν οι hackers μπορούν να κυμαίνονται από μερικές χιλιάδες έως εκατοντάδες χιλιάδες δολάρια, και στις περισσότερες περιπτώσεις οι hackers τα ζητούν σε μορφή cryptocurrency.
Αρκετοί ειδικοί ασφαλείας και κυβερνητικές υπηρεσίες, συμπεριλαμβανομένου του FBI, συμβουλεύουν τους χρήστες να μην πληρώνουν τους εγκληματίες.
Πώς λειτουργεί το ransomware;
Όπως είπαμε προηγουμένως, το ransomware είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να κρυπτογραφεί σημαντικά δεδομένα και να εκβιάζει τα θύματα.
Ποια είναι τα στάδια μιας τυπικής ransomware επίθεσης;
- Οι ransomware επιθέσεις σε εταιρείες, συνήθως, ξεκινούν με ένα phishing email, που περιέχει ένα κακόβουλο συνημμένο ή σύνδεσμο. Ο ανυποψίαστος χρήστης ανοίγει το συνημμένο ή κάνει κλικ στην κακόβουλη διεύθυνση URL. Κάπως έτσι γίνεται εγκατάσταση του ransomware agent, που αρχίζει να σαρώνει το σύστημα για την εύρεση σημαντικών αρχείων.
- Στη συνέχεια, το ransomware αρχίζει να κρυπτογραφεί τα αρχεία στον υπολογιστή του θύματος.
- Σε πολλές περιπτώσεις, το κακόβουλο λογισμικό κλέβει τα δεδομένα προτού τα κρυπτογραφήσει.
- Μετά την κρυπτογράφηση, το ransomware εμφανίζει ένα μήνυμα στη μολυσμένη συσκευή. Το μήνυμα εξηγεί τι έχει συμβεί και δίνει άλλες σημαντικές πληροφορίες, όπως το ποσό των λύτρων, την προθεσμία πληρωμής και τον τρόπο πληρωμής.
- Αν πληρωθούν τα λύτρα, οι hackers θα στείλουν ένα κλειδί αποκρυπτογράφησης.
Ωστόσο, οι χρήστες πρέπει να έχουν στο νου τους ότι τα ransomware δεν εγκαθίστανται μόνο μέσω phishing emails και κακόβουλων συνημμένων.
Οι χρήστες θα μπορούσαν να μολύνουν τα συστήματά τους κάνοντας κλικ σε κακόβουλους συνδέσμους σε social media, όπως στο Facebook και το Twitter, μπαίνοντας σε κακόβουλες διαφημίσεις, κατεβάζοντας μη αξιόπιστα προγράμματα και εφαρμογές, μπαίνοντας σε μη ασφαλή sites κλπ.
Δείτε επίσης: FBI/ACSC: Οι επιθέσεις του Avaddon ransomware αυξάνονται ανησυχητικά
Τέλος, οι ransomware συμμορίες μπορούν να εκμεταλλευτούν ευπάθειες σε μη ενημερωμένα συστήματα για να αναπτύξουν το κακόβουλο λογισμικό τους.
Παραδείγματα ransomware
WannaCry
Το WannaCry είναι ένα από τα πιο δημοφιλή και καταστροφικά ransomware. Το 2017 εξαπλώθηκε σε 150 χώρες, στοχεύοντας 230.000 υπολογιστές και προκαλώντας ζημιές περίπου 4 δισεκατομμυρίων δολαρίων. Το ransomware εκμεταλλευόταν μια ευπάθεια των Windows και διέθετε μηχανισμό που του επέτρεπε να εξαπλώνεται και να μολύνει και άλλες συσκευές.
Cerber
Το Cerber ανήκει στην κατηγορία των ransomware-as-a-service (RaaS) και διατίθεται σε διάφορους εγκληματίες στον κυβερνοχώρο. Το Cerber κρυπτογραφεί αρχεία και προσπαθεί να αποτρέψει την εκτέλεση λειτουργιών ασφαλείας και antivirus, για να μην μπορούν οι χρήστες να επαναφέρουν τα συστήματά τους.
Locky
Το Locky μπορεί να κρυπτογραφήσει 160 τύπους αρχείων. Κυκλοφόρησε για πρώτη φορά το 2016 και διανέμεται κυρίως μέσω exploit kits ή phishing. Οι hackers στέλνουν ένα email με ένα κακόβουλο έγγραφο Word ή Excel ή ένα αρχείο ZIP που εγκαθιστά το κακόβουλο λογισμικό.
NotPetya και Petya
Το Petya ransomware μολύνει ένα μηχάνημα και κρυπτογραφεί ολόκληρο τον σκληρό δίσκο, μεταβαίνοντας στο Master File Table (MFT). Αυτό καθιστά ολόκληρο το δίσκο απρόσιτο, αν και τα πραγματικά αρχεία δεν είναι κρυπτογραφημένα.
Το Petya πρωτοεμφανίστηκε το 2016 και επηρεάζει μόνο υπολογιστές με Windows.
Το αρχικό Petya δεν ήταν ιδιαίτερα επιτυχημένο, αλλά μια νέα παραλλαγή, που ονομάστηκε NotPetya, αποδείχθηκε πιο επικίνδυνη. Το NotPetya μπορεί να εξαπλωθεί στα συστήματα χωρίς ανθρώπινη παρέμβαση. Το NotPetya αρχικά διαδόθηκε χρησιμοποιώντας backdoor και αργότερα χρησιμοποίησε τις ευπάθειες EternalBlue και EternalRomance στο Windows SMB protocol. Μάλιστα, λέγεται ότι όταν κρυπτογραφεί τα δεδομένα, τα καταστρέφει ώστε να μην μπορούν να ανακτηθούν. Οι χρήστες που πληρώνουν τα λύτρα δεν μπορούν να πάρουν πίσω τα δεδομένα τους.
Ryuk
Το Ryuk μολύνει τις συσκευές των θυμάτων μέσω phishing emails ή drive-by downloads. Χρησιμοποιεί ένα dropper, το οποίο εξάγει ένα trojan στο μηχάνημα του θύματος. Οι επιτιθέμενοι μπορούν να εγκαταστήσουν πρόσθετα εργαλεία, όπως keyloggers και άλλα malware. Σε μια Ryuk-based επίθεση, το ransomware είναι το τελευταίο στάδιο της επίθεσης, αφού οι εισβολείς έχουν ήδη κάνει ζημιά και έχουν κλέψει τα αρχεία που χρειάζονται.
Στόχοι
Όσον αφορά στους στόχους των ransomware επιθέσεων, όπως είπαμε και παραπάνω, μπορεί να είναι τόσο απλοί χρήστες όσο και επιχειρήσεις.
Το πού θα στοχεύσουν οι hackers εξαρτάται από πολλούς παράγοντες.
Άλλοι προσπαθούν να στοχεύσουν οργανισμούς που πιστεύουν ότι δεν εφαρμόζουν πολλά επίπεδα προστασίας.
Άλλοι στοχεύουν οργανισμούς, που πιστεύουν ότι είναι πιο πιθανό να δώσουν τα λύτρα.
Αυτοί περιλαμβάνουν τους οργανισμούς υγειονομικής περίθαλψης αλλά και κυβερνητικές υπηρεσίες που έχουν στην κατοχή τους κρίσιμες πληροφορίες.
Μέτρα προστασίας
- Χρήση αξιόπιστων και εξελιγμένων antivirus λογισμικών
- Δημιουργία αντιγράφων ασφαλείας, ειδικά για τα βασικά αρχεία
- Τακτική ενημέρωση συστημάτων, εφαρμογών και antivirus προγραμμάτων
- Εκπαίδευση υπαλλήλων, ώστε να αναγνωρίζουν ύποπτα emails
- Χρήση φίλτρων για αυτόματο μπλοκάρισμα ύποπτων emails
- Χρήση firewall και VPN
- Τμηματοποίηση δικτύου
Οι παραπάνω πρακτικές ασφαλείας μπορούν να προστατεύσουν σε ένα βαθμό τους χρήστες και τις επιχειρήσεις από διάφορες επιθέσεις στον κυβερνοχώρο.
Σε περίπτωση, όμως, που πέσει κάποιος θύμα ransomware επίθεσης, το βασικό στοιχείο είναι ένα. Να μην πληρώσει τα λύτρα και να απευθυνθεί στις αρμόδιες αρχές. Οι επιτιθέμενοι δεν είναι άτομα που μπορεί να εμπιστευτεί κάποιος.
Ακόμα και αν πληρωθούν τα λύτρα, δεν είναι σίγουρο ότι οι εγκληματίες δεν θα διαρρεύσουν τα κλεμμένα δεδομένα ή ότι θα δώσουν στο θύμα το κλειδί αποκρυπτογράφησης.
Οι ransomware επιθέσεις είναι πολύ δημοφιλείς, επειδή ακριβώς προσφέρουν μεγάλα χρηματικά ποσά στους εγκληματίες. Αν τα θύματα σταματήσουν να πληρώνουν τα λύτρα, τότε μόνο μπορούμε να ελπίζουμε σε μείωση αυτών των επιθέσεων! secnews.gr
0 Post a Comment:
Δημοσίευση σχολίου