Η Ιστορία της Απειλής Ransomware:Παρελθόν, Παρόν &Μέλλον
Η μαζική επίθεση του κακόβουλου λογισμικού WannaCry που έγινε τον Μάιο του 2017 ανέβηκε στις επικεφαλίδες των εφημερίδων σε όλο τον κόσμο και δημιούργησε μια καινούργια λέξη που μπήκε αμέσως στο λεξιλόγιο όσων χρησιμοποιούν υπολογιστές – “ransomware” (κακόβουλο λογισμικό εκβίασης για απόσπαση λύτρων).
Ωστόσο, στους κύκλους όσων ασχολούνται με την ασφάλεια στον κυβερνοχώρο καθώς και στους κύκλους όσων ασχολούνται με την τεχνολογία, ο όρος ransomware είναι το θέμα συζήτησης για πάρα πολύ καιρό. Στην πραγματικότητα, μέσα στην περασμένη δεκαετία, το ransomware ήταν αναμφισβήτητα η απειλή που εξαπλώνονταν περισσότερο στον κυβερνοχώρο. Σύμφωνα με τα στοιχεία της κυβέρνησης των ΗΠΑ, οι επιθέσεις του ransomware από το 2005 έχουν ξεπεράσει σε αριθμό τις online παραβιάσεις δεδομένων.
Ίσως το γεγονός ότι οι επιθέσεις του ransomware παραδοσιακά δεν γίνονταν σε παγκόσμια κλίμακα να βοήθησε να περάσουν σχετικά απαρατήρητες από το σύνολο των χρηστών. Όμως, ο WannaCry άλλαξε τα πάντα. Αφού επηρέασε περισσότερους από 300.000 υπολογιστές παγκοσμίως, ο WannaCry μπήκε στα πρωτοσέλιδα του τύπου επειδή έπληξε κάποιους πολύ σημαντικούς οργανισμούς, συμπεριλαμβανομένου και του Εθνικού Συστήματος Υγείας (NHS) του Ηνωμένου Βασιλείου.
Αν ο WannaCry ήταν το είδος εκείνο της επίθεσης στο διαδίκτυο που κατάφερε να κάνει τον κόσμο να στρέψει το βλέμμα του και τον προσέξει, οι ενδείξεις είναι ότι θα μπορούσε να έχει μεγάλη επίδραση και στις μελλοντικές εξελίξεις. Επειδή τα “σκουλήκια” (worms) που βοηθάνε στην εξάπλωση του ransomware εξελίσσονται όλο και περισσότερο και οι τρόποι που διαδίδονται γίνονται όλο και πιο αποτελεσματικοί, η πιθανότητα όλο και μεγαλύτερων επιθέσεων αυξάνεται.
Σ’ αυτό το άρθρο, θα ρίξουμε μια ματιά στην ιστορία του ransomware και θα δούμε την εξέλιξή του έως ότου βγήκε από την αφάνεια ως μια από τις μεγαλύτερες απειλές στον κυβερνοχώρο τον 21ου αιώνα. Θα σας αναφέρουμε τα μεγαλύτερα περιστατικά, τις διάφορες μεθόδους που χρησιμοποιούνται, καθώς και τις μεγαλύτερες καινοτομίες που έχουν οδηγήσει σε πληθώρα παγκοσμίων επιθέσεων, πριν δούμε τι πρέπει να περιμένουμε στο μέλλον.
Τι Είναι το Ransomware;
Πρώτα απ’ όλα ας δούμε τους ορισμούς. Το ransomware εμπίπτει στην κατηγορία του κακόβουλου λογισμικού που έχει σχεδιαστεί ειδικά για οικονομικό όφελος. Όμως, σε αντίθεση με τους ιούς που χρησιμοποιούνται σε επιθέσεις χάκινγκ, το ransomware δεν έχει σχεδιαστεί για να αποκτήσει πρόσβαση σε έναν υπολογιστή ή σε ένα σύστημα πληροφορικής για να κλέψει δεδομένα από αυτό. Ούτε επιδιώκει να ξεγελάσει τα θύματά του για να τους αποσπάσει χρήματα, όπως έχουμε δει να γίνεται με διάφορα ψεύτικα συστήματα antivirus για κάποιες δήθεν 'απειλές' και απάτες ηλεκτρονικού ‘ψαρέματος’ (phishing).
Δυστυχώς για τα θύματα, οι επιπτώσεις του ransomware είναι απόλυτα αληθινές.
Αυτό που κάνει το ransomware είναι να διακόπτει τη λειτουργία του συστήματος ενός υπολογιστή καθιστώντας τον μη χρησιμοποιήσιμο. Τότε οι δράστες, στέλνουν ένα σημείωμα στους ιδιοκτήτες του υπολογιστή απαιτώντας χρήματα για την επαναφορά του υπολογιστή σε λειτουργία.
Οι περισσότερες περιπτώσεις ransomware εμπίπτουν σε μια από τις επόμενες δύο κατηγορίες. Κάποιοι ιοί ransomware κλειδώνουν τους χρήστες εκτός της συσκευής τους παγώνοντας τη CPU, αναλαμβάνοντας το σύστημα επαλήθευσης του χρήστη, ή κάνοντας κάτι παρόμοιο. Άλλοι τύποι ransomware, οι οποίοι συνήθως αναφέρονται ως crypto-ransomware, κρυπτογραφούν τις μονάδες αποθήκευσης και το περιεχόμενό τους, κάνοντας έτσι αδύνατο το άνοιγμα φακέλων και αρχείων ή τη λειτουργία προγραμμάτων.
Στις περισσότερες περιπτώσεις, μόλις ένα τμήμα του ransomware εκτελεστεί σε ένα σύστημα, αυτό ενεργοποιεί αυτόματα την αποστολή ενός μηνύματος για λύτρα. Το μήνυμα μπορεί να εμφανιστεί στην οθόνη ενός κλειδωμένου συστήματτος, ή στην περίπτωση κρυπτογραφικής επίθεσης, το μήνυμα μπορεί να αποσταλεί στο θύμα μέσω email ή άμεσου μηνύματος.
Η Προϊστορική Περίοδος του Ransomware
Ο Δούρειος Ίππος του AIDS
Το πρώτο ευρέως αναγνωρισμένο περιστατικό ransomware στην πραγματικότητα προηγήθηκε σχεδόν κατά δύο δεκαετίες της εμφάνισης της online απειλής όπως την ξέρουμε σήμερα. Το 1989, ένας ακαδημαϊκός του Πανεπιστημίου του Χάρβαρντ με το όνομα Joseph L. Popp παρακολουθούσε ένα συνέδριο του Παγκοσμίου Οργανισμού Υγείας για το AIDS. Προετοιμαζόμενος για το συνέδριο, δημιούργησε 20.000 δισκέτες για να τις στείλει στους αντιπροσώπους, με τίτλο “Πληροφορίες για το AIDS – Εισαγωγικές Δισκέτες.”
Αυτό όμως που οι ανυποψίαστοι σύνεδροι δεν συνειδητοποίησαν ήταν ότι οι δισκέτες περιείχαν έναν ιό για τον υπολογιστή τους ο οποίος, αφού το υπόλοιπο περιεχόμενο της δισκέτας είχε τρέξει, παρέμεινε κρυμμένος στο σύστημά τους για κάποιο χρονικό διάστημα. Μετά από 90 επανεκκινήσεις του υπολογιστή, ο ιός ‘ζωντάνευε’ και άρχιζε να κρυπτογραφεί τα αρχεία και να κρύβει τους καταλόγους. Τότε εμφανιζόταν ένα μήνυμα που πληροφορούσε τον χρήστη ότι το σύστημά τους θα επανερχόταν στην κανονική του λειτουργία αφού θα έστελναν 189 δολάρια σε μια Ταχυδρομική Θυρίδα στον Παναμά.
Ο Dr. Popp διέθετε μια ευφυΐα πολύ μπροστά από την εποχή του και θα έπρεπε να περάσουν άλλα 16 χρόνια πριν κάποιος πάρει τη σκυτάλη της ιδέας του για το ransomware και την εφαρμόσει στην εποχή του διαδικτύου. Ο ίδιος ο Popp συνελήφθη αλλά δεν πέρασε ποτέ από δίκη λόγω κακής ψυχικής υγείας.
2005: Έτος Μηδέν
Ώσπου να εμφανιστούν τα επόμενα παραδείγματα ransomware, ο Dr. Joseph L. Popp είχε ήδη προ πολλού ξεχαστεί και ο κόσμος των υπολογιστών είχε μεταμορφωθεί με τη χρήση του διαδικτύου. Παρ’ όλα του τα πλεονεκτήματα, το διαδίκτυο έχει διευκολύνει σε μεγάλο βαθμό την εξάπλωση κάθε τύπου κακόβουλου λογισμικού από τους εγκληματίες του κυβερνοχώρου, ενώ τα χρόνια που μεσολάβησαν έδωσαν την ευκαιρία στους προγραμματιστές να δημιουργήσουν πολύ πιο ισχυρές μεθόδους κρυπτογράφησης από αυτές που είχε χρησιμοποιήσει ο Dr. Popp.
GPCoder
Ένα από τα πρώτα παραδείγματα ransomware που εξαπλώθηκε online ήταν το GPCoder Trojan. Για πρώτη φορά αναγνωρίστηκε το 2005 και μόλυνε συστήματα Windows στοχεύοντας αρχεία με διάφορες επεκτάσεις. Μόλις τα έβρισκαν, τα αρχεία είχαν αντιγραφεί σε κρυπτογραφημένη μορφή και τα πρωτότυπα είχαν διαγραφεί από το σύστημα. Τα καινούργια κρυπτογραφημένα αρχεία δεν μπορούσαν να διαβαστούν και η χρήση ισχυρής κρυπτογράφησης RSA-1024 εξασφάλιζε ότι οποιεσδήποτε προσπάθειες αποκρυπτογράφησής τους ήταν εξαιρετικά απίθανο να πετύχουν. Ένα μήνυμα εμφανιζόταν στην αρχική οθόνη του χρήστη και τον κατεύθυνε σε ένα αρχείο.txt που είχε σταλεί στην επιφάνεια εργασία του. Αυτό το αρχείο περιείχε λεπτομέρειες για το πώς να πληρώσει τα λύτρα για να ξεμπλοκάρουν τα αρχεία που είχαν επηρεαστεί.
Archievus
Την ίδια χρονιά που αναγνωρίστηκε το GPCoder, άλλος ένας Trojan (Δούρειος Ίππος) που χρησιμοποιούσε ασφαλή κρυπτογράφηση RSA 1024-bit εμφανίστηκε στο προσκήνιο. Αντί να στοχεύει ορισμένα εκτελέσιμα αρχεία και επεκτάσεις αρχείων, το Archievus απλά κρυπτογραφούσε τα πάντα στον φάκελο “Τα Έγγραφά Μου” του θύματος. Θεωρητικά, αυτό σήμαινε ότι το θύμα θα μπορούσε να εξακολουθήσει να χρησιμοποιεί τον υπολογιστή του και οποιαδήποτε αρχεία ήταν αποθηκευμένα σε άλλους φακέλους. Όμως, επειδή οι περισσότεροι άνθρωποι αποθηκεύουν πολλά από τα σημαντικά τους έγγραφα, ακόμα και έγγραφα εργασίας, στον φάκελο “Τα Έγγραφά Μου” οι συνέπειες της επίθεσης ήταν πολύ σοβαρές.
Για να καθαρίσουν το Archievus, τα θύματα κατευθύνονταν σε έναν ιστότοπο όπου έπρεπε να αγοράσουν έναν κωδικό πρόσβασης με 30 ψηφία – κάτι που ήταν μάλλον αδύνατο να τον μαντέψουν.
2009 - 2012: Εισπράξεις
Χρειάστηκε κάποιος χρόνος μέχρι αυτές οι πρώτες μορφές του ransomware στο διαδίκτυο να αρχίσουν να έχουν απήχηση στον υπόκοσμο του κυβερνοχώρου. Τα κέρδη από τους Δούρειους Ίππους όπως το GPCoder και το Archievus ήταν σχετικά χαμηλά, κυρίως επειδή μπορούσαν να ανιχνευθούν και να αφαιρεθούν εύκολα από τα προγράμματα antivirus, που σήμαινε ότι η διάρκεια ζωής τους για να αποφέρουν χρήματα ήταν σύντομη.
Σε γενικές γραμμές, οι συμμορίες του κυβερνοχώρου εκείνης της εποχής προτιμούσαν να μείνουν στις πρακτικές του χάκινγκ, του ηλεκτρονικού ψαρέματος (phishing) και στο να εξαπατούν τους χρήστες με απάτες για ψεύτικα συστήματα antivirus.
Τα πρώτα σημάδια αλλαγής άρχισαν να φαίνονται το 2009. Εκείνη τη χρονιά, ένας γνωστός ιός τύπου ‘scareware’ που ονομαζόταν Vundo άλλαξε τακτική και άρχισε να λειτουργεί σαν ransomware. Προηγουμένως, ο Vundo είχε μολύνει συστήματα υπολογιστών και μετά ενεργοποιούσε τη δική του προειδοποίηση ασφαλείας, οδηγώντας τους χρήστες σε μια ψεύτικη λύση. Όμως, το 2009, οι αναλυτές παρατήρησαν ότι ο Vundo είχε αρχίσει να κρυπτογραφεί αρχεία στους υπολογιστές των θυμάτων και μετά να πουλάει ένα γνήσιο αντίδοτο για να τα ξεκλειδώσει.
Αυτή ήταν η πρώτη ένδειξη ότι οι χάκερ είχαν αρχίσει να καταλαβαίνουν ότι μπορούσαν να βγάλουν λεφτά από το ransomware. Με τη βοήθεια των πολλών ιστότοπων για ανώνυμες πληρωμές μέσω διαδικτύου, μπορούσαν όλο και πιο εύκολα να παίρνουν λύτρα σε μαζική κλίμακα. Ταυτόχρονα, η πολυπλοκότητα του ίδιου του ransomware συνέχιζε να αυξάνεται.
Ως το 2011, το ποταμάκι είχε γίνει χείμαρος. Στο πρώτο τρίμηνο του έτους, ανιχνεύθηκαν 60.000 καινούργιες επιθέσεις ransomware και ως το πρώτο τρίμηνο του 2012 αυτός ο αριθμός είναι εκτοξευτεί σε 200.000 επιθέσεις. Ως το τέλος του 2012, οι ερευνητές της Symantec υπολόγιζαν ότι η μαύρη αγορά του ransomware ανερχόταν στα 5 εκατομμύρια δολάρια.
Trojan WinLock
Το 2011, εμφανίστηκε μια καινούργια μορφή ransomware. Ο Trojan WinLock, άλλος ένας Δούρειος Ίππος, θεωρείται ότι ήταν ένα από τα πιο διαδεδομένα παραδείγματα ransomware που έγιναν γνωστά με το όνομα ‘Locker’. Αντί να κρυπτογραφεί τα αρχεία στη συσκευή του θύματος, ένας Locker απλά κλειδώνει και καθιστά αδύνατη την είσοδο στη συσκευή.
O WinLock Trojan ξεκίνησε μια νέα τάση ransomware η οποία μιμείτο γνήσια προϊόντα λογισμικού και ήταν ένας απόηχος της παλιάς τακτικής του scareware. Μολύνοντας τα συστήματα των Windows, αντέγραφε το σύστημα Ενεργοποίησης Προϊόντων των Windows και κλείδωνε τους χρήστες εκτός συστήματος μέχρι να αγοράσουν ένα κλειδί ενεργοποίησης. Και για να ρίξει άλλο ένα χαστούκι στους χρήστες, το μήνυμα εμφανιζόταν στην ψεύτικη οθόνη Ενεργοποίησης και έλεγε στα θύματα ότι ο λογαριασμός τους στα Windows έπρεπε να ενεργοποιηθεί εκ νέου λόγω απάτης, πριν τους οδηγήσει να καλέσουν έναν διεθνή αριθμό τηλεφώνου για να λύσουν το πρόβλημα. Αυτός ο αριθμός τηλεφώνου εμφανίζονταν ότι δεν είχε χρέωση, αλλά στην πραγματικότητα χρέωνε ένα πολύ μεγάλο ποσό που προφανώς έμπαινε κατευθείαν στις τσέπες των εγκληματιών που κρύβονταν πίσω από το κακόβουλο λογισμικό.
Reveton και ‘Police’ Ransomware
Μία παραλλαγή στο θέμα της μίμησης προϊόντων λογισμικού, για να ξεγελάσει τα θύματα ώστε να πληρώσουν ψεύτικες συνδρομές, ήταν η εμφάνιση ενός ransomware με το όνομα ‘police’ (αστυνομία). Σ’ αυτές τις επιθέσεις, το κακόβουλο λογισμικό έβαζε ως στόχο μολυσμένα συστήματα. Έστελνε μηνύματα τα οποία ισχυρίζονταν ότι προέρχονταν από τις αρχές επιβολής του νόμου και τις κρατικές αρχές, ενώ ταυτόχρονα δήλωνε ότι ο υπολογιστής είχε χρησιμοποιηθεί για παράνομες δραστηριότητες. Ο υπολογιστής, ή οποιαδήποτε άλλη συσκευή, θα έπρεπε να κλειδωθεί ως ένα είδος “κατάσχεσης” για τις παράνομες δραστηριότητες που είχε εμπλακεί έως ότου καταβάλλονταν κάποιο είδος προστίμου ή δωροδοκίας.
Τέτοιου είδους παραδείγματα ransomware μεταδίδονταν συχνά μέσω πορνογραφικών ιστοτόπων, υπηρεσιών ανταλλαγής αρχείων και οποιαδήποτε άλλη διαδικτυακή πλατφόρμα θα μπορούσε να χρησιμοποιηθεί για παράνομους σκοπούς. Χωρίς αμφιβολία, ο σκοπός ήταν να προκαλέσει φόβο ή ντροπή στα θύματά του και να τα κάνει να πληρώσουν το τίμημα πριν καν προλάβουν να σκεφτούν λογικά για να δουν αν η απειλή της δίωξης ήταν γνήσια ή όχι.
Για να κάνει τις απειλές να φαίνονται πιο αυθεντικές και πιο απειλητικές, το ransomware “police” συχνά προσαρμόζονταν ανάλογα με την τοποθεσία του θύματος, εμφάνιζε την ΙΡ διεύθυνσή του και σε ορισμένες περιπτώσεις, έκανε ζωντανή μετάδοση μέσα από κάμερα για να αφήσει να υπονοηθεί ότι τα θύματα βρίσκονταν υπό παρακολούθηση και καταγραφή.
Ένα από τα πιο διάσημα παραδείγματα του police ransomware έγινε γνωστό ως Reveton. Αρχικά εξαπλώθηκε στην Ευρώπη, ενώ στελέχη του Reveton άρχισαν να εμφανίζονται στις ΗΠΑ. Εκεί τα θύματα μάθαιναν ότι βρίσκονταν υπό την παρακολούθηση του FBI και διατάσσονταν να πληρώσουν 200 δολάρια ‘πρόστιμο’ αν ήθελαν να ξεκλειδωθεί η συσκευή τους. Η πληρωμή γινόταν μέσω υπηρεσιών προπληρωμένων ηλεκτρονικών κουπονιών, όπως τα MoneyPak και τα Ukash. Η ίδια τακτική επελέγη επίσης και από άλλα police ransomware, όπως το Urausy και το Kovter.
2013 - 2015: Πίσω στην Κρυπτογράφηση
Το δεύτερο εξάμηνο του 2013, έκανε την εμφάνισή της μια νέα παραλλαγή του crypto-ransomware το οποίο έθεσε καινούργια όρια στην μάχη για την ασφάλεια στον κυβερνοχώρο.Το CryptoLocker άλλαξε το παιχνίδι του ransomware με πολλούς τρόπους. Ο πρώτος από αυτούς ήταν ότι δεν είχε καμία σχέση με τα τεχνάσματα και της τεχνικές εξαπάτησης του scareware ή του police ransomware. Οι προγραμματιστές του CryptoLocker ήταν πολύ σαφείς γι’ αυτό που έκαναν. Έστελναν ένα κυνικό μήνυμα στα θύματά τους που τους ενημέρωνε ότι όλα τους τα αρχεία είχαν κρυπτογραφηθεί και θα διαγράφονταν αν δεν καταβάλλονταν λύτρα μέσα σε τρεις ημέρες.
Κατά δεύτερο λόγο, το CryptoLocker έδειξε ότι οι δυνατότητες κρυπτογράφησης που χρησιμοποιούσαν οι εγκληματίες του διαδικτύου ήταν σημαντικά ισχυρότερες από εκείνες που υπήρχαν όταν η κρυπτογράφηση είχε πρωτοεμφανιστεί σχεδόν μια δεκαετία πριν. Η χρήση διακομιστών C2 σε ένα κρυφό δίκτυο Tor, από τους προγραμματιστές του CryptoLocker τους έδωσε τη δυνατότητα να δημιουργήσουν κρυπτογράφηση δημόσιου και ιδιωτικού κλειδιού RSA 2048-bit, έτσι ώστε να μπορούν να μολύνουν αρχεία με συγκεκριμένες επεκτάσεις. Όλο αυτό ήταν ένα πραγματικό αδιέξοδο. Τα θύματα έψαχναν να βρουν το δημόσιο κλειδί ως βάση για να ανακαλύψουν ένα τρόπο να αποκρυπτογραφήσουν τα αρχεία τους, όμως, όσο και να προσπαθούσαν ήταν μάταιο αφού τα αρχεία ήταν κρυμμένα στο δίκτυο Tor, ενώ το ιδιωτικό κλειδί που βρίσκονταν στα χέρια των προγραμματιστών ήταν εξαιρετικά ισχυρό από μόνο του.
Ο τρίτος λόγος ήταν ότι το CryptoLocker άνοιξε καινούργιους δρόμους στον τρόπο που εξαπλώνονταν. Αρχικά η μόλυνση εξαπλώνονταν μέσω του Gameover Zeus botnet, ένα δίκτυο μολυσμένων υπολογιστών ‘ζόμπι’ που χρησιμοποιούντο αποκλειστικά για την εξάπλωση του κακόβουλου λογισμικού μέσω του διαδικτύου. Επομένως, το CryptoLocker, αποτέλεσε το πρώτο παράδειγμα ransomware που εξαπλώθηκε μέσω μολυσμένων ιστοτόπων. Ωστόσο, το CryptoLocker εξαπλώνονταν επίσης και μέσω ηλεκτρονικού ψαρέματος (phishing), συγκεκριμένα μέσω των συνημμένων σε email που αποστέλλονταν σε επιχειρήσεις και έμοιαζαν σαν να ήταν παράπονα από κάποιους πελάτες.
Όλες αυτές οι λειτουργίες είχαν γίνει τα κυρίαρχα χαρακτηριστικά των επιθέσεων ransomware επειδή επηρεάστηκαν από την μεγάλη επιτυχία του CryptoLocker. Για να αποκρυπτογραφήσουν ένα μολυσμένο σύστημα, η χρέωση ήταν 300 δολάρια και με αυτό τον τρόπο πιστεύεται ότι οι δημιουργοί του έβγαλαν περίπου 3 εκατομμύρια δολάρια.
Κρεμμύδια και Bitcoins
Το CryptoLocker βγήκε σε μεγάλο βαθμό εκτός λειτουργίας το 2014 όταν καταργήθηκε το botnet του Gameover Zeus, αλλά ως εκείνη τη στιγμή υπήρχαν ήδη πολλοί μιμητές που ήταν έτοιμοι να πάρουν τη σκυτάλη. Το CryptoWall ήταν εξαιρετικά σημαντικό αφού χρησιμοποιούσε την ίδια κρυπτογράφηση RSA δημοσίου-ιδιωτικού κλειδιού που δημιουργείτο πίσω από την οθόνη του δικτύου Tor και εξαπλώνονταν μέσω της απάτης του ηλεκτρονικού ψαρέματος.
Το ΄The Onion Router΄, το οποίο από τα αρχικά του είναι πιο γνωστό ως Tor, άρχισε να διαδραματίζει ένα όλο και πιο σπουδαίο ρόλο στην ανάπτυξη και στην εξάπλωση του ransomware. Το Tor πήρε το όνομά του από τον τρόπο που κατευθύνει την κίνηση στο διαδίκτυο μέσω ενός περίπλοκου παγκοσμίου δικτύου διακομιστών των οποίων η διάταξη μοιάζει σαν τα στρώματα ενός κρεμμυδιού. Το Tor φτιάχτηκε για να βοηθήσει τους ανθρώπους να διατηρούν τις κινήσεις τους στο διαδίκτυο ανώνυμες. Δυστυχώς, όμως, προσέλκυσε εγκληματίες του κυβερνοχώρου που ήθελαν να κρατήσουν τις δραστηριότητές τους μακριά από τα μάτια του νόμου, έτσι βρέθηκε να παίζει ένα σημαντικό ρόλο στην ιστορία του ransomware.
Επίσης, το CryptoWall επιβεβαίωσε τον όλο και πιο σημαντικό ρόλο που έπαιζε το Bitcoin στις επιθέσεις του ransomware. Ως το 2014, το κρυπτονόμισμα αποτελούσε την επιλεγμένη μέθοδο πληρωμής. Οι προπληρωμένες ηλεκτρονικές πιστώσεις ήταν ανώνυμες αλλά ήταν δύσκολο να τις εξαργυρώσεις χωρίς να θεωρούνται ξέπλυμα μαύρου χρήματος, ενώ το Bitcoin μπορούσε να χρησιμοποιηθεί σαν ένα κανονικό νόμισμα για άμεσες συναλλαγές.
Ως το 2015, μόνο το CryptoWall εκτιμάται ότι είχε κέρδη 325 εκατομμύρια δολάρια.
Επιθέσεις σε Android
Ένα άλλο σημαντικό βήμα στην ιστορία του ransomware ήταν η ανάπτυξη παραλλαγών του κακόβουλου λογισμικού που είχαν ως στόχο τις κινητές συσκευές. Στην αρχή, είχαν ως στόχο τις συσκευές Android επειδή έκαναν χρήση του ανοιχτού κώδικα των Android.
Τα πρώτα παραδείγματα εμφανίστηκαν το 2014 και αντέγραψαν τις μεθόδους του λογισμικού “police” που αναφέραμε πιο πάνω. Το Sypeng, το οποίο μόλυνε συσκευές μέσω ενός πλαστού μηνύματος ενημέρωσης για το Adobe Flash, κλείδωνε την οθόνη και εμφάνιζε ένα ψεύτικο μήνυμα, δήθεν από το FBI, και απαιτούσε 200 δολάρια. Ο Koler ήταν ένας παρόμοιος ιός που έγινε γνωστός επειδή ήταν ένα από τα πρώτα παραδείγματα ransomware worm (σκουλήκι), το οποίο είναι ένα αυτοαναπαραγόμενο κακόβουλο λογισμικό που δημιούργησε τα δικά του μονοπάτια εξάπλωσης. Ο Koler έστελνε αυτόματα μηνύματα σε όλες τις επαφές μιας μολυσμένης συσκευής με ένα σύνδεσμο για να τον κατεβάσουν οι παραλήπτες του μηνύματος, ο οποίος όμως οδηγούσε στον ιό.
Παρά το όνομά του, το SimplLocker ήταν ένας από τους πρώτους τύπους crypto-ransomware για κινητά, με την πλειοψηφία των άλλων κακόβουλων λογισμικών να κάνουν την επίθεσή τους κλειδώνοντας τη συσκευή (lock-out). Άλλη μια καινοτομία που έφτασε μαζί με το ransomware για Android ήταν η εμφάνιση των εργαλείων DIY τα οποία οι εγκληματίες του διαδικτύου μπορούσαν να αγοράσουν online και να κάνουν μόνοι τους τις απαραίτητες ρυθμίσεις για επιθέσεις. Ένα από τα πρώτα τέτοια παραδείγματα ήταν ένα κιτ που είχε ως βάση του τον Δούρειο Ίππο Pletor και πουλιόταν online για 5000 δολάρια.
2016: Η Απειλή Εξελίσσεται
Το 2016 ήταν η χρονιά εξέλιξης για το ransomware. Καινούργιοι τρόποι εξάπλωσης, καινούργιες πλατφόρμες και νέοι τύποι κακόβουλου λογισμικού προστέθηκαν σε μια εξελισσόμενη σοβαρή απειλή η οποία έβαζε τα θεμέλια για τις μαζικές παγκόσμιες επιθέσεις που θα ακολουθούσαν.
CryptoWall και Εξέλιξη
Αντίθετα με πολλά παραδείγματα ransomware που έκαναν τον κύκλο τους και μετά εξουδετερώθηκαν με τον ένα ή τον άλλο τρόπο, η απειλή από το CryptoWall δεν πέρασε ποτέ. Αφού εξελίχθηκε μέσα από τέσσερις ξεχωριστές εκδόσεις, το CryptoWall πρωτοστάτησε σε τεχνικές που ήταν μίμηση κάποιου άλλου ransomware, όπως η χρήση αντιγράφων κλειδιού μητρώου, έτσι ώστε το κακόβουλο λογισμικό να φορτώνει με κάθε επανεκκίνηση του υπολογιστή. Αυτό είναι κάτι ιδιαίτερα έξυπνο αφού το κακόβουλο λογισμικό δεν εκτελείται πάντοτε αμέσως και περιμένει μέχρι να μπορέσει να συνδεθεί στον απομακρυσμένο διακομιστή που περιέχει το κλειδί της κρυπτογράφησης. Το αυτόματο φόρτωμα κατά την επανεκκίνηση μεγιστοποιεί τις πιθανότητες της εκτέλεσης.
Locky
Με επιθετική εξάπλωση βασισμένη στο ηλεκτρονικό ψάρεμα (phishing) το Locky έκανε την αρχή για να το ακολουθήσουν και άλλα ransomware, όπως ο WannaCry, σε ό,τι αφορά την απόλυτη ταχύτητα και την εξάπλωση. Στο αποκορύφωμά του, αναφέρθηκε ότι μόλυνε 100.000 συστήματα την ημέρα, χρησιμοποιώντας το σύστημα franchise που είχε πρωτοχρησιμοποιηθεί από τα toolkits των Android για να ενθαρρύνει όλο και πιο πολλούς εγκληματίες να συμμετέχουν στην εξάπλωσή του. Ήταν επίσης ο προάγγελος των επιθέσεων του WannaCry επειδή είχε ως στόχο τους παρόχους υγειονομικής περίθαλψης, επειδή αυτοί που το δημιούργησαν ήξεραν καλά ότι οι δημόσιες υπηρεσίες υγείας θα ήταν εκείνες που θα πλήρωναν πρώτες τα λύτρα για να μπορέσουν να λειτουργήσουν ξανά τα συστήματά τους.
Πολλαπλές πλατφόρμες
Το 2016 είδε επίσης την άφιξη του πρώτου ransomware script που επηρέασε τα συστήματα Mac. Το KeRanger ήταν ιδιαίτερα κακό επειδή κατάφερνε να κρυπτογραφεί τα back-up του Time Machine καθώς και των απλών αρχείων Mac, ξεπερνώντας την συνηθισμένη δυνατότητα των Mac να γυρίζουν πίσω σε προηγούμενες εκδόσεις όποτε εμφανίζεται κάποιο πρόβλημα.
Αμέσως μετά το KeRanger, εμφανίστηκε το πρώτο ransomware που κατάφερνε να μολύνει πολλά λειτουργικά συστήματα. Προγραμματισμένο σε JavaScript, το Ransom32 είχε θεωρητικά τη δυνατότητα να επηρεάζει συσκευές που λειτουργούσαν με Windows, Mac ή Linux.
Γνωστές αδυναμίες γίνονται στόχοι απειλών
Τα επονομαζόμενα “exploit kits”(κιτ εκμετάλλευσης) είναι πρωτόκολλα διάδοσης κακόβουλου λογισμικού τα οποία εκμεταλλεύονται τις γνωστές αδυναμίες που υπάρχουν σε δημοφιλή συστήματα λογισμικού για να “εμφυτέψουν” ιούς. Το κιτ Angler είναι ένα τέτοιο παράδειγμα που ήταν γνωστό ότι το χρησιμοποιούσαν για επιθέσεις ransomware τουλάχιστον από το 2015. Τα πράγματα πήγαν ένα βήμα μπροστά το 2016, με αρκετούς, υψηλού προφίλ ιούς ransomware – ένας από τους οποίους ήταν το CryptoWall 4.0. – να βάζουν στον στόχο τους τις αδυναμίες του Adobe Flash και του Silverlight της Microsoft.
Cryptoworm
Ακολουθώντας την καινοτομία του ιού Koler, τα cryptoworms έγιναν μέρος της επικρατούσας τάσης του ransomware το 2016. Ένα παράδειγμα ήταν το σκουλήκι ZCryptor που αναφέρθηκε για πρώτη φορά από τη Microsoft. Αρχικά εξαπλώθηκε μέσω επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και έτσι το ZCryptor κατάφερε να εξαπλωθεί μέσα από δικτυωμένες συσκευές με αυτόματη αναπαραγωγή και εκτέλεση.
2017: Η Χρονιά που Ξέσπασε το Ransomware
Με δεδομένες τις ταχύτατες εξελίξεις στην πολυπλοκότητα και στην κλίμακα των επιθέσεων του ransomware το 2016, πολλοί αναλυτές για την ασφάλεια στον κυβερνοχώρο πίστευαν ότι ήταν μόνο θέμα χρόνου πριν γίνει μια πραγματικά παγκόσμια επίθεση σε τέτοια κλίμακα που θα ήταν οι μεγαλύτερες επιθέσεις χάκινγκ και παραβίασης δεδομένων. Ο WannaCry επιβεβαίωσε αυτούς τους φόβους και τα νέα μπήκαν στα πρωτοσέλιδα του τύπου σε όλο τον κόσμο. Αλλά ο WannaCry δεν είναι σίγουρα το μοναδικό ransomware που απειλεί τους υπολογιστές αυτή τη χρονιά.
WannaCry
Στις 12 Μαΐου 2017, το σκουλήκι ransomware που θα γίνονταν γνωστό σε όλο τον κόσμο ως WannaCry έπληξε τα πρώτα του θύματα στην Ισπανία. Μέσα σε λίγες ώρες, είχε εξαπλωθεί σε εκατοντάδες υπολογιστές σε δεκάδες χώρες. Μέρες αργότερα, ο αριθμός αυτός είχε ανέβει σε περισσότερο από 250.000, κάνοντας το WannaCry τη μεγαλύτερη επίθεση ransomware στην ιστορία, ενώ η προσοχή όλου του κόσμου ήταν στραμμένη επάνω σ’ αυτή την τόσο μεγάλη και τόσο απρόσμενη απειλή.
Το όνομα WannaCry είναι συντομία του WannaCrypt, κάτι που θέλει να δείξει ότι ο WannaCry είναι ένα κακόβουλο λογισμικό του τύπου crypto-ware. Πιο συγκεκριμένα, είναι ένα cryptoworm που έχει τη δυνατότητα να αναπαράγεται και να εξαπλώνεται αυτόματα.
Αυτό που έκανε τον WannaCry τόσο αποτελεσματικό ώστε να σοκάρει όλο τον κόσμο ήταν ο τρόπος που εξαπλώθηκε. Δεν υπήρχαν απάτες ηλεκτρονικού ‘ψαρέματος΄ (phishing scams), ούτε λήψεις από μολυσμένους ιστότοπους botnet. Αντιθέτως, ο WannaCry έκανε την αρχή μιας καινούργιας φάσης που το ransomware στόχευε και έπληττε τα ευάλωτα σημεία των υπολογιστών. Ήταν προγραμματισμένος να πιάσει στα δίχτυα του υπολογιστές που λειτουργούσαν με τις παλαιότερες εκδόσεις των Windows Server – οι οποίες ήταν γνωστό ότι είχαν σφάλματα ασφαλείας – και να τους πλήξει. Αφού είχε μολύνει έναν υπολογιστή σε ένα δίκτυο, το ransomware έψαχνε γρήγορα και για τους άλλους υπολογιστές που είχαν το ίδιο σφάλμα και τους μόλυνε επίσης.
Με αυτόν τον τρόπο, ο WannaCry εξαπλώθηκε τόσο γρήγορα και κατάφερε να πλήξει καίρια τα συστήματα μεγάλων οργανισμών, όπως τράπεζες, μεταφορές, πανεπιστήμια και δημόσιους οργανισμούς υγείας, όπως το NHS του Ηνωμένου Βασιλείου. Αυτός ακριβώς ήταν και ο λόγος που μπήκε στα πρωτοσέλιδα του τύπου.
Αλλά αυτό που προκάλεσε σοκ σε πολλούς ανθρώπους ήταν το γεγονός ότι οι αδυναμίες των Windows που εκμεταλλεύτηκε ο WannaCry είχαν στην πραγματικότητα εντοπισθεί από την Αμερικανική Υπηρεσία Εθνικής Ασφαλείας (NSA) πριν από χρόνια. Όμως αντί να προειδοποιήσει τον κόσμο γι’ αυτό, η NSA προτίμησε να σιωπήσει και να αναπτύξει ένα δικό της σύστημα για να εκμεταλλευτεί αυτές τις αδυναμίες και να τις χρησιμοποιήσει ως ένα όπλο του κυβερνοχώρου. Στην πραγματικότητα, ο WannaCry δημιουργήθηκε με βάση ένα σύστημα που είχε αναπτυχθεί από μια κρατική υπηρεσία ασφαλείας.
Petya
Ακολουθώντας πιστά τα βήματα του WannaCry, μία άλλη διηπειρωτική επίθεση ransomware διέκοψε τη λειτουργία χιλιάδων υπολογιστών σε κάθε γωνιά του κόσμου. Γνωστή ως επίθεση Petya, αυτό που την έκανε να ξεχωρίζει ήταν ότι χρησιμοποίησε τα ίδια ευπαθή σημεία των Windows που είχε χρησιμοποιήσει και ο WannaCry, δείχνοντας πόσο ισχυρό θα μπορούσε να είναι το όπλο που σχεδίαζε η NSA. Έδειξε επίσης ότι παρά την ύπαρξη μιας ευρέως διαθέσιμης ενημερωμένης έκδοσης κώδικα μετά από την επίθεση του WannaCry, οι χρήστες δεν πείθονταν εύκολα να χρησιμοποιούν τις πιο πρόσφατες ενημερώσεις ασφαλείας.
LeakerLocker
Ως μια ένδειξη για το πόσο ρευστή μπορεί να είναι μια απειλή από ransomware, μια από τις τελευταίες μεγάλης κλίμακας επιθέσεις που μπήκαν στα πρωτοσέλιδα του τύπου πάει πίσω στην εποχή των scareware και των τακτικών εκβίασης, αλλά κάπως πιο ενημερωμένη. Με στόχο τις συσκευές Android, το LeakerLocker απειλούσε να κοινοποιήσει όλο το περιεχόμενο της κινητής συσκευής του χρήστη σε όλη τη λίστα των επαφών του. Έτσι, αν ο χρήστης είχε στο κινητό του κάτι “περίεργο” ή κάτι που θα τον έκανε να ντραπεί ή να τον φέρει σε δύσκολη θέση, προτιμούσε να πληρώσει αντί να μάθαιναν όλοι οι συγγενείς, οι φίλοι και οι συνάδελφοί του κάτι που δεν θα ήθελε να γίνει γνωστό.
Τι θα γίνει στο μέλλον με το ransomware;
Δεδομένης της τρομακτικής αύξησης των κερδών των εγκληματιών του διαδικτύου από τις επιθέσεις του ransomware, μπορούμε να υποθέσουμε με κάποια σχετική βεβαιότητα ότι θα συνεχίσουμε να ακούμε για πολλές περισσότερες επιθέσεις στο μέλλον. Η επιτυχία του WannaCry σε συνδυασμό με την αυτοαναπαραγώμενη τεχνολογία των σκουληκιών (worms) και την στόχευση των γνωστών ευπαθών σημείων του συστήματος έχει πολύ πιθανόν βάλει τα θεμέλια για περισσότερες επιθέσεις στο εγγύς μέλλον. Παρ’ όλα αυτά, θα ήταν αφελές να πιστεύουμε ότι οι κατασκευαστές του ransomware δεν σκέφτονται ήδη το μέλλον και δεν δημιουργούν καινούργιους τρόπους για να μολύνουν, να εξαπλώνουν και να βγάζουν μεγάλα κέρδη από το κακόβουλο λογισμικό τους.
Τι μπορούμε λοιπόν να περιμένουμε;
Μία μεγάλη ανησυχία είναι το ενδεχόμενο το ransomware να αρχίσει να επιτίθεται σε ψηφιακές συσκευές εκτός από υπολογιστές και smartphones. Καθώς το Internet of Things ανεβαίνει σε χρήση, όλο και περισσότερες συσκευές που χρησιμοποιούμε σήμερα μπαίνουν στην ψηφιοποίηση και συνδέονται με το διαδίκτυο. Αυτό δημιουργεί μια τεράστια καινούργια αγορά για τους εγκληματίες του κυβερνοχώρου, οι οποίοι μπορεί να χρησιμοποιήσουν το ransomware για να κλειδώσουν τους ιδιοκτήτες αυτοκινήτων έξω από τα οχήματά τους ή να ρυθμίσουν τον κεντρικό θερμοστάτη ενός κτιρίου σε σημείο κατάψυξης εκτός και αν οι ιδιοκτήτες πληρώσουν τα λύτρα. Με όλα αυτά να έρχονται στο μέλλον, είναι πιθανόν ότι η δυνατότητα του ransomware να επηρεάζει άμεσα την καθημερινή μας ζωή θα αυξηθεί σε μεγάλο βαθμό.
Μία άλλη πιθανότητα είναι ότι το ransomware θα σταματήσει να έχει ως στόχους τις ατομικές συσκευές και τους χρήστες τους. Αντί να στοχεύει τα αρχεία που υπάρχουν σε έναν υπολογιστή, το ransomware θα μπορούσε με εφικτό τρόπο να στοχεύσει στη χρήση SQL injections για να κρυπτογραφήσει βάσεις δεδομένων που βρίσκονται στον διακομιστή ενός δικτύου. Τα αποτελέσματα θα ήταν καταστροφικά – όλη η υποδομή μιας παγκόσμιας επιχείρησης θα μπορούσε να καταστραφεί με μία κίνηση ή ολόκληρες υπηρεσίες στο διαδίκτυο θα μπορούσαν να τεθούν εκτός λειτουργίας, πλήττοντας εκατοντάδες χιλιάδες χρήστες.
Όπως και αν εξελιχθεί, εμείς θα πρέπει να είμαστε προετοιμασμένοι αφού ο ransomware θα συνεχίσει να αποτελεί μια πολύ σημαντική απειλή στα επόμενα χρόνια. Επομένως, προσοχή στα email που ανοίγετε και τις ιστοσελίδες που επισκέπτεστε, ενώ θα πρέπει να συνεχίσετε να κάνετε συχνές ενημερώσεις ασφαλείας στο σύστημά σας, αλλιώς μπορεί να είστε και εσείς από εκείνους που πιθανόν θα κλάψουν (WannaCry) μαζί με τα άλλα θύματα του ransomware που έκλαψαν πριν από εσάς.
Μπορεί ένα VPN να αποτρέψει επιθέσεις Ransomware;
Αν και ένα VPN δεν μπορεί να σας προστατέψει από επιθέσεις κακόβουλου λογισμικού, μπορεί όμως να αυξήσει το επίπεδο ασφαλείας του συστήματός σας και να το κάνει πιο ασφαλές. Υπάρχουν πολλά πλεονεκτήματα στη χρήση ενός VPN.
- Όταν χρησιμοποιείτε ένα VPN, η ΙΡ διεύθυνσή σας αποκρύπτεται και μπορείτε να έχετε πρόσβαση στο διαδίκτυο ανώνυμα. Αυτό δυσκολεύει πολύ τους δημιουργούς του κακόβουλου λογισμικού στο να βάλουν τον υπολογιστή σας στο στόχαστρό τους, αφού συνήθως αναζητούν πιο ευάλωτους χρήστες.
- Όταν ανταλλάσσετε ή έχετε πρόσβαση σε δεδομένα μέσω διαδικτύου με τη χρήση ενός VPN, αυτά τα δεδομένα κρυπτογραφούνται και έτσι παραμένουν σε μεγάλο βαθμό μακριά από τους στόχους των κατασκευαστών κακόβουλου λογισμικού.
- Οι αξιόπιστες εταιρίες VPN βάζουν επίσης στη μαύρη λίστα τις αμφίβολες διευθύνσεις URL.
Λόγω αυτών των παραγόντων, η χρήση ενός VPN σας προστατεύει περισσότερο από τον κίνδυνο ενός κακόβουλου λογισμικού, συμπεριλαμβανομένου και του ransomware. Υπάρχουν πολλές εταιρίες VPN για να επιλέξετε. Εσείς βεβαιωθείτε ότι ο πάροχος στον οποίον θα κάνετε την εγγραφή σας είναι αξιόπιστος και έχει την απαιτούμενη τεχνογνωσία στον τομέα της ασφάλειας στο διαδίκτυο.
Σημείωση συντακτών: Εκτιμούμε τη σχέση μας με τους αναγνώστες μας και προσπαθούμε να κερδίσουμε την εμπιστοσύνη σας μέσω της διαφάνειας των εκάστοτε διαδικασιών και της ακεραιότητάς μας. Βρισκόμαστε υπό κοινή ιδιοκτησία με ορισμένα εκ των κορυφαίων προϊόντων του κλάδου, τα οποία ελέγχονται στον εν λόγω ιστότοπο: Intego, CyberGhost, ExpressVPN και Private Internet Access. Ωστόσο, το παραπάνω δεν επηρεάζει τις διαδικασίες αξιολόγησής μας, καθώς τηρούμε μία αυστηρή μεθοδολογία δοκιμών.
Αν ψάχνετε για ένα VPN, ρίξτε μια ματιά στα VPN που προτείνουν περισσότερο οι αξιόπιστοι χρήστες μας.
Τα δεδομένα σας είναι εκτεθειμένα στους ιστότοπους που επισκέπτεστε!
Η ΙΡ Διεύθυνσή σας:
Η Τοποθεσία σας:
Ο Πάροχός σας σε Υπηρεσίες Διαδικτύου
Οι παραπάνω πληροφορίες μπορεί να χρησιμοποιηθούν για την παρακολούθησή σας, για αποστολή στοχευμένων διαφημίσεων και την παρακολούθηση της δραστηριότητάς σας στο διαδίκτυο.
Τα VPN μπορούν να σάς βοηθήσουν να κρύψετε αυτές τις πληροφορίες από τους ιστότοπους που επισκέπτεστε, έτσι ώστε να είστε συνεχώς προστατευμένοι. Εμείς σάς προτείνουμε το ExpressVPN — το #1 VPN ανάμεσα σε περισσότερους από 350 παρόχους που δοκιμάσαμε. Έχει κρυπτογράφηση στρατιωτικού επιπέδου και χαρακτηριστικά προστασίας της ιδιωτικότητάς σας τα οποία διασφαλίζουν την ψηφιακή σας ασφάλειά, συν το γεγονός ότι — αυτή τη στιγμή προσφέρει έκπτωση 61%.
Σχολιάστε πώς μπορεί να βελτιωθεί το εν λόγω άρθρο. Τα σχόλιά σας έχουν σημασία!