fbpx

Razboiul de neoprit al rascumpararii


In cautarea unor metode simple de a-si forta victimele sa le ofere bitcoin, infractorii cibernetici continua sa intensifice atacurile crypto-ransomware (criptare cu scopul de a cere o rascumparare).
Razboiul de neoprit al rascumpararii 1

Pentru cei cu tendinte infractionale, totul suna foarte bine.

„Obiectivul atacurilor ransomware este de natura financiara”, explica Rik Ferguson, vicepresedinte pentru cercetare in probleme de securitate la Trend Micro. „Este o tactica prin care infractorii pot obtine bani foarte usor si racola foarte usor retele, afiliati si distribuitori si care este in curs de transformare intr-o alta oferta de tipul infractiunii ca serviciu.”

Grupurile infractionale online pot cripta si bloca PC-urile de la distanta; drept rezultat, acestea nu mai pot face nimic altceva decat sa afiseze un mesaj care cere o rascumparare si le explica victimelor cum pot obtine monede bitcoin si cum sa le transfere atacatorului. In culise, exista oferte de „ransomware ca serviciu” care inregistreaza automat platile efectuate si genereaza chei de decriptare permitandu-le astfel atacatorilor sa scape de sarcinile administrative banale si sa maximizeze timpul dedicat infectarii unui numar cat mai mare de victime.

Astfel de atacuri sunt atat de profitabile incat unii escroci ajung chiar sa opereze centre de „servicii pentru clienti” pentru a oferi consultanta tehnica victimelor lor si a le permite, ocazional, sa negocieze plati de rascumparare mai mici sau prelungirea termenului limita, potrivit companiei de securitate finlandeze F-Secure.

Tentatia criptomonedei

Exista din ce in mai multe dovezi ale lacomiei atacatorilor care urmaresc sa obtina bani prin ransomware. Ferguson raporteaza ca, in 2015, Trend Micro a identificat 29 de familii noi de ransomware, in timp ce in prima jumatate a anului 2016 a identificat deja 79 de familii noi de ransomware. Printre noutati se numara Jigsaw, inspirat din filme horror, care dezmembreaza fisierele sub ochii victimei, Powerware, care ataca fisierele ce tin de declaratiile fiscale, si DetoxCrypto, care afiseaza o tema Pokémon Go.

crwlz7fwcaanzke

Extorcarile evolueaza

Cererile de rascumparare sunt foarte variate si continua sa evolueze. Spre exemplu, ransomware‑ul Cerber, foarte des utilizat, obisnuia sa ceara victimelor 1,24 bitcoin (715 USD), potrivit cercetarii publicate de expertul in frauda de la Trend Micro, Joseph C. Chen. Insa Cerber in versiunea 3 – cea mai recenta – ofera un pret „redus” de 1 bitcoin (575 USD) daca utilizatorii platesc rapid. „Insa, daca utilizatorul asteapta mai mult de cinci zile, rascumpararea se dubleaza la 2 bitcoin”, explica expertul; in prezent, 2 bitcoin inseamna 1 150 USD.

crwodcyxgae2_na

Atacurile se indreapta impotriva intreprinderilor

Incercand sa obtina cat mai multi bani prin ransomware, atacatorii se indreapta din ce in ce mai mult impotriva intreprinderilor, spune Rik Ferguson de la Trend Micro, care este si consilier pentru securitate cibernetica al Europol, agentia UE de aplicare a legii.

„In prezent, suntem martorii extinderii atacurilor ransomware impotriva intreprinderilor prin dezvoltarea de comportamente de tip „vierme”, care permit propagarea efectiva in retea si infectarea mai multor masini. Aceasta tactica nu este orientata spre consumator, ci spre intreprinderi”, spune expertul. Acest tip de ransomware cauta spatii partajate in retea, unitati cloud sau alte unitati mapate pentru ca atacatorii sa le poata cripta si pe acestea, in special pentru ca aici se pot afla copiile de siguranta externe ale unei organizatii.

„Atacatorii stiu ca, daca pot infecta, de exemplu, datele medicale ale unei unitati de asistenta medicala, presiunea asupra victimei de a plati rascumpararea va fi exponential mai mare decat cea resimtita de un simplu consumator, iar rascumpararea care poate fi ceruta si extorcata cu succes poate fi mult, mult mai mare”, explica Rik Ferguson.

Sectorul sanatatii este vizat

De fapt, sectorul medical a fost deosebit de grav afectat de atacuri ransomware anul acesta. In incidentul cel mai mediatizat din acest sector, Centrul medical prezbiterian Hollywood din Los Angeles a platit o rascumparare in bitcoin in valoare de 17 000 USD pentru a redobandi controlul asupra sistemelor sale infectate de ransomware.

Desi cedarea in fata extorcarii ridica probleme etice, in cazul organizatiilor care detin inregistrari pentru care timpul este un factor esential este vorba efectiv de viata unor oameni, ceea ce le determina sa plateasca (a se vedea Extorcarea prin ransomware: o chestiune de timp).

Dupa atacul de la Centrul medical prezbiterian Hollywood, senatorul Robert Hertzberg a propus adoptarea unei legi, S.B. 1137, care sa modifice legile din California in sensul calificarii atacurilor ransomware ca extorcare, ceea ce ar permite procurorilor sa ceara aplicarea pedepsei inchisorii pana la patru ani. Corpul legislativ al statului a aprobat proiectul de lege, care ar putea fi promulgat in curand de guvernatorul Jerry Brown, potrivit Statescoop.

„Aproape zilnic citim stiri despre atacuri ransomware care blocheaza agentii guvernamentale sau companii private”, declara Hertzberg. „In esenta, aceste atacuri sunt talharii electronice, pe care trebuie sa le tratam cu aceeasi seriozitate si severitate cu care am trata orice talharie.”

Cu toate acestea, este posibil ca efectul noii legi sa fie neglijabil deoarece agentiile de aplicare a legii spun ca majoritatea infractiunilor informatice isi au originea in tari din Europa de Est, inclusiv Rusia, care nu isi extradeaza cetatenii si nu au urmarit penal prea multe cazuri de criminalitate informatica interna (a se vedea Regula nr. 1 privind criminalitatea informatica in Rusia: nu atacati rusi).

Regula 3-2-1 a copiilor de siguranta

Cercetatorii au reusit sa sparga codul de criptare folosit de unele tipuri de ransomware, permitand unor victime sa-si decripteze fisierele gratuit. Insa nimeni nu ar trebui sa se bazeze pe aceasta strategie deoarece dezvoltatorii de ransomware aplica rapid actualizari pentru a-si remedia erorile.

In schimb, expertii in securitate recomanda organizatiilor sa elimine fisierele atasate suspecte la nivel de gateway e-mail, sa sfatuiasca angajatii sa evite site-urile rau-intentionate cunoscute, care ar putea distribui malware si sa le aminteasca in permanenta sa nu deschida e-mailuri sau documente suspecte.

Dar, mai presus de toate, „apararea fundamentala impotriva ransomware-ului ramane crearea de copii de siguranta”, recomanda expertul Trend Micro, Joseph C. Chen. Pentru ca multe tipuri de ransomware cripteaza si copiile de siguranta, expertul recomanda stocarea acestora in mai multe locuri: „Aplicati regula 3-2-1 si stocati trei copii, doua pe doua dispozitive diferite si a treia intr‑un loc sigur”.

Cautati informatii