Co může být horšího než ransomware, který zakóduje všechny vaše soubory a za klíč k jejich odemknutí a návratu do původního stavu požaduje peníze?
WannaCry přinesl bezesporu novou dimenzi nebezpečí souvisejícího s ransomware, protože v sobě kombinoval zakódování dat s mechanismem typickým pro počítačové viry – s automatizovaným samo-šířením.
Díky tomu se WannaCry mohl šířit automaticky napříč sítí a potenciálně během jednoho útoku zakódovat stovky či dokonce tisíce počítačů. A to dokonce i v případě, že zdánlivě bezpečnou přílohu nebo soubor stažený z nakaženého webu otevřel jeden jediný uživatel.
Počítačoví zločinci, kteří stojí za ransomware SamSam, zvolili poněkud odlišný přístup. Místo snahy napadnout pomocí obtížně cílené spamové kampaně desítky tisíc obětí po celém světě (s následnými finančními požadavky ve stovkách či tisíců dolarů) to vypadá, že vždy útočí jen na jednu organizaci. Samozřejmě se SamSammers zpočátku snaží o maximální utajení svých aktivit. A to až do doby, než se díky technikám podobným těm z penetračních testů ransomware rozšíří po síťové infrastruktuře a získají seznam počítačů, které mohou všechny – a to současně – v určitém okamžiku zašifrovat.
Koordinovaný útok na všechna tato identifikovaná zařízení podstatně zvyšuje šanci, že se podaří zakódovat alespoň některé z počítačů zásadních pro podnikové procesy. V případě běžného ransomware pak přichází výzva k platbě, zpravidla ve výši pár tisíc dolarů za odemknutí každého jednotlivého počítače. K dispozici je ale i možnost dešifrovat všechny počítače, za 50 tisíc dolarů.
Nyní ale počítačoví zločinci otáčejí o 180 stupňů. „Neříkají už »pokud nezaplatíte, vaše soubory do původního stavu neobnovíme«, ale používají formulace ve stylu »pokud zaplatíte, nic špatného s vašimi daty neuděláme«. V podstatě se tedy jedná o výpalné, jehož zaplacením lze předejít nechtěným následkům – na rozdíl od ransomware, kde je vyžadováno výkupné jako prostředek pro napravení již proběhlých škodlivých aktivit,“ vysvětluje rozdílný přístup kyberútočníků Patrick Müller ze společnosti Sophos.
O podstatě nového typu hrozby barvitě vypovídá e-mail, který aktuálně počítačoví vyděrači rozesílají:
Odesílatel: WannaCry-Hack-team
Komu: **************
Předmět: !!!Warning Wannacrypt!!!
Ahoj! WannaCry je zpět! Náš program napadl všechna vaše zařízení a díky vylepšení jeho mechanismů nebude možné vaše data po začátku útoku získat zpět. Všechna data totiž zašifrujeme a poté smažeme. Antivirový software náš program neodhalí a s naším jedinečným kódem si neporadí ani firewally.
Budou-li vaše soubory zašifrovány, ztratíte je navždy. Náš program navíc pokrývá i vaši lokální síť, takže smaže data na všech počítačích připojených do sítě i na vzdálených serverech. Smaže i data uložená v cloudu a způsobí přerušení provozu webových aplikací. Náš program je v tuto chvíli již na všech vašich zařízeních a vymazání dat je naplánováno na XX. července 2018 v XX:XX XX:XX hodin. Budou zničena všechna data na vašich počítačích, serverech i mobilních zařízeních. Bez ohledu na to, jaký typ a verzi operačních systémů využíváte, zda Windows, iOS, macOD, Android nebo Linux.
Této nenávratné ztrátě dat můžete zabránit zaplacením desetiny bitcoinu (přibližně 650 amerických dolarů) do naší peněženky ****************.
Špatnou zprávou je, že e-mail WannaCrypt vyžadující peníze se rychle šíří a vyvolává obavy po celém světě. Dobrou zprávou je naopak to, že tito konkrétní podvodníci žádný malware pro realizaci své hrozby ve skutečnosti nemají. V něčem ale nelžou, žádný antivir jejich program opravdu detekovat nemůže. Jednoduše proto, že v tomto případě neexistuje nic, co by odhalit mohl.
Aby bylo jasno, malware, který dokáže vše smazat – a v jehož případě od kybernetických zločinců nelze data koupit zpět ani v případě ochoty k zaplacení – zcela jistě existuje. Jinými slovy, kyber-zločinci rozesílající výše uvedený e-mail a dávající jen pár hodin na předejití poslední, zničující fáze útoku mohou teoreticky mluvit pravdu. V tomto konkrétním případě se však jedná o pouhý podvod.
A jak se k této hrozbě postavit? Především…
- Nic neplaťte: jak je patrné z informací o bitcoinových transakcích, tak ke 22. červnu 2018 zatím nikdo žádné prostředky vyděračům neposlal. Tedy přinejmenším na adresu z výše uvedeného spamu.
- Zločince nekontaktujte: proč sdělovat, že existujete a máte strach, a podávat o sobě další informace?
- Ujistěte se, že máte vše aktualizované a jste chráněni: aby byl popisovaný útok úspěšný, musí nejprve dojít k infikování vašich počítačů. A právě to vám dává šanci odhalit malware ještě před tím, než dojde k nejhoršímu (typický ransomware se naopak „přihlásí“ až v okamžiku, kdy své dílo dokoná). Jinými slovy, buďte připraveni!
Patrick Müller ze společnosti Sophos však upozorňuje, „že ransomware, čističe disků, racketware vyžadující výpalné a další typy malware schopné zničit data jsou pouze jedním z mnoha způsobů, jak o digitální „cennosti“ přijít. I softwarové chyby, požár, povodeň, krádež nebo starý hardware může mít za následek náhlou a katastrofickou ztrátu dat. Takže zálohujte, to je ta nejlepší rada, a udělejte to ještě dnes.“