Dlaczego ransomware działa
Na cyberprzestępczym rynku pojawił się nowy wirus typu ransomware. Nazywa się Ekans (lub Snake) i specjalizuje się w atakowaniu systemów przemysłowych. Specjaliści mówią, że jest najgroźniejszy z dotychczas znanych. Właściwie już teraz można się zastanawiać, czy zarobi dla swoich autorów więcej czy mniej milionów dolarów niż poprzednicy, tacy jak Gpcode, CryptoLocker albo Petya. Jednak mnie ciekawi, jak to się stało, że blokowanie komputerów i szyfrowanie plików z żądaniem okupu w ogóle jest skuteczne.
Ekans został zarejestrowany jeszcze w grudniu – poinformowali o nim eksperci z firm Dragos i SentinelOne. Wirus ten trafia do miejsc, które są obsługiwane przez źle skonfigurowany protokół RDP, web injection, exploitów i e-maili. W systemach przemysłowych korzystających z Windows potrafi zakończyć procesy związane z produkcją (SCADA) i zdalnym zarządzaniem, a przede wszystkim szyfruje pliki – jak twierdzą twórcy malware’u – z użyciem algorytmów poziomu wojskowego (AES-256, RSA-2048). Użytkownik lub administrator widzi na liście nazwy zbiorów danych z rozszerzeniami, które mają pięć dodatkowych znaków, m.in. wielkich liter.
Na razie pewne jest, że Ekans zdążył uderzyć w systemy firm paliwowych.Miejmy nadzieję, że nowy ransomware nie przebije sławą wirusa Petya, który ujawnił się na wielką skalę w 2017 r. Uderzał głównie w firmy działające na Ukrainie i w Rosji, niemniej dotknął też przedsiębiorstw z Niemiec, Wielkiej Brytanii, Francji, Włoch i Polski. Trudno na razie powiedzieć, czy Ekans zbliży się rozpoznawalnością i skutecznością do CryptoLockera i Petyi, ale specjaliści, którzy go wykryli, przekonują, że jest najgroźniejszym ransomware’em, jaki dotychczas napisano. Jak wspominałem, nie tylko szyfruje dane, lecz także zatrzymuje procesy w systemach przemysłowych.
A tak naprawdę ransomware pojawił się dużo wcześniej. Pierwsze przypadki historia informatyki odnotowuje na przełomie lat 80. i 90. Najpierw komputerom dokuczał program AIDS/PC Cyborg, później bardziej zaawansowane Gpcode i Troj.Ransom.A. Pamiętam, że kiedy usłyszałem o takich metodach wymuszeń, nieco naiwnie zakładałem, że nie mogą działać. Myślałem sobie, że gdyby ktoś zaszyfrował dane w moim komputerze, to nawet gdybym nie zrobił kopii zapasowej i nawet gdybym miał w urządzeniu ważne pliki, których utrata byłaby w jakikolwiek sposób kłopotliwa, to przecież nie mam żadnej gwarancji, że po zapłaceniu okupu przestępca odszyfruje mój dysk (prześle narzędzie lub klucz). Nie ma też żadnej pewności, że nawet po wpłaceniu pieniędzy i odszyfrowaniu nie padnę ofiarą tego samego ataku ponownie. Plus jeszcze poczucie, że uleganie szantażowi jest złem samym w sobie i nakręca przestępczy proceder. Teoretycznie, gdyby nikt nie płacił szantażystom, nie byłoby szantażystów, a w ogóle to nie negocjuje się z terrorystami… A jednak w praktyce negocjuje się i płaci – tak w przypadku terrorystów, jak w przypadku cyberprzestępców.
Tym, czego jeszcze nie wziąłem pod uwagę, jest obiekt ataku. Zwykły użytkownik ryzykuje, że straci dane istotne dla niego z przyczyn sentymentalnych, a ponadto trochę przydatnych dokumentów lub coś zawodowego gromadzonego w prywatnym urządzeniu. W każdym razie najpewniej strata będzie możliwa do zaakceptowania. Z kolei w korporacji atak może oznaczać ogromne straty, ryzyko wizerunkowe, relacyjne, wstrzymanie produkcji, a nawet –w skrajnych przypadkach – upadek firmy. I wtedy zasada o nienegocjowaniu z terrorystami trafia w tryby biznesowej Realpolitik. Dlatego właśnie CryptoLocker zarobił dla swoich twórców 27 mln dol. (szacunki ZDNet), a grupa wirusów ransomware, bazujących na wyłudzaniu opłat w kryptowalutach, generuje rocznie przychód przekraczający miliard dolarów (według specjalistów Bitdefendera).
A skoro mowa o przychodzie, autorzy Ekansa piszą do ofiar: „Jeśli jesteś zainteresowany zakupem narzędzia odszyfrowującego, prosimy o kontakt.”.. – tu pada adres e-mailowy czegoś na kształt biura obsługi klienta. A zatem to nie wirus, tylko zwyczajny cyfrowy produkt?
Podobne wywiady i felietony
Ciągły proces budowania świadomości
O tym, jak przekonać klientów do inwestycji w systemy cyberochrony i dlaczego nie zawsze warto bazować na samych statystykach, rozmawiamy z Rafałem Salasą oraz Mateuszem Grelą, pełniącymi rolę Security Junior System Engineer w Ingram Micro.
Od brzegu do brzegu
Zaciekawiło mnie, kiedy bodaj kilka miesięcy temu znajomy analityk IT zaczął opowiadać, że wyraźnie rośnie zainteresowanie edge computingiem. A przecież do niedawna wszystko wydawało się iść w stronę chmury. Czy rzeczywiście mamy do czynienia ze zmianą trendu?
5G w pięciu smakach
Ciekawe, że chyba żaden z poprzednich punktów milowych nie budził tak wielkiego zainteresowania jak 5G. Ale gdyby przyjrzeć się 1G, 2G, 3G i 4G, to każdy z Tych etapów rozwoju niósł z sobą co najmniej tyle samo nowości, o ile nie więcej. Poniżej pięć kluczowych moim zdaniem kwestii dotyczących transmisji kolejnej generacji.