Amenintarile informatice au o diversitate de invidiat, iar o dovada a ingeniozitatii hackerilor o reprezinta cele de tip ransomware in care un virus iti cripteaza datele de pe "hard" si nu poti recastiga accesul decat daca platesti o suma de bani drept recompensa. Cum au luat nastere aceste amenintari, care este cel mai cunoscut exemplu din Romania si care sunt cele mai noi desfasurari din domeniul santajului" electronic puteti citi in articol.

Un atac parsiv

Putine amenintari informatice actioneaza intr-un mod atat de parsiv. Tinta afla imediat ca are o problema fiindca nu-si mai poate accesa datele de pe computer sau smartphone, diferenta fiind mare fata de alti virusi care sunt mult mai "silentiosi" si poti sta ani de zile cu ei fara sa afli. Ransomware-ul, de la cuvantul ransom (recompensa, in engleza), iti cripteaza fisierele de pe "hard" si apoi te santajeaza daca vrei sa ai din nou acces la ele. Santajul consta, de cele mai multe ori, in solicitarea unei sume de bani in schimbul "cheii" care poate indeparta blocajul.

Astfel de programe ajung in computer fie prin Troieni descarcati din neglijenta, fie din cauza unor vulnerabilitati ale sistemului de operare. Dupa ce ajung insa pe terminal, urmeaza clipe grele pentru posesor, fiindca i se pregatesc lucruri nefaste.

Ransomware este un tip de malware gandit sa intimideze utilizatorul, iar pentru asta este gandit ca la "patrunderea" pe computerele victima sa afiseze mesaje alarmante, cum ar fi cele venite din partea autoritatilor care, chipurile, il sperie pe utilizator si il "cearta" ca ar fi descarcat continut piratat. In unele cazuri sunt afisate imagini pornografice, si ele de mare efect, sau totul este mascat sub o procedura de activare sau de actualizare de Windows.

Apoi, cand e sa i se ceara recompensa, acest lucru fie se intampla prin servicii de vouchere electronice (prin care oamenii pot schimba banii pe un cod securizat cu care apoi pot face plati electronice), fie prin trimiterea de SMS-uri la un numar cu suprataxa fie, mai nou, cu plata prin Bitcoin.

O istorie de 25 de ani

Primele ransomware-uri au aparut inaintea WWW-ului, in 1989, dar cifrurile erau extrem de simple si computerele erau mult mai putine, la fel si cei ce puteau fi pacaliti.

Abia in 2005 s-au inmultit atacurile serioase de ransomware, iar foarte multe dintre ele erau in Rusia, tara celebra pentru "creierele" creative cand e vorba de programe periculoase.

In ultimii ani programe malitioase cunoscute precum CryptoLocker, CryptoWall si TorrentLocker au tintit cel putin cateva sute de mii de calculatoare, iar initiatorii au castigat lejer zeci de milioane de dolari. Ca dovada ca fenomenul este cat se poate de serios, multe guverne din tari avansate instaleaza solutii anti-ransomware de la marile companii de securitate informatica.

Modul de raspandire al ransomware-ului este rapid si eficient, celebrul TorrentLocker fiind "mascat" in e-mail-uri ce pareau ca vin din partea Royal Mail in Regatul Unit. Oamenilor li se scria in e-mail ca au un colet de ridicat, insa pentru asta trebuie sa descarce un fisier pentru a afla date despre pachet. In acel fisier este ascuns malware-ul si cei care chiar asteapta un pachet vor "cadea" mai usor in plasa.

Ca dovada ca infractorii stiu sa profite de cele mai noi tendinte pentru a sta cat mai ascunsi, sta faptul ca cer in multe cazuri recompensa in moneda virtuala Bitcoin. Tranzactiile sunt foarte greu de depistat si sunt si ireversibile. In plus, ironia sortii, infractorii le trimit celor care le-au cazut in plasa si un ghid simplu despre cum sa inceapa sa foloseasca Bitcoin si cum sa-si creeze un Wallet.

O alta dovada de adaptare tine de faptul ca au aparut si "encriptoare" mobile ce pot bloca telefonul sub motivul ca user-ul a urmarit pe el continut pornografic interzis. Practic este blocat card-ul de memorie al telefonului, iar deblocarea, care consta in furnizarea de catre infractori a unui cod, costa intre 200 si 500 de dolari in general.

Sa platesti sau sa nu platesti: marea intrebare

Amenintari, precum CryptoLocker si CryptoWall tintesc in special companiile fiindca datele au o mult mai mare valoare pentru acestea, decat pentru un simplu user. Criptarea hard-urilor face inutilizabile datele pentru acea companie si ii blocheaza activitatea, consecintele fiind grave pe plan financiar.

Marea intrebare este daca o companie trebuie sau nu sa plateasca recompensa ceruta de infractori, iar raspunsul specialistilor in securitate nu este un NU unanim. Unele companii pur si simplu prefera sa dea cateva sute de dolari, dar sa reia activitatea, in caz contrar pierderile fiind mult mai mari. O solutie este ca datele respective sa fie pastrate si in cloud, astfel incat criptarea hard-urilor sa nu insemne pierderea lor. Un back-up este solutia cea mai potrivita.

Insa, la fel ca la rapirile de persoane, si la ransomware plata recompensei finanteaza organizatia criminala si nu face decat sa incurajeze infractorii sa atace si alte tinte. In plus, au fost si cazuri in care parola de decriptare nu a fost furnizata nici dupa ce banii au ajuns la hackeri. Riscurile sunt mari pe acest "taram" al nelegiuirilor.

Au fost multe cazuri in care angajati ai unei companii au primit e-mail-uri cu link-uri ce pareau ca duc catre PayPal. Totul arata la fel, angajatii au deschis si computerele s-au blocat, indicand doar un termen limita pana cand trebuie platita "rascumpararea".

Hackerii apeleaza nu doar la Bitcoin, ci si la reteaua anonima online Tor unde comunicarea intre atacator si victima nu poate fi depistata. Hackerii au devenit si mai buni la gasirea fisierelor cu adevarat valoroase, astfel incat ataca direct tinte despre care stiu ca tin enorm la informatii si vor plati mult pentru a recapata acces la ele.

Cate cazuri de ransomware au existat e imposibil de stiut fiindca multe companii si multi useri prefera sa plateasca si sa nu mai stie nimeni ca au fost victime, fiindca se simt rusinati ca au ajuns in situatia de a fi pacaliti. Multi aleg astfel sa nu raporteze fiindca ajung sa considere ca e doar vina lor.

Un punct important tine de educarea angajatilor pentru a sti cum sa se comporte in fata unor e-mail-uri nesolicitate, multi fiind tentati sa le deschida fara cea mai mica ezitare. In plus, orice companie serioasa trebuie sa aiba solutii viabile de scanare a a continutului si de filtrare, astfel incat orice e-mail care vine sa fie verificat.

Dincolo de faptul ca toate sistemele software trebuie sa fie actualizate, lucru esential, o masura utila tine si de limitarea accesului angajatilor la o serie de drive-uri cheie la care nici nu ar avea rost sa aiba acces.

Politia Romana, un ransomware care a lovit puternic.

In Romania cel mai cunoscut virus care foloseste si metoda ransomware este ICEPOL, cunoscut sub denumirea de Poliţia Romana. Se stie de el de mai multi ani, insa a devenit tot mai sofisticat, iar in Romania a infectat peste 10.000 de computere numai in 2013.

O analiza a Bitdefender publicata la inceput de 2014 arata ca acest tip de malware de Android, detectat în Asia, are același comportament precum virușii de PC de tip ransomware. Deghizat in soluție antivirus, acest tip de virus păcălește utilizatorii sa il descarce, blocheaza terminalul si apoi solicita bani pentru a-l debloca.

Infractorii generau bani si prin campanii de tipul pay per click, dar mai ales prin procedeul ransomware. Infractorii aveau servere de comanda si control in diverse tari si, pe masura ce erau inchise de autoritati, le mutau in alte state.

Pentru un user cu computerul infectat experienta era neplacuta. La pornirea calculatorului ecranul era blocat, iar virusul afisa un mesaj în limba utilizatorului. Mesajul il informa ca sistemul a fost blocat in urma detectării unei activitati suspecte precum descărcarea de material fără plata drepturilor de autor sau pornografie. Mesajul mai preciza că sistemul ar putea fi deblocat prin plata unei răscumpărări denumite eufemistic amenda.

Concluzie

Per total, amenintarile de tip ransomware vor mai face bani atat timp cat sunt oameni care nu-si protejeaza bine datele, cad in capcana si apoi sunt dispusi sa plateasca. Un raport recent arata ca sub 2% dintre cei carora le este criptat hard-ul ajung sa plateasca, iar procentul, desi pare mic, este destul de mare incat sa-i imbogateasca pe atacatori si sa le continue finantarea.