Το πρώτο εξάμηνο του 2016, τo ransomware αναδείχθηκε ως η πιο «επικερδής» επίθεση για τους κυβερνοεγκληματίες –άρα και η πιο επικίνδυνη για ιδιώτες και οργανισμούς. Η εξέλιξη των ransomware επιθέσεων και η συνεχής αύξηση των κρουσμάτων στήνουν το σκηνικό για μια ιδιαίτερα δύσκολη μάχη ανάμεσα τους hackers και τους επαγγελματίες της Ασφάλειας Πληροφοριών.

Μια τυπική επίθεση ransomware αφορά στην επίθεση μέσω malware, watering holes και phishing στα δεδομένα ενός υποκείμενου, το κλείδωμα ή κρυπτογράφηση αυτών και την απαίτηση για πληρωμή λύτρων σε bitcoin, προκειμένου ο χρήστης να αποκτήσει πάλι πρόσβαση στα αρχεία του. Η επίθεση δεν έχει ως στόχο την καταστροφή των εγγράφων, τα θύματα είναι, κατά κύριο λόγο, ιδιώτες και μικρές επιχειρήσεις, ενώ η «ταρίφα» για το ξεκλείδωμα ή αποκρυπτογράφηση των αρχείων φτάνει σήμερα τα 300-500 δολάρια, σύμφωνα με το 2016 Midyear Security Report της Cisco. Η επικρατούσα μέχρι σήμερα νοοτροπία έχει χαρακτηριστικά “spray and pray”, με τους hackers να χτυπούν όσο το δυνατόν περισσότερους χρήστες, με γρήγορους ρυθμούς. Ωστόσο, οι εκθέσεις των μεγαλύτερων προμηθευτών Ασφάλειας Πληροφοριών υπογραμμίζουν ότι το πρόβλημα παίρνει ανησυχητικές διαστάσεις.

Τα «επιδημιολογικά» στοιχεία του ransomware
Εδώ και ενάμιση χρόνο περίπου, το ransomware έχει φτάσει σε ένα νέο επίπεδο ωριμότητας και απειλής. Η τελειότητα του επιχειρηματικού μοντέλου που χρησιμοποιεί το ransomware έχει δημιουργήσει μια νοοτροπία χιονοστιβάδας μεταξύ των επιτιθέμενων, καθώς καθημερινά αυξάνεται το χρηματικό ποσό που προσπαθούν να εκμαιεύσουν από τα θύματά τους. Η πληρωμή λύτρων είναι η απλούστερη (αν όχι η μοναδική) λύση για τα θύματα, καθώς η αποκρυπτογράφηση αρχείων που έχουν προσβληθεί με ransomware μπορεί να πάρει ακόμα και χρόνια. Ειδικότερα στον τομέα της υγείας, όπου, σύμφωνα με στοιχεία του Ponemon Institute, το κόστος μιας επίθεσης ransomware φτάνει τα 7.900 δολάρια ανά λεπτό (μέχρι να αποκρυπτογραφηθούν τα αρχεία), τα ransomware λύτρα θεωρούνται πλέον λειτουργικό κόστος, με τις ανάλογες προβλέψεις στις οικονομικές καταστάσεις. Έτσι όμως δημιουργείται ένας φαύλος κύκλος, καθώς η πληρωμή των λύτρων από τα θύματα χρηματοδοτεί την εξέλιξη των νέων οικογενειών ransomware και την κλιμάκωση των επιθέσεων.

Σύμφωνα με το ISTR Vol. 21 της Symantec, μέσα στο 2015, η μέση ζήτηση σε λύτρα υπερδιπλασιάστηκε ενώ ανακαλύφθηκαν 100 νέες οικογένειες ransomware (ο αριθμός παρουσιάζει σταθερή αύξηση από το 2011 μέχρι το 2015). Τα στοιχεία αυτά επιβεβαιώνει και το Midyear 2016 report της TrendMicro, σύμφωνα με το οποίο, οι οικογένειες ransomware που ανακαλύφθηκαν μέσα στο πρώτο μισό του 2016 ξεπερνούν σε αριθμό αυτές που ανακαλύφθηκαν μέσα στο 2015.

Το νέο κύμα του ransomware
Οι αριθμοί ευημερούν στο πεδίο του ransomware, όμως τα ποιοτικά στοιχεία είναι αυτά που προκαλούν τη μεγαλύτερη ανησυχία. Εν πρώτοις, οι επιθέσεις ransomware κατευθύνονται πλέον και σε μεγάλους οργανισμούς, οι οποίοι μπορεί να έχουν πιο εξελιγμένα συστήματα εντοπισμού των απειλών σε σχέση με μια μικρή επιχείρηση, όμως η απαίτηση σε λύτρα είναι μεγαλύτερη, καθώς η αδυναμία πρόσβασης σε αρχεία έχει υπολογίσιμο κόστος. Σύμφωνα με τα στοιχεία της TrendMicro για το πρώτο εξάμηνο του 2016, το ransomware στοιχίζει πλέον στους οργανισμούς περίπου 209 εκατ. δολάρια. Σε αντίθεση με τις αρχικές επιθέσεις, οι hackers πλέον στοχεύουν και σε servers, όχι μόνο σε αρχεία. Σύμφωνα με στοιχεία της Kaspersky Lab, το διαβόητο crypto-ransomware Trojan CTB-Locker κρυπτογραφεί πλέον τους web servers, ζητώντας μισό bitcoin (περίπου 150 δολάρια) σε λύτρα. Εάν δεν υπάρξει εμπρόθεσμη πληρωμή, τα λύτρα διπλασιάζονται, μέχρι να καταβληθούν και να αποκρυπτογραφηθούν οι servers. Το CTB-Locker έχει ήδη προκαλέσει πονοκέφαλο στους επαγγελματίες της Ασφάλειας Πληροφοριών, καθώς χρησιμοποιεί το ανώνυμο δίκτυο Tor, για να προστατεύσει τους command servers του και να αποφύγει τον εντοπισμό του malware.

Το SamSam ransomware είναι ιδιαίτερα διαδεδομένο στον χώρο της υγείας: σύμφωνα με στοιχεία της Cisco, η εξάπλωση του στον κλάδο οφείλεται στη μόλυνση των web servers. Οι επιτιθέμενοι αρχικά στόχευσαν στα τρωτά σημεία των JBoss application servers, για να αποκτήσουν πρόσβαση σε δίκτυα και μηχανήματα των οργανισμών υγείας. Η Cisco προειδοποιεί ότι η εξάπλωση του SamSam οφείλεται εν πολλοίς σε ελλιπές patching των υποδομών και τονίζει ότι, στο μέλλον, θα δούμε επιθέσεις περισσότερες επιθέσεις ransomware μέσω των servers, οι οποίες θα απειλούν όχι μόνο οργανισμούς, αλλά και κλάδους. Τα υψηλά περιθώρια κέρδους του ransomware οδηγούν στη δημιουργία ενός ολόκληρου οικονομικού «οικοσυστήματος» γύρω από αυτό. Σε αυτό το πλαίσιο, η ανάδειξη του “Ransomware as a Service” μόνο εντύπωση δεν προκαλεί. Σύμφωνα με στοιχεία της Kaspersky Lab, στη μία περίπτωση, οι «συνεργοί» -συνήθως διαχειριστές sites πορνό- αναλαμβάνουν τη διασπορά του ransomware Trojan, με αντάλλαγμα ένα ποσοστό από τα λύτρα. Στον αντίποδα, υπάρχουν προμηθευτές εργαλείων κρυπτογράφησης και ο επιτιθέμενος έχει την ευθύνη να προσβάλλει τα θύματα με το Trojan. Και παρά τον «εκβιομηχανισμό» του ransomware, υπάρχει υπολογίσιμος αριθμός Trojans τα οποία είναι εύκολα προσβάσιμα στον καθένα, με τη μορφή πηγαίου κώδικα: πρακτικά αυτό σημαίνει ότι ακόμα και άτομα με ελάχιστες γνώσεις τεχνολογίας μπορούν να εξαπολύσουν επίθεση.

Σε μία τυπική επίθεση ransomware, ο χρήστης αποκτά και πάλι πρόσβαση στα αρχεία του, μόλις πληρωθούν τα λύτρα. Ωστόσο, το 2016 Midyear Security Report της Cisco θέτει ανοιχτά το ενδεχόμενο αλλοίωσης ή καταστροφής των αρχείων, ακόμα και μετά την καταβολή των λύτρων. Αυτό μπορεί να οφείλεται είτε σε bugs του malware, τα οποία συνεχίζουν την καταστροφική δράση τους ή σε σκόπιμη αλλοίωση των αρχείων, όσο βρίσκονται υπό τον έλεγχο των hackers. Διαδεδομένο είναι πλέον και το φαινόμενο των επαναλαμβανόμενων επιθέσεων: οι hackers πλέον χτυπούν δυο (και παραπάνω) φορές τον ίδιο στόχο. Μάλιστα, εφαρμόζουν μοντέλα που θα ζήλευαν πολλοί retailers, ζητώντας μειωμένα λύτρα στους… τακτικούς πελάτες ή τα διπλάσια λύτρα, εάν το θύμα εμφανίστηκε «απρόθυμο» να συνεργαστεί άμεσα στην αρχική επίθεση. Οι ερευνητές της Cisco επισημαίνουν ότι η νέα τάση στο πεδίο του ransomware είναι η «αυτο-διάδοση» (self-propagation). Το «αυτοδιαδιδόμενο» ransomware μπορεί να αφορά σε εκμετάλλευση τρωτών σημείων σε ευρέως χρησιμοποιούμενα προϊόντα, «κλωνοποίηση» του malware σε όλα τα διαθέσιμα drivers (κάτι το οποίο ανοίγει τον δρόμο για μόλυνση και offline συστημάτων), μόλυνση φακέλων και αξιοποίηση των «κρυφών δρόμων» που μπορεί να δημιούργησαν παλαιότερες μολύνσεις (γνωστές στους hackers) στα συστήματα των οργανισμών.

Η επόμενη μέρα
Η αντιμετώπιση του ransomware είναι ζωτικής σημασίας για την επιβίωση των πληροφοριακών συστημάτων των οργανισμών. Κρίνοντας από τις εκθέσεις των μεγάλων security vendors, το πρώτο βήμα αφορά στο να συνειδητοποιήουν οι οργανισμοί ότι το ransomware είναι μια πολύ υπαρκτή, πολύ σοβαρή και συνεχώς εξελισόμενη απειλή. Καθώς η πληρωμή των λύτρων είναι, εν πολλοίς, μονόδρομος, η έμφαση πρέπει να δοθεί στο πεδίο της πρόληψης και του έγκαιρου εντοπισμού των απειλών, με ενίσχυση του end-point security, network security και server security.

Ζωτικής σημασίας είναι το τακτικό patching των υποδομών (οι νέες μορφές ransomware χρησιμοποιούν τρωτά σημεία των servers για να αποκτήσουν πρόσβαση σε πολύτιμα αρχεία), η εδραίωση στρατηγικής back-up και η εκπαίδευση των χρηστών σχετικά με το ransomware και τους κινδύνους του. Ως λύσεις που μπορούν να βοηθήσουν την πρόληψη της επίθεσης προβάλλονται η sandbox analysis, όπου το ΙΤ μπορεί να εξετάσει τη συμπεριφορά του ransomware malware σε ασφαλές περιβάλλον, το behavior monitoring, για τον γρήγορο εντοπισμό μαζικής κρυπτογράφησης αρχείων καθώς και οι λύσεις application control, για τη χρήση εγκεκριμενων εφαρμογών.

Τον περασμένο Ιούλιο, οι Intel Security και Kaspersky Lab, σε συνεργασία με την ολλανδική αστυνομία συνέβαλαν στην ίδρυση της νέας υπηρεσίας “No More Ransom” της Europol. Πυρήνας της πρωτοβουλίας είναι το ομώνυμο site, μέσω του οποίου οι οργανισμοί μπορούν να ενημερώνονται για τις μεθόδους των hackers καθώς και για τις ενέργειες στις οποίες πρέπει να προβούν εάν πέσουν θύμα επίθεσης. Το site εμπεριέχει συνδέσμους λογισμικού αποκρυπτογράφησης, το οποίο μπορεί να χρησιμοποιηθεί στα ransomware malware Coinvualt, Shade, Rannoh και Rakni. «Μέχρι πρότινος, η μόνη επιλογή για τα θύματα ransomware ήταν να πληρώσουν λύτρα. Το “No More Ransom” προσφέρει μια εναλλακτική επιλογή» δήλωσε ο Raj Samani, European head της Intel Security.