Płacisz okup, ulepszasz malware. CryptoWall 4.0 już penetruje firewalle
Spośród szkodników typu ransomware największe szkody w naszymkraju wyrządził CryptoWall – i niestety póki co nie ma innejmetody na odzyskanie zaszyfrowanych nim danych, niż zapłacenieokupu, wynoszącego równowartość 500 dolarów w bitcoinach. Jeślijednak myśleliście, że najgorsze już za nami i nowe generacjeoprogramowania zabezpieczającego pozwolą wam spać spokojnie, bezobaw, że utracicie swoje dane (nie mówiąc już o ichupublicznieniu), to mamy złą wiadomość. Duńscy badacze z firmyHeimdall Security przechwycili pierwsze próbki CryptoWalla 4.0. Nowawersja szkodnika sprawnie obchodzi zabezpieczenia obecnie stosowanychnarzędzi ochronnych.
Nowa odmiana CryptoWalla została „udostępniona” użytkownikomna całym świecie. Wykorzystuje odchudzony instalator (dropper),pozbawiony własnych exploitów – najwyraźniej cyberprzestępcyzdecydowali się na rozprowadzanie ransomware głównie za pomocąniezależnie rozwijanych, gotowych zestawów exploitowych, takich jakNuclear czy Angler. Wciąż też stosowany jest wielostopniowyautorski mechanizm szyfrowania szkodnika, dzięki któremu udaje sięuniknąć alarmu podczas skanowania systemu przez oprogramowanieantywirusowe.
Znaczącą innowacją jest nowy protokół komunikacyjny, któryzostał zaprojektowany tak, by uniknąć wykrycia przez zaporysieciowe. Duńscy badacze ostrzegają, że CryptoWall 4.0 jest wstanie przeniknąć nawet zaawansowane biznesowe firewalle drugiejgeneracji, by połączyć się z zarażonymi malware hostami,przechowującymi jego bojowy ładunek. Hosty te łączą zarażonesystemy w botnet i wykorzystują go do rozpowszechniania złośliwegooprogramowania na inne komputery. Głównym wektorem infekcji wciążpozostają ataki spamowe i zarażone strony WWW.
Zastosowano także ciekawą technikę społecznej inżynierii.Wcześniej użytkownik przynajmniej wiedział, co zostałozaszyfrowane. Teraz CryptoWall 4.0 szyfruje nie tylko zawartośćplików, ale także ich nazwy, by zwiększyć dezorientację ofiar iwywrzeć na nich skuteczniej presję. Zdaniem ekspertów z HeimdallSecurity zwiększa to skuteczność ataku, nakłaniając użytkownikówdo tak szybkiego odzyskania danych jak to jest możliwe.
Ważna wiadomość, przedstawiana ofiarom, jest jednak napisana wtonie przyjaznym i pocieszającym, w prosty sposób wyjaśniając, cosię stało i co można zrobić. Jak zwykle ofiara otrzymujeunikatowe konto w sieci Bitcoin, na które może przelać wskazanąkwotę. Odwiedzając podany adres kryptousługi ukrytej w sieci Tor,otrzyma z niej po weryfikacji transakcji klucz prywatny RSA, zapomocą którego dane zostaną odszyfrowane.
Ransomware stało się w ten sposób poważnym biznesem, zesprawdzonym modelem monetyzacji, w którym sporą część zarobkówinwestuje się w ulepszanie malware. Jeśli cybeprzestępcy niepopełnią błędów pozwalających ujawnić ich tożsamość, nie mapóki co żadnej nadziei na wygranie tego wyścigu zbrojeń.Użytkownikom pozostaje zachowanie zasad bezpieczeństwa i higienypracy z danymi pochodzącymi z Internetu oraz tworzenie kopiizapasowych, najlepiej w heterogenicznym linuksowym środowisku zlinuksowymi serwerami – kopiowanie ich na zmapowany w Windows dysksieciowy naprawdę nie jest tu żadnym rozwiązaniem.
