Biorą dane w okup i by ukryć się przed skanerami, rozmawiają przez komunikatory
Zagrożenia typu ransomware są coraz poważniejszym problemem trapiącym wielu użytkowników. Nic tak nie załamuje administratorów, jak zaszyfrowane dokumenty na stacjach roboczych i serwerach. Problem dotyczy jednak nie tylko komputerów, ale i urządzeń mobilnych. Także i tu znajdziemy tego typu szkodniki, co gorsze, działają one w coraz bardziej wyrafinowany sposób.
O ciekawym przypadku związanym z tego typu zagrożeniami możemy dowiedzieć się dzięki odkryciu specjalistów z firm Avast i Check Point. Od kilku miesięcy cyberprzestępcy wykorzystują nowe metody komunikacji z własnymi serwerami, co chroni ich szkodniki przed szybkim wykryciem. Malware takie jak Simplelocker czy Koler są instalowane na smartfonach i tabletach dzięki socjotechnice: teoretycznie każdy wie, że powinien instalować aplikacje jedynie z zaufanych źródeł takich jak sklep Google Play. W praktyce jest z tym jednak różnie, a atakującym często udaje się nakłonić ofiary do pobrania programu z niezaufanego źródła.
Dlaczego ktoś miałby je instalować? Przykładem może być choćby rzekomy instalator Adobe Flash Playera, którego w sklepie Play nie znajdziemy, a który jest przez wiele osób poszukiwany. Programy niejednokrotnie działają z uprawnieniami administratora, szyfrują pliki zgromadzone na urządzeniu (np. zdjęcia, dokumenty, muzyka), a następnie domagają się okupu. Jeden z przedstawionych szkodników wyświetla komunikat ,podszywając się pod amerykańską organizację NSA: zgodnie z nim dane zostały zaszyfrowane, ponieważ użytkownik dopuścił się przeglądania stron pornograficznych, a także piractwa. Aby je odzyskać, ofiara musi zapłacić okup, którego wysokość waha się w granicach od 200 do nawet 500 dolarów.
Nawet jeżeli uda nam się usunąć tego typu program, pliki nadal pozostaną zaszyfrowane. Ważniejsza jest więc profilaktyka. Różnego rodzaju pakiety ochronne są w stanie wykrywać tego typu aplikacje choćby za sprawą ich komunikacji sieciowej: szkodnik musi pobrać klucze i odpowiednie dane z serwera atakującego. Najczęściej wykorzystują one do tego protokół HTTPS, co umożliwia sprawdzenie adresu IP i nazwy serwera, a w razie potrzeby zablokowanie ruchu. Nowe zagrożenia omijają to ograniczenie. Do komunikacji wykorzystują konta XMPP (Extensible Messaging and Presence Protocol) służące do komunikacji tekstowej i głosowej. W wiadomościach przesyłanych między nimi i aplikacją umieszczają odpowiednie komunikaty sterujące. Dzięki temu ruch, jaki generują, wydaje się nieszkodliwy, czymś naturalnym.
Blokowanie serwerów również na nic się tutaj nie zda – cyberprzestępcy wykorzystują bowiem konta zakładane na popularnych i zaufanych serwerach. Są one jedynie pośrednikiem, którego nie można ot tak blokować. Źródłowy serwer ataku znajduje się natomiast za TOR-em. W tej sytuacji rozwiązaniem jest dopiero zgłoszenie sprawy administratorom serwera XMPP, w celu zablokowania określonych kont służących do ataków. Oczywiście skuteczność ochrony w takiej sytuacji diametralnie spada, nie da się jej bowiem aż tak zautomatyzować. Analizy wykonane przez Check Point pokazują natomiast, że problem jest poważny: tysiące komunikatów wysyłane w obie strony przez specjalne konta oznaczają, że ofiar jest dużo, a zyski atakujących można liczyć w setkach tysięcy dolarów.
Co można zrobić w tego typu sytuacjach? Autorzy narzędzi ochronnych muszą opracować nowe metody wykrywania zagrożeń, aby unieszkodliwić je, zanim zdążą one zaszyfrować nasze dane. Oczywiście w przypadku urządzeń mobilnych największa odpowiedzialność i tak leży po stronie użytkownika. Wystarczy „tylko” instalować aplikacje jedynie z zaufanych źródeł. Z jakiegoś powodu często okazuje się to jednak zadaniem zbyt trudnym.
