Ransomware -
Techniky Ransomware
RIPlace Evasion Technique | High Probability Ransomware Detection Bypass and EDR Evasion |
Kyberzločinci přišli s novým postupem, jak přijít k výkupnému. Po úspěšném průniku do počítačové sítě významného podniku znepřístupní životně důležitá data, a následně požadují výkupné za jejich opětovné zpřístupnění, přičemž tvrdí, že vlastně odhalením zranitelnosti prokázali oběti laskavost či službu, za kterou si odměnu zasluhují. Tento druh trestné činnosti je momentálně na vzestupu u všech společností, které jsou závislé na IT. | |
JavaScript Ransomware |
Nový Ransomware RAA je napsaný v JavaScriptu RAA se nešíří v příloze pošty jako typicky spustitelný soubor. Přijde vám dokument se skutečnou příponou .JS, kterou Windows spouští přes vestavěný Windows Scripting Host. |
Krypto-malware | Nejběžnější druh ransomwaru (tzv. kryptografický ransomware) šifruje soubory. K počítači se můžete i nadále přihlásit, avšak soubory máte zašifrované. Nejlepším příkladem tohoto druhu ransomwaru je WannaCry. |
Locker | Tento druh ransomwaru zcela uzamyká počítač, abyste se k němu nemohli přihlásit. Příkladem je ransomware Petya, který se poprvé objevil v roce 2016 a v roce 2017 se vrátil v mnohem pokročilejší variantě. Uzamyká počítač tím, že na pevném disku zašifruje hlavní tabulku souborů. |
Doxware | Doxware přenáší vaše citlivé soubory do útočníkova počítače. Daný útočník vám poté vyhrožuje, že pokud nezaplatíte výkupné, tyto soubory zveřejní. Představte si, že by někdo chtěl vaše osobní fotografie a videa volně zveřejnit na internetu! Příkladem doxwaru je ransomware Ransoc. |
Scareware | Scareware je falešný software, který oznamuje, že ve vašem počítači nalezl problémy, a za jejich opravu požaduje peníze. Může vaši obrazovku zaplavit vyskakovacími okny či výstrahami nebo vám dokonce může uzamknout počítač, dokud nezaplatíte. |
Popcorn Time ransomware | Here, the hacker exploits the target user to infect any other two different users. In the event that both of those users pay the fine, at that point, the first user who infected the other two will get his or her records back, without the need to pay a ransom. |
Nejčastější metodou pro hackery k šíření ransomwaru je phishing e-maily. Hackeři používají pečlivě vytvořené phishingové e-maily k tomu, aby obětovali oběť, aby otevřela přílohu nebo klepnutím na odkaz, který obsahuje škodlivý soubor. Tento soubor může pocházet z mnoha různých formátů, včetně souboru PDF, ZIP, dokumentu aplikace Word nebo jazyka JavaScript. V případě dokumentu aplikace Word útočník nejčastěji popírá uživatele do "Povolení maker" po otevření dokumentu. To umožňuje útočníkovi spouštět skript, který stahuje a spustí škodlivý spustitelný soubor (EXE) z externího webového serveru. EXE by obsahoval funkce nezbytné pro šifrování dat na stroji oběti. | |
Protokol vzdálené plochy | Stále populárnější mechanismus, kterým útočníci infikují oběti, je protokol Remote Desktop Protocol (RDP). Jak název naznačuje, byl vytvořen protokol Vzdálená plocha, který umožňuje administrátorům IT bezpečně přistupovat k vzdálenému počítači uživatele a konfigurovat jej, nebo jednoduše používat zařízení. RDP obvykle běží přes port 3389. Zatímco otevření dveří k zařízení pro legitimní použití má mnoho výhod, představuje také příležitost pro špatného herce, aby ho využil pro nelegitimní použití. V roce 2017 bylo zjištěno, že více než 10 milionů strojů se inzeruje na veřejný internet, protože má port 3389 otevřený - tj. Běží RDP nad 3389. Hackeři mohou jednoduše vyhledávat ty stroje na vyhledávačích, jako je Shodan.io, zařízení, která jsou náchylná k infekci. Jakmile jsou cílové počítače identifikovány, hackeři obvykle získají přístup prostřednictvím hrubo vynuceného hesla, aby se mohli přihlásit jako správci. Nástroje pro rozpoznávání hesel s otevřeným zdrojovým kódem pomáhají tomuto cíli dosáhnout. Populární nástroje, včetně Cain a Able, John Ripper a Medusa, umožňují počítačovým zločincům rychle a automaticky vyzkoušet více hesel, aby získali přístup. |
Drive-By ke stažení z kompromitované webové stránky | Další vstupní cesta, kterou útočníci používají k doručování ransomwaru, je přes to, co se nazývá stahování jednotky. Jedná se o nebezpečné stahování, ke kterým dochází bez znalosti uživatele, když navštíví kompromitované webové stránky. Útočníci často zahajují stahování pomocí využití známých zranitelností v softwaru legitimních webových stránek. Tyto zranitelnosti pak používají buď k vkládání škodlivého kódu na webovou stránku, nebo přesměrování oběti na jinou kontrolující stránku, která hostí software známý jako exploitové sestavy. Exploit kity umožňují hackerům ticho skenovat návštěvnické zařízení kvůli jeho specifickým slabostem a pokud jsou nalezeny, spustí kód na pozadí bez toho, aby uživatel klepnul na cokoliv. Nelikvidující uživatel bude náhle vystaven výpovědi za výkupné, upozorní je na infekci a bude požadovat platbu za vrácené soubory. |
USB | Dalším způsobem, jakým ransomware používá k proniknutí do prostředí, je prostřednictvím zařízení USB. V roce 2016 australská policie vydala varování občanům o jednotkách USB obsahujících škodlivý software, které se objevují ve schránkách. Jednotky USB se maskovaly jako propagační aplikace Netflix, poté jednou spustily nasazený ransomware na počítač s nepopsatelným uživatelem. Mocný Spora Ransomware dokonce přidal schopnost replikovat se na disky USB a Removable Media (v skrytých formátech), což ohrožuje další stroje, do kterých je USB zařízení zapojeno. |
Techniky šifrování
Pouze symetrické šifrovací ransomware | Symetrické šifrovací algoritmy, jako je AES, mohou být použity k šifrování souborů s velkou rychlostí. Na tomto přístupu bude ransomware používat pouze tento šifrovací mechanismus. Zašifruje všechny uživatelské soubory algoritmem AES a uloží na disk klíče používané k šifrování každého souboru. Takže když infikovaný vyplácí výkupné, dešifrovací soubor otevře klíčem a začne dešifrovat soubory. Tento naivní přístup umožní výzkumníkům najít tento soubor a protože není šifrovaný, udělejte nějaký nástroj pro dešifrování souborů pomocí klíče. |
Klientské asymetrické šifrování | Tímto přístupem bude ransomware generovat pár klíčů RSA, šifrovat všechny soubory veřejným klíčem a odeslat soukromý klíč serveru, který má být uložen. Tato metoda šifrování je poměrně pomalá, šifrování RSA bude trvat dlouhou dobu s velkými soubory a také ransomware musí poslat soukromý klíč na server, v tomto scénáři je infikovaný počítač připojen k internetu a server musí být on-line také. Pokud není některá ze dvou stran spojena, existuje problém. Buď ransomware musí zastavit jeho spuštění nebo bude šifrovat každý soubor veřejným klíčem a odstraní soukromý klíč bez možnosti dešifrování nebo musí uložit soukromý klíčdočasně na disku pro pozdější dešifrování. To není dobré řešení. |
Asymetrické šifrování serveru | V tomto schématu server vygeneruje pár klíčů, veřejný klíč bude hardcoded na ransomware a pro každý soubor bude zašifrovat soubor veřejným klíčem serveru a pouze se soukromým klíčem serveru , bude to schopen obnovit soubory, že? Jo, ale je zde logický problém, server pošle klientovi soukromý klíč a dešifruje soubory? Tímto přístupem mohou badatelé získat soukromý klíča šířit se všemi infikovanými, takže s jednou osobou, která zaplatí výkupné, každá infekce dostane své soubory dešifrované. Jiným způsobem, jak dešifrovat, je na infikovaný počítač odeslat na server všechny šifrované soubory, které mají být dešifrovány, jsou pomalé a neaktivní odesílání velkých šifrovaných souborů přes internet. Ať tak či onak, je to nepraktické. |
Serverové a klientské asymetrické šifrování + symetrické šifrování | Tato schéma je v současné době používána většinou ransomware, je to hybridní, protože používá jak symetrické, tak asymetrické šifrování a není potřeba připojení k internetu při šifrování pouze v dešifrování. Pomocí tohoto schématu vygeneruje ransomware i server svůj pár klíčů RSA. Budeme volat klienta klíče jako: Cpub.key pro klientské veřejným klíčem a Cpriv.key pro veřejný klíč Client , Spub.key pro server veřejný klíč a Spriv.key pro privátní klíč serveru . Zde je návod, jak to funguje: Pro každou infekci bude ransomware v pořádku generovat Cpub.key a Cpriv.key a také ransomware bude mít hardwarový kód Spub.key . Bude šifrovat Cpriv.key s Spub.key. Začne se rutina šifrování souborů, soubory budou zašifrovány s AES, po dokončení budou všechny klíče AES šifrovány pomocí Cpub.key. |