Cryptojacking rządzi, a ransomware ciągle szyfruje

Przeczytaj także: 7 mln USD w pół roku. Tak hakerzy zarabiają na kryptowalutach

O ile lata 2016 i 2017 upłynęły nam pod znakiem ransomware, o tyle u schyłku bieżącego roku można śmiało twierdzić, że palma pierwszeństwa przeszła w ręce cryptojackingu. To święcące ostatnio triumfy zagrożenie wykorzystuje moc obliczeniową komputerów swych ofiar do kopania kryptowaluty.

Za popularnością cryptojackingu stoi intensywny rozwój rynków Bitcoin, ether czy litecoin. Doniesienia o kryptofortunach to wabik na inwestorów, ale i na cyberprzestępców, którzy skutecznie żerują na niefrasobliwości tych pierwszych. I to właśnie na tym bazują twórcy Kraken Cryptora, który łączy szum powstały wokół kryptokoparek ze sprawdzonym już modelem zarobku na ransomware.

Wykopać koparki

Kopanie kryptowalut wymaga dużej mocy obliczeniowej, dostępnej np. w procesorach kart graficznych. Tylko po co je kupować, gdy można zdalnie budować całe ich farmy infekując swoimi koparkami setki maszyn? Cyberprzestępcy kradną więc moc obliczeniową użytkowników, a technologiczne blogi i eksperci bezpieczeństwa IT doradzają regularne sprawdzanie, czy nasz zwalniający ostatnio komputer nie został czyimś cyfrowym “kilofem”.

Jak można to sprawdzić? Eksperci Xopero obserwują trzy najczęstsze kroki użytkowników. Najpierw internetowy skan przeglądarki, potem dogranie wtyczki blokującej działanie ukrytych koparek i wreszcie instalacja pierwszego z brzegu skanera zagrożeń malware i spyware, sprzątającego systemowe śmieci. Takim pierwszym z brzegu wynikiem Google na hasło “antispyware” jest obecnie SUPERAntiSpyware - witryna narzędzia popularnego także w Polsce. I to właśnie na niej kilka dni temu startowała niebezpieczna gra o bezpieczeństwo danych nieświadomego użytkownika.

W szyfrujących mackach

Otóż na serwerze producenta SUPERAntiSpyware przez kilka godzin obok oryginalnego produktu znajdował się wirus ransomware, udający jego instalator. Różnica była subtelna: nazwę właściwego pliku wydłużono literą “s” (SUPERAntiSpywares.exe), serwując ofiarom szyfrujące zagrożenie Kraken Cryptor w najnowszej wersji 1.5. Twórcy fałszywki zadbali o jej wiarygodność, maskując aktywator wirusa ikoną udawanego programu i tym samym zwiększając szanse jej otwarcia.

Zagrożenie najpierw sprawdza lokalizację i język systemu, nie szyfrując danych jeśli komputer znajduje się w Armenii, Azerbejdżanie, Białorusi, Estonii, Gruzji, Iranie, Kirgistanie, Kazachstanie, Litwie, Łotwie, Mołdawii, Rosji, Tadżykistanie, Turkmenistanie, Ukrainie, Uzbekistanie lub Brazylii.

Po zaszyfrowaniu danych wirus czyści i nadpisuje całą wolną przestrzeń szyfrowanego dysku zerami, dodatkowo komplikując odzyskanie danych. Następnie restartuje komputer, wyłączając opcję ostatniej działającej wersji Windows i usuwa jego backupy. Zaszyfrowanych plików nie da się odzyskać bez przywrócenia backupu lub haraczu w wysokości 0,125 bitcoina (około 2900 zł w chwili tworzenia tego tekstu). Można się jednak skutecznie przed nim bronić. Jak?

Wehikuł czasu danych

- Przede wszystkim zawsze pamiętajmy o posiadaniu aktualnego i sprawdzonego backupu, który możemy już przywracać nawet sprzed minuty i na dowolne urządzenie użytkownika - radzi Grzegorz Bąk, presales engineer Xopero - Dobry backup to nie tylko gwarancja ciągłości działania systemów firmy, ale wciąż jedyne antidotum na skutki praktycznie wszystkich ataków szyfrujących, w tym najnowszego Kraken Cryptora.

Sprawdzony backup pozwala niejako cofnąć czas działania systemu do momentu ataku szyfrującego i podjąć pracę tak, jakby przeszkoda nigdy nie wystąpiła. Tym samym redukujemy koszty przestoju w pracy niemal do zera i uniezależniamy bezpieczeństwo danych od czynników zewnętrznych. By zaś uniknąć samych ataków należy regularnie aktualizować systemy i na wszelki wypadek wyłączyć systemową funkcję zdalnego dostępu, używaną do pobierania dodatkowych składników zagrożeń.
Wciąż trzeba uważać na podejrzane załączniki mailowej poczty. Spadek popularności ransomware zmniejszył liczbę medialnych ostrzeżeń, wzmacniających czujność użytkowników w ostatnich 2 latach. Xopero przypomina, że cyberprzestępcy tylko czekają na ich rozluźnienie i spadek uwagi, bo chociaż twórcy i klienci SuperAntiSpyware mieli szczęście - oryginalny link nie został naruszony, a fałszywkę usunięto - to przy wyrafinowanych metodach ataków takie pozytywne wyjątki zdarzają się rzadko. Częściej sytuacja wygląda tak, jak ostatni ciężki weekend lotniska w Bristolu.

Ransomware blokuje pracę lotniska

Dopiero w poniedziałek władze międzynarodowego portu lotniczego w Bristolu odzyskały kontrolę po pechowym ataku szyfrującym, który drastycznie spowolnił jego pracę w sobotę i niedzielę. Ransomware zablokował tam działanie tablic przylotów i odlotów, skazując awaryjnie rozszerzony personel na ręczne wprowadzanie danych i mocno wydłużając obsługę pasażerów.

Po wykryciu piątkowej infekcji władze lotniska zdążyły odłączyć większość swoich systemów nie chcąc ryzykować epidemii i całkowitego paraliżu komunikacyjnego. Łatwo sobie wyobrazić skalę zagrożenia, gdyby szyfrowaniu uległy systemy np. wieży kontrolnej. Rzecznik prasowy lotniska zapewnił, że usterkę zlikwidowano bez płacenia haraczu za odblokowanie tablic, nie wspominając jednak o backupie danych.

Czy gdyby ten faktycznie tworzono i sprawdzano, to wznowienie pracy lotniska przyjmującego 8 mln pasażerów rocznie zajęłoby dwa dni? Xopero zapewnia, że najnowsze systemu backupu pozwalają na to znacznie szybciej - nawet gdy Kraken Cryptor zdąży zaszyfrować pół serwerowni pechowej firmy.