Moderní síťoví vyděrači útočí

Ve světě bezpečnosti není žádným tajemstvím, že se techniky útočníků stále více přiklánějí k rychlému obohacení. Ty tam jsou dny, kdy hacking a další zneužívání moderních počítačových technologií sloužily zejména pro potěchu vlastního ega a zlepšení si pozice v komunitě undergroundových nadšenců. Diskutovaným rizikem posledního období se stala hrozba v podobě ransomwaru, tedy vyděračného škodlivého kódu.

Původ označení ransomware se váže ke spojení dvou anglických slov ransom (výkupné) a software. Na místě je v tomto případě tedy otázka, jakými cestami je požadování výkupného prováděno – útočník přeci svou oběť nějak musí donutit, aby zaplatila. Typický příklad představuje podloudné šifrování uživatelských dat, kdy sice oběť data nadále vlastní, nicméně k nim samozřejmě nemá přístup. Útočník pak požaduje určitou sumu výměnou za odpovídající heslo. Princip až překvapivě jednoduchý, nicméně při kvalitním šifrování a utajení útočníkovy identity dokáže slavit úspěch.

Jedním z nejdiskutova­nějších nedávných případů ransomwaru byl například trojský kůň Cryzip, který ukázal možnosti použití i potenciální slabiny tohoto typu škodlivého kódu. Prvním zajímavým aspektem bylo upuštění od vlastního šifrovacího algoritmu a použití poněkud pohodlnějšího řešení v podobě volání již hotového šifrování archívů ZIP. Tvůrce Cryzipu si tak ušetřil práci, zároveň se vyhnul riziku vytvoření slabého, snadno prolomitelného mechanismu. Bráno z jiného úhlu pohledu, ačkoliv je šifrování novějších verzí archívů ZIP relativně spolehlivé, existují nástroje pro automatizovaný útok hrubou silou.

Zůstaneme-li stále u ilustrativního případu Cryzipu, je možné zjistit, že po své aktivaci prohledává disk C: na přítomnost celé řady typů souborů. Není překvapením, že se jedná zejména o ty typy, které s vysokou pravděpodobností obsahují citlivá data – komprimované archívy, zdrojové kódy, textové soubory, dokumenty balíku Microsoft Office a řadu dalších. Do určité míry se tedy jedná o cílený útok, kdy útočník bezhlavě nešifruje všechna data, ale zaměřuje se pouze na atraktivnější exempláře.

Odpovídající soubory pak byly zašifrovány a v aktuálním adresáři vytvořen čitelný textový soubor AUTO_ZIP_REPOR­T.TXT, který obsahoval instrukce pro zaplacení požadované sumy 300 dolarů. Odborníkům ze společnosti Sophos se však podařilo prolomit odpovídající šifrovací algoritmus a zjistili, že heslem je textový řetězec C:\Program Files\Microsoft Visual Studio\VC98. Není bez zajímavosti, že účtů, na které oběti měli zasílat výkupné, bylo hned několik. Autor Cryzipu se tak zřejmě snažil vyhnout situaci, kdy by za použití jediného čísla účtu tento mohl být zablokován a znemožněn převod peněz.

Část textového souboru, který vypovídá o nedávné návštěvě Cryzipu (zdroj: Sophos.com)

Ilustrativní případ Cryzipu ukazuje práci ransomwaru, jeho výhody i nevýhody. Automatické šifrování a vydírání ve velkém by se mohlo stát pohromou především v rozsáhlejších nezabezpečených systémech, které uchovávají data velkého počtu uživatelů. Pokud autor konkrétního ransomwaru pro šifrování použije vždy stejné heslo, je možné pak napadená data hromadně „léčit“. Horší situace by však mohla nastat v případě, kdy se použitý šifrovací algoritmus nepodaří prolomit a klíč bude odvozován pro každý napadený systém zvlášť.

Nepříliš slibné vyhlídky by do budoucna mohl mít také vývoj ransomwaru pro mobilní platformu, například chytré telefony. Počet útoků na tato zařízení stále stoupá a jednoho dne se možná dočkáme zašifrování důležitých kontaktů, uložených zpráv i pracovních dat – chcete svá data z mobilního telefonu zpátky? Zaplaťte výkupné a skrze SMS vám přijde odpovídající heslo…

V případě ransomwaru platí, že pro úspěšnou obranu je zapotřebí nebezpečí předcházet, tedy se preventivně bránit instalací všech nezbytností – firewallu, antiviru i antispywaru. Již z principu byste dále neměli vynechat pravidelnou zálohu všech osobních dat a důležitých dokumentů. Dá se totiž předpokládat, že právě takovéto soubory budou pro záškodníka prioritou a záminkou k vydírání (podobně jako v případě Cryzipu).