Hlavní navigace

Moderní síťoví vyděrači útočí

 Autor: 29
Ondřej Bitto

Počítačoví útočníci v současné době jednoznačně míří za vidinou rychlého zbohatnutí a nemusí se přitom jednat pouze o obligátní phishing, zaměřený zejména na nepříliš protřelé uživatele. Své místo nachází také takzvaný ransomware, který bez servítek vydírá postižené oběti.

Ve světě bezpečnosti není žádným tajemstvím, že se techniky útočníků stále více přiklánějí k rychlému obohacení. Ty tam jsou dny, kdy hacking a další zneužívání moderních počítačových technologií sloužily zejména pro potěchu vlastního ega a zlepšení si pozice v komunitě undergroundových nadšenců. Diskutovaným rizikem posledního období se stala hrozba v podobě ransomwaru, tedy vyděračného škodlivého kódu.

Původ označení ransomware se váže ke spojení dvou anglických slov ransom (výkupné) a software. Na místě je v tomto případě tedy otázka, jakými cestami je požadování výkupného prováděno – útočník přeci svou oběť nějak musí donutit, aby zaplatila. Typický příklad představuje podloudné šifrování uživatelských dat, kdy sice oběť data nadále vlastní, nicméně k nim samozřejmě nemá přístup. Útočník pak požaduje určitou sumu výměnou za odpovídající heslo. Princip až překvapivě jednoduchý, nicméně při kvalitním šifrování a utajení útočníkovy identity dokáže slavit úspěch.

Jedním z nejdiskutova­nějších nedávných případů ransomwaru byl například trojský kůň Cryzip, který ukázal možnosti použití i potenciální slabiny tohoto typu škodlivého kódu. Prvním zajímavým aspektem bylo upuštění od vlastního šifrovacího algoritmu a použití poněkud pohodlnějšího řešení v podobě volání již hotového šifrování archívů ZIP. Tvůrce Cryzipu si tak ušetřil práci, zároveň se vyhnul riziku vytvoření slabého, snadno prolomitelného mechanismu. Bráno z jiného úhlu pohledu, ačkoliv je šifrování novějších verzí archívů ZIP relativně spolehlivé, existují nástroje pro automatizovaný útok hrubou silou.

Zůstaneme-li stále u ilustrativního případu Cryzipu, je možné zjistit, že po své aktivaci prohledává disk C: na přítomnost celé řady typů souborů. Není překvapením, že se jedná zejména o ty typy, které s vysokou pravděpodobností obsahují citlivá data – komprimované archívy, zdrojové kódy, textové soubory, dokumenty balíku Microsoft Office a řadu dalších. Do určité míry se tedy jedná o cílený útok, kdy útočník bezhlavě nešifruje všechna data, ale zaměřuje se pouze na atraktivnější exempláře.

Odpovídající soubory pak byly zašifrovány a v aktuálním adresáři vytvořen čitelný textový soubor AUTO_ZIP_REPOR­T.TXT, který obsahoval instrukce pro zaplacení požadované sumy 300 dolarů. Odborníkům ze společnosti Sophos se však podařilo prolomit odpovídající šifrovací algoritmus a zjistili, že heslem je textový řetězec C:\Program Files\Microsoft Visual Studio\VC98. Není bez zajímavosti, že účtů, na které oběti měli zasílat výkupné, bylo hned několik. Autor Cryzipu se tak zřejmě snažil vyhnout situaci, kdy by za použití jediného čísla účtu tento mohl být zablokován a znemožněn převod peněz.

cryzip
Část textového souboru, který vypovídá o nedávné návštěvě Cryzipu (zdroj: Sophos.com)

Ilustrativní případ Cryzipu ukazuje práci ransomwaru, jeho výhody i nevýhody. Automatické šifrování a vydírání ve velkém by se mohlo stát pohromou především v rozsáhlejších nezabezpečených systémech, které uchovávají data velkého počtu uživatelů. Pokud autor konkrétního ransomwaru pro šifrování použije vždy stejné heslo, je možné pak napadená data hromadně „léčit“. Horší situace by však mohla nastat v případě, kdy se použitý šifrovací algoritmus nepodaří prolomit a klíč bude odvozován pro každý napadený systém zvlášť.

Nepříliš slibné vyhlídky by do budoucna mohl mít také vývoj ransomwaru pro mobilní platformu, například chytré telefony. Počet útoků na tato zařízení stále stoupá a jednoho dne se možná dočkáme zašifrování důležitých kontaktů, uložených zpráv i pracovních dat – chcete svá data z mobilního telefonu zpátky? Zaplaťte výkupné a skrze SMS vám přijde odpovídající heslo…

V případě ransomwaru platí, že pro úspěšnou obranu je zapotřebí nebezpečí předcházet, tedy se preventivně bránit instalací všech nezbytností – firewallu, antiviruantispywaru. Již z principu byste dále neměli vynechat pravidelnou zálohu všech osobních dat a důležitých dokumentů. Dá se totiž předpokládat, že právě takovéto soubory budou pro záškodníka prioritou a záminkou k vydírání (podobně jako v případě Cryzipu).

Tip: základní orientaci a srozumitelné rady pro zabezpečení počítače s Windows najdete v našem tutoriálu Zabezpečujeme počítač.

Anketa

Myslíte, že se ransomware více rozšíří také na mobilní platformu?

Našli jste v článku chybu?

30. 5. 2006 9:16

Jak si útočník anonymně vyzvedne peníze? Tok peněz přece lze dohledat.

Možná se mýlím, ale neposkytují banky se sídlem v zemích typu Panenské ostrovy nebo internetové platební systémy větší anonymitu?

A jak po zaplacení pošle oběti heslo (jestli ho pošle :-), tak aby ho nikdo nemohl odhalit?

Existují tisíce nezabezpečených počítačů, které jsou zneužívány k rozesílání spamu nebo útokům na další počítače, proč by nemohly být zneužity i ke zcela anonymnímu odeslání hesel e-mailem? Druhou možnost…

29. 5. 2006 16:44

Dan (neregistrovaný)
Jak si útočník anonymně vyzvedne peníze? Tok peněz přece lze dohledat. A jak po zaplacení pošle oběti heslo (jestli ho pošle :-), tak aby ho nikdo nemohl odhalit? Celé se mi to zdá jako docela nesmysl.
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)