Hlavní navigace

Jak se autoři ransomwaru skrývají? A pomůže v pátrání po vyděračích policie?

Autor: Depositphotos
CSIRT.CZ

Kyberútočníci používají ke skrytí své identity řadu nástrojů. Má tedy v případě nakažení ransomwarem smysl obracet se na policii?

V minulých dílech našeho seriálu o ransomwaru jsme se věnovali ransomwaru od jeho prvních případů až k aktuálním trendům a jeho budoucímu směřování. Psali jsme o tom, jaké jsou možnosti prevence i jaké šance a možnosti má uživatel, kterému se už ransomware do počítače dostane. Na závěr nám ale přece jen zbývá pár dílků do skládanky. 

Jak se útočníci skrývají 

Z historie ransomwaru, o které jsme psali v jednom z předchozích dílů, je poměrně dobře patrné, že útočníci efektivitu útoku nezvyšují pouze u nejslabšího článku – uživatele. Starají se také o vlastní bezpečnost a uložení získaných financí. 

V tomto procesu hrají čím dál větší roli alternativní virtuální měny, které poskytují větší anonymitu než běžné, pro policejní složky snadno vystopovatelné, bankovní transakce. Cílem pachatelů není pouze anonymita transakcí, ale využívají také toho, že virtuální měny nejsou centralizované a neexistuje žádná nadřazená autorita (bankovní ústav), kde by policie měla možnost transakce zablokovat a peníze vrátit poškozeným. 

Check Point

Check Point Software Technologies Ltd. je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.

Check Point Software Technologies Ltd., hlavní partner speciálu o ransomwaru.

Pokud transakce ve virtuální měně proběhne, nedá se zablokovat, pozdržet či peníze vrátit, pokud nejsou k dispozici privátní klíče ke konkrétním peněženkám. Zisk je nakonec vždycky nejsilnějším hnacím motorem a motivací a je tedy třeba udělat vše pro to, aby skončil ve správných rukou – u kriminálníka. 

V případě ransomwaru to vše začalo hned s první, poměrně anonymní, zlatem krytou měnou E-gold. V současnosti jsou nejčastěji využívány kryptoměny, především jejich nejznámější zástupce – Bitcoin. Anonymitu, kterou Bitcoin poskytuje, by bylo s trochou fantazie možné přirovnat k anonymitě, kterou poskytuje autorovi knih pseudonym. 

Pseudonym může být pevně svázán s reálnou identitou autora, ale nemusí. V případě Bitcoinu tento pseudonym slouží zároveň jako adresa, na které je možné přijímat bitcoiny. Každá taková transakce je pak anonymně natrvalo zaznamenána do veřejné databáze – tzv. blockchainu. Pokud je tedy tento pseudonym jakkoli svázán s reálnou identitou, není už cesty zpět. 

Celý princip je samozřejmě složitější, ale pro tento účel a pro představu by snad analogie s pseudonymem mohla prozatím stačit. Do detailu je pak fungování kryptoměny popsáno zde, kde je také pro zachování anonymity doporučeno pro každou transakci využívat jinou adresu. 

Přes to všechno se i u tajných pseudonymů občas vyloupne, kdo je skutečným autorem. To se děje i v případě Bitcoinu. Nejčastěji se to může stát při nějaké konkrétní transakci z bitcoinové peněženky nebo jiné služby, kde má již uživatel účet svázaný se svojí identitou, a ta se tak dostane až do záznamu o transakci. 

Na druhou stranu také existují služby, které naopak napomáhají tzv. zamést stopy, nebo alespoň ztížit cestu k nalezení konkrétní transakce, jako je např. Bitcoinmixer. Ten rozdělí transakci na mnoho menších částí. Tyto malé transakce jsou pak náhodně namíchány s podobně velkými (ve smyslu zhruba stejných částek) transakcemi dalších klientů. Výsledkem je, že nakonec uživateli přijdou vlastně úplně „jiné“ bitcoiny

Může se zdát, že všechny tyto měny a služby byly stvořeny právě pro kriminálníky, ale je potřeba stále myslet na to, že mnoho jejich uživatelů prostě jen legitimně touží po zachování anonymity. 

K tomu slouží i další hojně využívaná služba – Tor (The Onion Routing), která otevírá další cestu k větší anonymitě na internetu. Ať už z jakéhokoli důvodu. Cílem Toru bylo přitom od počátku zajistit především bezplatný a svobodný přístup k informacím. Autorům ransomwaru slouží především ke ztížení či znemožnění trasování internetové komunikace. 

Anonymita je zde zajištěna tím, že datový tok uživatele využívajícího Tor klienta (Tor Browser) prochází nejprve Tor sítí, kde putuje vždy minimálně přes další tři servery. V překladu název „cibulový směrovač“ totiž vlastně dobře vystihuje podstatu. Datový tok je od středu obalený jednotlivými vrstvami (jako cibule), které jsou v tomto případě před odesláním zašifrované. Jak data prochází Tor sítí, jednotlivé uzly si vždy odeberou jednu vrstvu a odešlou zbytek „cibule“ na další uzel. 

Poslední, tzv. výstupní uzel (exit node) již z odebrané poslední vrstvy zjišťuje cílovou adresu a data předává do cíle. Zdrojovou adresu zná pouze první uzel, ale ten posílá celou „cibuli“ na náhodný další uzel a nezná cílovou adresu ani obsah. Mezitím se cibule v podstatě protlouká nezajímavě sítí, kdy o ní uzly nic moc dalšího neví, a to až k výstupnímu uzlu, který jako jediný zná cíl i obsah. 

Z toho také vyplývá, že vlastní výstupní uzly jsou nejslabším článkem. Tedy kromě uživatele, samozřejmě. To se ostatně ukázalo nedávno, když byl proveden rozsáhlý zátah na darknet a podařilo se mimo jiné zavřít jedno z největších černých tržišť AlphaBay, a to včetně jeho provozovatele Alexandra Cazese. Ten totiž zcela nepochopitelně využíval pro komunikaci se členy AlphaBay stejný e-mail jako pro přihlašování na profesní sociální síť LinkedIn. 

Při správném používání sítě Tor by ale ani z odchycené komunikace nemělo být možné získat ucelený obraz. Autoři ransomwaru sem proto s oblibou schovávají C&C servery nebo rovnou celou serverovou infrastrukturu a chrání je tak před odhalením, stejně jako sebe. Řada ransomwarů si na servery ukládá klíče potřebné pro dešifrování souborů, a pokud je takový server přece jen odhalen a zabaven, mají pak často postižení uživatelé předčasné Vánoce

Přestože existuje další nepřeberné množství různých technik sloužících k anonymizaci (např. různé VPN), Tor a Bitcoin patří k těm u ransomwaru nejvíce viditelným. 

Pátrání po pachatelích 

Ve zmíněném případě provozovatele AlphaBay měly bezpečnostní složky usnadněnou práci s identifikací finální osoby i bez sofistikovaných nástrojů, což ale rozhodně nebývá pravidlem. Jako příklad by mohl posloužit bankovní trojan Citadel. Nejedná se sice o ransomware, ale techniky se v těchto případech příliš neliší. 

Tento trojan měl na svědomí přes 11 milionů infikovaných počítačů a způsobil finanční škody přes půl miliardy dolarů. Citadel byl jeden z těch uživatelsky přívětivějších trojanů poskytujících jeho majiteli pohodlné uživatelské rozhraní pro správu jeho kriminální činnosti a byl běžně k prodeji na darknetu. 

Jako jedno ze zlepšení mělo posloužit i jakési komunitní vylepšování. Zákazníci se mohli obrátit na online technickou podporu a reportovat bugy, hlasovat pro navrhované změny a sledovat novinky v připravovaných verzích, včetně možnosti vyjádřit se v přítomné diskuzi. 

Právě tento interaktivní způsob komunikace nakonec pomohl FBI za další tři roky chytit autora. Předcházel tomu nákup několika licencí a návrhy vylepšení, které by mohly sloužit v jejich prospěch. V pozici aktivních uživatelů malwaru agenti FBI informovali komunitu, že nalezli bezpečnostní zranitelnost. 

Uživatel s přezdívkou Aquabox je vyzval k uploadu screenshotu s problémem. To agenti udělali a nahráli soubor na server Sendspace.com. Pak už jen čekali, kdo k souboru přistoupí a sledovali jeho logy (zjevně soudně vyžádané). Nakonec opravdu získali IP adresy, které hledali, a postupně byli schopni dohledat i reálného autora Citadel, který v té době pobýval v Norsku, odkud byl vydán do USA a v březnu 2017 odsouzen k pěti letům vězení. 

I z tohoto příkladu vyplývá, že vyšetřování bývá zdlouhavé a komplikované také tím, že na rozdíl od reálného světa internet nemá geografické hranice. To přináší potřebu často velice úzké spolupráce mezi bezpečnostními složkami a dalšími subjekty z celého světa. Jenže představa, že tyto složky či subjekty budou stejně ochotně spolupracovat v USA, v Číně a v Sierra Leone, by byla naivní. 

Přes všechny tyto překážky je ale právě na stále častějších zátazích proti darknetu vidět, že koordinace funguje. Na již zmíněné akci proti AlphaBay aktivně spolupracovaly bezpečnostní složky USA, Německa, Francie, Británie, Thajska, Kanady a Litvy. Kromě Europolu a FBI také například americká Agentura pro potírání narkotik (DEA). Další iniciativou, do které se zapojilo obrovské množství partnerů z řad komerčních subjektů i právě bezpečnostních složek, je již v tomto seriálu mnohokrát zmíněná iniciativa No More Ransom

Má smysl se na policii obracet? 

Nakonec se nabízí otázka, jestli má tedy v případě nakažení ransomwarem smysl obracet se na policii. Velice stručně: má. Policie ČR dění na poli ransomwaru sleduje a reaguje na ně. Nakonec zmíněná iniciativa No More Ransom od července existuje také v české mutaci, kdy se také Policie ČR zařadila mezi partnery projektu. 

Nejen z těchto aktivit je zjevné, že policie má mnohem větší základnu nástrojů a možností než běžný uživatel. Jako policie členského státu EU má navíc, díky spolupráci s Europolem, možnost využívat i analýzy rozsáhlé platformy EMAS (Europol Malware Analysis Solution). Především ale může pří dalším trasování komunikace až k útočníkovi využít zákonných prostředků k získání informací vedoucích ke kýženému cíli, tedy dopadení útočníka. 

CIF17_Williams1

V případě, že ale chce oběť pomoc od policie, je potřeba myslet také na to, jak jít policii tak trochu naproti. Bohužel ani sebelepší analytický nástroj totiž nedokáže správně vyhodnotit poškozený vzorek. Ocitnete-li se tedy v situaci, že máte před sebou napadený počítač či celou síť, je mnohem lepší se na Policii ČR obrátit dříve, než se sami pokusíte nákazu odstranit nebo svěříte své zařízení do rukou kamaráda, který počítačům rozumí. Reálné případy ukazují, že sebelepší anonymizační technika není nikdy stoprocentní a nakonec každý útočník udělá chybu vedoucí k jeho odhalení. Jen to může trvat delší dobu. 

Tímto náš seriál o ransomwaru končí. Doufáme, že přinesl užitečné, nebo alespoň zajímavé informace. V případě, že by vám v článcích něco chybělo, položte dotaz v diskuzi a my se vám pokusíme odpovědět.

Našli jste v článku chybu?