Historia rozwoju cyberprzestępczości (część IV – Nadejście ery nowoczesnego ransomware’u)

Druga dekada nowego tysiąclecia rozpoczęła się od wzrostu popularności ransomware’u oraz wykorzystywania kryptowalut do opłacania okupów. W 2017 roku światem wstrząsnęły ataki WannaCry oraz Petya/NonPetya, które sparaliżowały działalność wielu firm i instytucji na całym świecie. Specjaliści Fortinet przedstawiają czwartą i ostatnią część historii rozwoju cyberprzestępczości.

 

2011/12: Reveton

Reveton stał się wzorcem dla współczesnego oprogramowania ransomware, mimo że nie był pierwszym tego rodzaju narzędziem w erze internetu. Jego wygląd, projekt ekranu blokady ze szczegółowymi informacjami o tym co się stało, jak nawiązać kontakt, zapłacić okup i odszyfrować pliki, stały się inspiracją dla kolejnych cyberprzestępców.

2013: CryptoLocker – pojawienie się kryptowaluty jako opcji płatności

CryptoLocker był pierwszym oprogramowaniem ransomware, którego autorzy żądali zapłaty w bitcoinach. Cena za odszyfrowanie plików wynosiła dwa BTC, czyli w 2013 r. od 13 do 1100 dolarów. Pamiętajmy, że był to czas, gdy kryptowaluty były jeszcze w powijakach. Nakłonienie nietechnicznych ofiar nie tylko do zapłacenia okupu, ale również do zrozumienia, jak w ogóle używać kryptowalut, stanowiło często przeszkodę nie do pokonania.

 

2013: DarkSeoul i Lazarus

Rok 2013 to także czas ataków sponsorowanych przez państwa. Jeden z nich, nazwany DarkSeoul, posłużył 20 marca 2013 roku do ataku na koreańskiego nadawcę SBS oraz instytucje bankowe w Korei Południowej. Ucierpiało wówczas również wielu użytkowników usług internetowych, firm telekomunikacyjnych i bankomatów. Atak ten został przypisany północnokoreańskiej organizacji Lazarus, która w 2014 r. zaatakowała również Sony Corporation, wykradając poufne informacje w odpowiedzi na film „The Interview”, w którym wyśmiewano przywódcę Korei Północnej Kim Dzong Una. Zespół Lazarus był także powiązany z atakami na Bank Bangladeszu w 2016 roku. Próbowali ukraść 951 mln dolarów, ale udało im się zdobyć kwotę „tylko” 81 mln dolarów.

 

2015: Browser Locker i oszustwa związane z podszywaniem się pod pomoc techniczną

Pierwsze oszustwa związane z podszywaniem się pod pomoc techniczną oraz różne warianty blokady przeglądarki pojawiły się w 2015 roku. Ataki tego rodzaju imitują działanie oprogramowania ransomware, sprawiając, że ofiary albo wpadają w panikę i dzwonią na podany numer pomocy technicznej do podmiotu działającego w innym kraju jako wsparcie techniczne (i także dokonującego oszustw finansowych) albo po prostu płacą kryptowalutą za „naprawienie” ich systemu.

 

2016: Pojawia się pierwszy botnet IoT

Osławiony Mirai to pierwszy botnet, który atakował urządzenia IoT, a jego głównym celem były routery sieciowe. Był to głównie botnet DDoS odpowiedzialny za paraliż ogromnej części internetu, po tym jak zakłócił dostęp do części usług na całym świecie.

Mirai wzbudził zainteresowanie nie tylko dlatego, że był nowatorski, ale również dlatego, że w krótkim czasie zdołał zbudować globalną armię członków botnetu, co pozwoliło mu przekierować ruch internetowy na atakowane strony z zainfekowanych systemów na całym świecie. To sprawiło, że szczególnie trudno było się przed nim bronić. Różne warianty Mirai wciąż funkcjonują i niestety mają się dobrze – także dlatego, że twórcy Mirai udostępnili jego kod do wykorzystania przez innych przestępców.

 

2017: ShadowBrokers (NSA), WannaCry, Petya/NotPetya

Wyciek danych z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) spowodowany przez grupę ShadowBrokers był bezprecedensowy i o poważnych skutkach – nie tylko dlatego, że w jego efekcie zostało ujawnione tajne złośliwe oprogramowanie rozwijane przez osoby powiązane z najwyższymi szczeblami amerykańskiego rządu, ale również dlatego, iż przestępcy skutecznie je wykorzystali. Narzędzia te, o kryptonimie „Fuzzbunch”, stanowiły podstawę exploitów opracowanych przez NSA. Niektóre korzystały ze złośliwego oprogramowania znanego jako DoublePulsar – backdoora, który zawierał niesławny exploit „EternalBlue”.

Został on później wykorzystany do rozprzestrzeniania ransomware’ów WannaCry i Petya/NotPetya, co miało katastrofalne skutki. Te warianty były tak destrukcyjne, że spowodowały zamknięcie zakładów produkcyjnych na całym świecie. Do dziś nikt nie zdołał przypisać włamania/wycieku członkostwa w grupie ShadowBrokers żadnej osobie.

 

2017: Cryptojacking

Związek zagrożeń z kryptowalutami początkowo sprowadzał się do użycia ich do płacenia okupów w ramach ataków ransomware lub okradania portfeli z wirtualnymi pieniędzmi. Jednak w 2018 roku pojawiło się nieznane wcześniej niebezpieczeństwo.

XMRig to aplikacja napisana w celu wydobywania kryptowaluty Monero. Jej działanie polega na użyciu cykli procesora do prowadzenia obliczeń matematycznych wykorzystywanych w kopaniu kryptowalut. Jednak cybergangi zaczęły potajemnie instalować XMRig na zaatakowanych maszynach i urządzeniach, a następnie zbierać i agregować wydobyte kryptowaluty dla własnych zysków.

 

2019: GandCrab i pojawienie się oprogramowania ransomware jako usługi

GandCrab zapoczątkował nowe zjawisko w cyberprzestępczości, które doprowadziło do zwiększenia liczby i poziomu złośliwości ataków poprzez masowe udostępnienie za opłatą narzędzi do tworzenia i przeprowadzania ataków ransomware. Twórcy GandCrab starali się osiągnąć dwa cele: uniezależnić się od realnych ataków na przedsiębiorstwa oraz generować większe przychody. Udoskonalili więc model biznesowy znany jako Ransomware-as-a-Service (RaaS). Całą „brudną robotę” wykonują w nim osoby kupujące dostęp do narzędzia, podczas gdy jego autorzy pozostają w tle i pobierają część zapłaconego okupu – od 25 do 40%.

Okazało się to opłacalne dla obu stron, ponieważ autorzy GandCraba nie musieli ponosić ryzyka związanego z poszukiwaniem i infekowaniem ofiar, a „partnerzy” nie musieli poświęcać czasu na samodzielne tworzenie oprogramowania ransomware.

Twórcy GandCrab w czerwcu 2019 r. ogłosili przejście na emeryturę, po tym jak – według nich samych – zarobili 2 miliardy dolarów. Później byli luźno powiązani z przestępcami odpowiedzialnymi za Sodonikibi i REvil, przede wszystkim jako część ataku na Colonial Pipeline latem 2021 roku. Inne godne uwagi warianty RaaS, które pojawiły się po GandCrab, to BlackCat, Conti, DarkSide i Lockbit.

 


Podsumowanie

Jak podkreślają specjaliści z Fortinet, między 1971 r. a początkiem 2000 r. złośliwe oprogramowanie było w większości wykorzystywane do żartów lub prób sprawdzenia przez autorów wirusów, czy stworzone przez nich dzieło zadziała. Na przełomie wieków zjawisko to ewoluowało jednak w stronę bardzo dochodowej cyberprzestępczości, a także ataków organizowanych przez państwa. Zmieniło się także znaczenie terminu „wirus” w stronę współczesnego „złośliwego oprogramowania”, co odzwierciedla ewolucję zagrożeń w ciągu ostatnich 20 lat. Nie jest przypadkiem, że zmiany te zbiegły się w czasie z rozwojem hiperpołączonego świata, w którym obecnie żyjemy. Wkraczając w następną epokę możemy niestety przypuszczać, że zagrożenia nadal będą ukierunkowane na wszelkie modne lub aktualne trendy i rozwiązania techniczne.