Smętek: Cyberprzestępcy wchodzą w politykę
Pojawił się nowy typ ataku, który za odszyfrowanie danych ofiary żąda uznania antyrządowej odezwy online własnym adresem mailowym. Eksperci przewidują, że złośliwy malware o zabarwieniu politycznym może już na stałe zagościć wśród narzędzi partyjnych konfliktów – mówi portalowi BiznesAlert.pl Krystian Smętek, inżynier systemowy w firmie Anzena.
Wirus RanRan opisała w niedawnym raporcie firma Palo Alto. Doniosła, że nowym zagrożeniem próbowano szantażować bliskowschodnie organizacje rządowe. W nocie dotyczącej okupu wyświetlanej po udanym ataku twórca wirusa straszy ofiarę, by nie próbowała wyłączać komputera, odłączać sieci, ani skanować systemu antywirusem, bo może na stałe utracić swoje pliki. By je odzyskać, ofiara musi utworzyć dokument „ransomware.txt”, wpisać w nim słowo „Hacked!” i swój adres mejlowy, a potem wgrać plik na wskazaną przez agresora stronę.
Duże kłopoty
Specjalnie przygotowany serwis zawiera antyrządowe treści i wezwania do aktów przemocy wobec władzy. Tymczasem w dwóch bliskowschodnich państwach, w których wykryto próby infekcji, nawet mimowolne podpisanie takiego apelu oznacza narażenie się na kłopoty. Prawa cenzorskie Arabii Saudyjskiej za krytykę rządu lub rodziny królewskiej przewidują między innymi dotkliwe kary cielesne i więzienie. Na Filipinach swoboda wypowiedzi jest mocno ograniczona szeroko zakrojoną polityką zwalczania tak zwanych internetowych paszkwili. Za odstępstwo od jej przestrzegania grozi do 12 lat więzienia. W takiej sytuacji prawnej tworzenie opozycyjnej witryny zawierającej adres mailowy rzekomego autora (lub osoby tylko popierającej sprawę) może zostać uznane za zdradę niezależnie od okoliczności.
Jak działa RanRan? Zamyka procesy atakowanej maszyny (na przykład funkcje bazodanowe) i wstrzymuje ich reaktywację do czasu zaszyfrowania. Automatycznie zamyka też okna zawierające słowa „menedżer zadań”, którymi użytkownik mógłby próbować zamknąć zagrożenie z poziomu systemu. Wirus korzysta z ośmiu różnych kluczy szyfrujących, dobierając je w zależności od rozmiaru blokowanego pliku. Najmniejszy przedział to pliki do 5 MB, największy – dokumenty objętości powyżej 3 TB.
Na szczęście dla potencjalnych ofiar analiza RanRan wykazała błędy kodowania. Umożliwiły one powstanie narzędzia deszyfrującego część zaatakowanych plików. Aby odzyskać wszystkie odcięte dane, niezbędne jest przywrócenie backupu wykonanego przed atakiem szyfrującym. Nowoczesne rozwiązania do tworzenia kopii bezpieczeństwa (takie jak na przykład program ShadowProtect SPX) neutralizują skutki takich ataków, odzyskując nawet kilka terabajtów danych w czasie poniżej 15 minut.
Nieznany twórca
Dlaczego twórca programu postawił na politykę? Być może jest opozycjonistą i chciał wymusić na swoich ofiarach określone działania, których sam nie odważyłby się podjąć. Ale nawet jeśli tak nie było, polityka jest zawsze wyjątkowo nośnym tematem.
Nic więc dziwnego, że wizerunki polityków były wykorzystywane jako motyw przewodni także przez cyberprzestępców, czego przykładem w połowie lutego był szyfrujący Trump Locker. Co ciekawe, kilka dni po jego wykryciu, infekcja ransomware (jego nazwy nie ujawniono) skutecznie zablokowała sieć komputerową Senatu (Koła Parlamentarnego Pensylwanii). Atak – odnotowany przez część amerykańskich mediów jako cyfrowy cios w demokratów – mógł być zarówno dziełem przypadku (kampanie spamowe nie omijają już nikogo), jak i świadomą próbą paraliżu pracy opozycyjnego ugrupowania przez tak zwanych internetowych trolli działających na rzecz republikanów.
Jedno jest pewne: mimo dotychczasowych flirtów cyberprzestępców z sympatiami i antypatiami politycznymi, pojawienie się RanRan wyznacza nowy etap w rozwoju malware.
