Gangi ransomware – nowa przestępczość zorganizowana?
Ponad 150 milionów dolarów zarobiła na atakach ransomware grupa hakerów „Ryuk”. Tak podają eksperci HYAS. Większość „zarobków” została wypłacona poprzez giełdy kryptowalut – Binance oraz Huobi. Wyjaśniamy schemat działania przestępców.
Bitcoin – narzędzie przestępców
Specjaliści z firm HYAS oraz Advanced Intelligence, donoszą o identyfikacji aż 61 adresów bitcoin (potocznie zwanych portfelami). Gang cyberprzestępców wykorzystuje je w celu otrzymywania okupów od swoich ofiar. Raport firmy Chainalysis ze stycznia 2020 r. wskazuje, że azjatyckie giełdy Huobi i Binance są częścią sieci-widmo, która pomaga prać nielegalnie zdobyte bitcoiny.
„Ryuk otrzymuje znaczną kwotę okupu od znanego brokera, który dokonuje płatności w imieniu ofiar oprogramowania ransomware*. Płatności te czasami sięgają milionów dolarów” – jak czytamy w raporcie „Inside Ryuk Crime (Crypto) Ledger & Asian Crypto Traders”.
Autorzy raportu szacują, że przestępcze „przedsiębiorstwo” zarobiło szacunkowo ponad 150 milionów dolarów.
*Ransomware (ang., zbitka słów „okup” i „oprogramowanie”) – blokuje dostęp do systemu komputera albo uniemożliwia odczytanie zapisanych danych. Od ofiary żąda okupu w zamian za przywrócenie stanu początkowego.
Schemat działania
Ofiara płaci brokerowi – broker płaci przestępcom w kryptowalucie. Przestępcy w zamian za odstąpienie pewnego procentu pośrednikom, wymieniają Bitcoiny na legalne pieniądze. Niewątpliwie pomaga im wszechobecne zainteresowanie inwestorów kryptowalutami.
Nieskomplikowane działania, które do tej pory pozwalały przestępcom zachować anonimowość.
Za co Ryuk otrzymuje okup?
Oprogramowanie ransomware szyfruje pliki, uniemożliwiając do nich dostęp. Ofiarami padają najczęściej organizacje rządowe, szpitale czy korporacje. Jak można się domyślić, w ich przypadku dostęp do ważnych i poufnych plików jak np. dane pacjenta jest niezbędne.
Dla przykładu hakerzy zaatakowali trzy szpitale w Alabamie uniemożliwiając im przyjęcie pacjentów oraz zachwiało koordynację wykonywania operacji. W takiej sytuacji nie pozostaje często nic innego, jak zapłacenie okupu w zamian za otrzymanie kodu, pozwalającego na odszyfrowanie wrażliwych danych.
Ransomeware jest zagrożeniem dla każdego
Ofiarą cyberprzestępców padają również zwykli użytkownicy Internetu. Swego czasu w Polsce, używano najprostszego ransomeware tzw. screen-lockera. Blokuje on dostęp do komputera poprzez zablokowanie pulpitu. Aby go odblokować pojawia się żądanie zapłaty. Nie jest on w praktyce groźny, ponieważ nie dochodzi do zaszyfrowania plików. Najczęściej wystarczy uruchomić system bez dostępu do sieci i użyć antywirusa.
Gorzej jest w przypadku crypto-ransomware, stosowanego przez cyberprzestępców z Ryuk. W tej odmianie złośliwego oprogramowania, pliki ofiary zostają zaszyfrowane w ten sam sposób, którymi banki szyfrują swoje transakcje. W praktyce oznacza to, że są one nie do odzyskania bez deszyfratora. A jedynym sposobem na jego uzyskanie jest opłacanie okupu.
Jak chronić się przed atakami?
Kluczowe jest posiadanie kopii zapasowej szczególnie ważnych dla nas danych i przechowywanie ich w bezpiecznych miejscach, np. wyspecjalizowane w ochronie danych tzw. „chmury”. Tam nie powinniśmy się martwić o pliki. Korzystajmy także z oprogramowania antywirusowego, które może w porę wychwycić i zablokować działania hakerów.