Gangi ransomware – nowa przestępczość zorganizowana?

Ponad 150 milionów dolarów zarobiła na atakach ransomware grupa hakerów „Ryuk”. Tak podają eksperci HYAS. Większość „zarobków” została wypłacona poprzez giełdy kryptowalut – Binance oraz Huobi. Wyjaśniamy schemat działania przestępców.

Bitcoin – narzędzie przestępców

Specjaliści z firm HYAS oraz Advanced Intelligence, donoszą o identyfikacji aż 61 adresów bitcoin (potocznie zwanych portfelami). Gang cyberprzestępców wykorzystuje je w celu otrzymywania okupów od swoich ofiar. Raport firmy Chainalysis ze stycznia 2020 r. wskazuje, że azjatyckie giełdy Huobi i Binance są częścią sieci-widmo, która pomaga prać nielegalnie zdobyte bitcoiny. 

„Ryuk otrzymuje znaczną kwotę okupu od znanego brokera, który dokonuje płatności w imieniu ofiar oprogramowania ransomware*. Płatności te czasami sięgają milionów dolarów” – jak czytamy w raporcie „Inside Ryuk Crime (Crypto) Ledger & Asian Crypto Traders”

Autorzy raportu szacują, że przestępcze „przedsiębiorstwo” zarobiło szacunkowo ponad 150 milionów dolarów.


*Ransomware (ang., zbitka słów „okup” i „oprogramowanie”) – blokuje dostęp do systemu komputera albo uniemożliwia odczytanie zapisanych danych. Od ofiary żąda okupu w zamian za przywrócenie stanu początkowego. 

Schemat działania 

Ofiara płaci brokerowi – broker płaci przestępcom w kryptowalucie. Przestępcy w zamian za odstąpienie pewnego procentu pośrednikom, wymieniają Bitcoiny na legalne pieniądze. Niewątpliwie pomaga im wszechobecne zainteresowanie inwestorów kryptowalutami. 

Nieskomplikowane działania, które do tej pory pozwalały przestępcom zachować anonimowość.

Źródło: Advanced Intelligence/HYAS

Za co Ryuk otrzymuje okup?

Oprogramowanie ransomware szyfruje pliki, uniemożliwiając do nich dostęp. Ofiarami padają najczęściej organizacje rządowe, szpitale czy korporacje. Jak można się domyślić, w ich przypadku dostęp do ważnych i poufnych plików jak np. dane pacjenta jest niezbędne. 

Dla przykładu hakerzy zaatakowali trzy szpitale w Alabamie uniemożliwiając im przyjęcie pacjentów oraz zachwiało koordynację wykonywania operacji. W takiej sytuacji nie pozostaje często nic innego, jak zapłacenie okupu w zamian za otrzymanie kodu, pozwalającego na odszyfrowanie wrażliwych danych.

Ransomeware jest zagrożeniem dla każdego

Ofiarą cyberprzestępców padają również zwykli użytkownicy Internetu. Swego czasu w Polsce, używano najprostszego ransomeware tzw. screen-lockera. Blokuje on dostęp do komputera poprzez zablokowanie pulpitu. Aby go odblokować pojawia się żądanie zapłaty. Nie jest on w praktyce groźny, ponieważ nie dochodzi do zaszyfrowania plików. Najczęściej wystarczy uruchomić system bez dostępu do sieci i użyć antywirusa.

Fot. przykład ransomeware typu screen-locker.

Gorzej jest w przypadku crypto-ransomware, stosowanego przez cyberprzestępców z Ryuk. W tej odmianie złośliwego oprogramowania, pliki ofiary zostają zaszyfrowane w ten sam sposób, którymi banki szyfrują swoje transakcje. W praktyce oznacza to, że są one nie do odzyskania bez deszyfratora. A jedynym sposobem na jego uzyskanie jest opłacanie okupu.

Jak chronić się przed atakami?

Kluczowe jest posiadanie kopii zapasowej szczególnie ważnych dla nas danych i przechowywanie ich w bezpiecznych miejscach, np. wyspecjalizowane w ochronie danych tzw. „chmury”. Tam nie powinniśmy się martwić o pliki. Korzystajmy także z oprogramowania antywirusowego, które może w porę wychwycić i zablokować działania hakerów.

ZOOM

więcej

Zobacz też

Obserwujemy