Stručná história ransomvéru
Ransomvér, ako digitálna hrozba, má pomerne fascinujúcu a zároveň desivú históriu. Poďme sa pozrieť na jeho vývoj a významné míľniky vo svete kybernetických útokov.
- Prvé Prípady (1989 – 2014): Prvý prípad ransomvér útoku bol zadokumentovaný v roku 1989 ako útok na AIDS konferenciu Svetovej zdravotníckej organizácie. Kód dostal meno AIDS Trojan alebo tiež PC Cyborg. Bol distribuovaný pomocou floppy diskov a vyžadoval zaslať platbu na poštový priečinok v Paname. Kód šifroval len názvy súborov a nie samotné súbory tak, ako to poznáme dnes. Ale aj to stačilo na to, aby počítače vyradil z prevádzky. Autorom kódu bol biológ, ktorý chcel takto nazbierať peniaze na urýchlenie výskumu AIDS.
Od vtedy bol každý ďalší prípad viac a viac sofistikovaný. Prirodzene, niekedy sa v útočnom kóde našli chyby, ktoré spôsobili, že rozšifrovanie bolo celkom jednoduché (ako napríklad v roku 2004 malvér GpCode).
Okolo roku 2011 sa objavil nový útok nazvaný Reveton (policajný ransomvér). Tento útok nešifroval súbory, ale zamkol obrazovku a zobrazil výzvu na zaplatenie policajnej pokuty. Obrazovka sa objavovala vo viacerých jazykoch a dizajnom sa podobala na miestne policajné stránky so správnym logom polície a pod. - Boom ransomvéru (2014 – 2017): V tomto období sa väčšina prípadov sústredila na bankové botnety, pretože tam boli peniaze. Avšak zameranie sa zmenilo, keď v roku 2014 FBI vypla CryptoLocker botnet prevádzkovaný skupinou „Slavik“. Skupina prevádzkovala tiež GameOver ZeuS botnet (veľká botnet sieť) a používala aj ďalšie pod-siete na distribúciu CryptoLockeru so schopnosťou infikovať viac počítačov ako ktokoľvek predtým.
Vypnutie CryptoLockeru naštartovalo boom viacerých nových malvérov – CryptoWall, TeslaCrypt, CTB-Locker, TorrentLocker, WannaCry a ďalších. Tieto malvérové skupiny sa šírili s použitím rôznych útočných techník, s použitím SPAMu, cez zraniteľnosti v systémoch a aplikáciách, s pomocou zabudovaných exploitov a pod.
Spolu so vznikom a rozširovaním kryptomien od roku 2008 (2010) a neskôr vzniká aj model RaaS (Ransomvér ako služba). Kryptomeny ako platidlo za výkupné prvýkrát použil CryptoLocker v roku 2013 a následne vznikla prvá ponuka RaaS služieb s platením prostredníctvom kryptomien. - Cielený ransomvér (2017 – 2020): Do tejto doby sa ransomvér rozširoval viac menej náhodne. Cieľom bolo napadnúť kohokoľvek a kdekoľvek na svete. Avšak táto forma distribúcie nebola veľmi efektívna, obete útokov boli často nezaujímavé, resp. neboli schopné zaplatiť požadované výkupné.
Následne sa preto začínajú objavovať prvé pokusy o cielenú infekciu vopred vybraných organizácií/firiem s použitím rôznych útočných techník. Adresný útok sa veľmi rýchlo ukázal ako výborná forma na zvýšenie ziskovosti útočníkov. Útočníci sa sústredili na bohaté, veľké spoločnosti a vládne inštitúcie s hodnotnými, resp. kritickými dátami. Najznámejšími malvérmi tohto obdobia boli napríklad kód Dridex (distribuoval malvér BitPaymer) skupiny EvilCorp alebo TrickBot distribuujúci ransomvér Ryuk. Tieto formy pokročilých ransomvér útokov, ale koexistovali s bežným, náhodne distribuovaným a komoditným ransomvérom. - Dvojité a trojité vydieranie (2020 – 2022): Keď v roku 2020 udrela pandémia COVID-19, cielené ransomvér útoky boli všade. Vydýchli si najmä domáci používatelia počítačov, pretože útočníci sa zameriavali viac na firemný sektor a to zväčša na väčšie firmy. Pred samotným šifrovaním sa vykonávalo intenzívne šírenie útočného kódu lokálnou sieťou (lateral movement) s cieľom napadnúť čo najviac počítačov v infraštruktúre obete. Útočné skupiny sa snažili na jednej strane spôsobiť čo najväčší problém napadnutím veľkej časti infraštruktúry obete, na strane druhej za zaplatený poplatok poskytnúť čo najlepšiu službu a uľahčiť odšifrovanie a sprevádzkovanie infraštruktúry obete, ktorá zaplatila. Týmto spôsobom útočníci motivovali obeť k zvýšeniu ochoty platiť.
Samozrejme, nie všetky obete boli ochotné zaplatiť. Preto útočníci hľadali formy ako ich ešte viac prinútiť k plateniu. Na konci roku 2019 skupina Maze Ransomware začala kradnúť citlivé údaje obetí pred ich zašifrovaním a vyhrážať sa ich zverejnením, ak obeť nezaplatí. Odvtedy viac a viac skupín používalo túto taktiku vydierania.
V posledných rokoch vidíme aj tretiu oblasť. Útočníci nielen kradnú dáta a vyhrážajú sa ich zverejnením, ale začínajú aj dáta priamo využívať. Využívajú napríklad kontakty na klientov, ktorých informujú, že ich dáta boli ukradnuté a ak obeť nezaplatí, tak budú zverejnené aj dáta zákazníkov. V niektorých prípadoch boli vydieraní aj priamo zákazníci. Ďalšou formou vydierania bola niekedy vyhrážka trhovým regulátorom s možným dopadom na hodnotu akcií na burze a podobne. - Súčasnosť (2022 – dnešok): Dnes už je zriedkavé natrafiť na náhodne sa šíriaci komoditný ransomvér. Novou komoditou sa stal cielený ransomvér. Ransomvér ako služba (RaaS), čierne trhy s ukradnutými credentials (prístupovými kódmi do prakticky každej organizácie) a nekvalita programového vybavenia (nárast zraniteľností) spôsobená jeho zložitosťou, ale aj obchodnými tlakmi na softwarové firmy, ktoré najímajú aj málo kvalifikovaných programátorov zjednodušil využívanie cieleného ransomvéru. Hlavným rozdielom medzi skúseným a neskúseným útočníkom je dnes jeho schopnosť preniknúť do systému a udržať ho živý bez detekcie zo strany obete, schopnosť nepozorovane sa šíriť v systémoch obete a prípadne prechádzať z nich do systémov zákazníkov či dodávateľov.
Dokonca sledujeme trend zmenšujúceho využívania šifrovania zákazníckych dát v prospech vydierania obete zverejnením jej údajov. Zároveň evidujeme aj prípady, kedy za ransomvérovým útokom nebola finančná motivácia, ale bol využitý len na zakrytie špionážneho účelu bežným vydieraním (od cudzieho štátu alebo v prospech tretej firmy), kedy má obeť pocit, že ide len o samotné výkupné a nie ukradnuté údaje ako také.
Záver: História ransomvéru eviduje mnoho významných útokov a nepríjemných incidentov. Od svojich skromných začiatkov sa stal absolútne najväčším kybernetickým nebezpečenstvom dnešnej doby. Je dôležité, aby sme poznali jeho históriu, pochopili súčasné existujúce trendy a vyvinuli účinné stratégie na ochranu pred touto hrozbou do budúcnosti.