Top 10 ransomwarea u 2016. godini

2016. je bila godina ransomwarea, a ovih 10 se posebno izdvojilo iz hiljada ransomware familija.

Top 10 ransomwarea u 2016. godini

Može se reći da je 2016. godina, u kontekstu sajber-pretnji, godina ransomwarea. U pitanju su različite vrste ransomwarea sa različitim ciljevima/metama. Tako imamo one koji su targetirali kritična infrastrukturna postrojenja, one koji su targetirali rivalske crypto-malver familije, one koji su usvojili nove tehnike vrebanja potencijalnih žrtava i one koji funkcionišu i offline. Globalno posmatrano, stotine, ako ne i hiljade ransomware familija danas dominantno deluju u sajber prostoru. Sledi lista 10 vodećih ransomwarea u 2016. godini.

10. Cryptowall

Ovaj ransomware nije bio deo neke revolucionarne malver kampanje u 2016., ali je značajan po tome što je i dalje u životu. Prvi put Cryptowall je otkriven 19. juna 2014., a činjenica da je i dalje aktivan govori o tome da se radi o upornoj pretnji sofisticiranog dizajna.

9. SamSam

SamSam je jedan od prvih zabeleženih slučajeva cryptoworma. Za razliku od tradicionalnih ransomwarea koji se šire preko phishing prevara i alata za eksploataciju, cryptoworm se smatra sledećom generacijom crypto-malvera zbog toga što se njegova distribucija ne vrši posredstvom korisnika, već se on ponaša poput računarskog crva. To znači da se ovaj malver sam razmnožava, a upravo takva aktivnost je zabeležana u martu prošle godine kada su tvorci SamSama u jednačinu uključili i JexBoss, alat za skeniranje i eksploataciju ranjivih JBoss aplikacija. To uparivanje je omogućilo SamSamu da skeniranjem pronađe ranjiv server, uspostavi inicijalni upad u mrežu i da se kreće lateralno ka drugim ranjivim mašinama. Kretanjem kroz mrežu SamSam takođe kriptuje fajlove na koje naiđe.

8. Jigsaw

U aprilu 2016. objavljeni su ključevi za dekripciju Jigsaw ransomwarea. Jigsaw je posebno brutalan ransomware jer svojim žrtvama daje samo 24 sata vremena da plate otkupninu koja iznosi 150 dolara. Ukoliko žrtva ne plati, Jigsaw kreće da briše fajlove na svakih sat vremena. Svakog narednog sata ransomware briše sve veću količinu fajlova. Ukoliko žrtva pokuša da se odbrani, recimo isključivanjem računara, Jigsaw će obrisati čak 1000 fajlova. Sve ovo može da potraje do 72 sata, a nakon toga Jigsaw će obrisati sve preostale fajlove. U pitanju su fajlovi sa 240 različitih ekstenzija.

7. Chimera

Ovaj ransomware je prvi put otkriven u novembru 2015. godine. Poseduje dve karakteristike koje ga razlikuju od ostalih ransomwarea: koristi BitMessage, peer-to-peer servis za razmenu poruka preko kojeg generiše kôd za enkripcijski proces i poziva žrtve da se uključe u njihov partnerski program. Stvari su krenule nizbrdo za Chimeru u julu 2016. godine kada su tvorci rivalskog ransomwara Petya/Mischa na Tviteru objavili oko 3500 ključeva za dekripciju Chimere o čemu smo pisali u tekstu Sabotaža među rivalskimransomwareom. To je pomoglo mnogim (ali ne svim) žrtvama ovog ransomwarea da besplatno otključaju svoje fajlove. Ovo je inače i jedan od prvih zabeleženih rivalstava između 2 grupe autora ransomwarea.

6. Petya and Mischa

25. jula 2016. godine zvanično je lansirana Petya and Mischa RaaS platforma (platforma preko koje sajber-kriminalci mogu da plasiraju ransomware na vrlo jednostavan način). Svaka uspešna infekcija ovim ransomwareom počinje sa dropperom koji se aktivira na zaraženom računaru, a koji onda instalira Petyu ili Mischu. Ukoliko dobije admin privilegije, onda ubacuje Petyu, pošto su za tu familiju ransomwarea potrebna administratorska prava kako bi se zamenio Master Boot Record i kriptovao Master File Table. Ukoliko se ne dobiju admin privilegije, onda se ubacuje Mischa, tradicionalni ransomware koji kriptuje fajlove. U svakom slučaju, saradnici imaju svoj deo profita, a procenat zavisi od toga koliko su im novca žrtve uplatile.

5. Cerber

Cerber ransomware je otkriven u proleće 2016. U startu je bilo jasno da se radi o ozbiljnoj pretnji. Cerber targetira zajedničke mreže (network shares), dekriptor ima opciju za 12 jezika, a poneka verzija ima čak i govornu varijantu kada je u pitanju poruka o otkupnini. Cerber je velikom brzinom postao globalna pretnja. RaaS platforma je pomogla u povećanju ukupne aktivnosti Cerbera toliko da njegovom autoru donosi čist profit od skoro milion dolara godišnje nezavisno od sopstvenih ransomware kampanja.

4. CryLocker

Većina ransomwarea podrazumeva i postojanje standardne poruke o otkupnini koja se šalje žrtvama. Ne i CryLocker. Ovaj malver zaključava računar i zahteva uplatu 45 dolara u roku od 24 sata. Kako bi pojačali pritisak na žrtvu, CryLocker pravi kastomizovanu poruku o otkupnini koja se sastoji od sledećeg: ime i prezime žrtve, datum rođenja, lokacija, IP adresa, informacije o OS-u, detalji sa Skype, Facebook, Linkedin i ostalih naloga koji postoje u računaru. Onda sledi pretnja da će ti podaci biti javno objavljeni ukoliko žrtva ne uplati pomenutu sumu novca.

3. HDDCryptor

U pitanju je opasan malver koji ima sposobnost da kriptuje sve fajlove na postojećim diskovima, ali i da pronađe i pristupi prethodno povezanim diskovima i diskonektovanim mrežnim putevima. Kao dodatak, ovaj ransomware pomoću enkripcije na nivou diska uspeva da zameni zapis u Master Boot Record (MBR) sa novim bootloaderom zbog čega se pri podizanju sistema prikazuje poruka o otkupnini umesto login ekrana. HDDCryptor se pojavio u septembru 2016., a dva meseca kasnije zabeležen je veliki napad kada je inficirano 2.000 računarskih sistema u opštinskoj transportnoj agenciji San Franciska (SFMTA). Napadači su tražili 100 Bitcoina otkupnine, što je u tom trenutku bilo oko 70.000 dolara. Ovaj napad na svu sreću nije destabilisao železnički i autobuski transportni sistem zbog toga što je SFMTA imala backup svih fajlova.

2. TeslaCrypt

Autori TeslaCrypta su iz nekog razloga odlučili da prekinu sa njegovom distribucijom i objave ključ, a zatim je ESET-ov tim napravio besplatni dekriptor tako da sve žrtve ovog ransomwarea mogu da vrate pristup svojim fajlovima. Pročitajte: Kreatori TeslaCrypta objavili ključ za dekripciju.

1. Locky

Locky je otkriven u februaru 2016. godine, a Srbija se našla među 10 najugroženijih zemalja, sa 840 infekcija u samo jednom satu! Prvi veliki napad u kojem je korišćen Locky bio je na medicinski centar u Kaliforniji. Rukovodstvo bolnice je odlučilo da privremeno deaktivira IT sistem kako bi se izborili sa ransomwareom, a zbog toga je i nekoliko odeljenja u bolnici zatvoreno, a pacijenti prebačeni na druga mesta. Zato što nisu imali backup fajlova, na kraju su odlučili da plate otkupninu od 40 Bitcoina (70.000 dolara). Kasnije su usledile nove varijante Lockyja, najmanje 7: “.zepto,” “.odin,” “.shit,” “.thor,” “.aesir,” “.zzzzz,” i “.osiris.” Locky i njegove varijante koriste jedinstvene kanale distribucije – preko SVG slika u Facebook Messengeru i lažnih ažuriranja Flash Playera.

Budućnost ransomwarea

U svojim predviđanjima za 2017, stručnjaci iz Symanteca i Palo Alto Networksa se slažu da će ransomware nastaviti da bude ozbiljna pretnja i da će se prebaciti na nove platforme - cloud i IoT.

Ransomware je postao ozbiljan i unosan biznis. Nove varijante su sve sofisticiranije, u njih se ulaže puno para i vremena, što nam govori da iza njih stoje ozbiljne kriminalne organizacije. Plaćanjem otkupnine kompanije i pojedinci finansiraju sajber kriminal i podstiču kreiranje sve složenijih malvera.

Zato je pametnije ulagati u preventivu i zaštitu ranjivih sistema, nego plaćati za otklanjanje posledica ransomeare i drugih naprednih pretnji. Za kompanije je izuzetno važno da imaju backup i strategiju vraćanja podataka.

Izvor: tripwire.com