Kontrowersyjne działanie rosyjskiej firmy. Współpracuje z oszustami

Kontrowersyjne działanie rosyjskiej firmy. Współpracuje z oszustami31.12.2018 08:33
Źródło zdjęć: © East News | mat. Policji

Trudno wyobrazić sobie gorszą rzecz niż zablokowanie urządzenia celem żądania okupu. Nawet po zapłaceniu nie ma gwarancji, że przestępcy "uwolnią" pliki-zakładników. Aby temu zapobiec, ofiary mogą zatrudnić firmę konsultingową IT celem pomocy w rozszyfrowaniu plików.

Check Point Research odkryli niedawno nowe zjawisko wśród ransomware - firmę konsultingową, w tym przypadku rosyjską organizację nazywaną Dr. Shifro, która twierdzi, że w jest w stanie odszyfrować pliki, ale tak naprawdę płaci twórcy ransomware, a następnie obciąża ofiarę kosztami powiększonymi o ogromną marżę.

Ransomware w liczbach

W roku 2017 w centrum uwagi znalazło się kilka głośnych i katastrofalnych w skutkach ataków typu ransomware: WannaCry, NotPetya oraz BadRabbit, a trend ten ma swoją kontynuację w roku bieżącym. Mieliśmy do czynienia z różnymi sytuacjami - od ataku paraliżującego kluczowe usługi miejskie w Atlancie zaczynając, na ciągłym spustoszeniu sianym w sektorze opieki zdrowotnej kończąc. W rzeczy samej, ten ostatni incydent szczególnie zwraca na siebie uwagę cyberprzestępców: w niektórych przypadkach żądania okupu dochodziły aż do 2,8 miliona dolarów. Takie sytuacje są jednak raczej rzadkością, średnia żądań okupów wynosi około 100 000 dolarów.

Według Badań Internetowej Przestrzeni Zorganizowanej za rok 2018, przeprowadzonych przez Europol, wartość rynku ransomware jest szacowana na około 5 miliardów dolarów drenowanych co roku z rynków na całym świecie. W rzeczywistości ransomware stanowi bardzo podstawowe, szeroko stosowane narzędzie cyberprzestępców, a wokół tego typu złośliwego oprogramowania powstało wiele usług pobocznych. Wśród nich mamy między innymi ransomware-as-a-service (RaaS) - oferty, które wymagają bardzo niewielkiej wiedzy technicznej, aby rozsyłać oprogramowanie utworzone przez bardziej doświadczonych hakerów. Dodatkowo, powstały programy partnerskie ransomware, które pozwalają na pobieranie przez twórców oprogramowania prowizji od wspólników rozpowszechniających ten rodzaj złośliwego oprogramowania.

Jak zaraz będziemy mieli okazję się przekonać, Dr. Shifro jest najnowszym odkrytym osiągnięciem wśród ciągle ewoluującego rynku ransomware.

Źródło zdjęć: © Materiały prasowe
Źródło zdjęć: © Materiały prasowe

Kto przybędzie na ratunek?

Gdy dostęp do niezbędnych plików jest zablokowany pod żądaniem wysokiego okupu, nic dziwnego, że organizacje zrobią prawie wszystko, by ponownie móc się dostać do swoich danych.

W takiej sytuacji istnieją następujące opcje:

  1. Przywrócenie plików korzystając z kopii zapasowej.
  2. Zapłacenie okupu twórcom ransomware.
  3. Zapłacenie konsultantowi IT, który może być w stanie odblokować pliki bez płacenia okupu.

Dla tych, którzy nie tworzą kopii zapasowych swoich plików i nie chcą zapłacić okupu, trzecia opcja jest zwykle najsensowniejsza. Niestety jednak, Check Point Research odkryło nowy, niepokojący trend dotyczący ransomware.

Od początku coś wydawało się nie w porządku, kiedy nasz zespół natknął się na firmę konsultingową o nazwie Dr. Shifro, która oferowała jedynie jedną usługę - pomoc ofiarom ransomware w odblokowaniu swoich plików. Dla firm konsultingowych IT jest rzeczą niezwykle rzadką i podejrzaną oferować tylko jedną usługę.

Co więcej, Dr. Shifro obiecuje dokonać niesamowitych wyczynów sztuki cyber-czarnoksięskiej w celu odblokowania plików zaszyfrowanych za pomocą ransomware m.in. Dharma/Crisis (dla których nie ma dostępnych kluczy deszyfrujących). Tak więc, gdy inni usługodawcy zwykle wyjaśniają, że mogą jedynie próbować zrobić co w ich mocy, nie dając żadnej gwarancji powodzenia, wydało nam się podejrzane, że Dr. Shifro gwarantuje odblokowanie plików zaszyfrowanych przez ransomware, dla którego nigdy nie udostępniono publicznych kluczy. To jest dopiero obietnica!

Źródło zdjęć: © Materiały prasowe
Źródło zdjęć: © Materiały prasowe

Dr.Shifro’s website advertising his ransomware decryption services.
Strona internetowa Dr. Shifro oferująca usługi odszyfrowania dla ofiar ransomware

W wyniku przeprowadzonego śledztwa szybko okazało się, że Dr. Shifro w rzeczywistości kontaktowali się z twórcą ransomware umawiając się na odszyfrowanie plików ofiary w zamian za płatność okupu (1300 $). Dr. Shifro następnie obciążał ofiarę tym kosztem wraz z dodatkową własną prowizją (kolejne 1000 $).

Poniżej przedstawiamy fragment korespondencji pomiędzy Dr. Shifro i twórcą ransomware, z której można zdać sobie sprawę w jaki sposób działa “konsulting” Dr. Shifro. Poprzez kontakt z twórcą ransomware w celu pobrania klucza deszyfrującego, Dr. Shifro jest tak naprawdę dodatkowo płatnym pośrednikiem pomiędzy ofiarą a atakującym.

Źródło zdjęć: © Materiały prasowe
Źródło zdjęć: © Materiały prasowe

Tłumaczenie maila:
Jestem pośrednikiem. Odzyskujemy klucze dla klientów regularnie, począwszy od 2015 roku. Wysyłamy bitcoiny bez zadawania głupich pytań. Klienci często trafiają do nas z polecenia. Czy mógłbyś dać rabat do 0.15 BTC?
Część korespondencji pomiędzy Dr. Shifro a twórcą ransomware.

Stanowi to atrakcyjny model biznesowy. W końcu wygląda na to, że wszystkie strony są zadowolone. Ofiara ma odblokowane pliki, przestępca dostaje swój okup, a Dr. Shifro otrzymuje prawie 100% prowizję jako pośrednik.

Źródło zdjęć: © Materiały prasowe
Źródło zdjęć: © Materiały prasowe

Dr.Shifro’s business model
Model biznesowy Dr. Shifro
(Tłumaczenie obrazka: Ofiara płaci Dr. Shifro za odblokowanie plików → Dr. Shifro płaci okup atakującemu → Atakujący zwraca odszyfrowane pliki → Dr. Shifro obciąża ofiarę prowizją za odszyfrowanie plików)

Wnioski

Pierwsze co przychodzi na myśl, widząc oferty takie jak Dr. Shifro, to “jeżeli coś wygląda na zbyt piękne by było prawdziwe, to pewnie tak jest w istocie”. Legalne firmy konsultingowe IT mogą pomóc Ci w odzyskaniu swoich plików po ataku ransomware, ale zwykle nie obiecują nic, czego nie mogą zagwarantować. W rzeczywistości pewność mogą mieć tylko w przypadku, gdy klucze deszyfrujące są już dostępne publicznie w sieci i jedynie zaoferować usługi deszyfrowania plików dla osób, które nie są w stanie zrobić tego samemu. Każdy kto postępuje inaczej powinien być traktowany z rezerwą.

Ponieważ ransomware jest tak bardzo niszczycielską i dochodową formą ataku, jesteśmy pewni, że samo oprogramowanie, jak i cały ekosystem, będzie w dalszym ciągu ewoluował. Pojawienie się w ostatnich latach usług typu Ransomware-as-a-Service pokazuje, że cyberprzestępcy cały czas mają nowe pomysły na rozwój. Model biznesowy stworzony przez Dr. Shifro jest bardzo atrakcyjny i może z łatwością zostać powielony przez kolejnych oszustów, więc zarówno firmy, jak i osoby prywatne powinny mieć się na baczności.

Oczywiście firmy powinny stosować metody prewencyjne przeciwko ransomware w swoich sieciach, żeby przede wszystkim uniknąć zarażenia. W związku z tym proponujemy rozwiązania, które nie tylko opierają się na bazach sygnatur istniejących odmian ransomware, ale także potrafią emulować i wyodrębniać podejrzane pliki w wirtualnych środowiskach typu sandbox oraz automatycznie odzyskiwać zaszyfrowane pliki.

Jeżeli padłeś już ofiarą ransomware, odwiedź stronę Europolu “NoMoreRansom”, żeby poznać rady, w jaki sposób odblokować swoje pliki.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl

Zobacz też: Cybersejf: Dostałeś takiego maila? Nie otwieraj go pod żadnym pozorem

Źródło artykułu:Informacja prasowa
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA