Kontrowersyjne działanie rosyjskiej firmy. Współpracuje z oszustami
Trudno wyobrazić sobie gorszą rzecz niż zablokowanie urządzenia celem żądania okupu. Nawet po zapłaceniu nie ma gwarancji, że przestępcy "uwolnią" pliki-zakładników. Aby temu zapobiec, ofiary mogą zatrudnić firmę konsultingową IT celem pomocy w rozszyfrowaniu plików.
Check Point Research odkryli niedawno nowe zjawisko wśród ransomware - firmę konsultingową, w tym przypadku rosyjską organizację nazywaną Dr. Shifro, która twierdzi, że w jest w stanie odszyfrować pliki, ale tak naprawdę płaci twórcy ransomware, a następnie obciąża ofiarę kosztami powiększonymi o ogromną marżę.
Ransomware w liczbach
W roku 2017 w centrum uwagi znalazło się kilka głośnych i katastrofalnych w skutkach ataków typu ransomware: WannaCry, NotPetya oraz BadRabbit, a trend ten ma swoją kontynuację w roku bieżącym. Mieliśmy do czynienia z różnymi sytuacjami - od ataku paraliżującego kluczowe usługi miejskie w Atlancie zaczynając, na ciągłym spustoszeniu sianym w sektorze opieki zdrowotnej kończąc. W rzeczy samej, ten ostatni incydent szczególnie zwraca na siebie uwagę cyberprzestępców: w niektórych przypadkach żądania okupu dochodziły aż do 2,8 miliona dolarów. Takie sytuacje są jednak raczej rzadkością, średnia żądań okupów wynosi około 100 000 dolarów.
Według Badań Internetowej Przestrzeni Zorganizowanej za rok 2018, przeprowadzonych przez Europol, wartość rynku ransomware jest szacowana na około 5 miliardów dolarów drenowanych co roku z rynków na całym świecie. W rzeczywistości ransomware stanowi bardzo podstawowe, szeroko stosowane narzędzie cyberprzestępców, a wokół tego typu złośliwego oprogramowania powstało wiele usług pobocznych. Wśród nich mamy między innymi ransomware-as-a-service (RaaS) - oferty, które wymagają bardzo niewielkiej wiedzy technicznej, aby rozsyłać oprogramowanie utworzone przez bardziej doświadczonych hakerów. Dodatkowo, powstały programy partnerskie ransomware, które pozwalają na pobieranie przez twórców oprogramowania prowizji od wspólników rozpowszechniających ten rodzaj złośliwego oprogramowania.
Jak zaraz będziemy mieli okazję się przekonać, Dr. Shifro jest najnowszym odkrytym osiągnięciem wśród ciągle ewoluującego rynku ransomware.
Kto przybędzie na ratunek?
Gdy dostęp do niezbędnych plików jest zablokowany pod żądaniem wysokiego okupu, nic dziwnego, że organizacje zrobią prawie wszystko, by ponownie móc się dostać do swoich danych.
W takiej sytuacji istnieją następujące opcje:
- Przywrócenie plików korzystając z kopii zapasowej.
- Zapłacenie okupu twórcom ransomware.
- Zapłacenie konsultantowi IT, który może być w stanie odblokować pliki bez płacenia okupu.
Dla tych, którzy nie tworzą kopii zapasowych swoich plików i nie chcą zapłacić okupu, trzecia opcja jest zwykle najsensowniejsza. Niestety jednak, Check Point Research odkryło nowy, niepokojący trend dotyczący ransomware.
Od początku coś wydawało się nie w porządku, kiedy nasz zespół natknął się na firmę konsultingową o nazwie Dr. Shifro, która oferowała jedynie jedną usługę - pomoc ofiarom ransomware w odblokowaniu swoich plików. Dla firm konsultingowych IT jest rzeczą niezwykle rzadką i podejrzaną oferować tylko jedną usługę.
Co więcej, Dr. Shifro obiecuje dokonać niesamowitych wyczynów sztuki cyber-czarnoksięskiej w celu odblokowania plików zaszyfrowanych za pomocą ransomware m.in. Dharma/Crisis (dla których nie ma dostępnych kluczy deszyfrujących). Tak więc, gdy inni usługodawcy zwykle wyjaśniają, że mogą jedynie próbować zrobić co w ich mocy, nie dając żadnej gwarancji powodzenia, wydało nam się podejrzane, że Dr. Shifro gwarantuje odblokowanie plików zaszyfrowanych przez ransomware, dla którego nigdy nie udostępniono publicznych kluczy. To jest dopiero obietnica!
Dr.Shifro’s website advertising his ransomware decryption services.
Strona internetowa Dr. Shifro oferująca usługi odszyfrowania dla ofiar ransomware
W wyniku przeprowadzonego śledztwa szybko okazało się, że Dr. Shifro w rzeczywistości kontaktowali się z twórcą ransomware umawiając się na odszyfrowanie plików ofiary w zamian za płatność okupu (1300 $). Dr. Shifro następnie obciążał ofiarę tym kosztem wraz z dodatkową własną prowizją (kolejne 1000 $).
Poniżej przedstawiamy fragment korespondencji pomiędzy Dr. Shifro i twórcą ransomware, z której można zdać sobie sprawę w jaki sposób działa “konsulting” Dr. Shifro. Poprzez kontakt z twórcą ransomware w celu pobrania klucza deszyfrującego, Dr. Shifro jest tak naprawdę dodatkowo płatnym pośrednikiem pomiędzy ofiarą a atakującym.
Tłumaczenie maila:
Jestem pośrednikiem. Odzyskujemy klucze dla klientów regularnie, począwszy od 2015 roku. Wysyłamy bitcoiny bez zadawania głupich pytań. Klienci często trafiają do nas z polecenia. Czy mógłbyś dać rabat do 0.15 BTC?
Część korespondencji pomiędzy Dr. Shifro a twórcą ransomware.
Stanowi to atrakcyjny model biznesowy. W końcu wygląda na to, że wszystkie strony są zadowolone. Ofiara ma odblokowane pliki, przestępca dostaje swój okup, a Dr. Shifro otrzymuje prawie 100% prowizję jako pośrednik.
Dr.Shifro’s business model
Model biznesowy Dr. Shifro
(Tłumaczenie obrazka: Ofiara płaci Dr. Shifro za odblokowanie plików → Dr. Shifro płaci okup atakującemu → Atakujący zwraca odszyfrowane pliki → Dr. Shifro obciąża ofiarę prowizją za odszyfrowanie plików)
Wnioski
Pierwsze co przychodzi na myśl, widząc oferty takie jak Dr. Shifro, to “jeżeli coś wygląda na zbyt piękne by było prawdziwe, to pewnie tak jest w istocie”. Legalne firmy konsultingowe IT mogą pomóc Ci w odzyskaniu swoich plików po ataku ransomware, ale zwykle nie obiecują nic, czego nie mogą zagwarantować. W rzeczywistości pewność mogą mieć tylko w przypadku, gdy klucze deszyfrujące są już dostępne publicznie w sieci i jedynie zaoferować usługi deszyfrowania plików dla osób, które nie są w stanie zrobić tego samemu. Każdy kto postępuje inaczej powinien być traktowany z rezerwą.
Ponieważ ransomware jest tak bardzo niszczycielską i dochodową formą ataku, jesteśmy pewni, że samo oprogramowanie, jak i cały ekosystem, będzie w dalszym ciągu ewoluował. Pojawienie się w ostatnich latach usług typu Ransomware-as-a-Service pokazuje, że cyberprzestępcy cały czas mają nowe pomysły na rozwój. Model biznesowy stworzony przez Dr. Shifro jest bardzo atrakcyjny i może z łatwością zostać powielony przez kolejnych oszustów, więc zarówno firmy, jak i osoby prywatne powinny mieć się na baczności.
Oczywiście firmy powinny stosować metody prewencyjne przeciwko ransomware w swoich sieciach, żeby przede wszystkim uniknąć zarażenia. W związku z tym proponujemy rozwiązania, które nie tylko opierają się na bazach sygnatur istniejących odmian ransomware, ale także potrafią emulować i wyodrębniać podejrzane pliki w wirtualnych środowiskach typu sandbox oraz automatycznie odzyskiwać zaszyfrowane pliki.
Jeżeli padłeś już ofiarą ransomware, odwiedź stronę Europolu “NoMoreRansom”, żeby poznać rady, w jaki sposób odblokować swoje pliki.
