35 lat ransomware: historia, ewolucja i przyszłość

 

Obecnie, ataki ransomware stanowią poważne wyzwanie zarówno dla firm, jak i indywidualnych użytkowników, wykorzystując zaawansowane algorytmy szyfrowania i nowe strategie szantażu. Analizując minione 35 lat, możemy dostrzec, jak wielkie zmiany zaszły w krajobrazie cyberzagrożeń oraz jak zaawansowane stały się metody cyberprzestępców.

Ransomware na dyskietce


Ryzyko związane z „kryptowirusem" — złośliwym oprogramowaniem wykorzystującym szyfrowanie do przeprowadzania ataków opartych na wymuszeniu, które żądają zapłaty w zamian za klucz deszyfrujący — zostało dostrzeżone przez badaczy dopiero w 1996 roku. Zidentyfikowali oni nie tylko powagę tego zagrożenia, ale także kluczowe mechanizmy obronne: skuteczne oprogramowanie antywirusowe oraz regularne tworzenie kopii zapasowych systemu. Te wczesne przewidywania stały się podstawą strategii ochrony przed tym, co później miało stać się jednym z najbardziej rozpowszechnionych rodzajów cyberataków — ransomware.

Trudne początki

W grudniu 2004 roku odkryto pierwsze dowody na użycie kryminalnego ransomware – GPCode, którym atakowano użytkowników w Rosji poprzez załączniki w e-mailach podszywające się pod oferty pracy. Złośliwe oprogramowanie szyfrowało wybrane pliki na komputerze ofiary, początkowo wykorzystując proste algorytmy szyfrowania, które łatwo łamano. Wkrótce jednak przestępcy zaczęli stosować zaawansowaną enkrypcję kluczem publicznym, co znacząco utrudniało odzyskanie danych.

GPCode stał się inspiracją dla kolejnych wariantów ransomware. Wczesne ataki miały jednak istotną słabość: brak łatwego i anonimowego sposobu na pobieranie okupu bez ujawniania tożsamości sprawcy. Z czasem, cyberprzestępcy zaczęli stosować bardziej zaawansowane metody, takie jak wymuszanie kontaktu z ofiarami poprzez połączenia telefoniczne lub nakłanianie ich do zakupu produktów przez Internet, a następnie przesyłania żądań okupu w zamian za instrukcje deszyfrujące.

Kryptowaluty na pomoc ransomware Na pomoc przyszły wirtualne kantory, które stały się sposobem na przelewanie pieniędzy poza standardowym systemem bankowym, umożliwiając przestępcom odbiór okupu z zachowaniem anonimowości. Jednak ta metoda okazała się nieskuteczna na dłuższą metę, ponieważ była łatwa do wykrycia przez organy ścigania.

Dopiero pojawienie się kryptowalut, takich jak bitcoin, zapewniło przestępcom skuteczny sposób na otrzymywanie okupu z zachowaniem pełnej anonimowości. Pierwszym głośnym przykładem wykorzystania kryptowalut był CryptoLocker w 2013 roku, który stał się przełomowym momentem w ewolucji ransomware, nadając mu biznesowy wymiar. Od tego czasu kryptowaluty stały się standardem dla grup ransomware, zwiększając skalę i skuteczność ich działań.

Ekosystem partnerów

Na początku lat 2010-tych hakerzy preferowali własne metody dystrybucji malware, takie jak wysyłanie wiadomości spamowych, przejmowanie stron internetowych czy współpraca z operatorami botnetów, którzy instalowali złośliwe oprogramowanie na dużej liczbie skompromitowanych systemów.

Z czasem ekosystem ransomware zaczął profesjonalizować się dzięki pojawieniu się specjalistycznych dostawców, którzy oferowali swoje usługi, dzieląc się niektórymi zadaniami związanymi z przeprowadzaniem ataków. Tworząc ekosystem partnerów, twórcy ransomware mogli skupić się na rozwoju lepszego oprogramowania, delegując dystrybucję malware mniej wykwalifikowanym grupom, które koncentrowały się na technikach inżynierii społecznej.

Przestępcy opracowali zaawansowane portale dla swoich partnerów, które umożliwiały im mierzenie sukcesów oraz dostęp do nowych funkcji ułatwiających przeprowadzanie ataków i zbieranie okupu. Początkowo ataki te przyjmowały model masowej dystrybucji malware, mając na celu zainfekowanie jak największej liczby użytkowników, jednak z czasem to również uległo zmianie.

Walka z większymi graczami

W 2016 roku zidentyfikowano nową odmianę ransomware, SamSam, która była dystrybuowana według innego modelu. Zamiast koncentrować się na jak największej liczbie infekcji, celowano w konkretne instytucje, domagając się dużych sum okupu. Grupa przestępcza łączyła techniki hakowania z ransomware, starając się wniknąć do systemów organizacji. Następnie instalowano ransomware na kluczowych komputerach, aby maksymalizować zakłócenia w całej organizacji.

Ta innowacja zmieniła rynek ransomware. Aktorzy zagrożeń odkryli, że bardziej opłaca się celować w duże instytucje, zakłócając ich działalność i domagając się wyższych sum okupów, niż szyfrować urządzenia osób fizycznych. Cyberprzestępcy zaczęli też szybko priorytetyzować określone sektory przemysłowe, ze względu na ich rentowność i posiadanie wrażliwych informacji – dlatego służba zdrowia stała się częstym celem.

Narodziny współczesnego ransomware

W listopadzie 2019 roku ataki ransomware weszły na jeszcze wyższy poziom dzięki oprogramowaniu Maze, które wprowadziło metodę podwójnego szantażu. Przestępcy nie tylko szyfrowali dane ofiar, ale także wykradali poufne informacje, grożąc ich ujawnieniem, co stawiało osoby zarządzające firmami w obliczu podwójnego ryzyka – utraty dostępu do danych i strat reputacyjnych.

Na przestrzeni lat pojawiło się też wiele imitacji ransomware. Widzieliśmy fałszywe ataki ransomware, które po prostu przedstawiają żądanie okupu, nie zadając sobie trudu zaszyfrowania danych, mając nadzieję, że ofiary zapłacą bez względu na wszystko.



Lekcje dla firm i branży

W 2024 roku krajobraz IT znacząco się od tego w 1989 czy 2004 – zaawansowane zabezpieczenia i lepsze łatanie luk sprawiają, że bezpośrednie infekcje systemów są trudniejsze. Jednak słabe hasła stosowane przez użytkowników nadal stanowią furtkę dla przestępców. Mimo to, nie pozostajemy bezbronni.

Działania organów ścigania doprowadziły do aresztowania i oskarżenia wielu operatorów ransomware. Inni, którzy uniknęli aresztowania, zostali poddani międzynarodowym sankcjom, a infrastruktura używana przez nich do koordynowania ataków i ich portfele kryptowalutowe zostały przejęte.

Rozwój technologii pozwala wykrywać próby szyfrowania plików i skuteczniej reagować na zagrożenia. Mimo że niektóre rodzaje złośliwego oprogramowania mogą zostać niezauważone przez programy antywirusowe, nowoczesne systemy ochrony punktów końcowych nieustannie poszukują dowodów na to, że nieznane programy próbują szyfrować pliki bez zezwolenia.

Piętą achillesową ransomware są kopie zapasowe. Dane, które są kopiowane i przechowywane offline, mogą być używane do przywracania plików, które w przeciwnym razie zostałyby uszkodzone i utracone, eliminując w ten sposób potrzebę płacenia okupu za ich odzyskanie. Sukces ransomware w ciągu ostatnich 35 lat jest również historią niepowodzenia powszechnej adopcji rozwiązań do tworzenia kopii zapasowych w celu przywracania plików.



Źródło: Cisco