De la WannaCry la Conti: o perspectivă pe 5 ani
În urmă cu cinci ani, pe 12 mai 2017, lumea a căzut victima unui atac ransomware major cunoscut sub numele de „WannaCry”. Atacul a avut o amploare fără precedent și s-a răspândit în întreaga lume ca un incendiu, peste 200.000 de computere Windows din 150 de țări fiind afectate în doar câteva zile. Daunele provocate de acest atac au cauzat pierderi însumate de miliarde de dolari.
Cu aproximativ o lună înainte de atacul WannaCry, un grup de hackeri numit Shadow Brokers a făcute public un exploit dezvoltat de Agenția Națională de Securitate (NSA). Acest exploit, denumit EternalBlue, s-a bazat pe vulnerabilitatea din Windows SMB și a permis executarea codului pe o mașina aflată la distanță. Deși patch-ul de vulnerabilitate a fost lansat de Microsoft înainte de apariția publică a Shadow Brokers, multe dintre computerele din întreaga lume au rămas neprotejate și, prin urmare, vulnerabile, permițând EternalBlue să devină o cheie pentru nefericitul succes al WannaCry. Echipat cu capacități extraordinare oferite de codul NSA piublicat, malware-ul ransomware simplu a fost transformat într-unul dintre cele mai influente atacuri cibernetice globale observate.
Deși nu a fost vizată direct, una dintre cele mai notabile victime WannaCry a fost Serviciul Național de Sănătate (NHS) din Marea Britanie, care utiliza un număr mare de computere vulnerabile și, prin urmare, a fost lovit deosebit de puternic, cu o treime din spitalele NHS afectate de atac. Printre alte victime majore ale pandemiei globale s-au numărat serviciul de telecomunicații Telefonica din Spania, precum și furnizorii de telecomunicații, băncile, sistemul feroviar și chiar Ministerul de Interne din Rusia. Guvernele, spitalele și alte companii majore au fost puse în situația de a lupta împotriva atacului. Focarul a fost oprit când cercetătorii au activat „kill switch” încorporat în malware – deși acest lucru nu a ajutat în cazul sistemelor deja criptate, totuși a încetinit drastic răspândirea infecției.
La 18 decembrie 2017, guvernul SUA a anunțat în mod oficial că a considerat în mod public Coreea de Nord drept principalul vinovat din spatele atacului WannaCry, Canada, Noua Zeelandă, Japonia și Marea Britanie fiind, de asemenea, în spatele acestor acuzații. Mai târziu, în septembrie 2018, Departamentul de Justiție al SUA (DoJ) a anunțat primele acuzații formale împotriva cetățeanului nord-coreean Park Jin-Hyok. DoJ a susținut că Park era un hacker nord-coreean care lucra ca parte a unei echipe de hacking sponsorizate de guvern, cunoscută sub numele de „Grupul Lazarus”, a fost, de asemenea, implicat în atacul WannaCry, printre alte activități.
Figura 1 – Cerere de răscumpărare WannaCry
Încă se discută pe scară largă care a fost scopul principal al ransomware-ului WannaCry. Malware-ul este evident conceput pentru a extorca bani de la victime: acestea au fost forțate să facă o plată de 300 USD într-un termen de 7 zile. Plățile au fost solicitate să fie făcute în Bitcoin, pe vremea când criptomonedele erau mult atrăgătoare pentru Coreea de Nord, deoarece SUA urmărea sancțiuni internaționale menite să izoleze și mai mult țara în privința programului său de arme nucleare. Impactul global al atacului, împreună cu alte activități susținute de regimul Grupului Lazarus, indică totuși că, pe lângă aspectul monetar, atacatorii erau cu adevărat preocupați să provoace haos, panică și distrugere.
Atacul WannaCry a schimbat jocul securității cibernetice nu doar prin impactul său imens. Acesta a făcut furori din cauza influenței sale uriașe asupra peisajului amenințărilor cibernetice. Fiind primul atac cibernetic la scară globală, multi-vectorizat, susținut de actori sponsorizați de stat, a marcat un punct de cotitură în mediul de securitate cibernetică, inspirând actori din întreaga lume și afectând întregul peisaj amenințărilor pentru următorii cinci ani până în prezent.
Ransomware ca instrument al actorilor statali
Fiind încă de la început susținut din punct de vedere politic, focarul WannaCry a aprins ideea de a folosi ransomware pentru interese specifice statelor naționale. În vara anului 2017, la o lună după atacul WannaCry, Ucraina a suferit un atac cibernetic catastrofal al ransomware-ului NotPetya, care a afectat grav băncile, transportul public, companiile energetice și sectorul guvernamental. Atacul a fost efectuat de Sandworm, un grup de hackeri ai serviciilor secrete militare ruse, și a fost proiectat ca o lovitură decisivă împotriva Ucrainei în războiul cibernetic pe care Rusia l-a desfășurat de ani de zile împotriva vecinului său din sud-vest. Cu toate acestea, din Ucraina, atacul s-a răspândit rapid pe tot globul: probabil inspirat de succesul nefericit al lui WannaCry, NotPetya folosea de asemenea EternalBlue pentru a se propaga între computere, maximizând impactul și, prin urmare, daunele. De data aceasta, cu siguranță nu a fost conceput pentru a face bani, ci pentru a se răspândi rapid și a cauza daune, cu o acoperire plauzibilă a unui „ransomware”, neoferind victimelor nicio modalitate de a-și recupera datele și afectând luni de zile operațiunile. Mai multe companii publice mari au dezvăluit în rapoartele lor de securitate că atacul le-a costat sute de milioane de dolari în afaceri pierdute și eforturi de recuperare. Printre acestea se numără compania de transport maritim global Maersk, compania farmaceutică Merck și o serie de spitale din S.U.A.
În 2020, actorii susținuți de statul iranian au început, de asemenea, să adauge variante de ransomware în operațiunile lor ofensive. Operațiunile ransomware s-au dovedit a fi instrumente puternice pentru perturbarea sau discreditarea victimelor. Între 2020 și 2021, cel puțin șase grupuri de amenințare iraniene, inclusiv MosesStaff, Pay2Key, Black Shadow și APT35, au fost identificate că implementau variante de ransomware, vizând în primul rând principalii inamici ai regimului iranian – Israelul și SUA.
La începutul anului 2022, odată cu începutul războiului dintre Rusia și Ucraina, au fost detectate mai multe atacuri cibernetice avansate care vizează ținte ucrainene. Una dintre aceste campanii a folosit programul malware de ștergere numit „HermeticWiper” combinat cu ransomware-ul numit „HermeticRansom”. Codul și fluxul de lucru al acestui ransomware bazat pe GoLang sunt relativ simple și par să fi fost construite în grabă, indicând că a fost folosit ca momeală pentru a împiedica victimele să-și acceseze datele, îmbunătățind în același timp eficiența altor atacuri cibernetice simultane. HermeticRansom a fost implementat în același timp cu HermeticWiper, care vizează ținte financiare și contractanți guvernamentali din Ucraina, Letonia și Lituania.
Odată cu succesul tuturor acestor operațiuni – unde atenția publicului și distrugerea în masă a rețelelor este definiția succesului – putem spune cu siguranță că moștenirea WannaCry este încă vie, inspirând utilizarea ransomware-ului de către țările sancționate precum Coreea de Nord și Iran, iar acum li se alătură și Rusia. Ransomware-ul este încă un instrument plauzibil în realizarea agendei lor politice, fie că provoacă daune reale, fie că de fapt extorcă cereri de răscumpărare în criptomonede, un instrument binecunoscut în evitarea sancțiunilor.
De la spam de tip drive-by și e-mail până la ransomware la nivelul întregului domeniu
În epoca WannaCry din 2017, ransomware-ul a fost distribuit în mod obișnuit pe scară largă prin campanii masive de spam prin e-mail și descărcări directe care au fost facilitate de kiturile de exploatare: oricine putea fi o țintă. Atacurile drive-by le-au permis actorilor de ransomware să infecteze victimele care au vizitat fără să știe un site web compromis, fără nicio acțiune suplimentară, bazându-se în mare măsură pe browsere și plugin-uri neactualizate precum Internet Explorer și Adobe Flash pentru exploatarea cu succes. Campaniile de spam prin e-mail care distribuiau ransomware s-au bazat pe tehnicile de inginerie socială pentru a determina victima să ruleze ransomware-ul și, de obicei, erau transportate de botneții de spam. Unul dintre cele mai de succes exemple de folosire a ambelor metode de livrare „spray and pray” a fost ransomware-ul GandCrab, ai cărui operatori și afiliați au colectat un total estimat de 2 miliarde de dolari în plăți de răscumpărare, ca parte a multiplelor lor campanii.
Odată cu dezvoltarea protecției antivirus și diminuarea incidenței kiturilor de exploit, distribuirea de ransomware prin intermediul spam-ului a devenit învechită, iar infractorii cibernetici au aflat că o victimă din mediul corporativ poate genera aceleași venituri ca sute de victime non-corporate, cu mai puțin efort. În 2018, distribuția de ransomware a trecut de la un joc de numere mari la o abordare mai direcționată de vânătoare de victime mari, în care infractorii cibernetici își găsesc – sau chiar cumpără – accesul în organizațiile de mari dimensiuni. Drept urmare, infractorii cibernetici din spatele familiilor de programe malware de top care au început cu troieni bancari cum ar fi Emotet, Trickbot, Dridex, Qbot și alții, și-au schimbat concentrarea operațiunilor botnet pentru a căuta ținte adecvate pentru atacurile ransomware.
Odată ce infecția inițială în mediile corporative este realizată, infractorii cibernetici efectuează un efort amplu de recunoaștere menit să localizeze cele mai profitabile ținte. Aceștia petrec zile, uneori săptămâni, explorând rețelele compromise pentru a localiza activele de mare valoare și pentru a elimina toate backup-urile posibile, maximizând astfel daunele produse. Controlul și complexitatea unor astfel de operațiuni personalizate împotriva companiilor au transformat, de-a lungul timpului, operațiunile ransomware într-o afacere asemănătoare unei organizații. Grupuri prolifice de ransomware desfășoară în zilele noastre nu doar o operațiune tehnică complicată, incluzând dezvoltarea de instrumente personalizate și infrastructura suport, dar și mențin o operațiune de afaceri legată de obținerea accesului inițial la ținte profitabile, estimarea abilităților de plată ale companiei, colectarea informațiilor despre victime – toate pentru a-și maximiza profiturile.
De la simplă blocare până la extorcare multiplă
Cererile pentru ransomware WannaCry au fost relativ scăzute: de la fiecare victimă, ransomware-ul cerea 300 USD, dublându-l la 600 USD dacă plata nu se efectua în primele 3 zile. Judecând după rapoartele publice, nu a fost o operațiune atât de reușită din punct de vedere financiar, cu câștiguri în valoare de aproximativ 143.000 de dolari. De-a lungul timpului, s-a părut că rata scăzută de plată nu este doar o problemă a ransomware-ului WannaCry, ci este în general o problemă a întregului model de afaceri ransomware.
În următorii câțiva ani, actorii amenințărilor au început să dezvolte modalități inovatoare de a-și crește încasările. În primul rând, prin trecerea la ținte din mediul corporate, dar mai târziu și prin aplicarea unei presiuni suplimentare asupra acestora pentru a plăti. În 2020 a apărut strategia de extorcare dublă în ransomware și până astăzi este considerată o practică comună în lumea ransomware. Ransomware-ul cu dublă extorcare este un atac ransomware în mai multe etape care combină criptarea tradițională a fișierelor victimei și exfiltrarea datelor acestora în afara companiei, către servere controlate de atacator. Atacatorul demonstrează apoi victimei că are acces la datele lor sensibile și amenință că va publica datele încălcate în mod public, cu excepția cazului în care plata răscumpărării este plătită în intervalul de timp stabilit. Acest lucru pune presiune suplimentară asupra victimelor pentru a satisface cerințele atacatorilor, precum și expune victima la potențiale sancțiuni din partea autorităților de reglementare în domeniul protecției datelor. Pentru a consolida dubla extorcare, majoritatea grupurilor de ransomware au creat bloguri unde postează numele și, în unele cazuri, datele victimelor care nu sunt dispuse să plătească răscumpărarea.
Înrăutățind lucrurile, la sfârșitul anului 2020, actorii au venit cu modalități suplimentare de a aplica și mai multă presiune asupra victimelor. Denumită „extorcare triplă”, aceasta include cereri bazate pe amenințarea cu daune suplimentare ale infrastructurii – cum ar fi atacurile DDoS împotriva resurselor victimelor până când acestea plătesc sau extorcarea folosind amenințări la adresa terților. De exemplu, în octombrie 2020, clinica Vastaamo din Finlanda a anunțat că a fost victima unei breșe de-a lungul unui an de zile, care a culminat cu furtul extins de date ale pacienților și un atac ransomware. În plus față de răscumpărarea cerută de la furnizorul de asistență medicală însuși, atacatorii au trimis cereri de răscumpărare mai mici pacienților individuali, amenințând să-și publice notele sensibile ale ședințelor terapeutice. Ideea triplei extorcări a fost adoptată rapid de alți actori: unul dintre cei mai notorii actori, banda REvil, de exemplu, a oferit afiliaților lor apeluri vocale VoIP bruiate către jurnalişti și colegi, folosind terţi pentru a aplica mai multă presiune asupra victimelor.
O chestiune de securitate națională
Evoluția operațiunilor ransomware a vizat întotdeauna creșterea volumului plăților pentru acest tip de infracțiune. De-a lungul anilor, grupurile de ransomware au învățat că țintele de mare profil le-ar putea aduce mai multe venituri. În 2018-2019, în timp ce majoritatea organizațiilor guvernamentale nu erau pregătite pentru amenințarea crescândă cu ransomware, afiliații ransomware au observat că sectorul public, în special la nivel de stat și municipal, erau ținte ușoare – iar acestea au fost devastate de atacurile ransomware. Unii dintre ei, cum ar fi orașul american Baltimore, au fost chiar nevoiți să lupte de două ori cu atacurile ransomware.
Mizele în creștere și profilul crescând al țintelor au atins apogeul în mai 2021, cu un atac ransomware asupra Colonial Pipeline, care a închis principala conductă de benzină și combustibil pentru avioane către zone mari din coasta de sud și de est și a dus la criză de combustibil. Acest incident, în care o infrastructură națională critică a devenit ostatică a ransomware-ului, a forțat guvernul SUA și pe mulți alții după aceea să-și schimbe atitudinea față de actorii ransomware. Au trecut de la măsuri preventive și reactive la operațiuni ofensive proactive care au vizat operatorii de ransomware înșiși, precum și infrastructurile de finanțare și de sprijin ale acestora.
În continuare, în SUA, Departamentul de Justiție (DoJ) a definit ransomware-ul ca o amenințare la securitatea națională, plasându-l la același nivel de prioritate cu terorismul. Oficiul pentru Controlul Activelor Străine (Office of Foreign Assets Control – OFAC) a administrat primele sale sancțiuni unei burse de schimb valutar pentru monede virtuale SUEX, operate de Rusia, organizație implicată în plăți de ransomware, și a publicat un aviz actualizat privind riscurile de sancțiuni pentru plățile ransomware. Câteva luni mai târziu, Uniunea Europeană și alte 31 de țări au anunțat că se vor alătura efortului de a perturba canalele de criptomonede suplimentare, în încercarea de a paraliza procesul de spălare a banilor care urmează adesea operațiunilor de ransomware. În aceeași lună, guvernul australian a emis „Ransomware Action Plan”, care include formarea unui nou grup special și pedepse mai aspre pentru actorii ransomware.
Aceste măsuri au permis creșterea bugetelor pentru combaterea criminalității cibernetice și eforturile de colaborare sporite dincolo de frontiere între diferite agenții guvernamentale și de aplicare a legii. În urma noii poziții a forțelor de ordine, mai mulți operatori de ransomware și afiliați au fost reținuți în diferite țări. Printre cele mai semnificative a fost operațiunea internațională comună condusă de Interpol în noiembrie 2021, numită „Operațiunea Cyclone”. Aceasta a dus la confiscarea infrastructurii și arestarea persoanelor afiliate Cl0p în activitățile de spălare a banilor, grupul responsabil pentru breșa Accellion care a provocat numeroase duble și triple extorcări pe tot parcursul anului 2021. În plus, Departamentul de Justiție al SUA și alte agenții federale au continuat acțiunile împotriva REvil. Aceste acțiuni au inclus arestări ale membrilor grupului, confiscarea a 6 milioane de dolari SUA proveniți din răscumpărări, confiscarea de dispozitive și un program de recompense în valoare de 10 milioane de dolari. În ianuarie 2022, autoritățile din Rusia au raportat că au dezmembrat grupul criminal de ransomware REvil și au acuzat câțiva dintre membrii săi. Acesta a fost considerat un act de bunăvoință fără precedent și a marcat o nouă eră în evoluția afacerii ransomware.
Concluzii
În ultimii cinci ani, operațiunile de ransomware au făcut o călătorie lungă de la e-mailuri aleatorii „spray and pray” la afaceri de mai multe milioane de dolari, efectuând atacuri direcționate și operate de oameni care afectează organizațiile în aproape orice locație geografică și în orice industrie. În timp ce țările occidentale, după toți acești ani, au început să ia în serios această problemă, economia ransomware încă prosperă în principal din cauza agențiilor locale de aplicare a legii care închid ochii la bandele de ransomware, în principal cu sediul în Europa de Est. Odată cu războiul actual dintre Rusia și Ucraina, viitorul colaborării forțelor de ordine dintre Rusia și țările occidentale pentru a opri amenințarea ransomware nu este atât de strălucitor pe cât părea cu doar câteva luni înainte. Economia subterană a ransomware-ului se bazează pe deplin pe criptomonede și, în timp ce războiul se desfășoară, sancțiunile impuse de SUA împotriva criminalității cripto continuă să se extindă rapid. Abia în aprilie 2022, OFAC a sancționat Garantex, o bursă de schimb valutar pentru monede virtuale și cea mai mare și mai proeminentă piață darknet din lume, Hydra Market, într-un efort internațional coordonat de a perturba proliferarea serviciilor de criminalitate cibernetică, a drogurilor periculoase și a altor produse ilegale.
Cu toate acestea, exemplul WannaCry susținut de Coreea de Nord este aici pentru a ne reaminti că țările care își desfășoară economia sub sancțiuni grele tind să desfășoare și să folosească operațiuni cibernetice pentru propriile scopuri. Deci, având în vedere situația actuală, nu ne putem aștepta ca era de aur a ransomware-ului să se încheie în viitorul apropiat.
Protecție extinsă cu soluțiile Check Point Software
Check Point Software este un furnizor de top la nivel global de soluții de securitate cibernetică pentru organizații guvernamentale și comerciale. Soluțiile sale protejează cu cele mai ridicate rate de succes în industrie clienții împotriva atacuri cibernetice de a 5-a generație, malware, ransomware și alte tipuri de atacuri. Check Point oferă o arhitectură de securitate pe mai multe niveluri, „Infinity” Total Protection cu soluții Gen V de prevenire avansată a amenințărilor, care protejează informațiile stocate în cloud, în rețea și pe dispozitivele mobile ale utilizatorilor. Check Point oferă cel mai complet și intuitiv sistem de management al securității dintr-un singur punct de control. Check Point protejează peste 100.000 de organizații de toate dimensiunile, iar în România se bazează pe colaborarea cu K-Businesscom, 4 Star Partner. Pentru mai multe informații legate de soluțiile Check Point Software și serviciile asociate oferite de K-Businesscom vă invităm să luați legătura cu echipa K-Businesscom la office-romania@k-business.com sau la telefon 021 408 73 73.
