A szakértelem mértékétől függetlenül egyre könnyebbé válik zsarolóvírusok létrehozása és terjesztése. Nincs másra szükség, csak rossz szándékra és a dark webhez való hozzáférésre – egy olyan kereskedelmi színtérre, ahol úgy árulják a zsarolóvírusokat, mint a cipőket vagy játékokat az Amazonon. Az új trend a ransomware-szolgáltatás, eredetileg ransomware-as-a-service, vagy rövidítve RaaS. Egyik kiváló példa rá a könnyen elérhető és személyre szabható Philadelphia.
Kendőzetlenül
A Philadelphia zsarolóvírus-szolgáltatás alkotói – a The Rainmaker Labs – olyan kereskedelmi stratégiát építettek ki, mint amit a legitim szoftvercégek alkalmaznak a termékeik vagy szolgáltatásaik eladására. Magát a Philadelphiát elsősorban a dark weben rejtőző felületeken keresztül értékesítik, ugyanakkor a Youtube-on egy kereskedelmi színvonalú bemutatót találhatunk, amelyben a kit alapvető működési elvét és a személyre szabási lehetőségeket részletezik.
A zsarolóvírus-szolgáltatás nem számít ismeretlen dolognak, viszont a „csináld magad!” jellegű támadóeszköz nyílt és kifinomult reklámstratégiája újszerű.
A zsarolóvírusok döntő többségével ellentétben a Philadelphiával kapcsolatos tudnivalók nyíltan elérhetőek az interneten, és nem csak a dark web eldugott és titkos részein. Ez sajnos jól mutatja azt is, hogy mire számíthatunk a jövőben – véli a Sophos.
Az áldozatok követése és az opcionális kegyelem
A marketing mellett más extrákkal is rendelkezik a szolgáltatás. Számos beállítási lehetőség áll a vásárlók rendelkezésére, amellyel személyre szabhatják a támadási formát. Ilyen például az áldozat Google Maps segítségével történő követése vagy a kegyelmi opció, amelynek a segítségével a támadók fizetés nélkül is feloldhatják az áldozat titkosított adatait. A támadókampány felépítéséhez, a vezérlőszerver kialakításhoz és a pénzbegyűjtéshez is kapnak tanácsokat a felhasználók. Minden ott van. Ironikus módon a kegyelmi opció nem feltétlenül az áldozatok érdekében került bele a Philadelphiába, hanem azért, hogy a kiberbűnözők megmenekülhessenek bizonyos zűrös helyzetekből.
A Philadelphia kegyelmi opciója, a Google Maps-követés, illetve számos további funkció egyre inkább kezd elterjedni a zsarolóvírusok között, és jól mutatja, hogy az ilyen típusú szolgáltatás piaca már a legitim szoftverek kereskedelméhez kezd hasonlítani. A szoftver tudásához mérten kedvezőnek nevezhető 400 dolláros árcímke folyamatos frissítéseket és korlátozás nélküli hozzáférést, illetve korlátozás nélküli támadásmennyiség biztosít a vásárlók számára. Mintha csak egy teljesen átlagos, legális szoftverszolgáltatás lenne terméktámogatással és állandó frissítésekkel.
Az „Orosz rulett” is az opciók között szerepel, amely egy meghatározott időintervallum letelte után töröl néhány fájlt. Ennek célja, hogy a felhasználót pánikhelyzetbe kényszerítse a gyorsabb fizetés érdekében.
Lopott kód
Bizonyos kiberbűnözők feltörték és kalózverziót hoztak létre a Philadelphiából, majd a saját lopott verziójukat árulják tovább az eredetinél olcsóbb áron. Míg maga a feltörés nem új dolog, a mértéke az. A késztermékként kínált támadóeszközök, amelyek nem kívánják meg, hogy a használójuk tisztában legyen azzal, mit is csinál, könnyen hozzáférhetőek és folyamatosan fejlődnek. A Sophos szerint hamarosan nőni fog a tét és a csalók is a támadások célpontjaivá fognak válni.
Nem szokatlan dolog, hogy a kiberbűnözők más kódját lopják el, vagy egy ransomware korábbi verziójára építkeznek. Ezt láttuk a közelmúltban lezajlott NotPetya támadásnál is. Itt kombinálták a Golden Eye-t, a Petya egy korábbi verzióját az Eternal Blue exploittal, melynek következtében globális szinten terjedt el a számítógépeket megfertőző szoftver.
Defenzív eljárások
A Sophos a következő teendőket javasolja a zsarolóvírusok elleni legjobb védelemhez:
- Rendszeres biztonsági mentés és az aktuális biztonsági másolat külön helyen történő tárolása. A ransomware-en túl többtucatnyi oka lehet annak, hogy a fájlok elvesznek, mint például tűzeset, áradás, lopás, egy elejtett laptop vagy akár egy véletlenszerű törlés. A biztonsági másolat titkosításával elkerülhető, hogy az adatok rossz kezekbe kerüljenek.
- Ne engedélyezze az e-mailen keresztül érkezett csatolt dokumentumok makróit! A Microsoft biztonsági intézkedésként évekkel ezelőtt kikapcsolta a makrók automatikus végrehajtását. Számos zsarolóvírus arra akarja rávenni az áldozatot a fertőzés folyamatának megkezdése érdekében, hogy kapcsolja be a makrókat. Ön ne tegye!
- Figyeljen a kéretlen csatolmányokra! A bűnözők gyakran arra a dilemmára alapoznak, hogy nem kellene megnyitnia egy dokumentumot, amíg nem tudja megállapítani, hogy valóban arra van e szüksége, de ezt nem tudja megmondani, amíg meg nem nyitotta. Ha kétségei vannak, ne nyissa meg!
- Időben és gyakran frissítsen! Azok a zsarolóvírusok, amelyek nem dokumentumok makróira épülnek, gyakran más népszerű alkalmazások biztonsági hiányosságait próbálják kihasználni. Ilyen lehet például az Office, a böngésző, a Flash és még számos más szoftver. Minél korábban frissít, annál kevesebb nyílt biztonsági rés áll bűnözők rendelkezésére, amit kihasználhatnak. Támadás esetén a felhasználónak meg kell bizonyosodnia arról, hogy legfrissebb verziójú PDF olvasót, illetve Word alkalmazást használja.
