Hackere bak angrep, for eksempel WannaCry kanskje ikke har blitt enormt rik, men det betyr ikke at de kommer til å gi opp snart
@alexhern
Torsdag 3 August 2017 10.29 BST
Sist endret på torsdag 3 August 2017 17.07 BST
Det destruktive potensialet i ransomware, skadelig programvare som brukes til å presse penger fra ofrene, er stor: i første halvdel av 2017, to store utbrudd, WannaCry og NotPetya, førte til nedetid på tjenester fra organisasjoner rundt om i verden.
En tredjedel av de BRITISKE National Health Service ble truffet av WannaCry, og utbruddet ble anslått av risiko modellering fast Cyence å ha koste opp til $4bn i tapte inntekter og reduksjon av utgifter. Så, en måned senere, NotPetya (så kalt fordi det er ikke Petya, en annen type ransomware som det var i utgangspunktet feil), lagt ned en betydelig del av den ukrainske regjeringen, legemiddelfirmaet Merck, shipping firma Maersk, og WPP reklamebyrå, samt stråling system for overvåking i Tsjernobyl.
Men mens både utbrudd gjort enorme kostnader på de organisasjoner de er infisert, og de var overraskende ulønnsomt for sine skapere.
Den WannaCry betaling adresse har tatt bare $149,545 (£113,814) til dato, mens NotPetya adresse tok mye mindre: kr 8,456 ($11,181).
Problemet de kriminelle ansiktet, sier Marcin Kleczynski, daglig leder av information security fast Malwarebytes, er at “folk har blitt desensitised til felles ransomware, hvor det bare krypterer dine filer”. De kriminelle håper at folk vil møte tap av sine digitale minner, eller kritiske forretnings-dokumenter, og betale et par hundre dollar for nøkkel til å dekryptere dem. I praksis, sier Kleczynski, et økende antall ofre bare trekker på skuldrene og gjenopprette fra en sikkerhetskopi.
“Du ser på bitcoin-adresser, de er ikke godt finansiert. Du ser et par tusen dollar i beste fall,” legger han til. “Så hvordan gjør den kriminelle trinn opp hans eller hennes spill?”
‘Du ser på bitcoin-adresser, de er ikke godt finansiert. Du ser et par tusen dollar i beste fall. Så hvordan gjør den kriminelle trinn opp hans eller hennes spill?’ Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
Kleczynski, og hans kollega, Adam Kujawa, som leder forskningen på Malwarebytes, spår at kriminelle vil utvikle seg nye måter å oppmuntre til ofrene, både bedrifter og individuelle, til å betale opp snarere enn bare å gjenopprette fra sikkerhetskopier og ignorerer betaling forespørsel.
Ny på scenen er en form for ransomware kjent som “doxware”. “I utgangspunktet er hva det sier det er” pay, eller vi vil ta alle ting vi er kryptert, og vi vil sette det på nettet med ditt navn på det”, sier Kujawa.
Navnet kommer fra “doxing”, begrepet for publisering privat informasjon på internett for å mobbe, true eller skremme, og tanken på å automatisere det ikke er hypotetisk. En rekke lignende angrep har allerede skjedd i naturen. I den ene enden av spekteret var Chimera ransomware, som slo tyske selskaper i 2015. Den malware krypterte filer og ba for rundt £200 (kr 260) til å returnere dem, men kom også med en advarsel at hvis ofrene ikke betale opp, “vil vi publisere dine personlige data, bilder og videoer og ditt navn på internett”.
Chimera, men faktisk ikke har mulighet til å publisere noe på nett – advarselen var bluster, designet for å skremme ofrene til å betale opp. Men i andre tilfeller, trusselen om publisering av data er svært reell.
I Mai, hackere stjal filer fra en litauisk plastisk kirurgi klinikk, som inneholder høyst personlig informasjon om 25,000 tidligere kunder: navn, adresser og prosedyrer som utføres, samt pass skanner, folketrygden nummer og nakenbilder av pasienter. De satt database online via kryptert nettverk Tor, og spurte for utbetalinger fra individuell pasienter for å fjerne personlig informasjon fra nettstedet. Priser startet på €50 for de pasienter som bare hadde navn og adresser i området, men økte til €2000 for de mer invasive informasjon stjålet.
Bare denne uken, HBO overfor sin egen trussel, med 1.5 TB med video stjålet av hackere – inkludert unaired episodene av Game of Thrones – og blir holdt som gissel.
Men i dag, hack og leakers arbeider på en manuell, boutique grunnlag: plukke sine mål hvor de kan finne dem, og å gjøre det harde arbeidet med å monetising angrepet manuelt.
Det er ingen grunn til, men hvorfor den samme teknikken kan ikke legges i en lignende stykke programvare for å WannaCry og NotPetya – en såkalt “ransomworm”, som hopper fra datamaskin til datamaskin automatisk kryptering av informasjon som det går.
Med WannaCry, Kleczynski sa, forplantning siden av skadelig programvare ble en “cruise missile” – men den faktiske nyttelast var en gummi kule. Den malware brukt en utnytte stjålet fra NSA av en mystisk hacker organisasjon som kaller seg the Shadow Meglere, som gjorde det mulig å hoppe mellom Windows-maskiner med abandon. En løsning for å utnytte hadde bare vært utgitt et par måneder tidligere, og mange hadde ikke installert det i det hele tatt, slik at den skadelige programvaren til å spre seg raskt.
Men når det kom frem på datamaskiner, det var ikke på langt nær så ille som det kunne ha vært. WannaCry var shoddily satt sammen, med en dekrypteringsnøkkel som var dårlig skjult i maskinen (slik at noen berørte maskiner for å bli dekryptert for gratis hvis de ikke hadde blitt startet på nytt), en kill-switch, raskt oppdaget av en Britisk forsker, som stoppet det i sitt spor. Og selv de verste-hit maskiner kan bli løst fra sikkerhetskopier.
En tankegangen med både WannaCry og NotPetya sier feil å lykkes med å tjene penger utbruddene var bevisst. Sikkerhetseksperter har foreslått at både malware varianter kan være et verk av statsstøttede aktører – WannaCry til Nord-Korea, ifølge GCHQ og NSA, og NotPetya til Russland, i henhold til Ukraina – og det er en mulighet for at intensjonen ikke var å samle inn penger i det hele tatt, men å gi plausible deniability for rett og slett å skade så mange datamaskiner som mulig.
Angrepet på Sony Pictures i 2014 viser den potensielle effekten av et bredere doxware utbrudd. Foto: Justin Lane/EPA
Både Nord-Korea og Russland har også vært knyttet til hack-og-lekkasje angrep – Nord-Korea antas å være bak 2014 hack av Sony Pictures, mens russiske aktører er knyttet til hacks på det Demokratiske Partiet i USA stortingsvalg. De angrep vise den potensielle effekten av et bredere doxware utbrudd.
En ransomworm hvor som helst i nærheten av omfanget av WannaCry som dumpet informasjon på nettet vil være en av de største personvern brudd i historie, eller en av de største moneymaking muligheter som noen gang er funnet gjennom datakriminalitet. Men dette er bare en mulig fremtid for ransomware.
“Tenk om noen som har et botnet, sier Kleczynski, og refererer til en samling av kompromitterte datamaskiner, for eksempel Mirai botnet er laget av millioner av hacket Internet of Things enheter. “[Forestille seg dem] å være i stand til å peke det til, si, British airways billettsystem.”
En såkalte distributed denial of service angrep, bokstavelig talt overbelastning nettstedet med trafikk fra hacket enheter, er svært vanskelig å beskytte seg mot, og så lenge det gikk på det ville koste målet millioner av dollar om dagen. “Er du ikke holder filer som gissel, du holder oppetid gissel. Det er ikke gjenopprette fra sikkerhetskopi det.”
I stedet for å holde oppetid gissel, hva om drivetime? “Ransomware på bilen din er definitivt mulig,” sier Craig Smith, forskningsdirektør ved transport på Rapid7. “Det er langt enklere å sikre en bil, men det er ikke altfor vanskelig å sette opp en løsepenge skjermen. Og hvem kommer til å risikere å kjøre en kompromittert bilen?”
Kanskje det er ikke science fiction-nok. I desember, en undersøkelse av 10 implanterbare hjerte-defibrillator funnet “alvorlig protokollen og gjennomføring svakheter”, slik at en angriper å lure enheten til å holde sine kommunikasjonskanaler åpne til batteriet er flatt. Holder et hjerte som gissel? Du ville ikke ønsker å prøve å gjenopprette fra en sikkerhetskopi.