Hackere bag angreb, som WannaCry måske ikke er blevet utroligt rige, men det betyder ikke, at de kommer til at give op, til enhver tid snart
@alexhern
Torsdag den 3 August 2017 10.29 BST
Sidst opdateret torsdag den 3 August 2017 17.07 BST
Det destruktive potentiale af ransomware, det ondsindet software, der bruges til at afpresse penge fra ofre, er enorm: i første halvdel af 2017, to store udbrud, WannaCry og NotPetya, førte til driftsstop, fra organisationer rundt om i verden.
En tredjedel af STORBRITANNIENS National Health Service) blev ramt af WannaCry, og udbruddet blev anslået af risiko modellering firma Cyence at have kostet op til $4bn i tabte indtægter og afbødning udgifter. Så en måned senere, NotPetya (såkaldte, fordi det er ikke Petya, en anden type af ransomware, som det oprindeligt var en fejl), bragt ned en væsentlig del af den ukrainske regering, farmaceutiske virksomhed Merck, shipping firma Mærsk, og reklamebureauet WPP, samt stråling overvågningssystem på Tjernobyl-værket.
Men mens både udbrud udvirket store omkostninger på de organisationer, de er smittet, de var overraskende ulønsomt til deres skabere.
Den WannaCry betaling-adresse er taget lige $149,545 (£113,814) til dato, mens NotPetya adresse tog meget mindre: £8,456 ($11,181).
Problemet med de kriminelle ansigt, siger Marcin Kleczynski, den administrerende direktør for informationssikkerhed firma Malwarebytes, er, at “folk er blevet desensitised til fælles ransomware, hvor det bare krypterer dine filer”. De kriminelle, der håber, at folk vil stå over tabet af deres digitale minder, eller forretningskritiske dokumenter, og betale et par hundrede dollars for nøglen til at dekryptere dem. I praksis, siger Kleczynski, et stigende antal ofre, bare trække på skulderen og gendanne fra en sikkerhedskopi.
“Du ser på bitcoin adresser, de er ikke godt finansieres. Du kan se et par tusind dollars på det bedste,” tilføjer han. “Så hvordan gør den strafferetlige skridt op hans eller hendes spil?”
‘Du ser på bitcoin adresser, de er ikke godt finansieres. Du kan se et par tusind dollars på det bedste. Så hvordan gør den strafferetlige skridt op hans eller hendes spil?’ Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
Kleczynski, og hans kollega, Adam Kujawa, der leder forskningen på Malwarebytes, forudser, at kriminelle vil udvikle nye måder at tilskynde ofre, både virksomheder og private, til at betale op snarere end blot gendannelse fra sikkerhedskopier, og at ignorere anmodningen om udbetaling.
Ny på scenen, er en form for ransomware kendt som “doxware”. “Dybest set, hvad det siger, er ‘betal, eller vi vil tage alle de ting, vi krypteret, og vi vil sætte det online med dit navn på det’,” siger Kujawa.
Navnet kommer fra “doxing”, betegnelsen for publishing private oplysninger på internettet for at mobbe, true eller intimidere, og ideen om at automatisere det er ikke hypotetisk. En række af lignende angreb allerede har fundet sted i naturen. I den ene ende af spektret var Chimera ransomware, der ramte de tyske virksomheder i 2015. Den malware krypterede filer og spurgte til omkring £200 ($260) at returnere dem, men kom også med den advarsel, at hvis ofrene ikke betale, “vi vil offentliggøre dine personlige data, fotos og videoer, og dit navn på internettet”.
Chimera, men faktisk ikke har kapacitet til at udgive noget online – advarsel var buldre, designet til at skræmme ofrene til at betale op. Men i andre tilfælde kan truslen om offentliggørelse af data er meget reel.
I Maj, hackere stjal filer fra en litauisk plastik kirurgisk klinik, der indeholder meget personlige oplysninger omkring 25.000 tidligere kunder: navne, adresser og procedurer, der udføres, samt pas-scanninger, national insurance numre og nøgen billeder af patienter. De sætter databasen online via krypteret netværk Tor, og spurgte, om betalinger fra de enkelte patienter til at fjerne deres personlige oplysninger fra hjemmesiden. Priserne startede på €50 for de patienter, der lige havde navne og adresser i ejendommen, men steg til €2.000 til mere invasive stjålne oplysninger.
Bare i denne uge, HBO står over for sin egen trussel, med 1,5 TB video stjålet af hackere – herunder unaired afsnit af Game of Thrones – og at blive holdt som gidsel.
Men i øjeblikket, hack-and-utætheder arbejder på en manual, boutique grundlag: at plukke deres mål, hvor de kan finde dem, og gør det hårde arbejde med at værdiansætte angrebet manuelt.
Der er ingen grund til, men hvorfor den samme teknik kan ikke blive indlæst i et lignende stykke software til at WannaCry og NotPetya – en såkaldt “ransomworm”, som springer fra computer til computer automatisk, kryptering af oplysninger, som det går.
Med WannaCry, Kleczynski sagde, formering side af malware var en “cruise missil” – men den faktiske nyttelast var en gummi kugle. Den malware, der anvendes af en udnyttelse stjålet fra NSA af en mystisk hacker organisation, der kalder sig selv Skyggen Mæglere, som gjorde det muligt at hoppe mellem Windows maskiner, med opgive. En rettelse til den udnyttelse, der kun var blevet løsladt for et par måneder tidligere, og mange havde ikke installeret det ved alle, så malware i at sprede sig hurtigt.
Men når det gjorde ankomme på computere, var det ikke nær så slemt, som det kunne have været. WannaCry var ringe sat sammen, med en dekrypteringsnøgle, som var dårligt skjult i computeren (hvilket giver mulighed for nogle berørte maskiner til at blive afkodet gratis, hvis de ikke havde været genstartet), en kill switch, hurtigt opdaget af en Britisk forsker, der stoppede det i dens spor. Og selv de hårdest ramte maskiner kunne fastsættes ud fra sikkerhedskopier.
En tankegang med både WannaCry og NotPetya siger, at den manglende succes at tjene penge på det udbrud var bevidst. Sikkerhed eksperter har foreslået, at både malware-varianter, der kan blive arbejdet med statsstøttede aktører – WannaCry til Nordkorea, efter at GCHQ og NSA, og NotPetya til Rusland, i henhold til Ukraine – og der er en mulighed for, at hensigten ikke var at hæve penge, men for at give en plausibel benægtelse for blot at beskadige så mange computere som muligt.
Angrebet på Sony Pictures i 2014, viser den potentielle effektiviteten af en bredere doxware udbrud. Foto: Justin Lane/EPA
Både Nordkorea og Rusland har også været knyttet til hack-and-lækage angreb – Nordkorea menes at stå bag 2014 hack af Sony Pictures, mens russiske aktører, der er forbundet med hacks på det Demokratiske Parti i USA-Valget. Disse angreb vise potentialet effektiviteten af en bredere doxware udbrud.
En ransomworm hvor som helst i nærheden af omfanget af WannaCry, der dumpede oplysninger online ville være en af de største krænkelser af privatlivets fred i historien, eller en af de største ulandenes muligheder, der nogensinde er fundet gennem it-kriminalitet. Men dette er blot en mulig fremtid for ransomware.
“Forestil dig nogen der har et botnet,” siger Kleczynski, der refererer til en samling af kompromitterede computere, som Mirai botnet, der er lavet af millioner af hacket Internet af Ting enheder. “[Forestille sig dem] at være i stand til at pege på, sige, British airways billetsystem.”
Et såkaldt distributed denial of service angreb, bogstaveligt talt overbelastning webstedet med trafik fra hackede enheder, er meget vanskeligt at beskytte sig mod, og så længe det gik på, at det ville koste målet millioner af dollars i døgnet. “Du er ikke holder filer som gidsel, du holder oppetid som gidsel. Der er ingen gendannelse fra backup der.”
I stedet for at holde oppetid som gidsel, hvad drivetime? “Ransomware på din bil er absolut muligt,” siger Craig Smith, research director for transportation i Rapid7. “Det er langt lettere at opnå en bil, men det er ikke så svært at sætte op for en løsesum på skærmen. Og hvem vil risikere at køre en skadet bil?”
Måske er det ikke science fiction nok. I December en undersøgelse af 10 implantable hjertedefibrillatorer fundet “alvorlige protokol og gennemførelse svagheder”, der giver en hacker mulighed for at narre enhed til at holde kommunikationskanalerne åbne, indtil batteriet er fladt. Holder et hjerte som gidsel? Du ønsker ikke at forsøge at genoprette det fra en sikkerhedskopi.