Hackare bakom attacker som WannaCry kanske inte har blivit enormt rika, men det betyder inte att de är på väg att ge upp någon gång snart
@alexhern
Torsdag 3 augusti 2017 10.29 BST
Senast ändrad torsdagen den 3 augusti 2017 17.07 BST
Den destruktiva potential av ransomware, skadlig programvara som används för att pressa pengar av offren, är enorm: i den första halvan av 2017, två stora utbrott, WannaCry och NotPetya, ledde till driftstörningar från olika organisationer runt om i världen.
En tredjedel av STORBRITANNIENS National Health Service drabbades av WannaCry, och utbrottet uppskattas av riskmodeller fast Cyence att kosta upp till $4 miljarder i förlorade intäkter och skadebegränsande kostnader. Sedan en månad senare, NotPetya (kallas så eftersom det är inte Petya, en annan typ av ransomware som det var från början fel), förde ner en betydande del av den ukrainska regeringen, läkemedelsföretaget Merck, shipping företaget Maersk, och reklambyrån WPP, liksom övervakning av strålning system i Tjernobyl.
Men medan både utbrott åstadkommit enorma kostnader för de organisationer de är smittade, de var förvånansvärt olönsamt för sina skapare.
Den WannaCry betalning adress har tagit bara $149,545 (£113,814) datum, medan NotPetya adress tog mycket mindre: £8,456 ($11,181).
Problemet brottslingarna står inför, säger Marcin Kleczynski, verkställande av information bevakningsföretag Malwarebytes, är att “folk har blivit avtrubbade att gemensamma ransomware, där det bara krypterar dina filer”. De kriminella hoppas att människor kommer att ställas inför förlusten av sin digitala minnen, eller affärskritiska dokument, och betalar ett par hundra dollar för den nyckel för att dekryptera dem. I praktiken, säger Kleczynski, ett växande antal offer bara rycka på axlarna och återställa från en säkerhetskopia.
“Du ser på bitcoin-adresser, de är väl finansierade. Du ser ett par tusen dollar på bästa”, tillägger han. “Så hur gör kriminella steg upp hans eller hennes spel?”
“Du leta på bitcoin-adresser, de är väl finansierade. Du ser ett par tusen dollar i bästa fall. Så hur gör kriminella steg upp hans eller hennes spel?’ Foto: Ulrich Baumgarten/U. Baumgarten via Getty Images
Kleczynski, och hans kollega Adam Kujawa, som leder forskningen vid Malwarebytes, förutspår att brottslingar kommer att utvecklas nya sätt för att uppmuntra till offer, både företag och enskilda, att betala upp i stället för att helt enkelt återställa från backuper och ignorera begäran om betalning.
Nytt på scenen är en form av ransomware känd som “doxware”. “I grund och botten vad det säger är” betala, eller ska vi ta alla grejer som vi krypterad och vi ska uttrycka det online med ditt namn på det”, säger Kujawa.
Namnet kommer från “doxing”, termen för att publicera privat information på internet för att mobba, hota eller skrämma, och tanken på att automatisera det är inte hypotetiskt. Ett antal liknande attacker har redan inträffat i det vilda. I ena änden av spektrumet var Chimera ransomware, som slog till tyska företag år 2015. Malware krypterade filer och bad för runt £200 ($260) att lämna tillbaka dem, men kom också med en varning att om offren inte betala, “vi kommer att publicera dina personliga uppgifter, bilder och videor och ditt namn på internet”.
Chimera, men egentligen inte har möjlighet att publicera något på nätet – varningen var skrävlande, utformade för att skrämma offren till att betala upp. Men i andra fall, med hot om publicering av data är mycket verklig.
I Maj, hackare stal filer från en litauisk plastikkirurgi klinik, med mycket personlig information om 25,000 tidigare kunder: namn, adresser och procedurer som utförs, samt pass skannar, national insurance nummer och naken bilder av patienter. De sätter databas online via krypterade nätverk som Tor, och bad för betalningar från enskilda patienter att ta bort personlig information från webbplatsen. Priserna började på 50 euro för de patienter som bara hade namn och adresser i området, men ökade till 2 000 €för mer invasiva information stulen.
Bara denna vecka, HBO inför sin egen hot, med 1,5 TB video stulits av hackare – inklusive unaired avsnitt av Game of Thrones – och hålls som gisslan.
Men för närvarande, hacka-och-leakers arbetar på en manuell, boutique grund: att plocka deras mål var de kan hitta dem, och gör det hårt arbete för att tjäna pengar attacken manuellt.
Det finns ingen anledning, men varför samma teknik kan inte laddas i en liknande mjukvara för att WannaCry och NotPetya – en så kallad “ransomworm”, som hoppar från dator till dator automatiskt kryptera information som det går.
Med WannaCry, Kleczynski sagt, förökning sidan av det skadliga programmet var en “kryssningsrobot” – men det aktuella kultrycket var en gummikula. Den skadliga kod som används för en exploatering som stulits från NSA av en mystisk hacker-organisationen som kallar sig Skuggan Mäklare, vilket gjorde det möjligt att hoppa mellan Windows-maskiner med att överge. En fix för den utnyttjar bara hade släppt ett par månader tidigare, och många hade inte installerat det på alla, så att skadlig kod att sprida sig snabbt.
Men när det kom på datorer, det var inte i närheten av så illa som det kunde ha varit. WannaCry var bristfälligt sätta ihop, med en krypteringsnyckel som var dåligt dolda i datorn (så att en del drabbade maskiner dekrypteras gratis om de inte hade startats om), en kill switch, snabbt upptäckt av en Brittisk forskare, som stoppade den i dess spår. Och även de värst drabbade maskiner kan vara fast från säkerhetskopior.
En tankegång med både WannaCry och NotPetya säger misslyckanden för att lyckas tjäna pengar på den utbrott var avsiktlig. Säkerhetsexperter har föreslagit att både malware-varianter som kan vara arbete av statsunderstödda aktörer – WannaCry till Nordkorea, enligt GCHQ och NSA, och NotPetya till Ryssland, enligt Ukraina – och det finns en möjlighet att avsikten inte var att samla in pengar på alla, men för att ge rimligt deniability helt enkelt för att skada så många datorer som möjligt.
Attacken mot Sony Pictures 2014 visar den potentiella effekten av en bredare doxware utbrott. Foto: Justin Lane/EPA
Både Nordkorea och Ryssland har också varit kopplade till hack-och-leak-attacker – Nordkorea tros ligga bakom 2014 hacka på Sony Pictures, medan den ryska aktörer som är kopplade med hacka på det Demokratiska Partiet under det AMERIKANSKA Presidentvalet. Dessa attacker visar den potentiella effekten av en bredare doxware utbrott.
En ransomworm någonstans i närheten av omfattningen av WannaCry som dumpade information på nätet skulle vara en av de största sekretess brott i historien, eller en av de största inbringande möjligheter som någonsin hittats genom it-relaterad brottslighet. Men detta är bara en möjlig framtid för ransomware.
“Tänk dig att någon som har ett botnät”, säger Kleczynski, med hänvisning till en samling av infekterade datorer, såsom Mirai botnet gjord av miljontals hackade Internet of Things-enheter. “[Föreställa sig dem] att kunna peka på, säg, British airways biljettsystem.”
En så kallad distributed denial of service-attack, bokstavligen överbelasta webbplatsen med trafik från hackade enheter, är mycket svårt att skydda sig mot, och så länge som det gick på det skulle kosta målet miljoner dollar per dag. “Du är inte hålla filer som gisslan, du håller upptid som gisslan. Det finns ingen återställa från säkerhetskopian där.”
I stället för att hålla upptid som gisslan, vad om drivetime? “Ransomware på din bil är definitivt möjligt,” säger Craig Smith, chef för forskning och utveckling av transporter på Rapid7. “Det är mycket lättare att säkra en bil, men det är inte så svårt att sätta upp en lösen skärmen. Och vem som kommer att riskera att köra en äventyras bilen?”
Kanske är det inte science fiction nog. I December, en undersökning av 10 implanterbara defibrillatorer finns “allvarliga protokoll och genomförande svagheter”, gör det möjligt för en angripare att lura enheten till att hålla kommunikationsvägarna öppna tills batteriet är platt. Hålla ett hjärta som gisslan? Du skulle inte vilja att försöka återställa den från en säkerhetskopia.