Hlavní navigace

Postřehy z bezpečnosti: ransomware Péťa a Míša nyní nabízeny jako služba

1. 8. 2016
Doba čtení: 4 minuty

Sdílet

Dnes se budeme věnovat novému „obchodnímu modelu“, který testují autoři ransomwaru, nejnověji i ruské dvojice „kamarádů“ Péti a Míši. Povšimneme si zmatenosti amerického soudního systému, pokud jde o virtuální měny.

Ransomwary Péťa a Míša nyní nabízeny jako služba

Ransomware-as-a-Service (RaaS) je poslední dobou čím dál oblíbenější „obchodní model“ užívaný autorskými týmy ransomwaru. Výše zmíněné dvojice ransomwarů Petya and Mischa se tomuto modelu plně přizpůsobila.

Po otestování nového postupu na omezeném počtu „velkoobchodních“ distributorů se tvůrci těchto ransomwarů rozhodli otevřít tuto službu široké podloudnické veřejnosti. Od té doby se každý kyberzločinec za malý poplatek může stát oficiálním distributorem tohoto „produktu“, od čehož si tvůrci slibují strmý nárůst objemu a počtu kampaní distribuce variant těchto dvou malwarů.

Péťa a Míša jsou kamarádi, všude chodí spolu.

V průběhu března Péťa zaujal výzkumníky tím, že nešifroval uživatelské soubory, ale rovnou celé disky. Hlubší analýza ukázala, že tento malware provádí dokonce dvojí šifrování, a že svoji nekalou činnost začíná vykonávat po vynuceném rebootu zařízení. Šifrování celého disku se nakonec nepotvrdilo, ve skutečnosti jsou zašifrovány pouze informace v MBR (Master Boot Record), konkrétně oblast Master file table. Samotná data tedy zašifrována nejsou, ale přístup k nim je znemožněn právě kvůli zašifrované informaci o jejich umístění.

Vzhledem k tomu že vynucení rebootu se nemusí vždy podařit, rozhodli se autoři Péti přidat do „balíčku“ druhý náklad, malware jménem Míša. Ten, na rozdíl o Péti (ale stejně jako většina jiného ransomwaru), šifruje soubory, jeden po druhém. Míša je tedy použit jako záloha pro případ že by Péťa selhal. Tato dvojice dokonce inspirovala plagiátory k vytvoření ransomwaru „Satana“, který využívá stejný princip.

Navzdory tomuto vylepšení Péťa nadále používal slabou kryptografii, což jeho autoři napravili teprve poměrně nedávno. To také nejspíš vysvětluje načasování vydání nového obchodního modelu. Péťa totiž už zase není snadno prolomitelný.

Operátoři této povedené dvojice žádají potenciální partnery při registraci o zaslání menšího množství Bitcoinů, aby odradili všechny, kromě vážných zájemců.

Budoucím partnerům slibují, že se jim investice bohatě vrátí již z první odměny, přičemž výše odměny je závislá na výši příspěvku a celkovém objemu výkupnéno který partner vygeneruje.

Na titulní stránce služby Petya RaaS najatý herec vysvětluje, že procentuální odměna pro partnery začíná na 25 % u objemu obdržených plateb menších než 5 Bitcoinů/týden, ale může se vyšplhat až na 85 % při objemu nejméně 125 Bitcoinů/týden. Takový partnerský program určitě dokáže zaujmout nejednoho podloudníka, což by mělo podle předpokladu vést k nárůstu distribuce tohoto ransomwaru.

Pro ještě lepší pojištění úspěšného nástupu nového RaaS autoři Péti publikovali soukromé klíče ransomwaru „Chiméra“. Vývojáři připustili, že při vývoji Míši použili část kódu Chiméry. Klíče Chiméry prý zveřejnili proto, aby antivirové firmy mohly vyvinout dekryptor pro tento starší malware. Souvislost není na první pohled patrná, ale jedná se o důsledek řevnivosti mezi jednotlivými ransomwarowými gangy, a v neposlední řadě také „potravní konkurenci“. Peníze které nebudou vyplaceny gangu „Chiméra“, mohou přece být vyplaceny gangu „Petya & Mischa“, že?

Podle vyjádření výzkumníků Malwarebytes Labs však ověření, zda jsou klíče pravé, a vývoj dekryptoru je časově náročná operace. Přesto však uživatelé, jimž byla data zakryptována právě Chimérou, mají nyní alespoň nějakou naději na získání ztracených dat bez nutnosti platit výkupné.

Naše postřehy

V USA padl rozsudek v případu podvodného jednání ve stylu kdysi i u nás oblíbené hry „Letadlo“.

Pachatel, který sliboval odměny za investice v bitcoinech, které však používal pro svoji osobní potřebu a částečně k vyplácení dřívějších „investorů“, byl odsouzen k 18 měsícům odnětí svobody.

Zdá se tedy, že v USA začínají brát Bitcoin jako skutečné peníze i z právního hlediska, navzdory nedávnému rozsudku který vyzněl opačně.

V souvislosti s americkými prezidentskými volbami došlo k úniku informací z infrastruktury volebního štábů Demokratů, které byly následně zveřejněny na Wikileaks

Tento únik má svědčit o nedostatečném zabezpečení procesu těchto voleb.

Chystáte se na dovolenou do Spojených Arabských Emirátů, a máte cukání odtamtud pracovat? Raději na to zapomeňte. V této zemi je totiž použití VPN trestáno pokutou $ 545 000,–.

root_podpora

Tedy samozřejmě pokud se necháte chytit. Předpokládám, že se jedná o porušení stejného zákona, který zakazuje v UAE používání telefonů Blackberry, jejichž šifrovaná komunikace je pro místního Velkého bratra neprolomitelná.

Jedním z hlavních cílů ransomwaru zůstávají nemocnice v USA, nyní i prostřednictvím svých chytrých „věcí“. Podle výzkumu firmy Solutionary security jsou americké nemocnice stokrát zranitelnější než banky, a dvacetkrát více než vzdělávací zařízení. Podle statistik zpracovaných touto firmou bylo za posledního půl roku plných 88 % veškerých útoků ransomwarem cíleno právě na zdravotnická zařízení. Pro zajímavost – byl zaznamenán nárůst počtu útoků o 198 % za tři měsíce. Proč tomu tak je? Pravděpodobnou příčinou je notorické podfinancování zdravotních systémů ve většině zemí, a jelikož manažeři zdravotnických zařízení jsou zaměřeni především na zisk a v druhé řadě na zdraví pacientů, směřují investice zpravidla jiným směrem než do zabezpečení počítačových sítí. Nejnovějším fenoménem v nemocničním malwaru je zneužívání síťově komunikujících diagnostických přístrojů a dalších drobných zařízení spadajících do kategorie chytrých věcí.

Ve zkratce:

  • Byly publikovány dekryptory pro ransomwary Bart (návod) a PowerWare (tvářící se jako Locky)

  • Levné čínské bezdrátové klávesnice umožňují odposlech komunikace

  • Byl publikován seznam zranitelností běžných domácích routerů

  • Chytré IoT žárovky žárovky stále ohrožují bezpečnost domácích sítí

  • Používáte-li XEN, měli byste záplatovat významnou chybu umožňující navýšení práv

  • Server Security World označil letošní červenec měsícem „smršti zranitelností“. Pravděpodobně kvůli množství opravných verzí softwaru velkých hráčů a publikovaných bezpečnostních záplat

Byl pro vás článek přínosný?