Počítačoví záškodníci používají novou formu ransomwaru, kterou cílí primárně na velké firmy. Smyslem je, jak je u této kategorie škodlivých aplikací zvykem, finanční profit. To se také daří – jen od srpna loňského roku skupina Ryuk získala čtyři miliony dolarů (asi 90 milionů korun).
Ransomware Ryuk, objevený v srpnu roku 2018, funguje tak, že šifruje data, dostupná na síťových prostředcích. Útočníci pak poskytují postiženým dešifrovací klíč výměnou za výkupné, které je nutné zaplatit v kryptoměně.
Ryuk na to jde po svém
Při podobných útocích bývá cílem snaha hacknout co nejvíce strojů, ale ransomware Ryuk funguje v tomto směru jinak. Způsob, jak se hackeři připravují na útok, je svým způsobem jedinečný.
Nejprve je do operačního systému počítače nainstalován trojský kůň. Ten má dlouhodobý úkol – důkladně zmapovat strukturu sítě. Je schopen se dále šířit, což také činí. V další fázi následuje snaha o získání oprávnění za účelem kompromitace a zašifrování dat na síťových discích.
Útočníci jsou v tomto směru velmi trpěliví – ochotně počkají na dobu, kdy je ve firmě menší provoz, a tedy i nižší šance, že si někdo všimne podezřelého dění v síti. Některé útoky tak v minulosti naplánovali například na Štědrý den.
Nejdříve zašifruje, pak chce výkupné
Škodlivý program je dokonce schopen likvidovat stínové kopie na cílových strojích. Tímto způsobem mohou útočníci uživateli znemožnit standardní možnost obnovení systému Windows bez externích záloh.
První žádost o výkupné
Následně je postižená společnost zdvořile upozorněna na nepříjemnost, ve které se ocitla, a požádána o zaplacení výkupného v bitcoinech. Kýžená částka se pohybuje mezi 15 a 50 bitcoiny (cca 1,2 až 4,1 milionů Kč). Pro větší účinek je připojeno varování, že v případě nezaplacení požadované sumy budou soubory zničeny. Obětem je poskytnut kontaktní e-mail a adresa bitcoinové peněženky.
Pokud postižená firma první varování ignoruje, následuje druhá zpráva s varováním před možnými následky. Dochází také k postupnému navyšování požadované částky, a to o půl bitcoinu (asi 41 tisíc korun) za každý den.
Druhý požadavek na zaplacení
Cílem jsou lukrativní firmy
Útočníci si pochopitelně své cíle vybírají a před zahájením akce mají jasnou představu o finanční situaci firmy. Na cílových systémech pak identifikují a napadají nejdůležitější počítače a soubory.
Jedním z cílů se například 15. října 2018 stala vodohospodářská společnost Onslow Water and Sewer Authority, kde ransomware ochromil provoz počítačové sítě. Poskytované služby, stejně jako údaje o zákaznících, byly útokem nedotčeny, přesto narušení sítě organizace bylo tak závažné, že vyústilo v přebudování řady systémů.
Odborníci z firmy Checkpoint již provedli analýzu této hrozby a jedním z jejich zjištění bylo, že Ryuk sdílí mnoho prvků a části kódů s jinou rodinou ransomwaru – Hermes. Zatím však netuší, odkud se vzal. Někteří tvrdí, že útočníci pocházejí z Ruska, zatímco další se přiklánějí k variantě, že jsou původem ze Severní Koreje.
Server Windows Report doporučuje použít k odstranění škodlivé aplikace ze systému Windows 10 bezplatný nástroj SpyHunter. Jako prevenci proti trojským koním a ransomwaru pak zmiňuje aplikaci od Malwarebytes.