Pozor na novou ransomwarovou hrozbu, konzultační společnosti mohou spolupracovat s útočníky

Pokud v práci spoléháte na počítače, potom jsou ransomwarové útoky, které zašifrují data a za odemčení požadují výkupné, velmi stresující, nebezpečné a mohou se obětem velmi prodražit. Proč ovšem kyberzločincům výkupné platit, když neexistuje žádná záruka, že dokumenty opravdu uvolní? Místo placení vyděračům je možné si najmout IT konzultanty, kteří s odemčením souborů pomohou.

I tento přístup má ale své slabiny. Výzkumníci ze společnosti Check Point objevili novou hrozbu spojenou s ransomwarem a konzultačními společnostmi. Ruská společnost s názvem “Dr. Shifro” tvrdí, že legálně odemkne zašifrované soubory, ale ve skutečnosti pouze zaplatí tvůrcům ransomwaru, náklady naúčtuje oběti a vyčíslí k tomu i svou “práci”.

V roce 2017 ransomware dominoval, všichni mají ještě v paměti útoky WannaCry, NotPetya a Bad Rabbit. A i letos byl ransomware jednou z hlavních hrozeb, což potvrzuje například útok na Atlantu. Pod ransomwarovými útoky je permanentně zdravotnický průmysl, útočníci požadují průměrně výkupné 10 000 dolarů, ale v některých případech požadovali za odemčení až 2,8 milionu dolarů. Objevil se dokonce “ransomware jako služba” a nejnovějším příkladem vývoje ransomwarových hrozeb je právě zmíněný Dr. Shifro.  

“Pokud jsou zašifrované soubory kritické pro chod organizace a výkupné je příliš vysoké, pak není divu, že společnosti udělají pro obnovení přístupu téměř cokoli. V této fázi jsou na výběr 3 možnosti: 1) Obnovit soubory ze zálohy. 2) Zaplatit útočníkům výkupné. 3) Najmout si IT konzultanta, který možná soubory odemkne, aniž by bylo nutné zaplatit výkupné. Kdo nemá zálohy a nechce ani platit výkupné, je pro něj obvykle třetí varianta rozumnou volbou. Bohužel i zde objevil Check Point znepokojivý vývoj,” říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.

Check Point odhalil konzultační společnost Dr. Shifro, která nabízí jednu jedinou službu – pomáhá obětem ransomwaru odemknout soubory. Ale fakt, že konzultační IT společnost nabízela pouze jednu službu, je velmi neobvyklé a podezřelé.

Dr. Shifro navíc slibuje odemčení i souborů zašifrovaných ransomwarem Dharma/Crisis, pro který není k dispozici žádný dešifrovací klíč. Takže zatímco podobné IT služby obvykle vysvětlují, že se mohou pokusit soubory dešifrovat, ale že nemohou nic slíbit a zaručit, Dr. Shifro podezřele zaručuje odemčení souborů zašifrovaných ransomwarem, pro který nejsou k dispozici žádné veřejné klíče.

Po detailní analýze se ukázalo, že Dr. Shifro je ve skutečnosti v kontaktu s tvůrci ransomwaru a dohodl se s nimi na odblokování souborů obětí za poplatek 1300 dolarů. Tyto náklady pak naúčtuje obětem a zároveň si účtuje dalších 1000 dolarů za své služby.

Check Point má k dispozici korespondenci mezi Dr. Shifro a tvůrci ransomwaru, kde je jasně vidět, jak “poradenství” v podání společnosti Dr. Shifro funguje. Víceméně se jedná jen o prostředníka mezi obětí a útočníky. To vytváří atraktivní obchodní model. A všechny strany jsou ve výsledku spokojené. Oběť má své soubory dešifrované, kyberzločinci dostanou výkupné a Dr. Shifro svou hrou také vydělá.

“Organizace musí především používat preventivní bezpečnostní řešení, která ransomwarové infekci předejdou. Nestačí spoléhat se na signatury, ale pro identifikování nejrůznějších kmenů a variant ransomwaru je nutné využívat technologie pro emulaci a extrakci hrozeb,” dodává Kadrmas. “Pokud některá služba vypadá až příliš lákavě, jako v případě Dr. Shifro, pak je na místě obezřetnost. A pokud se přeci jen stanete obětí ransomwaru, navštivte stránky Europolu ‘NoMoreRansom’, na kterých spolupracuje i Check Point, získáte tam doporučení a rady, jak vaše soubory dešifrovat.”

Více informací najdete v analýze společnosti Check Point:

https://research.checkpoint.com/the-ransomware-doctor-without-a-cure/