Konzultační firmy mohou být spojené s tvůrci ransomwaru

10. 12. 2018

Sdílet

 Autor: Fotolia © leowolfert
Výzkumníci ze společnosti Check Point objevili novou hrozbu spojenou s ransomwarem a IT konzultačními společnostmi. Ty totiž mohou tvrdit, že legálně odemknou zašifrované soubory, ale ve skutečnosti pouze zaplatí tvůrcům ransomwaru, náklady naúčtují oběti a vyčíslí k tomu i svou "práci".

Pod ransomwarovými útoky je permanentně zdravotnický průmysl, útočníci požadují průměrně výkupné 10 000 dolarů, ale v některých případech požadovali za odemčení až 2,8 milionu dolarů.

Objevil se dokonce “ransomware jako služba” a nejnovějším příkladem vývoje ransomwarových hrozeb je spolupráce s konzultačními firmami, jako je třeba ruský Dr. Shifro.  

"Pokud jsou zašifrované soubory kritické pro chod organizace a výkupné je příliš vysoké, pak není divu, že společnosti udělají pro obnovení přístupu téměř cokoli. V této fázi jsou na výběr tři možnosti: 1) Obnovit soubory ze zálohy. 2) Zaplatit útočníkům výkupné. 3) Najmout si IT konzultanta, který možná soubory odemkne, aniž by bylo nutné zaplatit výkupné. Kdo nemá zálohy a nechce ani platit výkupné, je pro něj obvykle třetí varianta rozumnou volbou. Bohužel i zde objevil Check Point znepokojivý vývoj," říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.

Dr. Shifro totiž nabízí jednu jedinou službu - pomáhá obětem ransomwaru odemknout soubory. Ale fakt, že konzultační IT společnost nabízela pouze jednu službu, je velmi neobvyklé a podezřelé.

Dr. Shifro navíc slibuje odemčení i souborů zašifrovaných ransomwarem Dharma/Crisis, pro který není k dispozici žádný dešifrovací klíč. Takže zatímco podobné IT služby obvykle vysvětlují, že se mohou pokusit soubory dešifrovat, ale že nemohou nic slíbit a zaručit, Dr. Shifro podezřele zaručuje odemčení souborů zašifrovaných ransomwarem, pro který nejsou k dispozici žádné veřejné klíče.

Po detailní analýze se ukázalo, že Dr. Shifro je ve skutečnosti v kontaktu s tvůrci ransomwaru a dohodl se s nimi na odblokování souborů obětí za poplatek 1300 dolarů. Tyto náklady pak naúčtuje obětem a zároveň si účtuje dalších 1000 dolarů za své služby.

Check Point má k dispozici korespondenci mezi Dr. Shifro a tvůrci ransomwaru, kde je jasně vidět, jak "poradenství" v podání společnosti Dr. Shifro funguje. Víceméně jde jen o prostředníka mezi obětí a útočníky.

bitcoin školení listopad 24

To vytváří atraktivní obchodní model. A všechny strany jsou ve výsledku spokojené. Oběť má své soubory dešifrované, kyberzločinci dostanou výkupné a Dr. Shifro svou hrou také vydělá.

„Pokud některá služba vypadá až příliš lákavě, jako v případě Dr. Shifro, pak je na místě obezřetnost. A pokud se přeci jen stanete obětí ransomwaru, navštivte stránky Europolu 'NoMoreRansom' - získáte tam doporučení a rady, jak vaše soubory dešifrovat," dodává Kadrmas.