Philadelphia RaaS - ransomware jako byznys za pár dolarů

29. 7. 2017

Sdílet

 Autor: Fotolia © Patrick Brassat
Vytvářet a šířit ransomware je stále jednodušší a ve své podstatě k tomu nejsou nutné žádné speciální dovednosti. Ve skutečnosti potřebují kybernetičtí zločinci jen odhodlání realizovat své nekalé úmysly a mít přístup k tzv. temnému webu (z anglického dark web, je možné se setkat například i s označením zakázaný nebo tajemný web či internet) – tedy k tržišti, kde jsou sady pro tvorbu malware prodávány stejně jako boty nebo hračky na Amazonu.

Tento trend úzce souvisí s konceptem ransomware jako služba (ransomware as a service) a jedním z jeho konkrétních příkladů je nebezpečný a propracovaný kit Philadelphia. 

Na červencové konferenci Black Hat 2017 zveřejnila společnost Sophos podrobnou studii s názvem „Ransomware as a Service (Raas): Deconstructing Philadelphia“. V této zprávě se Dorka Palotay, výzkumnice budapešťské pobočky globální sítě pro zkoumání hrozeb SophosLabs, zaměřila na pochopení vnitřních mechanismů kitu na tvorbu ransomware – sady Philadelphia, kterou si může za 400 amerických dolarů pořídit naprosto kdokoli.

Po zakoupení mohou noví „uživatelé“ unést a držet vaše počítačová data jako rukojmí a vyžadovat za jejich osvobození výkupné. Ano, je to přece o ransomware.

The Rainmakers Labs, autoři tohoto RaaS kitu, přistupují ke svému podnikání podobně jako legitimní softwarové společnosti, které prodávají své produkty a služby. Zatímco samotná Philadelphia je dostupná na šedých trzích v rámci temného webu, marketingové aktivity jsou veřejné – na YoutTube je k dispozici video, které přináší podrobnosti o samotném kitu i o rozsáhlých možnostech přizpůsobení výsledného ransomware. A videem to nekončí, součástí webu provozovaného na generické TLD doméně .com je i podrobný popis, jak kit používat.

Koncept ransomware jako služba sice není zcela nový, nicméně novinkou je právě marketingové úsilí vyzdvihující atraktivitu přístupu „připrav si svůj vlastní ransomware útok“.  

„Snahy skupiny The Rainmakers Labs jsou překvapivě sofistikované. Podrobnosti o Philadelphii jsou veřejně dostupné na webu, čímž se tento kit zásadně liší od své konkurence inzerované v podzemních zákoutích temného webu,“ konstatuje Dorka Palotay. „K nalezení Philadelphie není potřeba Tor prohlížeč, a to, jak je tento kit odvážně propagován, bohužel naznačuje další nepříliš příznivý vývoj.

Philadelphia není zajímavá jen marketingem. Pozornost si zaslouží i řada pokročilých voleb, pomocí kterých mohou „kupující“ výsledný ransomware přizpůsobit svým konkrétním představám a lépe jej zacílit na potenciální oběti. Mezi tyto rozšiřující možnosti patří podpora sledování oběti na mapách Google (‘Track victims on a Google map‘) nebo volba ‘Give Mercy’ pro případné slitování a dešifrování určitých souborů zdarma. Nechybí ani tipy na vytvoření vlastní kampaně nebo popis nastavení řídícího centra a postupů pro výběr peněžních částek.

Jistou ironií je, že ‘Give Mercy’ nemusí být projevem vstřícnosti k obětem, ale také jakousi zvrácenou formou zadních vrátek umožňujících zločincům dostat se z ošemetných situací, například během testování nebo v případě nechtěného útoku na přátele.

Volba pro sledování obětí na mapách Google zní trochu děsivě a počítačovým zločincům umožňuje podívat se na „cíle“ svých útoků z demografického pohledu. Získané informace jsou vcelku důležité, protože představují kvalifikované vstupy pro rozhodování, zda útok zopakovat, zda ransomware nějak modifikovat nebo třeba zda neuvažovat právě o povolení „soucitu“.

Ani jedno z uvedených rozšíření, stejně jako řada dalších funkcí, není však jedinečnou záležitostí Philadelphie. A stejně tak platí, že jde o možnosti, jejichž výskyt není příliš obvyklý. Ve skutečnosti jsou to příklady funkcionalit nejnovějších kitů a potvrzení toho, že ransomware jako služba je čím dál tím podobnější legálnímu softwarovému trhu. A to v opravdu globálních rozměrech.

„Za pozornost určitě stojí fakt, že Philadelphia stojí 400 amerických dolarů. A další ransomware kity se prodávají v cenách od 39 do 200 dolarů,“ uvádí dále Dorka Palotay. „Nicméně čtyři stovky jsou pro zájemce o Philadelphii stále ještě dobrou cenou, protože za ně získají i budoucí aktualizace, neomezený přístup a možnost vytvořit libovolný počet vlastních variant ransomware. Jinými slovy je to v podstatě stejné, jako u běžného software dostupného v modelu SaaS, kdy mají zákazníci možnost využívat vždy aktuální verzi.

Philadelphia přináší navíc i tzv. mosty – PHP skript, který umožňuje správu komunikace mezi útočníky a oběťmi včetně ukládání informací o jednotlivých útocích.

Mezi další volby umožňující přizpůsobení výsledného ransomware útoku patří v případě Philadelphie úprava vyděračské zprávy pro oběti, a to včetně její barvy nebo toho, zda se má zobrazit ještě před zašifrováním souborů. Určitě nemilá je i tzv. Ruská ruleta, kdy aktivací této volby mohou autoři zajistit smazání některých souborů po uplynutí předem stanové lhůty, která se obvykle pohybuje v řádu hodin. Mechanismus ruské rulety je nicméně v ransomware kitech poměrně běžný a jeho účelem je vyvolat paniku a donutit uživatele k rychlejšímu zaplacení výkupného.

Možnosti přizpůsobení i zmiňované mosty zvyšují zisk a dávají kybernetickému zločinu zcela nové rozměry. Obojí by přitom mohlo vést k rychlejším inovacím ransomware jako takového. Mimochodem, jak vyplývá z podrobných analýz dalších RaaS platforem, existuje v souvislosti s konceptem ransomware jako služba řada různých zdrojů příjmů, a to od procentuálního dělení výkupného přes prodej předplatného až po zpřístupňování dashboardů umožňující sledování útoků.  

bitcoin_skoleni

Globální síť pro zkoumání hrozeb SophosLabs také uvádí, že někteří kybernetičtí zločinci již využívají „cracknuté“ nebo pirátské verze kitu Philadelphia a na jejich základě pak prodávají svoji vlastní ošizenou variantu, pochopitelně za menší peníze. Samotné krádeže ničím novým nejsou, nicméně nesporně zajímavá je míra tohoto počínání. Předpřipravené hrozby, které od útočníků nevyžadují skoro žádné znalosti a jsou snadno dostupné, se navíc neustále vyvíjí, a společnost Sophos předpokládá, že trend okrádání lumpů lumpy nadále poroste.

Mezi kybernetickými zločinci není krádež cizího kódu nebo vytvoření vlastní varianty ransomware na základě starší existující verze ničím neobvyklým. Tento přístup jsme měli možnost pozorovat i u nedávných Petya hrozeb, kdy v sobě varianta NotPetya kombinovala jednu z předchozích verzí ransomware Petya, Golden Eye, s exploitem Eternal Blue umožňujícím šíření hrozby a infikování počítačů ve skutečně globálním měřítku.