Cyberprzestępcy dbają o profesjonalną obsługę ofiar ransomware – tak wynika z eksperymentu przeprowadzonego przez F-Secure. W ocenie ekspertów aż trzy czwarte gangów korzystających z ransomware jest skłonnych negocjować “warunki” okupu.
W raporcie zwrócono uwagę na paradoks działań z wykorzystaniem oprogramowania szyfrującego. Badanie opisuje zachowania przestępców, którzy dorabiają się kosztem krzywdzonych przez siebie ludzi i firm. Jednocześnie — jak w każdym szanującym się przedsięwzięciu — zależy im na dobrej obsłudze klienta, dbają więc o zapewnienie odpowiednich kanałów obsługi i niezawodne odszyfrowanie plików po uiszczeniu płatności.
Grupy cyberprzestępcze często funkcjonują w sposób podobny do legalnie działających firm: mają np. własne witryny, pomocne działy FAQ, „okresy próbne” na deszyfrację plików, a nawet kanały obsługi klienta z konsultantami, z którymi można dojść do porozumienia. Z raportu dowiadujemy się, że grupy, które mają najbardziej profesjonalny interfejs, niekoniecznie mają najlepszy kontakt z ofiarą. Ponadto, gangi korzystające z oprogramowania ransomware są zazwyczaj skłonne negocjować kwotę okupu. W trzech na cztery przebadanych grup możliwe było negocjowanie “cen”, których efektem była średnia zniżka okupu o 29%; 100% badanych grup zgodziło się na opóźnienie terminu zapłaty, a jedna z grup twierdziła, że została wynajęta przez korporację do przeprowadzenia ataku na jej konkurencję. Rodzi się pytanie czy był to żart, czy jednak nowe realne zagrożenie?
Przeprowadzone badanie pokazuje drogę klienta do odzyskania plików począwszy od zetknięcia się z pierwszym ekranem z żądaniem okupu, aż po interakcję z cyberprzestępcami. Bob jest tym złym, a Alicja nie wie, w jaki sposób może odzyskać swoje pliki. Prosi Boba o pomoc…
Bob (w odpowiedzi na kilka wiadomości przesłanych poprzez formularz internetowy): Witam. Aby odblokować swoje pliki, musisz dokonać płatności w bitcoinach. Wiesz jak kupić bitcoiny?
Alicja: Cześć. Nie, nie wiemy. Co się stało z moimi plikami? Dlaczego musiałam tak długo czekać na odpowiedź? Nie mogę pracować na moich plikach! Ile muszę zapłacić?
Bob: Napisaliśmy do Ciebie trzykrotnie z innego adresu e-mail i za każdym razem wiadomość powracała do nas jako niemożliwa do dostarczenia. Twoje pliki zostały zaszyfrowane. Wejdź na stronę www.localbitcoins.com i kup bitcoiny za 125 USD. Możesz za nie zapłacić poprzez przelew bankowy, wpłatę na konto, gotówką itp. Wyślij bitcoiny na poniższy adres. Napisz do nas wtedy wiadomość e-mail, a my prześlemy Ci hasło umożliwiające odszyfrowanie plików i wejdziemy na czata, aby w razie potrzeby Ci pomóc. Wprowadzenie hasła i odzyskanie wszystkich plików zajmie 5 minut. Po dokonaniu płatności napisz do nas wiadomość e-mail. Jesteśmy online przez najbliższe 12 godzin.
Alicja: Nigdzie nie zamawiałam szyfrowania plików, to musi być jakaś pomyłka. Sprawdźcie, proszę, swoją dokumentację, ponieważ wydaje mi się, że zaszyfrowaliście pliki niewłaściwej osoby. Proszę o przywrócenie moich plików, bo ich brak jest dla mnie dużym problemem. Czy jest jakiś numer telefonu, pod który mogę zadzwonić, aby porozmawiać z Waszym przedstawicielem i wyjaśnić całą sprawę?
Bob: Zaszyfrowanie plików jest efektem działania wirusa, a nie usługi. Kliknęłaś jakieś łącze lub pobrałaś program, który spowodował zaszyfrowanie plików. Teraz musisz zapłacić za ich odzyskanie. To nie jest coś, co zamówiłaś. Pobrałaś wirusa, teraz musisz więc zapłacić. Po upływie 24 godzin wysokość opłaty za odszyfrowanie zostanie podniesiona do 225 USD. Wcześniej kontaktowaliśmy się z Tobą kilkakrotnie, już teraz powinniśmy więc obciążyć Cię kwotą 225 USD. Ponieważ jednak widzę, że nie wiesz, czym jest wirus żądający okupu, dziś zostaniemy jeszcze przy 125 USD. Od jutra okup wyniesie 225 USD.
Alicja: Hmm, to miło z Waszej strony. Dziękuję za pozostanie przy kwocie 125 USD, zwłaszcza że nie otrzymałam wcześniejszych wiadomości. Poszperałam trochę w Google i dowiedziałam się, czym jest ransomware. Dlaczego to robisz? Rozumiem, że po prostu dla pieniędzy, ale to bardzo nie w porządku. Może powinieneś zająć się jakąś inną działalnością? Czymś, co pozwoli Ci poczuć się dobrze? Jestem przekonana, że jesteś bardzo utalentowaną osobą. Jak nazywa się to oprogramowanie ransomware? Czy to Cryptowall?
Bob: Nie, to nie Cryptowall. Cryptowall działa całkiem inaczej. Nasze oprogramowanie nie ma nazwy. Napisz do nas wiadomość e-mail po dokonaniu płatności, a wtedy prześlemy Ci klucz do odszyfrowania plików. Przywrócenie Twojego komputera do stanu normalności zajmie Ci 5 minut.
Alicja: Czy to Jigsaw? A może TorrentLocker? Weszłam na stronę localbitcoins.com, skąd jednak mam wiedzieć, którą pozycję na liście wybrać? Skąd się biorą te różne ceny?
Bob: Oprogramowanie nie ma nazwy, to kod prywatny. Różnice w cenach wynikają z różnic między poszczególnymi sprzedawcami. Podaj kraj, z którego piszesz, wtedy poszukam dla Ciebie sprzedawcy.
Alicja: Jestem w Finlandii. A Ty skąd piszesz?
Bob: Twoja najlepsza opcja to … (tutaj było łącz do sprzedawcy bitcoinów w Europie). To sprzedawca, który akceptuje karty paysafecard. Kupujesz kartę, przesyłasz kod lub zdjęcie, a gdy klikniesz nazwę sprzedawcy, zobaczysz czas transakcji. Ten sprzedawca udostępnia bitcoiny średnio w ciągu 5 minut. Jeśli skorzystasz z przelewu SEPA, potrwa to 1–2 dni. 125 USD to 110 EUR.
Alicja: Dziękuję za znalezienie dla mnie sprzedawcy. Skąd mam jednak wziąć kartę paysafecard? Nie wiem co to jest.
Bob: Sprawdź placówki w swojej najbliższej okolicy. Kartę kupisz zwykle na stacji paliw lub w supermarkecie. Idziesz do kasy, płacisz, a w zamian otrzymujesz rachunek z kodem PIN. Wysyłasz zdjęcie sprzedawcy z localbitcoins. Wtedy on weryfikuje dostępność środków i natychmiast umieszcza bitcoiny w Twoim profilu. Miejsca, w których kupisz paysafecard, to — zgodnie ze znalezionymi przeze mnie informacjami — sklepy R-Kioski i Siwa.
Alicja: OK, to wydaje się dość proste. Ale skąd mam wiedzieć, że naprawdę odzyskam pliki, gdy już Wam zapłacę? A co, jeśli po prostu weźmiecie moje pieniądze, a nie naprawicie moich plików? I czy zabierzecie to okropne roznegliżowane zdjęcie z mojego pulpitu?
Bob: Odblokowujemy każdy komputer, na 100%. Czy zrobisz to dziś? Wtedy będę mógł zostać online i Ci pomóc?
Alicja: Nie mogę! Miałam bardzo pracowite popołudnie w pracy. Teraz muszę odebrać synka z przedszkola, bo zamykają je za pół godziny. Przez cały wieczór będę zajęta. Muszę zrobić to jutro. Mam nadzieję, że cena nie pójdzie w górę. A co z plikami, które wirus usunął — czy je również odzyskam?
Bob: Wszystkie pliki zostaną odszyfrowane, a wirus zniknie. Postaraj się. Nie mogę zagwarantować ceny. Nie mam nad tym kontroli. Jeśli nie, zobaczymy, co stanie się jutro.
Alicja: Chodzi o to, które pliki zostaną odszyfrowane? WSZYSTKIE pliki na moim komputerze? Czy wszystkie pliki, które usunęliście?
Bob: Zaszyfrowane pliki programów, które blokują używane zwykle przez Ciebie programy zostaną odszyfrowane. Programy, które wydają Ci się usunięte, tak naprawdę nie zniknęły. Zostały przeniesione do innej lokalizacji na Twoim komputerze i zaszyfrowane w kilku folderach. Zostaną one odszyfrowane i przeniesione do lokalizacji pierwotnej. Będę online jeszcze przez 2 godziny.
Alicja (następnego dnia): Czy cena wciąż jest taka sama?
Bob: Cena wynosi 110 EUR. Tylko zrób to dziś. Sprzedawca bitcoinów, o którym pisałem wczoraj, dziś ich nie sprzedaje. Kurs bitcoina rośnie i ten sprzedawca chyba wyczerpał swoje zapasy. Kup kartę paysafecard i napisz do mnie wiadomość e-mail, znajdę dla Ciebie innego sprzedawcę. Daj znać, czy zrobisz to dziś. Znajdujemy się w całkiem różnych częściach świata, mogę więc poprosić kogoś online, żeby Ci pomógł.
Alicja: Problem w tym, że u mnie w ten weekend mamy przerwę świąteczną i sklepy są pozamykane. Miałam mnóstwo na głowie przez dzieci i pracę, a mój mąż jest bardzo zajęty i nie może pomóc. Na której jesteś półkuli, zachodniej?
Bob: Jestem w Kanadzie. Odszyfrujemy Twoje pliki za 125 USD, o ile zapłacisz nam do północy 24 dnia tego miesiąca. Potem cena wzrośnie do 225 USD. Gdy tylko płatność do nas dotrze i otrzymamy powiadomienie, napiszemy do Ciebie wiadomość e-mail lub wejdziemy na czata, aby odblokować Twoje pliki. Na localbitcoins możesz kupić bitcoiny za pomocą karty paysafecard lub płatności Western Union albo Moneygram. Daj znać.
Alicja: Jesteś w Kanadzie? Szukałam informacji o ransomware i odniosłam wrażenie, że wszystkie ataki są przeprowadzane z Rosji. To ciekawe. Czy to Twoje główne źródło dochodów? Północ 24 dnia miesiąca — w jakiej strefie czasowej?
Bob: Północ w Twojej strefie czasowej. Najlepiej będzie, jeśli zrobisz to rano. To ja czekałem w gotowości na Twoją odpowiedź 3 dni temu, bo wydało mi się dziwne, że napisałem do Ciebie wiadomość, a Ty odpowiadasz dopiero po 8 godzinach. Zrób to do piątku do północy, lecz jeśli zrobisz to rano (wg Twojego czasu), czyli ok. 4 lub 5 rano u mnie, otrzymam wiadomość, gdy napiszesz do mnie e-maila, a wtedy wstanę i rozwiążę Twój problem. Zwykle nawet nie negocjujemy ceny, ale rozumiem, że nie dostałaś naszych pierwszych wiadomości. Wiem, że osoba, która będzie dyżurować jutro, będzie niezadowolona, gdy zobaczy, że cena dla Ciebie wynosi w dalszym ciągu 125 USD. Postaraj się więc zrobić to rano, żebym mógł załatwić całą sprawę, a Ty nie będziesz już wtedy miała problemu. A jeśli chodzi o Twoje pytanie o dochody… nie mam pojęcia, skąd takie pytanie. Zostaliśmy zatrudnieni przez pewną korporację w celu zakłócenia codziennej działalności jej konkurencji przez cyberataki. Nigdy nie robiliśmy nic w Finlandii, a Ty wydajesz się być użytkownikiem indywidualnym, który otworzył niewłaściwą wiadomość, dlatego staram się utrzymać cenę na minimalnym poziomie.
Alicja: To ciekawe. Czyli to dlatego okup jest taki niski — bo jesteście już opłacani przez jakąś korporację, więc najbardziej interesuje Was utrudnianie komuś działalności biznesowej, a nie zarobienie mnóstwa pieniędzy na okupach? To jakiś obłęd. Czy ta korporacja to jakaś legalna, znana firma? Spróbuję znaleźć otwarty sklep R-Kioski lub Siwa, choć może to być trudne podczas tego świątecznego weekendu. Najprostsza byłaby dla mnie płatność Paysafe.
Bob: Okup jest niski, ponieważ zaatakował Cię wirus o najmniejszym zasięgu. Celem było tylko zablokowane plików w celu spowolnienia produkcji pewnej korporacji, co pozwoliłoby naszemu klientowi z wyprzedzeniem wprowadzić na rynek podobny produkt. Chodzi tylko o zaszyfrowanie plików. Nic więcej. Żadne pliki nie zostały przeniesione, uszkodzone ani usunięte. Na dyskach twardych nie są wykonywane żadne polecenia autodestrukcji. Tak, to znana korporacja. Firma z listy Fortune 500. W dalszym ciągu nie rozumiem, jakim sposobem Ty i jeszcze jedna osoba z Finlandii dostałyście naszą wiadomość e-mail, skoro cel znajduje się w USA, a klient zawsze podaje nam kontaktowe adresy e-mail. Musisz znajdować się na czyjejś liście mailingowej. Ta druga osoba już zapłaciła za pomocą karty paysafecard. Kupiła ją w sklepie Siwa. Dostanę powiadomienie, gdy napiszesz do mnie wiadomość e-mail, daj mi więc znać, żebym mógł odblokować Twoje pliki.
Alicja (3 dni później): Nie było nas przez cały weekend z powodu świątecznego weekendu. Pojechaliśmy do domku letniskowego znajomych na wsi, w którym nie ma prądu ani Internetu. W dalszym ciągu nie powiedziałam o niczym mężowi, bo zdenerwuje się, gdy się dowie, że mam wirusa na naszym komputerze i muszę za to zapłacić. Zresztą on rzadko korzysta z tego komputera. Zapłacę w tym tygodniu. Czy takie ataki hakerskie na inne firmy są bardzo powszechne wśród wielkich korporacji? Słyszałam, że takie rzeczy robią rządy państw, nie wiedziałam jednak, że przedsiębiorstwa również.
Bob: Tak. Ataki na korporacje mają miejsce każdego dnia. Postaraj się załatwić sprawę jak najszybciej. Jeszcze nigdy nie trwało to tak długo. Dziękuję.
Alicja (następnego dnia): Poszłam dziś rano do R-Kioski, żeby kupić kartę paysafecard, lecz gdy powiedziałam pracownikowi, po co ją kupuję, odmówił mi sprzedania takiej karty. Hmm. Będę chyba musiała spróbować w innym miejscu. W pobliżu nie ma sklepu Siwa. Czy cena wciąż wynosi 125 USD? To, co przytrafiło się mojemu komputerowi i moim plikom, jest oczywiście bardzo nieprzyjemne, ale miło, że chociaż Ty jesteś tak pomocny.
Bob: Tak, zapłać 125 USD. Chcemy mieć to już za sobą. Nigdy nie słyszałem o odmowie sprzedaży karty. Skoro dajesz pracownikowi pieniądze, powinien Ci ją sprzedać. Postaraj się załatwić to dziś, bo bitcoiny są notowane jak akcje, a ich kurs wzrasta. Postaraj się.
Alicja: Mam dobre wieści! Porozmawiałam ze znajomym znajomego, który nieźle zna się na technologii i pomógł mi odnaleźć sporo zdjęć na moim koncie Google. Nie zdawałam sobie sprawy, że tam są! Nie wiedziałam, że część moich plików jest kopiowana na konto Gmail, ponieważ rzadko go używam. Wydaje mi się, że te odnalezione pliki to w zasadzie większość tego, co jest mi tak naprawdę potrzebne, nie muszę się więc już martwić o odszyfrowanie danych z komputera. Nie mogę uwierzyć, że to mówię, ale byłeś bardzo pomocny — choć to przecież Wy ukradliście moje pliki. Potrafisz rozmawiać z ludźmi, mógłbyś pracować w jakiejś bardziej przyzwoitej branży i świetnie się spisywać. Tak z czystej ciekawości: czy Twoja firma działa jak prawdziwe, legalne przedsiębiorstwo, z normalną stroną internetową i wszystkim, co trzeba? Nie potrafię sobie wyobrazić, jak publicznie reklamujecie usługi tego typu.
Bob: Cieszę się, że odzyskałaś swoje pliki. Ja sam nie widzę klucza odszyfrowującego do chwili pojawienia się płatności w portfelu z bitcoinami. To takie zabezpieczenie w systemie. Nie promujemy naszych usług. Wielkie korporacje zawsze mają dział techniczny. Zwykle w jednym z ich działów pracuje haker, który kontaktuje się z nami, aby sprawdzić ich zabezpieczenia. Przy okazji takich kontaktów informują nas o swoich potrzebach. To zresztą nie tylko korporacje. Politycy, rządy, mężowie, żony… Ludzie ze wszystkich środowisk zlecają nam włamywanie się na komputery, telefony komórkowe itp. Jeszcze raz zaznaczę, że moim zdaniem znalazłaś się na niewłaściwej liście kontaktowej, ponieważ nie mamy klientów w Finlandii, a naszym celem nie są użytkownicy indywidualni, którzy przechowują na swoich komputerach zdjęcia rodzinne czy muzykę. Zwykle jest to znacznie bardziej skomplikowane. Miałaś sporo szczęścia. Gdyby wirus miał funkcję autodestrukcji, Twój komputer uległby całkowitej awarii. Zaopatrz się w dobry program antywirusowy.
Alicja: OK, to teraz zadam pewnie głupie pytanie, ale jaki program antywirusowy polecasz?
Bob: Jeśli chodzi o program antywirusowy, to nie ma wątpliwości, że żadne oprogramowanie nie daje takiej ochrony jak eset nod32. Avast, Malwarebytes, AVG — w porównaniu z nim to wszystko słabe narzędzia.
Komentarz Seana Sullivana
O atakach typu ransomware czytamy codziennie, a ostatnio do określenia ich proporcji coraz częściej używa się słowa „epidemia. Chcieliśmy zaproponować inne spojrzenie na ten problem masowej przestępczości, a w istocie skorzystać z okazji, by przypomnieć użytkownikom indywidualnym i firmom, co mogą robić, by zabezpieczyć się przed tym zagrożeniem. Aktualizować oprogramowanie, korzystać z dobrych zabezpieczeń, uważać na to, co przychodzi e-mailem, a przede wszystkim, jeśli wszystko inne by zawiodło, regularnie tworzyć kopie zapasowe, jeszcze zanim padnie się ofiarą przestępstwa.
Czy ten artykuł był pomocny?
Oceniono: 0 razy