No More Ransom: Διωκτικές αρχές και εταιρείες ασφάλειας ενώνουν τις δυνάμεις τους για την καταπολέμηση των προγραμμάτων ransomware
Νέο εργαλείο που περιέχει πάνω από 160.000 κλειδιά βοηθά τα θύματα να ανακτήσουν τα δεδομένα τους
H Ολλανδική Αστυνομία, η Europol, η Intel Security και η Kaspersky Lab ένωσαν τις δυνάμεις τους για τη δημιουργία της πρωτοβουλίας “No More Ransom”, που αποτελεί ένα νέο βήμα συνεργασίας μεταξύ των διωκτικών αρχών και του ιδιωτικού τομέα για την από κοινού καταπολέμηση των προγραμμάτων ransomware. Μέσω μιας νέας διαδικτυακής πύλης (www.nomoreransom.org), η πρωτοβουλία “No More Ransom” έχει ως στόχο την ενημέρωση του κοινού σχετικά με τους κινδύνους των προγραμμάτων ransomware, καθώς και την παροχή βοήθειας στα θύματα για την ανάκτηση των δεδομένων τους, χωρίς να χρειάζεται να πληρώσουν λύτρα στους ψηφιακούς εγκληματίες.
Το ransomware είναι ένα είδος κακόβουλου λογισμικού που κλειδώνει τον υπολογιστή του θύματος ή κρυπτογραφεί τα δεδομένα του, απαιτώντας την καταβολή λύτρων για να επιτρέψει την ανάκτηση του ελέγχου της «μολυσμένης» συσκευής ή των κλειδωμένων αρχείων. Σήμερα, τα προγράμματα ransomware αποτελούν μια από τις κορυφαίες απειλές που καλούνται να αντιμετωπίσουν οι διωκτικές αρχές στην ΕΕ. Σχεδόν τα δύο τρίτα των κρατών-μελών της ΕΕ διεξάγουν έρευνες σχετικά με αυτές τις μορφές επίθεσης. Ενώ ο στόχος είναι συχνά οι συσκευές μεμονωμένων χρηστών, τα εταιρικά ή και τα κυβερνητικά δίκτυα δεν μένουν ανεπηρέαστα από αυτή την κατάσταση. Ταυτόχρονα, ο αριθμός των θυμάτων αυξάνεται με ανησυχητικό ρυθμό. Σύμφωνα με στοιχεία της Kaspersky Lab, ο αριθμός των χρηστών του Διαδικτύου που έχουν δεχτεί επίθεση από crypto-ransomware αυξήθηκε κατά 550%: από 131.000 την περίοδο 2014-2015 σε 718.000 την περίοδο 2015-2016.
NoMoreRansom.org
Σκοπός του ιστότοπου www.nomoreransom.org είναι να παράσχει ένα χρήσιμο online πόρο για τα θύματα των προγραμμάτων ransomware. Οι χρήστες μπορούν να βρουν πληροφορίες για τα είδη των προγραμμάτων ransomware, πώς λειτουργούν και – το σημαντικότερο – πώς να προστατευτούν από αυτά. Η ενημέρωση παίζει ρόλο-κλειδί γύρω από αυτό το ζήτημα, καθώς δεν υπάρχουν εργαλεία για την αποκρυπτογράφηση όλων των υφιστάμενων τύπων κακόβουλου λογισμικού. Αν η συσκευή κάποιου χρήστη «μολυνθεί», υπάρχουν πολλές πιθανότητες να χαθούν για πάντα τα δεδομένα του. Χρησιμοποιώντας το Διαδίκτυο συνετά κι ακολουθώντας μια σειρά από απλές συμβουλές ψηφιακής ασφάλειας, οι χρήστες μπορούν να αποφύγουν τη «μόλυνση».
Η νέα πρωτοβουλία παρέχει κι εργαλεία που μπορούν να βοηθήσουν τα θύματα να ανακτήσουν τα δεδομένα που έχουν «κλειδώσει» οι εγκληματίες. Σε αρχικό στάδιο, η νέα διαδικτυακή πύλη περιέχει τέσσερα εργαλεία αποκρυπτογράφησης για διαφορετικούς τύπους κακόβουλου λογισμικού. Το πιο πρόσφατο αναπτύχθηκε τον Ιούνιο του 2016 για το ransomware πρόγραμμα Shade.
Το Shade είναι ένα ransomware Trojan που πρωτοεμφανίστηκε στα τέλη του 2014. Το κακόβουλο λογισμικό διαδίδεται μέσω κακόβουλων ιστοσελίδων και «μολυσμένων» συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου. Μόλις εισέλθει στο σύστημα του χρήστη, το Shade κρυπτογραφεί τα αποθηκευμένα αρχεία και δημιουργεί ένα αρχείο .txt, το οποίο περιέχει ένα σημείωμα για λύτρα και οδηγίες από τους ψηφιακούς εγκληματίες για το τι πρέπει να κάνει ο χρήστης, ώστε να πάρει πίσω τα προσωπικά του αρχεία. Το Shade χρησιμοποιεί ισχυρούς αλγόριθμους αποκρυπτογράφησης για κάθε κρυπτογραφημένο αρχείο, με δύο τυχαία 256-bit AES κλειδιά να δημιουργούνται. Το ένα χρησιμοποιείται για την κρυπτογράφηση του περιεχόμενου του αρχείου, ενώ το άλλο χρησιμοποιείται για να κρυπτογραφήσει το όνομα του αρχείου.
Από το 2014, η Kaspersky Lab και η Intel Security έχουν εμποδίσει πάνω από 27.000 απόπειρες επιθέσεων μέσω του Trojan Shade. Οι περισσότερες περιπτώσεις εντοπίστηκαν στη Ρωσία, την Ουκρανία, τη Γερμανία, την Αυστρία και το Καζακστάν. Δραστηριότητα του Shade καταγράφηκε επίσης στη Γαλλία, την Τσεχία, την Ιταλία και τις ΗΠΑ.
Με τη στενή συνεργασία και την ανταλλαγή πληροφοριών μεταξύ των διαφόρων συνεργατών, κατασχέθηκε ο Command & Control Server του Shade, ο οποίος χρησιμοποιούταν από τους εγκληματίες για να αποθηκεύουν κλειδιά αποκρυπτογράφησης. Τα κλειδιά αυτά κοινοποιήθηκαν στην Kaspersky Lab και την Intel Security. Αυτό βοήθησε στη δημιουργία ενός ειδικού εργαλείου, το οποίο μπορούν να «κατεβάζουν» τα θύματα μέσα από τη διαδικτυακή πύλη της πρωτοβουλίας No More Ransom, ώστε να ανακτήσουν τα δεδομένα τους, χωρίς να πληρώνουν τους εγκληματίες. Το εργαλείο περιέχει περισσότερα από 160.000 κλειδιά.
Συνεργασία Δημόσιου και Ιδιωτικού τομέα
Η νέα πρωτοβουλία έχει μη εμπορικό χαρακτήρα κι αποβλέπει στη συνεργασία μεταξύ δημόσιων και ιδιωτικών φορέων σε ένα κοινό σχήμα. Η πρωτοβουλία είναι ανοικτή στη συνεργασία με νέους εταίρους, λόγω της μεταβαλλόμενης φύσης των προγραμμάτων ransomware, καθώς οι ψηφιακοί εγκληματίες δημιουργούν σε τακτική βάση νέες παραλλαγές.
O Wilbert Paulissen, Διευθυντής της Εθνικής Διεύθυνσης Εγκληματολογικών Ερευνών της Ολλανδικής Αστυνομίας, δήλωσε: «Εμείς, οι ολλανδικές αστυνομικές αρχές, δεν μπορούμε να καταπολεμήσουμε μόνοι μας το ψηφιακό έγκλημα – και τα προγράμματα ransomware ειδικότερα. Αυτό αποτελεί κοινή ευθύνη της αστυνομίας, του Υπουργείου Δικαιοσύνης, της Europol, των εταιρειών του κλάδου της Πληροφορικής κι απαιτεί κοινή προσπάθεια. Για το λόγο αυτό, είμαι πολύ χαρούμενος για τη συνεργασία μας με την IntelSecurity και την KasperskyLab. Μαζί θα κάνουμε ό,τι περνά απΆ το χέρι μας, ώστε να σταματήσουμε τα συστήματα κλοπής χρημάτων των εγκληματιών και να επιστρέψουμε τα κρυπτογραφημένα αρχεία στους νόμιμους ιδιοκτήτες τους, χωρίς οι τελευταίοι να χρειάζεται να πληρώσουν χρήματα».
«Σήμερα, το μεγαλύτερο πρόβλημα με τα προγράμματα crypto—ransomware είναι ότι οι χρήστες πληρώνουν άμεσα τους εγκληματίες για να τα πάρουν πίσω τα «κλειδωμένα» δεδομένα που θεωρούν πολύτιμα. Αυτό ενισχύει τις παράνομες δραστηριότητες κι έτσι, είμαστε αντιμέτωποι με μια αύξηση στον αριθμό των νέων παικτών και τον αριθμό των επιθέσεων. Μπορούμε να αλλάξουμε την κατάσταση, μόνο αν συντονίσουμε τις προσπάθειές μας για την καταπολέμηση των προγραμμάτων ransomware. Η εμφάνιση εργαλείων αποκρυπτογράφησης είναι μόνο το πρώτο βήμα σε αυτό το δρόμο. Αναμένουμε το έργο αυτό να επεκταθεί και σύντομα να υπάρξουν πολλές περισσότερες εταιρείες και διωκτικές αρχές από άλλες χώρες, που θα αγωνιστούν μαζί μας για την καταπολέμηση των προγραμμάτων ransomware», δήλωσε ο Jornt van der Wiel, Ερευνητής Ασφάλειας της Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab.
«Η πρωτοβουλία αυτή δείχνει την αξία της συνεργασίας μεταξύ δημόσιου και ιδιωτικού τομέα για την ανάληψη σοβαρής δράσης γύρω από την καταπολέμηση της ψηφιακής εγκληματικότητας», δήλωσε ο Raj Samani, Chief Technology Officer της Intel Security για την περιοχή EMEA. «Αυτή η συνεργασία πηγαίνει πέρα από την ανταλλαγή πληροφοριών, την εκπαίδευση των χρηστών του Διαδικτύου και την εξάρθρωση των ομάδων πίσω από αυτά τα προγράμματα, προχωρώντας σε δράσεις που βοηθούν ουσιαστικά στην αποκατάσταση των ζημιών που προκλήθηκαν στα θύματα. Αποκαθιστώντας την πρόσβαση στα συστήματά τους, προσφέρουμε σιγουριά στους χρήστες, δείχνοντάς τους ότι μπορούν και οι ίδιοι να αναλάβουν δράση και να αποφευχθεί η «επιβράβευση» των εγκληματιών με την καταβολή λύτρων».
Τέλος, ο Wil van Gemert, Αναπληρωτής Διευθυντής Λειτουργιών της Europol, σχολίασε: «Εδώ και μερικά χρόνια, τα προγράμματα ransomware αποτελούν μια βασική ανησυχία για τις διωκτικές αρχές στην Ε.Ε. Αυτά τα κακόβουλα προγράμματα επηρεάζουν τόσο τους πολίτες, όσο και τις επιχειρήσεις, στέφονται εναντίον υπολογιστών και φορητών συσκευών, ενώ οι εγκληματίες αναπτύσσουν ολοένα και πιο εξελιγμένες τεχνικές, για να προκαλέσουν τη μέγιστη επίπτωση στα δεδομένα του θύματος. Η πρωτοβουλία “No More Ransom”, όπως και άλλα αντίστοιχα προγράμματα, δείχνουν ότι η συνεργασία μεταξύ ειδικών και η ένωση δυνάμεων είναι ο μόνος τρόπος για την επιτυχή καταπολέμηση του ψηφιακού εγκλήματος. Πιστεύουμε ότι η πρωτοβουλία μας θα βοηθήσει πολλούς ανθρώπους να ανακτήσουν τον έλεγχο των αρχείων τους, ενισχύοντας παράλληλα την ευαισθητοποίηση και την ενημέρωση του κοινού σχετικά με το πώς να διατηρήσουν τις συσκευές τους «καθαρές» από κακόβουλο λογισμικό».
Οι πολίτες πρέπει πάντα να αναφέρουν τις επιθέσεις ransomware
Είναι εξαιρετικά σημαντικό να γίνεται πάντα αναφορά των επιθέσεων με ransomware, καθώς αυτό βοηθά τις διωκτικές αρχές να έχουν μια συνολικότερη και ξεκάθαρη εικόνα, άρα και να ενισχύσουν την ικανότητα τους να εξουδετερώσουν τις απειλές. Ο ιστότοπος της πρωτοβουλίας “No More Ransom” προσφέρει στα θύματα τη δυνατότητα να αναφέρουν ένα έγκλημα, σε απευθείας σύνδεση με τον εποπτικό μηχανισμό της Europol, ο οποίος καλύπτει τους εθνικούς μηχανισμούς υποβολής αναφορών περιστατικών.
Αν με οποιοδήποτε τρόπο, ένας χρήστης του Διαδικτύου πέσει θύμα ransomware, είναι σημαντικό να μην υποκύψει στις πιέσεις των εγκληματιών και να πληρώσει λύτρα. Κάθε πληρωμή ενισχύει τις δράσεις των ψηφιακών εγκληματιών. Επιπλέον, η καταβολή λύτρων δεν προσφέρει καμία εγγύηση ότι πρόσβαση στα κρυπτογραφημένα δεδομένα θα επιτραπεί τελικά στους χρήστες.