Skip to main content

Ransomware Familia Aktiboenak

Zer dira ransomwareak?

Ransomwareak informazioa bahitzeko diseinatutako malware mota bat dira. Jarduteko modua ordenagailu bat infektatzea izaten da: haren informazioa zifratzen du eta, ondoren, erreskate bat eskatzen du, bahitutako informazioa deszifratzeko kodearen truke.

Ramsomware

Hastapenak eta bilakaera 

Ransomwarea da azken urteetako mehatxurik handienetako bat. Ransomware-erasoak 2010eko hamarkadan hasi ziren, eta, harrezkero, asko zabaldu dira nazioartean. Ildo horretan, nabarmentzekoa da Conti, Egregor, Mountlocker eta halako ransomware berrien bilakaera eta agerpena, eta garatzen ere hasi dira. Hala, salgai jarri dira zerbitzu gisa, eta beren blogak ere ireki dituzte Deep Webean. Blog horietan, gaizkile-taldeek biktimei estortsio bikoitza egiten diete teknika modura: erreskate bat ordaintzeko eskatzen diete, bai informazioa deszifratzeko, bai informazio hori argitaratzea saihesteko.

Xede-sektorea 

Ransomwarearekin lotutako segurtasun-gorabeherak sektore guztietako erabiltzaile indibidualen eta erakundeen aurkakoak izan ohi dira, hala nola finantzak, gobernua, hezkuntza, turismoa, industria kimikoa, ospitaleak, bideo-jokoen industria eta abar. Ransomware-eraso baten ondorioz, gerta liteke enpresa batentzat garrantzitsuak eta kritikoak diren datu pertsonalak eta/edo korporatiboak galtzea.

Nola funtzionatzen du?

Normalean, ransomwareak erabiltzailearen interakzioa eskatzen du fitxategi bat exekutatzeko edo esteka gaizto batera sartzeko. Alabaina, erasotzaile batek ere exekutatu dezake Interneten ikusgai dauden zerbitzuetara sartu ondoren. Ransomwareak sistema bat infektatu ondoren, informazioa zifratzen du eta erreskate-ohar bat erakusten hainbat jarraibiderekin, informazioa berreskuratu ahal izateko erreskatea nola ordaindu azalduz. Deszifratzeko gakoaren bidez berreskuratzen dira fitxategiak. 

Erreskate-oharra

Erreskate-oharrak ordaindu beharreko kopuruari buruzko informazioa jasotzen du, batez ere Bitcoin eta halako kriptodirutan, erreskatearen transferentzia non eta nola egin behar den azaltzen du, edo, kasu gehienetan, ordainketa egiteko mugaeguna zehazten du –gehienetan, ordu jakin bat adierazita–. Eskatutakoa bete ezean, zibergaizkileek mehatxu egiten diete biktimei, esanez handitu egingo dutela hasieran eskatutako zenbatekoa, eta mehatxu egiten diete: pagatu ezean, ez dutela inoiz lortuko deszifratze-gakoa edo argitaratu egingo dutela filtratutako informazioa.

Sarbide-teknikak edo -bektoreak

Hauek dira zibergaizkileek ordenagailuak infektatzeko erabiltzen dituzten teknika nagusiak:

  • Ingeniaritza soziala, biktimek fitxategi bat deskarga dezaten edo esteka batera sar daitezen. Itxuraz legitimoa da, baina software gaiztoa du.
  • Phishinga, emailen bidez
  • Biktima den enpresaren sistemen ahultasunak ustiatzea, hala nola gaizki babestutako web-zerbitzarien edo urruneko mahaigaineko protokoloaren ahultasunak.
  • Malvertising edo onlineko publizitate maltzurra. Haren bidez, zibergaizkileek malwarea txertatzen dute webguneetako iragarkietan, eta, haiei eragitean edo ematean, ransomwarea deskargatzen dute gailuetan. 
  • Webguneak posizionatzeko Black SEO teknikak erabiltzea, eta, haiek aprobetxatzea fitxategi gaiztoak deskargatzeko.

Jarduera-analisia 

Ransomware-familia aktiboenen artean, hauek nabarmentzen dira:

  • Mount Locker: 2020. urtearen erdialdean detektatu zen lehen aldiz. Ezaguna egin da komunikabideetan, bi milioi dolarreko erreskateak ere eskatu baititu, eta ehunka gigabyte datu filtratzeko mehatxua egin die biktimei, Deep Webean daukan blogaren bitartez. Fitxategi zifratuen luzapen gisa “.ReadManual.+ 8 karaktere hexadezimal” erabiltzen ditu, eta RecoveryManual.html deitzen da haren erreskate-oharra. Ohar horretan, ransomware-operadoreek argibideak ematen dituzte beren blogean sartzeko Tor bidez, erasotzaileekin negoziatzen hasteko. Itxuraz Mount Locker ransomware nahiko pobrea da ezaugarri teknikoei erreparatzen badiegu, ez baitu analisiaren aurkako mekanismorik edo hedapen-mekanismorik.
  • Prolock: Lehen PwndLocker zuen izena, eta 2019ko amaieran agertu zen lehen aldiz. 2020an, zenbait alderdi aldatu eta zifratze-prozesuko bugak zuzendu zituen. Izena ere aldatu zuen: Prolock deitzen da orain. Gehien erabiltzen duen zabalpen-metodoari dagokionez, aldez aurretik Qbot malwareak infektatutako ordenagailuetan sartzen da. Dena den, hedatzeko beste hainbat teknika ere erabiltzen ditu, hala nola eduki gaiztoa duten posta-kanpainak bidaltzea edo RDP (Remote Desktop Protocol) saioen aurkako indar gordina erabiltzea, zeina bi gailuren arteko urruneko konexioak ezartzeko erabiltzen baita.
  • Conti: 2019ko abenduan aurkitu zuten, eraso isolatuetan, nahiz eta apurka-apurka ugarituz joan diren. Contik zifratuta dauzka bitarraren kate gehienak analisia zailtzeko, eta bestelako errutina bat erabiltzen du kate bakoitza deszifratzeko. Kode maltzurrak mutex bat sortzen du “_CONTI_” izenarekin, eta ezin badu sortu edo bertara sartu, exekuzioa amaitzen du. Teknika horrekin, malwareak exekuzio bikoitzak saihesten ditu. Sistema zifratzen hasi aurretik, Contik Windowsen berehalako kopiak ezabatuko ditu vssadmin.exe. tresnaren bidez. Horren ondoren, amaitu egiten ditu fitxategiak irekita eduki ditzaketen eta sarbidea blokeatu dezaketen zerbitzuak. Halaber, izenean “sql” duten prozesu guztiak amaitzen ditu, prozesu horiek irekita eduki ditzaketen eta ransomwareak zifratu ditzakeen fitxategiak askatzeko, sarbide-akatsik gabe.
  • Maze: 2020ko hamarkadaren amaieran Maze ransomwarearen operadoreek “prentsa-ohar” baten bidez jakinarazi zuten bertan behera utziko zituztela beren operazioak. Ohar haren arabera, haien blogetik informazio pribatua erretiratzea nahi zuen enpresa orok hilabeteko epea zuen Mazeren euskarriarekin harremanetan jartzeko, eta, hala, datuak ezabatzeko. Maze da estortsio bikoitzaren teknika erabili zuen lehen ransomwareetako bat, eta haren blogean mehatxu horren biktima izan ziren dozenaka enpresa ageri ziren, hala nola Cognizant, Visser eta abar.

Bilakaera ransomwaretik RaaSera

Ransomwarea irabazi-asmoekin erabiltzeak zibergaizkileei ekarri dien arrakasta dela eta, negozioa zerbitzu bezala eskaintzera igaro da. RaaS izenarekin ezagutzen da zerbitzu hori (Ransomware as a Service), eta, haren bidez, garatzaileek beste zibergaizkile batzuei eskaintzen dizkiete beren malware-kitak ransomware-erasoak egiteko. Hala, edozein mehatxu-eragilek eskura ditzake darkwebean, hileko kuota bat ordainduz edo komisio bat pagatuz, erasoa egin eta ordainetan jasotako erreskatearen gainean. RaaS batez ere zibergaizkileen taldeek iragarritako afiliazio-programen bidez gauzatzen da, zeinek harpidetza bidez eskaintzen baitute ransomwarea eskuratzeko modua.

Nola saihestu ransomwarearen biktima izatea?

Ransomwarearen biktima ez izateko –izan erabiltzaile gisa, izan enpresa gisa–, jardunbide seguruak hartu behar dira nabigatzeko, mezu elektronikoak irekitzeko edo edozein fitxategi deskargatzeko, eta kontu hartu behar da programa maltzurrak instalatu eta gailuak arriskuan jar ditzaketen esteka ezezagunekin. Era berean, beharrezkoa da ordenagailuak behar bezala eguneratuta eta babestuta edukitzea, hauskorrak izan ez daitezen.