Malware na druhou: autoři ransomware byli sami podvedeni

Ransomware nám na počítači obvykle zašifruje soubory s vybranými příponami, a to typicky dokumenty, fotografie a podobné, kde je vysoká šance, že je uživatel bude opravdu postrádat, a tak bude za svá data ochoten i zaplatit výkupné. To je běžně 300 dolarů a časem se může zvyšovat, aby měl člověk motivaci jednat rychle a nehledat jiné řešení. 

 

 

A právě o onu platbu jde. Objevily se totiž útoky typu man-in-the-middle, což znamená, že do transakce mezi napadeného a původního útočníka se vtlačí ještě někdo jiný, kdo na sebe onu platbu převede. Útočník tak ostrouhá a napadený o to více, neboť pokud by platba proběhla dle plánu, měl by alespoň šanci na to, že opravdu dostane heslo pro odemčení svých dat. Takto musí spoléhat leda na to, že se útočník slituje, což už se také stalo. 

 

Tuto novou skutečnost odhalila společnost Proofpoint, která umístila příslušné varování na portál LockerR, kde probíhají platby za ransomware. Tato služba běží na zašifrované síti Tor, kde tak není šance vysvětlovat, odkud a kam data proudí a jaké služby v ní vůbec běží. 

 

LockerR je tak využíván pro platby, ale problém je ten, že oběti ransomwaru obvykle nevědí, jak Tor využít. Proto jsou posíláni na proxy servery pro Tor, kde lze využít služby této sítě ve standardním prohlížeči a právě to je místo (třeba na onion.top), kde se odehrávají útoky man-in-the-middle. Jako obvykle se platí v Bitcoinech, čili tyto platby jsou odkloněny na nesprávné adresy, což se mělo dosud týkat Bitcoinů v hodnotě cca 22.000 dolarů. 

Oběť pak obvykle končí bez peněz i bez klíče pro dešifrování svých dat, což je další důvod k tomu, abychom útokům ransomwaru předcházeli pravidelnou aktualizací systému, disciplínou při využití webu/e-mailu a z něj stažených dat a i pro jiné případy se velice hodí zálohování dat, a to samozřejmě ne pouze na externí disk, kam může ransomware také snadno zavítat. 

 

Zdroj: Proofpoint