Proč ovšem kyberzločincům výkupné platit, když neexistuje žádná záruka, že dokumenty opravdu uvolní? Místo placení vyděračům je možné si najmout IT konzultanty, kteří s odemčením souborů pomohou.
I tento přístup má ale své slabiny. Výzkumníci ze společnosti Check Point objevili novou hrozbu spojenou s ransomwarem a konzultačními společnostmi. Ruská společnost s názvem „Dr. Shifro“ tvrdí, že legálně odemkne zašifrované soubory, ale ve skutečnosti pouze zaplatí tvůrcům ransomwaru, náklady naúčtuje oběti a vyčíslí k tomu i svou „práci“.
V roce 2017 ransomware dominoval, všichni mají ještě v paměti útoky WannaCry, NotPetya a Bad Rabbit. A i letos byl ransomware jednou z hlavních hrozeb, což potvrzuje například útok na Atlantu. Pod ransomwarovými útoky je permanentně zdravotnický průmysl, útočníci požadují průměrně výkupné 10 000 dolarů, ale v některých případech požadovali za odemčení až 2,8 milionu dolarů. Objevil se dokonce „ransomware jako služba“ a nejnovějším příkladem vývoje ransomwarových hrozeb je právě zmíněný Dr. Shifro.
Pokud jsou zašifrované soubory kritické pro chod organizace a výkupné je příliš vysoké, pak není divu, že společnosti udělají pro obnovení přístupu téměř cokoli.
V této fázi jsou na výběr tři možnosti:
1) Obnovit soubory ze zálohy.
2) Zaplatit útočníkům výkupné.
3) Najmout si IT konzultanta, který možná soubory odemkne, aniž by bylo nutné zaplatit výkupné.
„Kdo nemá zálohy a nechce ani platit výkupné, je pro něj obvykle třetí varianta rozumnou volbou. Bohužel i zde objevil Check Point znepokojivý vývoj,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.
Check Point odhalil konzultační společnost Dr. Shifro, která nabízí jednu jedinou službu – pomáhá obětem ransomwaru odemknout soubory. Ale fakt, že konzultační IT společnost nabízela pouze jednu službu, je velmi neobvyklé a podezřelé.
Dr. Shifro navíc slibuje odemčení i souborů zašifrovaných ransomwarem Dharma/Crisis, pro který není k dispozici žádný dešifrovací klíč. Takže zatímco podobné IT služby obvykle vysvětlují, že se mohou pokusit soubory dešifrovat, ale že nemohou nic slíbit a zaručit, Dr. Shifro podezřele zaručuje odemčení souborů zašifrovaných ransomwarem, pro který nejsou k dispozici žádné veřejné klíče.
Po detailní analýze se ukázalo, že Dr. Shifro je ve skutečnosti v kontaktu s tvůrci ransomwaru a dohodl se s nimi na odblokování souborů obětí za poplatek 1300 dolarů. Tyto náklady pak naúčtuje obětem a zároveň si účtuje dalších 1000 dolarů za své služby.
Check Point má k dispozici korespondenci mezi Dr. Shifro a tvůrci ransomwaru, kde je jasně vidět, jak „poradenství“ v podání společnosti Dr. Shifro funguje. Víceméně se jedná jen o prostředníka mezi obětí a útočníky. To vytváří atraktivní obchodní model. A všechny strany jsou ve výsledku spokojené. Oběť má své soubory dešifrované, kyberzločinci dostanou výkupné a Dr. Shifro svou hrou také vydělá.
„Organizace musí především používat preventivní bezpečnostní řešení, která ransomwarové infekci předejdou. Nestačí spoléhat se na signatury, ale pro identifikování nejrůznějších kmenů a variant ransomwaru je nutné využívat technologie pro emulaci a extrakci hrozeb,“ dodává Kadrmas. „Pokud některá služba vypadá až příliš lákavě, jako v případě Dr. Shifro, pak je na místě obezřetnost. A pokud se přeci jen stanete obětí ransomwaru, navštivte stránky Europolu ‚NoMoreRansom‘, na kterých spolupracuje i Check Point, získáte tam doporučení a rady, jak vaše soubory dešifrovat.“