Pierwszą rzeczą, którą warto wiedzieć o pierwszym w historii oprogramowanie ransomware locker polega na tym, iż jego użycie najwyraźniej motywowane było zemstą, a nie zwykłym przestępstwem. Drugą rzeczą, o której warto wiedzieć, jest to, iż w zasięgu wzroku nie było osoby mówiącej po rosyjsku.
W rzeczywistości jej autor, Joseph Popp, dorastał w Ohio i kształcił się na Uniwersytecie Harvarda. Był antropologiem i biologiem oraz ekspertem ds. HIV/AIDS, który blisko współpracował ze Światową Organizacją Zdrowia (WHO) w Afryce – ale został tam pominięty przy zatrudnieniu, co mogło doprowadzić do widocznego załamania psychicznego, które spowodowało stworzenie koncepcji ransomware.
The Trojan AIDS które Popp „wypuścił” na świat w grudniu 1989 roku, było pod każdym względem prostym oprogramowaniem. Technicznie rzecz biorąc, był to w rzeczywistości szyfrator typu „odmowa usługi” (DOS), który zastąpił plik AUTOEXEC.bat używany do wykonywania poleceń podczas uruchamiania systemu komputerowego.
Następnie zliczył liczbę cykli rozruchu, przez które przeszedł system, aż do osiągnięcia 90, po czym ukrył katalogi i zaszyfrował nazwy plików na dysku C w systemie. Ofiary lub cele następnie zobaczyły wiadomość informującą je, iż ich systemy zostały zainfekowane wirusem.
„Pamiętajcie, iż na AIDS NIE ma lekarstwa” – brzmiała przerażająca wiadomość.
W jaki sposób zostali zarażeni? Popp rozesłał 20 000 dyskietek innym uczestnikom konferencji WHO na temat AIDS i stworzył coś, co w tej chwili znamy jako przynętę phishingową, oznaczając je „Informacje o AIDS – dyskietki wprowadzające”.
Ofiarom poproszono o przesłanie 189 dolarów (około 480 dolarów, czyli 378 funtów z uwzględnieniem roku 2024) na numer skrytki pocztowej należącej do PC Cyborg Corporation w Panamie. Do systemu dołączono także umowę licencyjną użytkownika końcowego (EULA) informującą „użytkowników”, iż będą oni ponosić koszty „dzierżawienia” oprogramowania.
Popp, który został aresztowany w USA i poddany ekstradycji do Wielkiej Brytanii, nigdy nie stanął przed sądem po tym, jak brytyjski sędzia uznał go za niezdolnego psychicznie do tego – nabrał nawyku noszenia prezerwatyw na nosie, lokówek w brodzie i kartonowych pudeł według ówczesnych doniesień medialnych na głowie. Nie jest jasne, czy był to raczej celowy zabieg, czy wyraz szaleństwa. Po powrocie do Stanów Popp otworzył rezerwat motyli i ogród tropikalny o tej samej nazwie w północnej części stanu Nowy Jork, a zmarł w 2007 roku.
Zastanawiając się nad dziwną historią związaną z trojanem AIDS, Martina Leekierownik techniczny ds. badań nad bezpieczeństwem pod adresem Talos Cisco wywiadu i badań, opisuje to szkodliwe oprogramowanie jako dzieło „szalonego geniusza kryminalnego”.
„To było naprawdę coś zupełnie nowego, nowy wymiar, o którym wcześniej nie wspominano” – Lee mówi Computer Weekly. „Jeśli cofniemy się pamięcią do roku 1989, Internet przez cały czas składał się z kilkunastu komputerów na uniwersytetach i w wojsku. Internet, jaki znamy, nie rozwinął się, ani sieć WWW nie rozwinęła się. Większość komputerów w ogóle nie była podłączona do sieci, choćby dyski twarde były w dużej mierze luksusowym dodatkiem.
„Wszystkie te rzeczy, które w tej chwili uważamy za oczywiste – dystrybucja w sieci, płatność kryptowalutą – nic z tego nie istniało. To był dość ograniczony atak… Nie wiadomo, ale nie wierzy się, iż ktoś zapłacił okup”.
Co więcej, w 1989 r. zawód zajmujący się bezpieczeństwem cybernetycznym po prostu nie istniał w swojej obecnej formie. „Nie był choćby zbliżony do tego, czym jest dzisiaj. To był inny świat” – mówi Lee, który charakteryzuje ówczesne IT jako „prehistoryczne”.
„Nie istniał termin cyberbezpieczeństwo i nie istniała branża. Były osoby, które rozpoznalibyśmy jako osoby zajmujące się bezpieczeństwem informacji, ale zwykle pracowały w środowiskach wymagających poświadczenia bezpieczeństwa, takich jak wojsko lub rządy. Byłaby to zwarta społeczność, w której wszyscy się znali.
„Z pewnością w tamtym czasie pierwsze oprogramowanie ransomware nie zrobiło wielkiego wrażenia w wiadomościach” – dodaje.
Wyprzedzał swoje czasy
To, iż Popp nieco wyprzedził swoje czasy, jest jasne, ponieważ idea systemu ransomware pojawiła się ponownie dopiero w połowie lat 90., kiedy naukowcy i informatycy po raz pierwszy zaczęli bawić się pomysłem połączenia wirusa komputerowego – lub złośliwego systemu – funkcjonalność z kryptografią.
Ale choćby wtedy świat spędził kolejną dekadę w błogiej niewiedzy, zanim podjęto pierwszą próbę przestępczego ataku systemu typu ransomware, jakiego rozpoznalibyśmy w latach dwudziestych XXI wieku.
Gpcode, jak to się nazywało, po raz pierwszy pojawił się w Rosji w grudniu 2004 roku20 lat temu, kiedy zaczęły pojawiać się doniesienia, iż pliki poszczególnych osób zostały zaszyfrowane w wyniku jakiejś nowej, dziwnej formy cyberataku.
„Ostatecznie okazało się, iż dana osoba, jeżeli dobrze pamiętam, zbierała informacje z rosyjskich witryn z ofertami pracy i wysyłała e-maile do osób poszukujących pracy, mówiąc: «Hej, chcielibyśmy, żebyś aplikował na tę pracę»” – mówi Lee.
„Dokument będący przynętą miał być formularzem podania o pracę, ale w rzeczywistości pliki zaszyfrowało oprogramowanie ransomware, a okup miał zostać zapłacony przelewem pieniężnym. To tak naprawdę pierwsze nowoczesne oprogramowanie ransomware o charakterze przestępczym, którego cel – zarabianie pieniędzy – jest jasny”.
Gpcode był „niewiarygodnie prymitywny”, jak to się mówi ransomware – wykorzystywał 600-bitowy klucz publiczny RSA do szyfrowania plików ofiary, a Lee twierdzi, iż żądanie okupu w formie przelewu pieniężnego (Bitcoin miał jeszcze kilka lat przerwy) było niebezpiecznym hazardem dla cyberprzestępców stojących za Gpcode, ponieważ narażał ich na śledzenie przez organy ścigania.
Gpcode nie był błyskawicznym sukcesem – ponieważ nie przyniósł swoim twórcom milionów zysków, jak dzisiejsze oprogramowanie ransomware – ale był godny uwagi, ponieważ oznaczał, iż oprogramowanie ransomware zaczęło się przebijać, zarówno wśród wciąż rozwijającej się społeczności zajmującej się bezpieczeństwem cybernetycznym, jak i wśród laików.
Gpcode pomógł także w ustaleniu niektórych popularnych tropów dotyczących przynęt phishingowych związanych z oprogramowaniem ransomware — w tej chwili często wykorzystuje się fantomowe oferty pracy przeciwko organizacjom będącym ofiarami, szczególnie gdy są one wykonywane na przykład w ramach ukierunkowanego ataku za pośrednictwem wysoko postawionego dyrektora.
Ciągłe innowacje
W ciągu następnej dekady historia systemu ransomware stała się historią niemal ciągłych innowacji, w miarę jak cyberprzestępcy zyskali większą motywację do wyłudzania pieniędzy oraz unikania przechwytywania i ścigania.
Anonimowość podczas procesu płatności była szczególnie drażliwym problemem, z którym musiało się uporać podziemie przestępcze, mówi Lee.
„W 2004 r. firma Gpcode miała jednego operatora, inżyniera oprogramowania, który przeprowadzał ataki, i firma miała problem z uzyskaniem okupu w sposób łatwy dla ofiary, ale zapewniający anonimowość przestępcy.” mówi.
„Początkowo mamy do czynienia z rozwojem walut cyfrowych, E-złoto i wolność [Reserve] żeby wymienić tylko dwa, które stanowiły mechanizmy wykraczające poza tradycyjnie regulowany sektor bankowy, służące do przenoszenia wartości między jednostkami” – mówi Lee. „Byli – jak by to ująć – maltretowani”.
Dużą wadą tych walut cyfrowych jest to, iż z punktu widzenia cyberprzestępców obie miały jeden punkt awarii, w którym organy ścigania i organy regulacyjne mogły podjąć działania, aby zakłócić przepływ nielegalnych płatności przez nie, co oczywiście dokładnie się stało .
„Zbiega się to z rozwojem kryptowalut, dając przestępcom alternatywny sposób na odebranie okupu za pośrednictwem kryptowalut” – mówi Lee.
„Inna duża innowacja dotyczyła słabego punktu wczesnego systemu ransomware – czy był to jeden twórca i operator – dlatego w połowie 2000 roku zaobserwowaliśmy rozwój pierwszego systemu ransomware oprogramowanie ransomware jako usługa.
„Inżynierowie złośliwego oprogramowania, którzy byli bardzo dobrzy w pisaniu kodu, ale być może nie tak dobrzy w rozpowszechnianiu systemu ransomware lub wymyślaniu przynęt socjotechnicznych, mogliby skupić się na kodzie, a następnie opracować portal partnerski, aby mniej zaawansowani technicznie cyberprzestępcy mogli brać udział w atakach – oni mogliby zostać zatrudnieni lub nawiązać współpracę” – mówi Lee. „Jeśli podzielą zadania, będzie to bardziej efektywne”.
Choć niektórych może zaskoczyć informacja, iż koncepcja systemu ransomware jako usługi, czyli RaaS, ma ponad 10 lat, pojawiła się w zupełnie innym czasie, a ekosystem systemu ransomware musiał przejść jeszcze kilka ewolucji, aby osiągnąć swój obecny , niszczycielska forma.
Aktualne
Lee wyjaśnia: „Następna duża zmiana nadejdzie w 2016 roku z gangiem używającym SamSama. Wcześniej oprogramowanie ransomware było atakiem masowym, polegającym na dystrybucji jak największej ilości systemu ransomware wśród jak największej liczby użytkowników końcowych, przenoszeniu go na komputery PC i żądaniu od ofiary kilkuset dolarów za odzyskanie tego, co znajdowało się na jej punktach końcowych.
„Wielką innowacją było to, iż gang dystrybuujący SamSam wybrał swoje ofiary w inny sposób. Zamiast skupiać się na samych liczbach, identyfikowaliby firmy, dostawali się do ich sieci i łączyli tradycyjne techniki hakerskie – infiltrując sieć, znajdując najważniejsze serwery, na których polegały firmy, i instalując oprogramowanie ransomware na tych kluczowych serwerach.
„Szyfrując pliki i zatrzymując działanie kluczowych serwerów” – mówi Lee – „SamSam zmniejszył cały biznes o połowę i w tym momencie gang mógł poprosić o znacznie, znacznie większy okup”.
Nie oznacza to, iż oprogramowanie ransomware przeznaczone na rynek masowy i skupiające się na użytkowniku końcowym zniknęło. W dużej mierze przez cały czas stanowi zagrożenie i pod wieloma względami atak systemu ransomware dla przeciętnego człowieka jest bardziej niszczycielski niż dla dobrze ubezpieczona, regulowana korporacja.
„Kilka osób kontaktowało się ze mną w sprawie starszego rodzica, którego laptop został zainfekowany oprogramowaniem ransomware i znajdowały się na nim ostatnie zdjęcia zmarłego współmałżonka. Czy można go odzyskać?” mówi Lee.
„To rozdzierające serce i w dziewięciu przypadkach na dziesięć odpowiedź brzmi nie. Zatem to nie zniknęło i nie zniknie. Firmy mogą mieć więcej do stracenia niż użytkownik końcowy, ale to nie znaczy, iż użytkownicy końcowi nie mogą odczuwać znacznych problemów.
„Ale złoczyńcy zarabiają duże pieniądze na biznesach, dostając się do nich, powodując zakłócenia o dużej wartości i niszcząc duże ilości wartości, ponieważ zyski są znacznie wyższe”.
To prowadzi nas bezpośrednio do zmian, które obserwujemy od 2020 r., kiedy plaga systemu ransomware naprawdę się rozprzestrzeniła, a bezpieczeństwo cybernetyczne wyszło ze swojej niszy i zaczęło trafiać na pierwsze strony gazet w całym kraju. Wszystko to zostało dobrze udokumentowane, m.in wzrost liczby ataków z użyciem podwójnego wymuszenia oraz pojawienie się rozległej szarej strefy filii i brokerów. Widzimy choćby coś, co wygląda na współpracę między gangami cyberprzestępczymi motywowanymi finansowo i motywowanych politycznie operatorów cyberszpiegostwa.
W tym roku zaobserwowaliśmy początek nowego trendu, w ramach którego gangi zajmujące się oprogramowaniem ransomware w rzeczywistości całkowicie rezygnują z szafki na oprogramowanie ransomware. Zaledwie w zeszłym miesiącu władze australijskie i amerykańskie opublikowały nowe informacje wywiadowcze na temat działalności gangu zajmującego się oprogramowaniem ransomware BianLian, który przeniósł się wyłącznie do wymuszenie bez szyfrowania.
Czy to możliwe, iż oprogramowanie ransomware w swojej tradycyjnej formie zaczyna dobiegać końca?
Patrząc w przyszłość
Prawdopodobnie nie, mówi Lee, patrząc w przyszłość, chociaż będzie to wyglądać inaczej: „Wiesz, iż IT wnosi ogromne korzyści do naszego życia i umożliwia tak wiele – ale wszędzie tam, gdzie IT tworzy wartość, przestępcy szukają sposobów, aby wykorzystać tę wartość i ukraść ją. Ransomware okazało się dla nich bardzo opłacalnym sposobem.
„Myślę, iż w przypadku jakichkolwiek nowych sposobów wykorzystania IT w najbliższej i średnioterminowej przyszłości możemy spodziewać się, iż znajdą się przestępcy chcący na tym zarobić, a jednym ze sposobów, w jaki zamierzają to zrobić, będzie z pewnością zostanie zainfekowany oprogramowaniem ransomware.”
Od bólów porodowych systemu ransomware po wycie sfrustrowanego i pokrzywdzonego Josepha Poppa możemy wytyczyć wyraźną linię do gigantycznych hitów systemu ransomware z lat 2020. Ta ciągłość przestępczości i innowacji prowadzi Lee do prostego wniosku.
„Musimy być znacznie bardziej świadomi, iż we wszystkim, czego dotyka IT, musimy pomyśleć o bezpieczeństwie cybernetycznym, musimy pomyśleć o tym, w jaki sposób złoczyńcy mogą to zakłócić, ponieważ na pewno oni też o tym pomyślą i ktoś to zrobi spróbować.
„Historia systemu ransomware to okres ciągłych innowacji i możemy się spodziewać, iż tak będzie również w przyszłości” – mówi.
![Ceny prądu – Jaka jest cena za 1 kWh? [2025]](https://datawrapper.dwcdn.net/S2Dtm/full.png)
![Zamrożenie cen prądu [2024 / 2025]](https://datawrapper.dwcdn.net/P5nY2/full.png)
