Pojęcie „wirusa komputerowego” znane jest obecnie większości osób na świecie, włącznie z dziećmi. Zwykle kojarzy się ono z czymś destrukcyjnym dla sprzętu, danych i usług, na których wszyscy polegamy. Wirusy komputerowe, podobnie jak ich biologiczne odpowiedniki, również replikują się i mogą być przenoszone z jednego gospodarza na drugiego, co powoduje problemy – od irytujących po destrukcyjne.
Wraz z początkiem nowego tysiąclecia świat stawał się coraz bardziej połączony w wyniku szybkiego rozwoju internetu. W tym samym czasie nastąpił też gwałtowny wzrost liczby cyberataków, spowodowany między innymi rosnącą liczbą użytkowników sieci, a więc potencjalnych ofiar.
Specjaliści z firmy Fortinet przedstawiają historię rozwoju złośliwego kodu i cyberprzestępczości.
Na skróty:
1971: Pierwszy dowód możliwości stworzenia wirusa
Zanim powstał internet, w USA istniała sieć ARPANET (Advanced Research Projects Agency Network), która została uruchomiona w 1967 r. jako próba połączenia zdalnych komputerów. Pierwsze komputery zostały podłączone w 1969 roku. Już dwa lata później inżynier Bob Thomas z amerykańskiej firmy badawczo-rozwojowej BBN, bazując na niemal 30-letniej koncepcji niemieckiego matematyka Johna von Neumanna stworzył wirusa o nazwie „The Creeper”. Rozprzestrzeniał się on za pomocą protokołu sieciowego pomiędzy komputerami podłączonymi do sieci ARPANET. Jego celem nie było działanie w złych intencjach, lecz sprawdzenie czy zakodowana w nim wiadomość „I’m the creeper, catch me if you can!” (Jestem pnączem, złap mnie, jeśli potrafisz!) będzie w stanie samodzielnie replikować się pomiędzy urządzeniami sieci. Cel został osiągnięty.
1982: Pierwszy wirus dla komputerów Mac
Wbrew powszechnemu przekonaniu, że na sprzęcie firmy Apple nie ma wirusów, to właśnie w tym środowisku zadebiutowały pierwsze cyfrowe szkodniki atakujące komputery osobiste. Pierwszym znalezionym „na wolności” wirusem był „Elk Cloner”, opracowany dla komputerów Apple II – był umieszczany w sektorze startowym dyskietki, skąd kopiował się do pamięci komputera, a stamtąd samoczynnie na inne, czyste nośniki. Jego autorem był piętnastolatek, który pisał takie programy, aby płatać figle swoim znajomym. Przy pięćdziesiątym uruchomieniu Elk Cloner wyświetlał użytkownikowi zabawny wierszyk.
1986: Pierwszy wirus na PC
„Brain” na zawsze zmienił świat bezpieczeństwa informacji. Pochodził z Pakistanu, ale szybko rozprzestrzenił się na cały świat, do Europy i Ameryki Północnej. Został opracowany przez braci Amjada Farooqa Alvi i Basita Farooqa Alvi, autorów oprogramowania medycznego. Stworzyli oni wirusa ładującego ostrzeżenie dla osób korzystających z jego pirackich kopii. Ponieważ nie było wtedy internetu, wirus rozprzestrzeniał się dzięki interakcji międzyludzkiej, poprzez kopiowanie dyskietek. Wirus ten nie niszczył danych, ale uniemożliwiał uruchomienie komputera i wyświetlał powiadomienie zawierające m.in. numer telefonu braci Farooq Alvi, z którymi należało skontaktować się w celu usunięcia problemu. Twierdzą oni, że chcieli, aby osoby dotknięte problemem zadzwoniły do nich w celu omówienia sposobu legalnego uzyskania ich oprogramowania. Ich genialny plan okazał się tak skuteczny, że zostali zasypani telefonami z całego świata.
1988: Robak Morris
Jego nazwa pochodzi od nazwiska autora, Roberta Morrisa. Robak ten nie był złośliwy i został stworzony jako dowód, że replikacja kodu bez ingerencji użytkownika jest możliwa (co odróżnia go od wirusa, który wymaga „wsparcia” człowieka). Morris obawiał się, że administratorzy systemów poddadzą robaka kwarantannie i zignorują infekcję. Zaprogramował go więc tak, aby był trwały. Nie było jednak sposobu na zatrzymanie procesu samoreplikacji, więc robak powodował duże obciążenie urządzeń, uniemożliwiając ich działanie, a także wywoływał w sieciach zjawisko Denial-of-Service (DoS – odmowa świadczenia usługi), rozprzestrzeniając się z maszyny na maszynę. Z tego powodu Robert Morris został pierwszą osobą skazaną na podstawie ustawy o oszustwach i nadużyciach komputerowych. Później jednak stał się odnoszącym sukcesy przedsiębiorcą i otrzymał posadę w Massachusetts Institute of Technology (MIT).
1989: Pierwszy na świecie ransomware
AIDS stał się pierwszym na świecie zaobserwowanym oprogramowaniem ransomware. Został wysłany fizyczną pocztą (!) do badaczy błyskawicznie rozprzestrzeniającego się wówczas na całym świecie wirusa AIDS za pośrednictwem 20 tys. zainfekowanych dyskietek, na których znajdował się kwestionariusz na temat AIDS. Jednak przy dziewięćdziesiątym ponownym uruchomieniu dyskietki zmieniała ona nazwy plików na zaszyfrowane ciągi znaków i ukrywała je przed użytkownikiem. Następnie na ekranie pojawiało się żądanie zapłaty na skrytkę pocztową w Panamie 189 dolarów za roczną „gwarancję bezpieczeństwa” lub 385 dolarów za dożywotnią. Akceptowane były tylko czeki bankowe, czeki kasjerskie lub przekazy pieniężne.
1992: Michelangelo
W wirusie tym, dedykowanym Michałowi Aniołowi, zaprogramowano „bombę zegarową”, czyli instrukcję, która miała aktywować się 6 marca, w dniu urodzin artysty. Jej celem było zniszczenie sektora rozruchowego dysków, co uniemożliwiało uzyskanie dostępu do danych lub w ogóle uruchomienie komputera. Wirus, podobnie jak jego poprzednicy, rozprzestrzeniał się za pośrednictwem dyskietek. Został wykryty parę tygodni przed 6 marca, dzięki czemu udało się nagłośnić jego destrukcyjny charakter – był to pierwszy przypadek wirusa, któremu media głównego nurtu poświęciły tak wiele uwagi, co przyczyniło się do wzrostu sprzedaży oprogramowania antywirusowego na całym świecie. Pojawiło się wówczas wiele ostrzeżeń dla użytkowników, aby pozostawili swoje komputery w tym dniu wyłączone lub zmienili datę w swoich maszynach na dzień naprzód, aby uniknąć zagrożenia.
1994-95: Pierwsze ataki phishingowe
Wraz z rozpowszechnieniem się internetu w Stanach Zjednoczonych, dzięki uruchomieniu takich serwisów, jak America Online (AOL), CompuServe i Prodigy, wzrastała liczba oszustw i phishingu. Ponieważ konta zapewniające dostęp do internetu były wówczas płatne i stosunkowo drogie, wiele osób było zainteresowanych kradzieżą danych uwierzytelniających. W serwisach komunikacyjnych poświęconych nielegalnemu oprogramowaniu zaczęto handlować aplikacjami służącymi do odłączania użytkowników od internetu, kradzieży danych ich kont oraz do generowania losowych numerów kart kredytowych. Jednym z najsłynniejszych programów był AOHell (gra słów nawiązująca do nazwy AOL), który zawierał kreator kont, wykorzystujący losowo utworzone numery kart kredytowych, co zapewniało możliwość otwarcia konta za darmo na miesiąc.
Aplikacja AOHell zawierała też jeden z pierwszych mechanizmów phishingu. Zautomatyzowane boty wysyłały masowo wiadomości z prośbą o zweryfikowanie danych uwierzytelniających konto, twierdząc, że np. wystąpił problem z rachunkami. Aby kontynuować rozmowę z botem, ofiara musiała „zweryfikować swoją tożsamość”, podając nazwę użytkownika i hasło. Informacje te były następnie zbierane przez twórców programu AOHell i wykorzystywane lub sprzedawane w celu uzyskania darmowego dostępu do konta i rozsyłania spamu.
1999: Y2K
Rok 1999 był czasem rozwoju nowych firm z branży zaawansowanych technologii (tzw. dotcomów) i jednocześnie obaw związanych z błędem Y2K. znanym w Polsce jako pluskwa milenijna. Zjawisko to wywoływało powszechną panikę, ponieważ istniała obawa, że starsze komputery po 31 grudnia 1999 roku przestaną działać z powodu wady oprogramowania zapisanego w systemie BIOS komputera, które steruje pracą płyty głównej. Istniało ryzyko, że jego twórcy zapisywali aktualny rok korzystając tylko z ostatnich dwóch cyfr. To skutkowałoby sytuacją, w której 1 stycznia 2000 r. system operacyjny komputera miał „myśleć”, że jest 1 stycznia 1900 r. Zakłóciłoby to pracę np. infrastruktury krytycznej: od pomp benzynowych i wind po giełdy i elektrownie. Ostatecznie Y2K okazał się mniejszym problemem niż sądzono. Dzięki podjętej w skali całego świata w 1999 r. akcji weryfikacyjnej większość firm i osób prywatnych w żaden sposób tego nie odczuła. Jednak, jak przypominają eksperci Fortinet, strach przed Y2K zdominował wiadomości na całym świecie na wiele miesięcy.
1999/2000: pojawia się pierwszy botnet
W 2000 r. coraz większą popularność zdobywał stały dostęp do internetu. Użytkownicy domowi i firmy mogły być online przez całą dobę. Dla cyberprzestępców stanowiło to okazję nie do odrzucenia, weszli więc tym samym w erę botnetów i robaków.
Najprościej mówiąc, botnet jest to grupa zainfekowanych komputerów, które znajdują się pod kontrolą operatora. W tamtych latach botnety były bardzo proste. Pierwszym zaobserwowanym botnetem był EarthLink Spam, który zadebiutował w 2000 roku. Miał on proste zadanie: rozsyłać ogromne ilości spamu. Odpowiadał za 25% ówczesnej śmieciowej poczty, w sumie około 1,25 miliarda wiadomości. Jego operator Khan C. Smith otrzymał karę w wysokości 25 milionów dolarów.
Jeszcze wcześniej, w 1999 roku, powstał GTbot, co czyni go pierwszym botnetem w historii. Było to bardzo prymitywne narzędzie. Rozprzestrzeniało się na inne urządzenia i odbierało polecenia za pośrednictwem czatów IRC. Jego kontrolerzy wykorzystywali sieć zainfekowanych urządzeń do przeprowadzania ataków typu DDoS (rozproszona odmowa usługi – Distributed Denial-Of-Service).
Wzrost popularności robaków
Robaki wciąż stanowią część arsenału hakerów, choć nie są już tak powszechne jak 20 lat temu. Różnią się od wirusów tym, że do ich rozprzestrzeniania nie jest potrzebna ingerencja człowieka. We wczesnych latach dwutysięcznych zainfekowanie robakiem było zazwyczaj dość łatwo zauważalne, ponieważ często uniemożliwiało korzystanie z urządzenia. Robaki zużywały coraz więcej mocy obliczeniowej komputera i ostatecznie zatrzymywały pracę na zainfekowanej maszynie. Ich działanie było wykorzystywane m.in. do prowadzenia ataków DoS (odmowa usługi). Gdy złośliwy kod rozprzestrzenił się np. na całą firmę, zakłócał jej funkcjonowanie, niezależnie od tego, czy taka była intencja twórców robaka.
2000: I LOVE YOU
Nowe tysiąclecie rozpoczęło od dużego zainteresowaniem mediów robakiem I LOVE YOU, który w rekordowym tempie rozprzestrzeniał się po całym świecie. Został on stworzony przez studenta z Filipinów – Onela De Guzmana.
I LOVE YOU rozprzestrzeniał się przy użyciu wielu mechanizmów. Przede wszystkim był wysyłany do użytkowników za pośrednictwem poczty elektronicznej jako złośliwy załącznik „LOVE-LETTER-FOR-YOU.txt.vbs””. Po otwarciu przez zaatakowanego robak przeszukiwał książkę adresową Microsoft Outlook i wysyłał wiadomości e-mail, podszywając się pod ofiarę i replikując się jako załącznik. To nowatorskie podejście spowodowało zainfekowanie milionów komputerów w ciągu kilku dni. Wiele osób zaufało e-mailom pochodzącym od znanych im osób. Ta metoda jest nadal wykorzystywana jako część strategii hakerów, np. autorów Emoteta.
2003: Blaster (MSBlast, lovesan)
W sierpniu 2003 r. wielu firmowych i biznesowych użytkowników było już podłączonych do internetu za pomocą łącza szerokopasmowego. Stało się to powodem rekordowych w skali ataków robaków i podobnych narzędzi. 11 sierpnia tego roku pojawił się Blaster (znany również jako MSBlast i lovesan). Użytkownicy byli zszokowani, gdy ich komputery nagle zaczęły wyświetlać „niebieski ekran śmierci” (Blue Screen Of Death) i restartować się. Nie wiedzieli wtedy, że ich praca została przerwana przez robaka Blaster. Był to pierwszy globalny atak typu Denial-of-Service.
Blaster był wyjątkowo uciążliwy. Jego działania nie przerywało nawet ciągłe restartowanie komputera. Zaczynało się ono wtedy od początku, prowadząc do kolejnego wyłączenia urządzenia. Wykorzystywał on do rozprzestrzeniania się lukę w procesach systemów Windows XP i 2003. Celem robaka było przeprowadzenie ataku typu SYN flood na witrynę windowsupdate.com, aby uniemożliwić komputerom dostęp do aktualizacji. Na szczęście dla Microsoftu autor popełnił błąd i pokierował Blastera do niewłaściwej domeny. W rzeczywistości urządzenia do pobierania aktualizacji korzystały z domeny windowsupdate.microsoft.com.
Intencje autorów Blastera zostały ujawnione w komunikacie zawartym w kodzie złośliwego oprogramowania:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
Co ważne, Blaster nie infekował urządzeń, na których przed 11 sierpnia zostały zastosowane odpowiednie poprawki. Ten przykład wyraźnie pokazuje, jak ważne jest natychmiastowe aktualizowanie urządzeń. Niestety, do dzisiaj wielu użytkowników nadal ignoruje tę zasadę.
2004: MyDoom
Był to najszybciej rozprzestrzeniający się robak pocztowy w historii, który do tej pory pozostaje pod tym względem rekordzistą. Wyprzedził nawet słynnego I LOVE YOU.
Druga połowa lat dwutysięcznych to okres daleko idących zmian w rozwoju cyberprzestępczości. Na globalnej scenie miejsce popularnych wcześniej robaków zaczęły zajmować narzędzia stworzone przez zorganizowane grupy hakerskie, które były nastawione na zysk i zainfekowanie jak największej liczby urządzeń. Był to także czas rozwoju złośliwych narzędzi uderzających w infrastrukturę krytyczną i przemysłową.
2005: Mytob/Zotob – robak, backdoor i botnet w jednym
Przed pojawieniem się Mytoba autorami złośliwego oprogramowania byli głównie entuzjaści, którzy tworzyli je z chęci zrobienia żartu lub z czystej ciekawości. Jednak pojawienie się wariantów Mytob/Zotob zmieniło świat.
Mytob łączył w sobie funkcje robaka, backdoora oraz botnetu. Infekował urządzenia na dwa sposoby. W pierwszym wykorzystywał kontakty z książki adresowej ofiary do automatycznej dystrybucji – rozsyłał się w złośliwych załącznikach poczty elektronicznej. W drugim korzystał z luk w protokołach, dzięki którym mógł skanować sieć w poszukiwaniu podatnych urządzeń, a następnie dokonywać replikacji na nie.
Mytob był też jednym z pierwszych rodzajów złośliwego narzędzia, które blokowało oprogramowanie antywirusowe lub wręcz działało przeciwko niemu, uniemożliwiając połączenie komputera ofiary z witrynami zawierającymi aktualizacje. Jak na swoje czasy był bardzo efektywny, miał też wiele wariantów o różnej funkcjonalności. Stale znajdował się na pierwszych miejscach list największych zagrożeń.
Warianty Mytob/Zotob spowodowały ogromne zakłócenia w funkcjonowaniu 100 firm, w tym dziennika New York Times czy stacji telewizyjnej CNN.
Początek ery oprogramowania szpiegującego i przechwytywania wyników wyszukiwania
2005: CoolWebSearch i BayRob
CoolWebSearch, powszechnie znany jako CWS, był pierwszym narzędziem, które pozwalało cyberprzestępcom na przechwytywanie wyników wyszukiwania z Google i nałożenie na nie „wyników” pochodzących od samych hakerów. CWS był najczęściej rozprzestrzeniany za pomocą pobieranych z sieci aplikacji lub też programów typu adware. Był tak rozpowszechniony i trudny do usunięcia, że ochotnicy opracowali programy (jak np. CWS Shredder) i zarządzali forami internetowymi, aby pomóc w bezpłatnym usuwaniu go.
Podobny atak pojawił się kilka lat później, w 2007 roku. W jego efekcie przestępcy przechwytywali wyniki wyszukiwania z serwisu eBay. Został on wykryty, gdy pewna kobieta ze stanu Ohio kupiła samochód za kilka tysięcy dolarów, który nigdy nie dotarł na miejsce. Władze ustaliły, że pojazd ten w rzeczywistości nie został wystawiony na sprzedaż, a na komputerze niedoszłej nabywczyni znajdowało się złośliwe oprogramowanie BayRob, które „wstrzykiwało” na jej urządzenie fałszywe oferty. FBI i Symantec przez lata cierpliwie czekały na błąd cyberprzestępców, co zakończyło się ich aresztowaniem w 2016 r.
Spyware, spy vs. spy oraz odkrycie cyberbroni stosowanej przez państwa
2010: Stuxnet
Początek 2010 r. to czas wykrycia złośliwego oprogramowania wykorzystywanego do atakowania urządzeń przemysłowych (ICS – Industrial Control Services), a konkretnie urządzeń do kontroli i zbierania danych (SCADA). Stuxnet okazał się pierwszym złośliwym oprogramowaniem wymierzonym w infrastrukturę krytyczną. W tym przypadku były to wirówki przemysłowe (zwłaszcza nuklearne), w których Stuxnet powodował ich nadmierne obracanie się i doprowadzał do stopienia. Zaatakował przede wszystkim firmy w Iranie, ale wkrótce rozprzestrzenił się na systemy SCADA na całym świecie. Analiza jego kodu wykazała, że nie jest on charakterystyczny dla urządzeń wykorzystywanych w Iranie i może być dostosowany do każdej firmy, która korzysta z rozwiązań ICS. W opublikowanym w 2012 roku na łamach NY Times artykule potwierdzono, że Stuxnet został opracowany przez Stany Zjednoczone i Izrael.
2011: Regin
Regin był modułowym trojanem zdalnego dostępu (Remote Access Trojan, RAT), który łatwo mógł dostosować się do środowiska docelowego. Dokumenty, które ulegały eksfiltracji, były często przechowywane w zaszyfrowanym kontenerze. Dzięki temu, że znajdowały się w jednym pliku, nie wzbudzało to podejrzeń administratorów systemu lub oprogramowania antywirusowego. Według Der Spiegel, Regin był tworem amerykańskiej agencji NSA i został zaprojektowany do szpiegowania obywateli Unii Europejskiej. Zostało to ujawnione przy okazji wycieku informacji dostarczonych przez Edwarda Snowdena.
2012: Flame
W momencie odkrycia Flame był uważany za najbardziej zaawansowane złośliwe oprogramowanie, jakie kiedykolwiek znaleziono. Miało wszystko: zdolność do rozprzestrzeniania się za pośrednictwem sieci LAN, potrafiło nagrywać i przechwytywać zrzuty ekranu oraz dźwięk, podsłuchiwać i nagrywać rozmowy. Celem Flame’a były przede wszystkim organizacje na Bliskim Wschodzie.
Druga dekada nowego tysiąclecia rozpoczęła się od wzrostu popularności ransomware’u oraz wykorzystywania kryptowalut do opłacania okupów. W 2017 roku światem wstrząsnęły ataki WannaCry oraz Petya/NonPetya, które sparaliżowały działalność wielu firm i instytucji na całym świecie.
2011/12: Reveton
Reveton stał się wzorcem dla współczesnego oprogramowania ransomware, mimo że nie był pierwszym tego rodzaju narzędziem w erze internetu. Jego wygląd, projekt ekranu blokady ze szczegółowymi informacjami o tym co się stało, jak nawiązać kontakt, zapłacić okup i odszyfrować pliki, stały się inspiracją dla kolejnych cyberprzestępców.
2013: CryptoLocker – pojawienie się kryptowaluty jako opcji płatności
CryptoLocker był pierwszym oprogramowaniem ransomware, którego autorzy żądali zapłaty w bitcoinach. Cena za odszyfrowanie plików wynosiła dwa BTC, czyli w 2013 r. od 13 do 1100 dolarów. Pamiętajmy, że był to czas, gdy kryptowaluty były jeszcze w powijakach. Nakłonienie nietechnicznych ofiar nie tylko do zapłacenia okupu, ale również do zrozumienia, jak w ogóle używać kryptowalut, stanowiło często przeszkodę nie do pokonania.
2013: DarkSeoul i Lazarus
Rok 2013 to także czas ataków sponsorowanych przez państwa. Jeden z nich, nazwany DarkSeoul, posłużył 20 marca 2013 roku do ataku na koreańskiego nadawcę SBS oraz instytucje bankowe w Korei Południowej. Ucierpiało wówczas również wielu użytkowników usług internetowych, firm telekomunikacyjnych i bankomatów. Atak ten został przypisany północnokoreańskiej organizacji Lazarus, która w 2014 r. zaatakowała również Sony Corporation, wykradając poufne informacje w odpowiedzi na film „The Interview”, w którym wyśmiewano przywódcę Korei Północnej Kim Dzong Una. Zespół Lazarus był także powiązany z atakami na Bank Bangladeszu w 2016 roku. Próbowali ukraść 951 mln dolarów, ale udało im się zdobyć kwotę „tylko” 81 mln dolarów.
2015: Browser Locker i oszustwa związane z podszywaniem się pod pomoc techniczną
Pierwsze oszustwa związane z podszywaniem się pod pomoc techniczną oraz różne warianty blokady przeglądarki pojawiły się w 2015 roku. Ataki tego rodzaju imitują działanie oprogramowania ransomware, sprawiając, że ofiary albo wpadają w panikę i dzwonią na podany numer pomocy technicznej do podmiotu działającego w innym kraju jako wsparcie techniczne (i także dokonującego oszustw finansowych) albo po prostu płacą kryptowalutą za „naprawienie” ich systemu.
2016: Pojawia się pierwszy botnet IoT
Osławiony Mirai to pierwszy botnet, który atakował urządzenia IoT, a jego głównym celem były routery sieciowe. Był to głównie botnet DDoS odpowiedzialny za paraliż ogromnej części internetu, po tym jak zakłócił dostęp do części usług na całym świecie.
Mirai wzbudził zainteresowanie nie tylko dlatego, że był nowatorski, ale również dlatego, że w krótkim czasie zdołał zbudować globalną armię członków botnetu, co pozwoliło mu przekierować ruch internetowy na atakowane strony z zainfekowanych systemów na całym świecie. To sprawiło, że szczególnie trudno było się przed nim bronić. Różne warianty Mirai wciąż funkcjonują i niestety mają się dobrze – także dlatego, że twórcy Mirai udostępnili jego kod do wykorzystania przez innych przestępców.
2017: ShadowBrokers (NSA), WannaCry, Petya/NotPetya
Wyciek danych z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) spowodowany przez grupę ShadowBrokers był bezprecedensowy i o poważnych skutkach – nie tylko dlatego, że w jego efekcie zostało ujawnione tajne złośliwe oprogramowanie rozwijane przez osoby powiązane z najwyższymi szczeblami amerykańskiego rządu, ale również dlatego, iż przestępcy skutecznie je wykorzystali. Narzędzia te, o kryptonimie „Fuzzbunch”, stanowiły podstawę exploitów opracowanych przez NSA. Niektóre korzystały ze złośliwego oprogramowania znanego jako DoublePulsar – backdoora, który zawierał niesławny exploit „EternalBlue”.
Został on później wykorzystany do rozprzestrzeniania ransomware’ów WannaCry i Petya/NotPetya, co miało katastrofalne skutki. Te warianty były tak destrukcyjne, że spowodowały zamknięcie zakładów produkcyjnych na całym świecie. Do dziś nikt nie zdołał przypisać włamania/wycieku członkostwa w grupie ShadowBrokers żadnej osobie.
2017: Cryptojacking
Związek zagrożeń z kryptowalutami początkowo sprowadzał się do użycia ich do płacenia okupów w ramach ataków ransomware lub okradania portfeli z wirtualnymi pieniędzmi. Jednak w 2018 roku pojawiło się nieznane wcześniej niebezpieczeństwo.
XMRig to aplikacja napisana w celu wydobywania kryptowaluty Monero. Jej działanie polega na użyciu cykli procesora do prowadzenia obliczeń matematycznych wykorzystywanych w kopaniu kryptowalut. Jednak cybergangi zaczęły potajemnie instalować XMRig na zaatakowanych maszynach i urządzeniach, a następnie zbierać i agregować wydobyte kryptowaluty dla własnych zysków.
2019: GandCrab i pojawienie się oprogramowania ransomware jako usługi
GandCrab zapoczątkował nowe zjawisko w cyberprzestępczości, które doprowadziło do zwiększenia liczby i poziomu złośliwości ataków poprzez masowe udostępnienie za opłatą narzędzi do tworzenia i przeprowadzania ataków ransomware. Twórcy GandCrab starali się osiągnąć dwa cele: uniezależnić się od realnych ataków na przedsiębiorstwa oraz generować większe przychody. Udoskonalili więc model biznesowy znany jako Ransomware-as-a-Service (RaaS). Całą „brudną robotę” wykonują w nim osoby kupujące dostęp do narzędzia, podczas gdy jego autorzy pozostają w tle i pobierają część zapłaconego okupu – od 25 do 40%.
Okazało się to opłacalne dla obu stron, ponieważ autorzy GandCraba nie musieli ponosić ryzyka związanego z poszukiwaniem i infekowaniem ofiar, a „partnerzy” nie musieli poświęcać czasu na samodzielne tworzenie oprogramowania ransomware.
Twórcy GandCrab w czerwcu 2019 r. ogłosili przejście na emeryturę, po tym jak – według nich samych – zarobili 2 miliardy dolarów. Później byli luźno powiązani z przestępcami odpowiedzialnymi za Sodonikibi i REvil, przede wszystkim jako część ataku na Colonial Pipeline latem 2021 roku. Inne godne uwagi warianty RaaS, które pojawiły się po GandCrab, to BlackCat, Conti, DarkSide i Lockbit.
Podsumowanie
Jak podkreślają specjaliści z Fortinet, między 1971 r. a początkiem 2000 r. złośliwe oprogramowanie było w większości wykorzystywane do żartów lub prób sprawdzenia przez autorów wirusów, czy stworzone przez nich dzieło zadziała. Na przełomie wieków zjawisko to ewoluowało jednak w stronę bardzo dochodowej cyberprzestępczości, a także ataków organizowanych przez państwa. Zmieniło się także znaczenie terminu „wirus” w stronę współczesnego „złośliwego oprogramowania”, co odzwierciedla ewolucję zagrożeń w ciągu ostatnich 20 lat. Nie jest przypadkiem, że zmiany te zbiegły się w czasie z rozwojem hiperpołączonego świata, w którym obecnie żyjemy. Wkraczając w następną epokę możemy niestety przypuszczać, że zagrożenia nadal będą ukierunkowane na wszelkie modne lub aktualne trendy i rozwiązania techniczne.