Ole varovainen, minne lataat tiedostoja! Asiantuntijat paljastavat uuden kiristysohjelmauhan
4 min read
Pikalinkki tähän artikkeliin: https://publication-x.com/vdo7
Tiedät luultavasti paremmin kuin napsautat linkkejä, jotka lataavat tuntemattomia tiedostoja tietokoneellesi. Osoittautuu, että myös tiedostojen lataaminen voi aiheuttaa ongelmia.
Nykypäivän verkkoselaimet ovat paljon tehokkaampia kuin aikaisemmat selaimet. He pystyvät käsittelemään tietoja sekä selaimessa että tietokoneen paikallisessa tiedostojärjestelmässä. Käyttäjät voivat lähettää ja vastaanottaa sähköpostia, kuunnella musiikkia tai katsella elokuvia selaimessa napin painalluksella.
Valitettavasti nämä ominaisuudet tarkoittavat myös sitä, että hakkerit voivat löytää älykkäitä tapoja käyttää selaimia väärin ja huijata sinut antamaan kiristysohjelmien lukita tiedostosi, kun luulet vain suorittavasi tavallisia tehtäviäsi verkossa.
Olen tietotekniikan tutkija , joka tutkii kyberturvallisuutta . Kollegani ja minä olemme osoittaneet, kuinka hakkerit voivat päästä käsiksi tietokoneesi tiedostoihin File System Access Application Programming Interface (API) -liittymän kautta, jonka avulla nykyaikaisten selainten verkkosovellukset voivat olla vuorovaikutuksessa käyttäjien paikallisten tiedostojärjestelmien kanssa.
Uhka koskee Googlen Chrome- ja Microsoftin Edge-selaimia, mutta ei Applen Safaria tai Mozillan Firefoxia. Chromen osuus käytetyistä selaimista on 65 % ja Edgen osuus 5 %. Tietojeni mukaan tätä menetelmää käyttävistä hakkereista ei ole toistaiseksi raportoitu.
Kollegani, joihin kuuluu Googlen tietoturvatutkija, ja minä olemme kommunikoineet File System Access API:sta vastaavien kehittäjien kanssa , ja he ovat ilmaisseet tukensa työllemme ja kiinnostuksensa lähestymistapojamme kohtaan puolustautua tällaisia hyökkäyksiä vastaan. Teimme myös tietoturvaraportin Microsoftille, mutta emme ole kuulleet heiltä.
Kaksiteräinen miekka
Nykypäivän selaimet ovat lähes itsessään käyttöjärjestelmiä. He voivat suorittaa ohjelmistoja ja salata tiedostoja. Nämä ominaisuudet yhdistettynä selaimen pääsyyn isäntätietokoneen tiedostoihin – mukaan lukien pilvessä olevat, jaetut kansiot ja ulkoiset asemat – File System Access API:n kautta luovat uuden mahdollisuuden lunnasohjelmille.
Kuvittele, että haluat muokata valokuvia hyvänlaatuisen näköisellä ilmaisella online-valokuvien muokkaustyökalulla. Kun lähetät kuvat muokattavaksi, kaikki haitallista muokkaustyökalua hallitsevat hakkerit voivat käyttää tietokoneesi tiedostoja selaimesi kautta. Hakkerit pääsevät kansioon, josta lataat, ja kaikkiin alikansioihin. Sitten hakkerit voivat salata tiedostot tiedostojärjestelmässäsi ja vaatia lunnaita niiden salauksen purkamiseksi.
Ransomware on kasvava ongelma. Hyökkäykset ovat kohdanneet yksilöitä ja organisaatioita, mukaan lukien Fortune 500 -yritykset, pankit, pilvipalveluntarjoajat, risteilyoperaattorit, uhkien seurantapalvelut, sirujen valmistajat, hallitukset, terveyskeskukset ja sairaalat, vakuutusyhtiöt, koulut, yliopistot ja jopa poliisilaitokset. Vuonna 2023 organisaatiot maksoivat yli 1,1 miljardia dollaria kiristysohjelmamaksuja hyökkääjille, ja 19 kiristysohjelmahyökkäystä kohdistui organisaatioihin joka sekunti .
Ei ole ihme, että kiristysohjelmat ovat tämän päivän kilpavarustelu hakkereiden ja tietoturvaasiantuntijoiden välillä. Perinteinen kiristysohjelma käynnistyy tietokoneellasi sen jälkeen, kun hakkerit ovat huijannut sinut lataamaan sen.
Uudet puolustukset uudelle uhalle
Johtamani tutkijaryhmä Floridan kansainvälisen yliopiston Cyber-Physical Systems Security Labissa , mukaan lukien tohtorintutkija Abbas Acar ja Ph.D. ehdokas Harun Oz yhteistyössä Googlen vanhemman tutkijan Güliz Seray Tuncayn kanssa on tutkinut tätä uudentyyppistä mahdollista kiristyshaitta viimeisten kahden vuoden ajan. Erityisesti olemme tutkineet, kuinka tehokkaita nykyaikaisista verkkoselaimista on tullut ja kuinka hakkerit voivat aseistaa niitä luodakseen uusia kiristysohjelmia.
Artikkelissamme RøB: Ransomware over Modern Web Browsers , joka esiteltiin USENIX Security Symposiumissa elokuussa 2023, osoitimme, kuinka tämä uusi kiristysohjelmakanta on helppo suunnitella ja kuinka vahingollista se voi olla. Erityisesti suunnittelimme ja toteutimme ensimmäisen selainpohjaisen lunnasohjelman nimeltä RøB ja analysoimme sen käyttöä selaimilla, jotka toimivat kolmessa eri suuressa käyttöjärjestelmässä – Windows, Linux ja MacOS – viisi pilvipalveluntarjoajaa ja viisi virustorjuntatuotetta.
Arvioimme osoittivat, että RøB pystyy salaamaan monenlaisia tiedostoja. Koska RøB toimii selaimen sisällä, perinteisellä virustorjuntaohjelmalla ei ole haitallisia hyötykuormia. Tämä tarkoittaa, että nykyiset kiristysohjelmien tunnistusjärjestelmät kohtaavat useita ongelmia tätä tehokasta selainpohjaista kiristysohjelmaa vastaan.
Ehdotimme kolmea erilaista puolustusmenetelmää tämän uuden kiristysohjelmatyypin hillitsemiseksi. Nämä lähestymistavat toimivat eri tasoilla – selaimella, tiedostojärjestelmällä ja käyttäjällä – ja täydentävät toisiaan.
Ensimmäinen lähestymistapa pysäyttää väliaikaisesti verkkosovelluksen – selaimessa ajettavan ohjelman – salattujen käyttäjätiedostojen havaitsemiseksi. Toinen lähestymistapa tarkkailee verkkosovelluksen toimintaa käyttäjän tietokoneella tunnistaakseen kiristysohjelmien kaltaisia malleja. Kolmas lähestymistapa esittelee uuden käyttöoikeusvalintaikkunan, joka ilmoittaa käyttäjille riskeistä ja seurauksista, jotka liittyvät verkkosovellusten pääsyn sallimiseen tietokoneen tiedostojärjestelmään.
Kun kyse on tietokoneesi suojaamisesta, ole varovainen sen suhteen, minne lataat ja lataat tiedostoja. Latauksesi voivat antaa hakkereille reitin “sisään” tietokoneellesi.
