Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού που εκβιάζει τους χρήστες για λύτρα εμποδίζοντας την πρόσβαση σε συσκευές ή δεδομένα. Σε γενικές γραμμές το ransomware μπορεί να κατηγοριοποιηθεί σε locker-ransomware και crypto-ransomware. Πιο συγκεκριμένα, το locker-ransomware μπλοκάρει τις αλληλεπιδράσεις των χρηστών με τη συσκευή επαναφέροντας τον κωδικό PIN ή εμφανίζοντας ένα παράθυρο πλήρους οθόνης. Το παράθυρο καλύπτει την οθόνη, γεγονός που καθιστά αδύνατη την αλληλεπίδραση των χρηστών με τη συσκευή. Το παράθυρο μπορεί να εξαφανιστεί μόνο αφού τα θύματα πληρώσουν για τον κωδικό πρόσβασης και τον εισάγουν, όπως υποσχέθηκε. Το Crypto-ransomware κρυπτογραφεί τα δεδομένα των χρηστών και απαιτεί πληρωμή για την αποκρυπτογράφηση. Το Locker-ransomware και το crypto-ransomware εμφανίζονται περιστασιακά μαζί. Θα πρέπει να σημειωθεί, ωστόσο, ότι η πληρωμή των λύτρων δεν εγγυάται ότι οι χρήστες μπορούν να λάβουν τον κωδικό πρόσβασης και να αποκτήσουν ξανά πρόσβαση στις συσκευές.
Οι περισσότεροι εισβολείς ransomware οδηγούνται από το κέρδος. Για να παρακινήσουν τους χρήστες να πληρώσουν τα λύτρα χωρίς δισταγμό και υποψίες, οι επιτιθέμενοι στρέφονται σε ψυχολογικές τακτικές. Συχνά εξοπλίζουν το ransomware με ταπεινωτικά μηνύματα και πορνογραφικές εικόνες. Η δύσκολη χρήση τους τόσο της τεχνολογίας όσο και της ψυχολογίας καθιστούν το ransomware ένα σοβαρό πρόβλημα για το κοινό, το οποίο πρέπει να αντιμετωπιστεί επειγόντως. Το Ransomware είναι αναμφισβήτητα το πιο ενοχλητικό έγκλημα που εξαρτάται από τον κυβερνοχώρο μέχρι σήμερα. Όχι μόνο προκαλεί σημαντικές οικονομικές απώλειες παγκοσμίως, αλλά απειλεί επίσης τις δημόσιες υπηρεσίες και την ασφάλεια, όπως κρίσιμες υποδομές, συμπεριλαμβανομένων των δημόσιων μεταφορών και των εγκαταστάσεων υγειονομικής περίθαλψης. Τα τελευταία χρόνια, ένας αυξανόμενος αριθμός locker-ransomware αποτελεί μεγάλη απειλή για την πλατφόρμα Android καθώς και τις ιδιότητες των χρηστών. Το Locker-ransomware εκβιάζει τα θύματα για λύτρα κλειδώνοντας υποχρεωτικά τις συσκευές. Το χειρότερο είναι ότι μια ώριμη αλυσίδα συναλλαγών locker-ransomware έχει διαμορφωθεί στα κινεζικά κοινωνικά δίκτυα. Ο αποτελεσματικός εντοπισμός του Locker-ransomware είναι ένα επείγον αλλά κρίσιμο ζήτημα.
Η εξέταση περιπτώσεων δραστηριοτήτων ransomware που συνδέονται με κινεζικούς παράγοντες απειλών δείχνει μια αύξηση στην ανάπτυξη ransomware από το 2016. Η πλειονότητα των υποθέσεων που έχουν αποκαλύψει οι κυνηγοί απειλών ήταν πολιτικά υποκινούμενες και διεξήχθησαν από παράγοντες απειλών με κάποιο βαθμό σχέσης με το κινεζικό κράτος. Το Spectrum of State Responsibility, το οποίο εισήγαγε ο ερευνητής νόμου στον κυβερνοχώρο Jason Healey το 2012, κατηγοριοποιεί παραλλαγές σχετικά με τη σχέση εγκληματικότητας/κράτους στις επιχειρήσεις πειρατείας, που κυμαίνονται από “απαγορευμένο από το κράτος” έως “ενθάρρυνση από το κράτος” έως “ενσωματωμένο στο κράτος”. Οι Κινέζοι φορείς απειλών χρησιμοποιούν ransomware για να προκαλέσουν εσφαλμένη κατανομή, απόσπαση της προσοχής, διακοπή ή ακόμα και καταστροφή και για να παράσχουν οικονομικό κέρδος, κάλυψη για επιχειρήσεις κατασκοπείας και τη δυνατότητα αφαίρεσης των αποδεικτικών στοιχείων. Ετοιμάζεται ένα χρονολογικό χρονοδιάγραμμα για την κατανόηση των αποχρώσεων των κινεζικών επιθέσεων ransomware (το έτος που δίνεται είναι το έτος κατά το οποίο αναφέρθηκε μια επιχείρηση):
Τον Μάιο του 2020, η Taiwan-CERT ανέφερε ότι αρκετές πετροχημικές εταιρείες με έδρα την Ταϊβάν και ένα εργοστάσιο κατασκευής ημιαγωγών έπεσαν θύματα στοχευμένων επιθέσεων ransomware που σταμάτησαν τις λειτουργίες και απαιτούσαν από τις εταιρείες να απομονώσουν τα επηρεαζόμενα δίκτυα και να επαναφέρουν τα αρχεία αντιγράφων ασφαλείας. Το Γραφείο Ερευνών της Ταϊβάν απέδωσε την επίθεση ransomware στον όμιλο Winnti που εδρεύει στην Κίνα. Η εταιρεία ασφαλείας Trend Micro ανέλυσε την οικογένεια ransomware και υπέδειξε ότι η επίθεση ήταν δυνητικά καταστροφική, καθώς το ransomware φαινόταν να στοχεύει βάσεις δεδομένων και διακομιστές email για κρυπτογράφηση. Αυτή ήταν η πρώτη μεγάλη καταστροφική επίθεση με χρήση ransomware από ομάδα που χρηματοδοτείται από την Κίνα τα τελευταία χρόνια. Οι Κινέζοι κυβερνοαπειλές χρησιμοποιούν συχνά την Ταϊβάν ως πεδίο δοκιμών λόγω της κοινής γλώσσας και της κινεζικής αντίληψης ότι η Ταϊβάν είναι δικαίως μέρος της Κίνας και ότι οι παγκόσμιες δυνάμεις δεν θα αντεκδικήσουν την Κίνα για επιθετικότητα εναντίον μιας διπλωματικά απομονωμένης Ταϊβάν.
Στις 14 Μαρτίου 2024, μια επίθεση ransomware κρυπτογραφούσε ένα κυβερνητικό σύστημα πληροφοριών οικονομικής διαχείρισης στο έθνος Παλάου στο νησί του Ειρηνικού. Το σύστημα περιέχει κυρίως δημόσια δεδομένα, όπως ονόματα, αριθμούς τηλεφώνου και Αριθμό Κοινωνικής Ασφάλισης Παλαουάν. Η ομάδα κυβερνοασφάλειας της κυβέρνησης του Παλάου ανακάλυψε ότι οι σύνδεσμοι στα χαρτονομίσματα για τα λύτρα για την επικοινωνία με τους παράγοντες της απειλής ήταν νεκροί σύνδεσμοι και δεν είχαν κλαπεί ευαίσθητα δεδομένα. Οι αξιωματούχοι της κυβέρνησης του Παλάου διαπίστωσαν γρήγορα ότι η επίθεση ransomware δεν ήταν για οικονομικό όφελος αλλά είχε πολιτικά κίνητρα. Η επίθεση σημειώθηκε την ίδια μέρα που το Παλάου είχε μια τελετή για τον εορτασμό του Συμφώνου Ελεύθερης Σύνδεσης (COFA) – μια μακροχρόνια συμφωνία που κωδικοποιεί τη σχέση της χώρας με τις ΗΠΑ. Το Παλάου, ένα στρατηγικά κρίσιμο κράτος των νησιών του Ειρηνικού, είχε μακροχρόνια προβλήματα με την Κίνα από τότε που αναγνώρισε την Ταϊβάν τον Δεκέμβριο του 1999. Τόσο ο όμιλος LockBit με έδρα τη Ρωσία όσο και μια ομάδα ransomware που αυτοαποκαλείται DragonForce άφησαν σημειώσεις λύτρων στα παραβιασμένα κυβερνητικά συστήματα του Παλάου και πρόσθεσε η DragonForce Παλάου στον ιστότοπο διαρροής ονόματος και ντροπής. Οι αξιωματούχοι του Παλάου κατηγόρησαν την Κίνα για την ενορχήστρωση της επίθεσης.