В мире кибербезопасности постоянно появляются новые формы угроз и уязвимостей. Но программа-вымогатель оказывается самым разрушительным, настойчивым, заведомо сложным для предотвращения и не эпидемия таких программ не подает признаков замедления.
Падение жертвы атаки программы-вымогателя может привести к значительной потере данных, утечке данных, простоям в работе, дорогостоящему восстановлению, юридическим последствиям и ущербу репутации.
В этой истории я постараюсь рассмотреть все, что вам нужно знать о программах-вымогателях и о том, как они работают.
Что такое программа-вымогатель?
Программа-вымогатель — это вредоносная программа, которая получает контроль над зараженным устройством, шифрует файлы и блокирует доступ пользователей к данным или системе до тех пор, пока не будет выплачена денежная сумма или выкуп.
Схема Крукса включает записку о выкупе с указанием суммы и инструкциями о том, как заплатить выкуп в обмен на ключ дешифрования , или прямое общение с жертвой.
В то время как программы-вымогатели поражают предприятия и учреждения любого размера и типа, злоумышленники часто нацелены на секторы здравоохранения, образования, информационных технологий, государственного и финансового секторов с более глубокими карманами, нанося ущерб от сотен миллионов до миллиардов долларов.
Атаки программ-вымогателей начали набирать обороты в 2012 году, и с тех пор они стали наиболее распространенными кибератаками во всем мире.
Например, вымогатель HelloKitty поразил польского разработчика видеоигр CD Projekt Red с довольно популярной тактикой, то есть злоумышленники угрожали компании утечкой исходного кода игр, включая Cyberpunk 2077, Witcher 3, Gwent, а также конфиденциальных файлов компании.
И это произошло на самом деле! После того, как CD Projekt объявили, что не будут платить выкуп, злоумышленники организовали аукцион для украденных данных на хакерском форуме.
Только в 2020 году онлайн было проанализировано более 124 тысяч интерактивных сессий с программами-вымогателями.
От шкафчика до предприятия
Один из способов защиты от нападения — осознанность. Я считаю, что руководители и сотрудники предприятий должны понимать этот тип угроз.
В этой статье мы рассмотрим историю программ-вымогателей:
Первая программа-вымогатель
Первая известная атака с использованием программ-вымогателей была осуществлена в 1989 году исследователем СПИДа Джозефом Поппом, который распространил 20 000 вредоносных дискет среди исследователей СПИДа из более чем 90 стран, заявив, что на дисках содержится программа исследования. С тех пор угроза программ-вымогателей сильно изменилась и приобрела больше функций.
Locker вымогатели
В 2007 году появилась новая категория программ-вымогателей Locker, которые не шифруют файлы; вместо этого он блокирует доступ жертвы к устройству, не позволяя им использовать его.
Аналогично этому WinLock потребовала выкуп в размере 10 долларов за код разблокировки. Позже червь Citadel, Lyposit и Reveton контролировал экран с прекрасным сообщением от поддельного правоохранительного органа.
Обычно это принимает форму блокировки пользовательского интерфейса компьютера или устройства, а затем просят пользователя заплатить комиссию за восстановление доступа к нему.
Пугающее ПО
В последующие годы злоумышленники изменили свою стратегию, чтобы заработать на страхе, распространяя поддельные приложения и антивирусные (AV) программы. При атаке жертвам выводится всплывающее сообщение о том, что их компьютеры заражены вирусами. Он заманивает жертв на веб-сайт, где их просят заплатить деньги за программное обеспечение для решения проблемы. Все выглядело достоверно: логотипы, цветовые схемы и другие материалы, защищенные авторским правом.
С этого момента злоумышленники поняли, что взломать несколько веб-сайтов, сосредоточиться на фишинге и автоматизировать весь процесс намного проще.
Шифровальщики
В 2013 году CryptoLocker стал первым криптографическим вредоносным ПО, которое обычно приходит в виде вложения электронной почты. За эти атаки ответственен ботнет Gameover ZeuS. CryptoLocker шифрует файлы, и после этого для их разблокировки требовалась оплата биткойнами.
Если выкуп не был получен в течение 3 дней, выкуп удваивался. CryptorBit, CryptoDefense, CryptoWall, WannaCry расширили варианты ловушек и даже использовали слабые места системы для заражения компьютеров.
Последним шагом в этой эволюции стало появление программы-вымогателя как услуги, которая впервые появилась в 2015 году с запуском инструментария Tox. Это дало потенциальным киберпреступникам возможность разрабатывать собственные инструменты вымогателей с расширенными возможностями уклонения.
Корпоративные программы-вымогатели
Злоумышленники-вымогатели поднялись и перешли на уровень предприятия. Они предпочитали иметь дело с крупными организациями и пугать их возможной вспышкой.
Например, цель получила электронное письмо с угрозой распределенной атаки типа «отказ в обслуживании» (DDoS). Чтобы этого избежать, жертвам нужно было заплатить выкуп.
Еще один случай — выкуп за компрометацию данных. Преступник угрожает цели использовать скомпрометированную информацию для общественности, если не будет уплачен выкуп. Следующая тактика эффективна на уровне предприятия, поскольку компании не хотят ставить под угрозу свою репутацию.
Теперь ясно, что вредоносные программы будут продолжать развиваться. И, возможно, он приобретет гибридные атаки, в том числе другие семейства вредоносных программ.
Подробнее об атаке
Теперь, когда мы знаем историю и типы программ-вымогателей, пришло время понять, как они работают.
- Развертывание: на первом этапе злоумышленники распространяют основные компоненты, используемые для заражения, шифрования или блокировки системы, загружаемые без ведома пользователя, с помощью фишинга или после использования целевых системных недостатков.
- Установка: после загрузки полезной нагрузки следующим шагом будет заражение. Вредоносная программа сбрасывает небольшой файл, который часто может избежать защиты. Программа-вымогатель запускается и пытается закрепиться в зараженной системе, выполняя автозапуск ключей реестра, что позволяет удаленным злоумышленникам контролировать систему.
- Command-and-Control: вредоносная программа затем подключается к серверу управления и контроля (C2) злоумышленников для получения инструкций и, в первую очередь, для внесения асимметричного закрытого ключа шифрования в недоступное для жертвы место.
- Уничтожение: после шифрования файлов вредоносная программа удаляет исходные копии в системе, и единственный способ восстановить их — расшифровать закодированные файлы.
- Вымогательство: записки с требованием выкупа. Жертва узнает, что его данные скомпрометированы. Диапазон выплат варьируется в зависимости от типа цели. Чтобы запутать и напугать жертву, злоумышленники могут удалить с компьютера несколько файлов. Однако, если пользователь платит выкуп, это не гарантирует, что информация будет восстановлена или сама программа-вымогатель будет удалена.
Популярные семейства и операторы
- В мире программ-вымогателей известно несколько типов вредоносных программ. Давайте рассмотрим их и поговорим о популярных операторах, которые выделяются в истории вредоносных программ:
Программа-вымогатель GandCrab — один из самых известных выпусков программ-вымогателей за последние несколько лет, жертвами которого стали выплаты почти на 2 миллиарда долларов.
Считается, что это продукт российской хакерской группы, GandCrab был обнаружен в 2018 году как часть Ransomware-as-a-Service (RaaS), проданного другим киберпреступникам.
Хотя GandCrab объявил о «выходе на пенсию» в 2019 году, некоторые исследователи утверждают, что он вернулся с новым штаммом под названием Sodinokibi с аналогичной кодовой базой. Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации.
- Далее, программа- вымогатель Maze , о которой много писали в последние два года, известна тем, что публикует украденные данные, если жертва не платит за их расшифровку.
Это была первая атака программ-вымогателей, в которой шифрование данных сочеталось с кражей информации. Более того, они пригрозили обнародовать данные, если выкуп не будет уплачен. Когда началась COVID-19, Maze объявили, что оставят больницы в покое. Но позже они нарушили и это обещание.
В 2020 году Maze объявил о закрытии своей деятельности. Но более вероятно, что они просто перешли на другое вредоносное ПО.
- Netwalker использовал очистку процессов и обфускацию кода для нацеливания на корпоративных жертв. Но в январе 2021 года правоохранительные органы объединились против Netwalker и захватили домены в DarkNet, используемые злоумышленниками.
- Wannacry автономно распространяется с компьютера на компьютер с помощью EternalBlue, эксплойта, предположительно разработанного АНБ, а затем украденного хакерами.
Это самый загружаемый тип вымогателей в сервисе ANY.RUN в 2020 году. Он попал в топ вредоносных программ с 1930 задачами. Вы можете изучить их в публичной библиотеке для отправки, выполнив поиск по тегу «wannacry».
- Спам Avaddon обычно содержит единственный смайлик, который побуждает пользователей загрузить вложение. Перед заражением вредоносная программа также проверяет языковой стандарт пользователя. Если это русский язык или язык чероки, Avaddon не шифрует системы.
- Babuk — это новое вредоносное ПО, нацеленное на предприятия в 2021 году. Babuk включает шифрование, которое делает невозможным бесплатное восстановление файлов.
Цели атак программ-вымогателей
Есть несколько причин, по которым злоумышленники сначала выбирают, какие организации они хотят атаковать с помощью программ-вымогателей:
- Легко уклониться от защиты. Университеты, небольшие компании с небольшими группами безопасности — легкая цель. Совместное использование файлов и обширная база данных упрощают проникновение для злоумышленников.
- Возможность быстрой оплаты. Некоторые организации вынуждены быстро платить выкуп. Правительственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим данным. Юридические фирмы и другие организации с конфиденциальными данными обычно хотят сохранить в секрете взлом.
Некоторые программы-вымогатели распространяются автоматически, и любой желающий может стать их жертвой.
Быстрый рост программ-вымогателей
Основная причина успеха этого типа вредоносного ПО — это атаки, которые приносят результаты злоумышленникам. Рынки позволяют мошенникам покупать сложные программы-вымогатели для заработка.
Авторы вредоносных программ предлагают несколько способов упаковки вымогателей. Вредоносное ПО быстро и незаметно шифрует системы. Как только выкуп получен, замести следы не составит труда. Это приводит к значительному увеличению.
Теперь преступники рассчитывают получить сотни или тысячи долларов, поскольку компании не хотят рисковать потерей данных и отключениями.
Способы распространения программ-вымогателей
Вот несколько способов распространения программ-вымогателей:
- Электронная почта (спам)
- Вредоносная реклама
- Наборы эксплойтов
- USB и съемный носитель
- Программа-вымогатель как услуга
Меры профилактики
2021 год начался с арестов банд вымогателей. Хакерская группа Egregor была уничтожена французской и украинской полицией.
Это хорошая тенденция, когда правоохранительные органы продолжают уничтожать злоумышленников. Однако нам нужно быть осторожными и также постараться остановить атаки.
Для защиты от программ-вымогателей компании должны иметь тщательно продуманный план защиты от вредоносных программ, включая резервные копии данных. Поскольку программы-вымогатели очень сложно обнаружить и бороться с ними, следует использовать различные механизмы защиты.
