Быстрое развитие ИТ-сферы, внедрение ее во все сферы жизни, особенно в различные производственные и управленческие процессы делает критически важной защиту информационной инфраструктуры. Наиболее популярным в настоящее время методом атак на информационные системы, время простоя которых грозит крупными финансовыми и репетиционными потерями, являются программы-вымогатели.
Трояны-вымогатели – типы вредоносного ПО, которые используют ценную информацию пользователя для получения выкупа. В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:
- шифрование файлов в системе;
- блокировка или помеха работе в системе;
- блокировка или помеха работе в браузерах.
Существование вирусов-вымогателей становится возможным по нескольким причинам:
Во-первых, это различные уязвимости (эксплоиты) программ и сетевых протоколов, которые позволяют получить полный доступ к атакуемой системе, в том числе загрузка троянских программ и вирусов-вымогателей. Например, недавно была обнаружена уязвимость в ОС Windows 7-10, связанная с обработкой и отображением шрифтов, которая позволяет удаленно исполнять код на компьютере атакуемого, а также запустить вирус-вымогатель.
Во-вторых, более распространенная это человеческий фактор. В настоящее время во многих организациях, а особенно муниципальных, существует недостаток компьютерной грамотности. Неквалифицированный в ИТ-области персонал может без каких-либо опасений загрузить зараженный файл из полученного письма и открыть его, что многократно упрощает работу злоумышленника.
Часто киберпреступники используют метод OSINT (поиск и сбор информации из общедоступных источников), чтобы подготовиться к атаке и оценить её прибыльность. Собирая информацию, они лучше понимают бизнес-модель организации и репутационные риски, которые она понесет из-за атаки. Также хакеры ищут наиболее важные системы и подсистемы, которые можно полностью изолировать или отключить при помощи вирусов-вымогателей, а это увеличивает шанс на получение выкупа. Не в последнюю очередь оценивается состояние систем кибербезопасности: нет смысла начинать атаку на компанию, ИТ-специалисты которой способны с высокой вероятностью её отразить.
Чтобы увеличить возможность заражения также применяются методы социальной инженерии (атака, при которых жертва добровольно совершает нужные хакеру действия или выдаёт информацию, считая, например, что общается с представителем руководства или клиента организации), которые упрощают сбор информации о сотрудниках из общедоступных источников.
История применения программ-вымогателей насчитывает уже почти 30 лет.
В 1991 году ученый-биолог распространил первый троян-вымогатель «PC Cyborg», также известный как «AIDS», отправив по обычной почте дискеты с вирусом другим исследователям СПИДа.
В 2010-х возник новый тренд в данном виде мошенничества: использование криптовалюты для передачи выкупа киберпреступникам. Привлекательность данного метода очевидна, ведь криптовалюты специально разработаны для обеспечения анонимного способа оплаты. Большинство вымогателей требовали оплату в биткойнах, самой известной криптовалюте, хотя некоторые начали изменять свои требования в пользу других валют, так как популярность биткойнов делала его стоимость более волатильной.
Атаки в середине 2010-х годов достигли своего критического уровня. Но к 2018 году бум вымогателей перешел в еще один незаконный способ получения биткойнов, который не требовал от жертв понимания, что же такое криптовалюты. И этот способ называется криптоджекинг (от англ. cryptojacking). Криптоджекеры следуют сценарию, который спаммеры и DDoSеры используют в течение многих лет: тайно получают контроль над компьютерами без ведома их владельцев. В случае криптоджекинга скомпрометированные машины превращаются в майнинг-установки для биткойнов, которые тихо генерируют криптовалюту в фоновом режиме и поглощают незанятые вычислительные циклы, замедляя устройства ничего не подозревающей жертвы. Атаки с помощью вирусов-вымогателей снизились в течение 2018 года, в то время как криптоджекинговые атаки выросли на 450 процентов.
К 2018 году бум вымогателей, кажется, достиг своего пика. Но за последние 24 месяца изменения в тактике хакеров привели к возобновлению атак с помощью троянов-вымогателей.
Атаки вирусов вымогателей в настоящее время
За последние два года атаки вирусов-вымогателей вернулись с двойным усилением.
Мунир Хахад, глава Juniper Threat Labs в Juniper Networks, видит две большие движущие силы в этой тенденции. Первая связана с высокой нестабильностью цен на криптовалюты. Многие криптоджекеры использовали компьютеры своих жертв для майнинга валюты Monero с открытым исходным кодом. Но по словам Хахада, в связи с падением цен Monero злоумышленники поймут в определенный момент, что криптоджекинг не будет таким же прибыльным, как вирусы-вымогатели. А поскольку они уже скомпрометировали машины своих жертв с помощью троянских загрузчиков, было просто запустить атаку с помощью вирусов-вымогателей в тот момент, когда настало время.
«Я искренне надеялся, что это произойдет через два-три года, — говорит Хахад, — но им потребовалось от года до полутора, чтобы приспособиться и вернуться к своей первоначальной тактике атак».
Другая тенденция заключалась в том, что все больше атак было направлено на серверы крупных предприятий, на которых хранятся критически важные данные.
«Если вы получите случайный ноутбук – это не станет большой проблемой для крупного предприятия, — говорит Хахад, — но, если вы доберетесь до серверов, которые обеспечивают их повседневную деятельность, у вас будет гораздо больше возможностей».
Эти виды атак требуют более высокого уровня подготовки. Не обязательно с точки зрения сложности самого кода вируса-вымогателя, а скорее это зависит от навыков, необходимых злоумышленникам, чтобы проникнуть в более защищенные системы для установки вредоносного ПО. Сейчас многие хакеры ориентированы на целенаправленные атаки с хорошими возможностями горизонтального перемещения внутри инфраструктуры жертвы, и в большинстве случаев это горизонтальное движение не является автоматическим. На начальном этапе подобных атак происходит получение исходных точек проникновения в инфраструктуру, а после этого злоумышленник вручную заходит в сеть жертвы, исследует ее на предмет уязвимых мест и наращивает свои привилегии, получает учетные данные администратора системы, чтобы в итоге иметь доступ к большему числу компонентов системы.
Согласно исследованию Positive technologies за 2019 год в атаках на юридические лица 31% заражений ВПО пришлись на долю троянов-шифровальщиков. В течение года жертвами стали десятки городов, школ и университетов, медицинских центров, промышленных предприятий, IT-компаний. Основные векторы заражений — фишинговые письма, эксплуатация уязвимостей в ПО, атаки через RDP.
Из всего вышесказанного можно сделать вывод, что применение вирусов-вымогателей в настоящее время приняло угрожающий масштаб, потому что отсутствует осведомленность кадров в сфере информационной безопасности. В подтверждение масштаба проблемы далее будут рассмотрены самые крупные инциденты, связанные с применением вирусов-вымогателей.
5 семейств вымогателей. Их цели и методы
SamSam
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 биткоин и больше, чтобы вернуть файлы.
Оригинальное название: SamSam.
На файле написано: samsam.exe.
Удалённые взломщики используют хакерский инструмент JexBoss для автоматического обнаружения уязвимых систем с устаревшими версиями JBOSS и последующего запуска атаки для удалённой установки вымогателей SamSam на компьютеры жертв. Вредоносное ПО, поставляющее SamSam, раздается на Windows-системы посредством эксплуатации уязвимостей в непропатченных серверах JBoss. Затем устанавливает веб-шелл, идентифицирует другие подключенные к сети системы и внедряет вымогателя SamSam для осуществления шифрования файлов на устройствах сети.
Источник — https://id-ransomware.blogspot.com/2016/03/samsam.html
Атаки с использованием SamSam начали появляться в конце 2015 года. В последние несколько лет они серьезно усилились. Например, от атак этого вымогателя пострадали такие крупные предприятия, как Департамент транспорта Колорадо, город Атланта и многочисленные медицинские учреждения по всему миру. SamSam — прекрасный пример того, как организационное мастерство злоумышленников так же важно, как и их навыки программирования. SamSam не без разбора ищет какую-то конкретную уязвимость, как это делают некоторые другие варианты вымогателей, а скорее работает как Ransomware-as-a-Service, тщательно проверяя заранее выбранные цели на наличие слабых мест, а также применяя дыры, которые могут быть использованы для эксплуатации уязвимостей в протоколах FTP и RDP у сервера IIS.
Изначально исследователи в области безопасности предполагали, что SamSam имеет восточноевропейское происхождение, так как подавляющее большинство его атак было направлено против учреждений в Соединенных Штатах. В конце 2018 года Министерство юстиции Соединенных Штатов предъявило обвинение двум иранцам, которые, по их утверждению, стояли за терактами. В обвинительном заключении говорится, что эти нападения привели к убыткам в размере более 30 млн долларов США. Но непонятно, сколько именно из этой суммы власти заплатили вымогателям. В какой-то момент городское правительство Атланты предоставило местным СМИ скриншоты сообщений с требованием выкупа, в которых содержалась информация о том, как связаться с злоумышленниками. Данное действие привело к утрате канала связи с мошенниками, что, возможно, и не позволило Атланте заплатить выкуп, даже если бы они этого захотели.
Ryuk
Ryuk — еще один вариант вируса-вымогателя, который получил большое распространение в 2018 и 2019 годах. Его жертвами были выбраны организации, для которых простои в работе являются крайне критичными. Например, редакции ежедневных новостей, а также водоканал Северной Каролины, который в то время боролся с последствиями урагана Флоренция. Издание The Los Angeles Times написало подробный отчет о том, что произошло, когда их собственные системы были заражены данным вирусом. Одна из самых коварных особенностей Ryuk заключается в том, что он может отключить функцию восстановления системы Windows на зараженных компьютерах, что еще больше затрудняет получение зашифрованных данных без выплаты выкупа. Требования к каверингу были особенно высокими, что соответствовало уровню выбранных жертв. Волна атак во время сезона отпусков показала, что нападавшие не боялись испортить Рождество для достижения своих целей.
Аналитики считают, что исходный код Ryuk в основном взят из Hermes, который был разработан группировкой «Lazarus Group» из Северной Кореи. Тем не менее это не означает, что сами атаки Ryuk были осуществлены из Северной Кореи. McAfee считает, что Ryuk был построен на коде, приобретенном у русскоязычного поставщика отчасти потому, что вирус-вымогатель не поддерживает работу на компьютерах, на которых установлен русский, белорусский или украинский язык. Но как именно этот российский хакер(ы) получил код из Северной Кореи неясно.
PureLocker
PureLocker — это новый вариант вымогателей, который был предметом статьи совместно выпущенной IBM и Intezer в ноябре 2019 года. Работая на компьютерах с Windows или Linux, PureLocker является хорошим примером новой волны «нацеленного» вредоносного ПО. Вместо того, чтобы внедряться на компьютерах с помощью широкомасштабных фишинговых атак, PureLocker, по-видимому, связан с вредоносным ПО для создания бэкдоров more_eggs, которое не раз было использовано несколькими известными киберпреступными бандами. Другими словами, PureLocker устанавливается на компьютерах, которые уже были скомпрометированы и находятся под некоторым контролем злоумышленников. И вместо того, чтобы сразу начать шифровать все данные, к которым может получить доступ, он сначала проводит ряд проверок и определяет самую критичную информацию. PureLocker не проявляет себя, если его запускать в песочнице или программах для исследования вредоносного ПО. Благодаря такому функционалу он несколько недель оставался незамеченным антивирусными движками и исследователями.
Хотя IBM и Intezer не раскрыли, насколько широко распространены заражения PureLocker, они показали, что большинство из них произошло на корпоративных производственных серверах, которые, очевидно, являются очень важными объектами. Исследователь безопасности «Intezer» Майкл Каджилоти (Michael Kajiloti) считает, что PureLocker это вымогатель как услуга (ransomware as a service), которая доступна только для преступных группировок, имеющих возможность заплатить заранее, так как для проведения атак с применением данного ПО необходимо участие и постоянный контроль высококвалифицированных специалистов.
Zeppelin
Zeppelin является потомком семейства вирусов известных как Vega или VegasLocker (еще одного представителя «вымогатель как услуга»), которое вызвало хаос среди аудиторских компаний в России и Восточной Европе. Zeppelin имеет ряд новых технических хитростей, в частности, согласно его конфигурированию. Но главная отличительная черта этого вымогателя от семейства Vega это возможность проведения таргетированных атак. В то время, как Vega распространялась хаотично и в основном работала в русскоязычной среде, Zeppelin не предназначен для работы на компьютерах в России, Украине, Белоруссии или Казахстане. Zeppelin распространяется несколькими способами, в том числе в виде EXE, DLL или загрузчика PowerShell, но, по крайней мере, некоторые из его атак были совершены с помощью скомпрометированных провайдеров управляемых услуг безопасности, что вызывает особую тревогу.
Zeppelin стал широко распространяться в ноябре 2019 года, а тщательно подобранный перечень его жертв является еще одним доказательством отличия от Vega. Жертвами были организации в сфере здравоохранения в Северной Америке и Европе. Требования о выкупе были подготовлены с учетом особенностей сферы и специальными для зараженной организации. Эксперты по безопасности считают, что переход от поведения Vega является результатом использования кодовой базы новым и более амбициозным действующим лицом, вероятно, в России. Хотя число заражений не так велико, эксперты полагают то, что мы видели до настоящего времени, является подтверждением возможности проведения большего числа атак с применением данного вируса.
REvil/Sodinokibi
Sodinokibi, также известный как REvil, впервые появился в апреле 2019 года. Как и Zeppelin, Sodinokibi оказался потомком другого семейства вирусов, которое называется GandCrab. У него тоже были правила, препятствующие исполнению в России и нескольких соседних странах, а также в Сирии, что указывает на его русское происхождение. Он имел несколько методов распространения, включая использование дыр в серверах Oracle WebLogic или в Pulse Connect Secure VPN.
Распространение Sodinokibi снова указывало на амбициозную команду создателей, возможно, также позиционирующую данный вирус в виде «вымогатель как услуга». Его распространение стало причиной проблем в 22 небольших городов в Техасе, но широкую известность он получил, когда в канун 2019 года остановил работу службы обмена валют «Travelex» в Великобритании, заставив операторов вместо компьютеров использовать калькуляторы и блокноты. Вымогатели потребовали сумасшедший выкуп размером 6 млн долларов, хотя «Travelex» это отказывается подтверждать или опровергать.
RobbinHood
В начале мая администрация американского города Балтимор столкнулась с шифровальщиком-вымогателем, заразившим ряд муниципальных компьютеров. Часть городских служб была полностью парализована. Вскоре на сайте города появилось сообщение о том, что связаться с властями можно только по телефону. Виной всему — программа-вымогатель под названием RobbinHood. Последствия деятельности вируса были оценены в 18 млн долларов.
В частности, в Балтиморе писали о таких проблемах, как:
- пропала возможность подать обращение в мэрию, поскольку чиновники лишились доступа к электронной почте;
- были приостановлены сделки по продаже недвижимости (около 1,5 тысяч);
- пропала возможность онлайн-оплаты штрафов за неправильную парковку и нарушения ПДД, что привело к нарушению сроков оплаты;
- пострадали базы данных системы оплаты коммунальных услуг и налогов на недвижимость. В результате выписать и оплатить счета оказалось невозможно, как и получить расписку об отсутствии долгов у лиц, продающих дома и квартиры.
Источник — https://www.baltimoresun.com/maryland/baltimore-city/bs-md-ci-ransomware-email-20190529-story.html
LockerGoga
18 марта 2019 года один из крупнейших в мире производителей алюминия норвежская компания Norsk Hydro была атакована шифровальщиком. Все заводы были успешно изолированы, процессы переведены на ручное управление там, где это возможно (на заводах по прессованию алюминиевых профилей удалось наладить работоспособность только на 50%). Расследование атаки потребовало привлечения местных властей и органов правопорядка (National Security Authority / NorCERT, Norwegian Police Security Service, National Criminal Investigation Service), а также ряда коммерческих компаний. Восстановление инфраструктуры еще не завершено и отдельные производства (например, по прессованию алюминиевых профилей) до сих пор функционируют на половину мощности.
По данным от NorCERT (Norwegian Computer Emergency Response Team – норвежская команда по реагированию на компьютерные ЧП) речь идет о шифровальщике под названием LockerGoga.
Итого
Все существующие вымогатели работают по схожей схеме действий: проникают в атакуемую систему путём взлома через незащищенную конфигурацию RDP с помощью e-mail-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, шифруют файлы с определенными расширениями, которые предположительно могут содержать полезную информацию, а затем требуют выкуп на криптокошельки злоумышленников, чтобы вернуть файлы. Для атак на крупные объекты часто использовались уязвимости в программном обеспечении и сетевых протоколах, так как злоумышленники были готовы потратить больше ресурсов для достижения крупной выгоды.
В общем можно сказать, что в настоящее время высока вероятность целевых атак на крупные организации, которые способны выплатить киберпреступникам большой выкуп. При этом хакеры не всегда разрабатывают решения для взлома и вредоносное ПО самостоятельно. Злоумышленники выбирают сферы деятельности, в которых нарушение бизнес-процессов приводит к максимальным убыткам (например, транспорт, важные объекты инфраструктуры, энергетика).
Для предупреждения атак с использованием вымогателей существуют следующие рекомендации:
- своевременное обновление используемого ПО;
- проведение инструктажей с персоналом, формирование у них понимания, какая программа может быть вымогателем;
- ведение политики резервного копирования и защиты резервных копий;
- использование антивирусного ПО от крупных вендоров, а также запрет на изменения политик антивируса обычным пользователем.
Из всего вышесказанного можно сделать вывод, что угроза программ-вымогателей в наше время актуальна как никогда. Злоумышленники пользуются тем, что владельцам информации важна как ее целостность и доступность, так и конфиденциальность. Теперь они говорят жертве не только «вы не получите свои данные обратно, пока не предоставите выкуп», но и «мы планируем разместить вашу конфиденциальную информацию в Интернете или продать ее в даркнете тем, кто предложит большую цену». Это выводит вымогателей на новый уровень в бизнес-модели, которую они использую, а также является самым важным новшеством в их стандартной модели поведения. Такое перестроение бизнес-модели открывает новую эру гипер-таргетированных и специально разработанных вымогателей, которые будут достигать новых и опасных глубин.
