2017/08/03 12:57:06

Вирус-вымогатель
Шифровальщик

Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.

Содержание


Попав на компьютер-«жертву» вирусы-шифровальщики шифруют информацию наиболее распространённых форматов — «офисные», медиа-файлы, архивы, то есть то, что представляет собой наиболее чувствительные для пользователя данные, это либо «работа», либо «жизнь». Дело даже не в выкупе, механизмы доставки денег быстро блокируются и все это понимают.

Защита от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

  • Сделайте резервную копию данных, которую можно будет использовать для восстановления файлов в случае атаки.
  • Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
  • Ознакомьтесь с сайтом международной инициативы No More Ransom, созданной с целью помочь жертвам целевых атак восстановить файлы без необходимости уплаты выкупа. В случае, если ваши данные зашифровали, «Лаборатория Касперского» рекомендует воспользоваться сервисом No Ransom, где представлены инструменты, разработанные компанией для помощи жертвам вымогателей.
  • Проведите аудит установленного ПО: не только на рабочих станциях, но также на всех сетевых узлах и серверах. Вовремя обновляйте ПО.
  • Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
  • Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
  • Избегайте использования учётных записей с привилегиями администратора. Заведите для управления компьютером отдельную учётную запись, а учётную запись с повышенными привилегиями задействуйте в случаях, когда она действительно требуется, скажем, для установки или настройки программного обеспечения. Большинство повседневных пользовательских задач решается без прав «админа». Это касается и домашних компьютеров, особенно тех, к которым имеют доступ дети, тут вообще лучше настроить режим «детской безопасности», благо для этого есть разнообразные возможности.
  • Ограничить сетевой доступ к файлам. Отключите механизмы общего доступа к файловым ресурсам вашего компьютера или ограничьте этот доступ. Последние вирусы в том числе распространяются и по сети от компьютера к компьютеру. Там принцип заражения намного сложнее, но речь не об этом. Для домашней сети, по тем же причинам — то же самое. Не предоставляйте неограниченного сетевого доступа к дискам своего компьютера.
  • Настроить интернет-браузеры. Посмотрите настройки безопасности браузеров, установите тот уровень, который позволит комфортно и безопасно работать. Если набор регулярно посещаемых вами сайтов не слишком велик, можно основательно поднять уровень безопасности без ущерба для качества отображения информации. Конечно, сохранять пароли нехорошо, и этого никто не делает, но на всякий случай — используйте сложные «мастер-пароли» для защиты всех своих сохранённых паролей, если такая опция поддерживается вашим браузером. От специалиста не поможет, но хранить пароли в открытом виде — совсем плохо. Избегайте сайтов-приманок, похожих на настоящие. Внимательно проверяйте, куда именно вы вводите пароли, номера карт и т.д.
  • Проверять публичный Wi-Fi. При использовании публичного Wi-Fi, например, в кафе, убедитесь, что точка доступа действительно принадлежит кафе, а не просто похожа по названию. Посмотрите, имеет ли она защиту (тот самый «замочек»). Также обратите внимание на то, кому принадлежат сертификаты открываемых вами сайтов: сертификаты должны принадлежать им, а не данному кафе или ещё кому-то. Нет никакой гарантии, что за соседним столиком не примостился начинающий хакер и не собирает пароли от соцсетей или не распространяет тот же вирус WannaCry на ноутбуки посетителей.
  • Не открывать подозрительные письма (фишинг). Самое главное — защитить ваши данные, именно на них и нацелены всевозможные «шифровальщики», «вымогатели» и другое вредоносное программное обеспечение. С учётом того, что самым дешёвым и работающим способом доставки вредоносного контента является электронная почта — руководствуйтесь соображениями здравого смысла при получении корреспонденции. Считайте, что всё, что вы получаете снаружи — скорее содержит вирус, чем не содержит. Письмо с любого подозрительного или неизвестного вам адреса — повод удалить письмо не читая. При повседневной работе нарабатывается определённый навык, даже визуально можно отличить адреса, скажем, partner.ru от partner.ru.com или вложенный Счёт.docx от исполняемого файла Счёт.docx. ______.exe или ссылки на скрипт http://куда-то-там. Счёт.pdf.js. Важно помнить, что если «банк», «налоговая», «заказчик» и т.д. побуждают вас письмом что-то срочно сделать с вложением, открыть файл или зайти на некий сайт — относитесь к этому крайне настороженно. Кстати, иногда на улице прямо перед офисом можно найти «потерянную» флешку, встречается и такой метод распространения.
  • Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
  • Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнуткритически важных объектов.

No More Ransom

В конце июля 2016 года был запущен сайт No More Ransom — совместная международная инициатива «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов, направленная на борьбу с троянцами-вымогателями. В качестве основных итогов первого года работы проекта компания приводит следующие цифры: расшифровано более 28 тысяч зараженных вредоносным ПО устройств, а сумма сэкономленных на выкупе денег составила 8 миллионов евро.

На сайте http://omoreransom.org можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год сайт No More Ransom посетили 1,3 миллиона уникальных пользователей, из них 150 тысяч пришлось на 14 мая этого года — пик эпидемии шифровальщика WannaCry. Платформа No More Ransom доступна уже на 26 языках.

За 2016 год проект поддержали более ста партнеров, среди которых как частные компании, так и правоохранительные органы разных стран. Из недавно присоединившихся — банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE), а также правоохранительные органы Чехии, Греции, Гонконга и Ирана.

2017

Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года

Компания Google совместно с Chainalysis, Калифорнийским университетом Сан-Диего и Политехническим институтом Нью-Йоркского университета подсчитали сумму, выплаченную жертвами создателям вирусов–вымогателей. Об этом сообщает издание The Verge[1].

Исследователи проанализировали 34 семейства вирусов–вымогателей, работающих с 2014 года. Больше всего дохода принес вирус-вымогатель Locky, жертвы выплатили разработчикам более $7 млн. Заработок разработчиков шифровальщиков Cerber сотавил $6,9 млн, а CryptXXX - $1,9 млн.

Исследователи отмечают, что создатели вирусов-вымогателей научились обходить антивирусную защиту. После идентификации вредоносного приложения в антивирусное ПО добавляется сигнатура для обнаруженного вредоноса. Однако, современные образцы вирусов способны модифицировать собственный бинарный код, и таким образом, обходить антивирусную защиту, основанную на сигнатурах.

Россия больше не в фокусе программ-вымогателей

Согласно отчету «Лаборатории Касперского», опубликованному 26 июня, Россия вышла из списка топ-10 государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями. По итогам отчетного периода (сравниваются итоги периодов 2015-2016 гг. и 2016-2017 гг.) наша страна уступила место Турции, Вьетнаму и Японии. Доля вымогателей в общем числе заражений мобильными зловредами в России снизилась до 0,88% (в 2015-2016 годах этот показатель составлял 4,91%), указали в антивирусной компании.

Такое резкое падение аналитики «Лаборатории Касперского» объясняют двумя факторами: ростом количества атак вредоносного ПО в целом, на фоне которого доля шифровальщиков растворилась; а также снижением активности трояна Small, традиционно атакующего, в первую очередь, Россию и страны постсоветского пространства.

В целом число пострадавших от троянов, шифрующих файлы, в мире выросло практически вдвое — с 718 536 в 2015–2016 гг. до 1 152 299 в 2016-2017 гг. Количество жертв всех программ-вымогателей за тот же период выросло на 11,4%: с 2 315 931 до 2 581 026.

По оценкам экспертов антивирусной компании, атаки шифровальщиков всё более нацелены на финансовую и промышленную инфраструктуру. Это объясняется тем, что, целевые вредоносные атаки на организации рассматриваются преступниками как более прибыльные, нежели массовые атаки на рядовых пользователей.

«Недавние вспышки эпидемий троянов WannaCry в мае и ExPetr в июне этого года, поразившие тысячи компьютеров коммерческих компаний и правительственных организаций по всему миру, лишь подтверждают наши опасения», — отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Как известно, в нынешнем году произошли две масштабные кибератаки с использованием вымогательского ПО. В мае вымогатель WannaCry парализовал работу компьютеров в более 150 странах мира. В конце июня атакам вымогательского ПО NotPetya подверглись российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.[2]

Украинских пользователей атакует новый шифровальщик, выдающий себя за WannaCry

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков. Новая вымогательская программа пытается выдавать себя за печально известный WannaCry, но на деле не имеет к нему никакого отношения. [3]

В течение мая-июня на территории Украины были отмечены три вредоносные кампании: XData, PSCRypt, NotPetya. И вот теперь появилась некая новая программа, пока не получившая названия.

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков

Она выводит на экран требование о выкупе, идентичное тому, что выводил WannaCry, но этим сходство и ограничивается. Как указывают исследователи, проводившие анализ программы, она написана на .NET, а не на С, как WannaCry; его внутренняя структура не имеет ничего общего со структурой WannaCry, и, кроме того, программа не использует никаких знаменитых эксплойтов, созданных американскими спецслужбами для распространения.

Обычно использование .NET для создания вредоносного ПО - это признак невысокой квалификации программиста. В данном случае, как написал эксперт по безопасности, скрывающийся под ником MalwareHunter, авторы вредоносной программы в высшей степени компетентны, а их творение – «возможно, один из лучших примеров шифровальщика на .NET, который мы видели».

Программа заражает систему через дроппер, который локально распаковывает и сохраняет два разных файла. В одном - требование о выкупе, во втором - сам шифровальщик.

Программа управляет спрятанным в сети Tor контрольным сервером и запускается, судя по всему, только после получения команды с него. Троянец также отключает процессы приложений, чьи файлы собирается шифровать, - данная функция, как отмечает исследователь, уникальна. [4]

В материале Bleeping Computer авторы обращают внимание на странную тенденцию: во всех четырёх кампаниях используется ПО, которое пытается выдавать себя за что-то иное. Например, XData - это в действительности слегка переработанный шифровальщик AES-NI, PSCrypt - переделанный GlobeImposter, появившийся в апреле этого года. NotPetya выдавал себя за Petya, но оказался не шифровальщиком, а вайпером - восстановить доступ к файлам было невозможно даже после выплаты выкупа. И вот теперь ещё один шифровальщик, который выдаёт себя за нечто иное. Что это означает и являются ли все эти совпадения случайными - предмет дискуссионный.

Компания согласилась заплатить $1 млн кибервымогателям

14 июня 2017 года южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов.

« Мы завершили переговоры с хакером и теперь готовим деньги для покупки биткоинов, чтобы восстановить работу зашифрованных серверов, — приводит слова гендиректора Nayana Хвана Чилхона (Hwang Chil-hong) издание The Korea Herald. »

Южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов

Nayana намерена заплатить около $1,1 млн в биткоинах за восстановление данных на серверах, пораженных вредоносным ПО — вирусом-шифровальщиком, который заблокировал хранящиеся на компьютерах файлы.

Как пояснили в Nayana, решение о выплате было принято, чтобы спасти 3400 сайтов своих клиентов, большинство из которых являются небольшими компаниями и стартапами.

В интервью местным СМИ глава Nayana посетовал, что у компании нет другого выбора, кроме как выполнить требования.

« Мы понимаем, что не должны платить выкуп, но иначе ущерб будет нанесен сотням тысяч людей из компаний, которые мы обслуживаем, — заявил он. »

Однако специалисты в области информационной безопасности (ИБ) считают, что своими действиями Nayana создает опасный прецедент. Увидев успех «коллег», другие злоумышленники могут активизировать кибератаки на Корею в погоне за легкими деньгами, предупреждают ИБ-эксперты.

Выкуп Nayana в $1,1 млн почти в 1000 раз больше средней суммы, которые платили жертвы кибервымогателям в 2016 году. По данным Symantec, злоумышленники, шифрующие данные с помощью вредоносного ПО, в среднем требовали у пользователей $1077.

У Nayana нет никаких гарантий того, что, получив деньги, преступник восстановит доступ к файлам. Если даже хакеры не расшифруют данные, компания не сможет ничего предпринять, отмечают специалисты.

Эксперты призвали корейские власти сделать все возможное, чтобы поймать злоумышленников и не допустить подобных атак в будущем.[5]

Глобальная хакерская атака WannaCry 12 мая

Вирус-вымогатель WannaCry начал распространяться 12 мая, затронул 74 страны мира, на компьютеры было совершено более 45 тыс. попыток занести вирусы, которые шифровали все файлы. За дешифровку мошенники требуют $600. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК РФ. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.

Исследование "Лаборатории Касперского"

Согласно наблюдениям специалистов «Лаборатории Касперского», жертвами программ-вымогателей все чаще становятся не частные пользователи, а компании и финансовые учреждения: на сегодня компании известны по меньшей мере восемь кибергруппировок, занимающихся разработкой троянцев-вымогателей для проведения целевых атак на бизнес. В ряде случаев требуемый выкуп достигает полумиллиона долларов.

По словам экспертов, причина трансформации проста: целевые атаки потенциально более прибыльны, чем массовые нападения на частных пользователей. Успешная атака на компанию может парализовать ее деятельность на несколько часов или даже дней – владельцы бизнеса оказываются просто вынуждены заплатить выкуп.

Схемы и инструменты злоумышленников довольно универсальны. Все кибергруппировки сначала заражают сеть компании вредоносным ПО через уязвимости в серверах или фишинговые письма. Затем атакующие укрепляют свои позиции в сети и определяют наиболее ценные корпоративные ресурсы, за «захват» которых можно получить самый большой выкуп.

Однако у групп есть и уникальные черты: например, троянец Mamba использует свободное ПО для шифрования, которое устанавливается на компьютерах жертв посредством легальной утилиты для удаленного управления системой Windows. А авторы троянца PetrWrap отличаются особенно тщательным выбором жертв и долгой подготовкой к атаке: их скрытое присутствие в сети достигает шести месяцев.

Обнаружена модифицированная версия троянца-шифровальщика Petya

Эксперты «Лаборатории Касперского» обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya, обнаруженный «Лабораторией Касперского» в 2016 году, — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно. Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

«Мы наблюдаем очень интересный процесс: киберпреступники стали нападать друг на друга. С нашей точки зрения, это признак растущей конкуренции между различными группировками. Отчасти это хорошо, ведь чем больше времени злоумышленники проводят в борьбе друг с другом, тем менее организованными и эффективными будут их атаки и они сами, — прокомментировал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского». — В случае с PetrWrap нас беспокоит тот факт, что троянец-шифровальщик используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими».

Для защиты организации от целенаправленных атак «Лаборатория Касперского» рекомендует предпринять ряд мер. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.

Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.

Троянцы-шифровальщики могут уничтожать целые корпорации

Целые компании могут быть уничтожены в результате атаки шифровальщиков-вымогателей, — такой безрадостный прогноз делает генеральный директор компании Sophos Крис Хагерман (Kris Hagerman). Выступая на конференции RSA в Сан-Франциско, он отметил, что сценарий, при котором злоумышленники атакуют банк и требуют выплатить 10 млн долларов, в противном случае угрожая уничтожить все файлы на серверах организации, сегодня уже не выглядит фантастикой.[6]

За последние 12 месяцев уже были случаи, когда организации выплачивали вымогателям огромные суммы за возвращение доступа к своим данным. Например, больница в Лос-Анджелесе призналась, что выплатила около 17 тысяч долларов после того, как её инфраструктура была атакована троянцем-шифровальщиком. В начале этого года администрация муниципального колледжа (также в Лос-Анджелесе) выплатила злоумышленникам 28 тысяч долларов.

Крис Хагерман
« Не так сложно представить банк, атакованный шифровальщиком, и затем они (злоумышленники) говорят: немедленно платите 10 млн долларов, в противном случае ваши файлы будут уничтожены, - говорит Хагерман. - Это может поставить компании на колени. Во многих организациях есть проблемы с резервным копированием и далеко не все используют весь диапазон защитных средств, необходимый для борьбы с вымогателями. »

Ситуацию дополнительно осложняет то обстоятельство, что в Сети плодятся сайты, предлагающие всем желающим средства для проведения атак с помощью троянцев-шифровальщиков. Например, сервис Satan предлагает за комиссию организовывать атаки с помощью шифровальщиков каждому, кто знает как пользоваться Tor - The Onion Router, - никаких других специальных технических знаний "клиенту" Satan не требуется.

« Сегодня можно быть очень успешным киберпреступником, не зная о компьютерном коде ровным счётом ничего. У хакеров тоже есть ROI. Затрудните им заработок, и они пойдут искать другие мишени или другие способы зарабатывать, - отметил Хагерман. »

Sophos ежедневно отмечает 300-400 тысяч новых вредоносным программ, и каждая из них может представлять серьёзную угрозу для коммерческих компаний, если у тех не налажена защита в достаточной степени.

По мнению Хагермана, единственный способ уберечься от атак - это наладить защиту таким образом, чтобы хакеры предпочли искать другую жертву.

« Каждая атака, завершившаяся выплатой злоумышленникам требуемой суммы, укрепляет их в сознании прибыльности их бизнеса, и повышает угрозу в целом, - комментирует Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - И поскольку всё чаще пострадавшие от вымогателей организации готовы выплачивать пятизначные суммы за возвращение своих данных, легко представить себе, как злоумышленники требуют от какой-нибудь транснациональной корпорации миллионы в качестве выкупа. »

По словам Гвоздева, крупные утечки персональных данных у транснациональных корпораций, таких как Sony или Yahoo, хорошо показывают насколько велики бывают недостатки безопасности даже в тех организациях, которые могут позволить себе обеспечить максимальную защиту от киберугроз.

Программы-вымогатели для промышленных систем

13 февраля исследователи кибербезопасности из Технологического института Джорджии сообщили о разработке новой, специализированной формы программы-вымогателя, которая была целенаправленно создана для промышленных систем[7].

Это вредоносное ПО и произведенная с его помощью атака на смоделированную водоочистную станцию были призваны показать, как киберпреступники могли бы вывести из строя ключевые сервисы, удовлетворяющие наши важнейшие потребности, такие как электро- и водоснабжение, отопление, вентиляция и кондиционирование воздуха или управление лифтами.

Исследование было представлено на конференции в Сан-Франциско, организованной компанией RSA.

Исследователи рассказали, как они идентифицировали ряд обычных программируемых логических контроллеров (PLC), часто используемых на промышленных предприятиях. Приобретя три различных устройства, исследователи протестировали их уровни безопасности, включая состояние парольной защиты и подверженность вредоносным изменениям.

Затем PLC были подключены к насосам, трубам и резервуарам, чтобы смоделировать водоочистную станцию. Однако вместо хлора, используемого для дезинфекции воды, исследователи применили йод и подмешали в воду крахмал.

Если бы атакующий добавил в воду йод, она окрасилась бы в голубой цвет.

Смоделированная атака с помощью программы-вымогателя, заражающей системы обычными способами через фишинговые сообщения электронной почты и ссылки на вредоносные сайты, закрыла и заперла важнейшие системы. Если бы настоящий атакующий применил программу-вымогателя, чтобы взять станцию в заложники, он мог бы угрожать добавлением в воду опасного для жизни количества хлора, что потенциально могло бы отравить целые города.

Исследователи сумели также атаковать PLC, чтобы закрыть клапаны и фальсифицировать показания датчиков. Изучая доступность этих PLC, исследователи обнаружили также 1400 экземпляров PLC одного типа, к которому легко получить доступ через Интернет. Многие из этих устройств находились за корпоративными брандмауэрами. Но это делает их защищенными лишь до тех пор, пока поддерживается безопасность сети.

Хотя против встроенных промышленных систем пока осуществлено немного настоящих атак с использованием программ-вымогателей, мы уже видели, как такие программы применялись против больниц и имели тяжелые последствия. В некоторых случаях размер требуемого выкупа ничто по сравнению с вредом, который причинило бы продолжение атаки. Применительно к больницам это может создать угрозу жизни людей, как и в случае с взятием в заложники систем водоснабжения.

2016

Trend Micro: Киберпреступники заработали от программ-вымогателей 1 млрд долларов

Компания Trend Micro представила в июне 2017 года краткое содержание и основные выводы отчета «Программы-вымогатели: прошлое, настоящее и будущее» (Ransomware: Past, Present, and Future).

Подробнее об исследовании см. Кибератаки


Первая атака с использованием программы-вымогателя была зафиксирована в России между 2005 и 2006 гг. В сообщении хакеры требовали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы с наиболее распространенными расширениями: .DOC, .XLS, .JPG, .ZIP, .PDF и т.д. Позднее появились разновидности программ-вымогателей, способные зашифровать данные на мобильных устройствах и даже повлиять на работу главной загрузочной записи. В конце 2013 г. появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп, например, такие как CryptoLocker.

Основные выводы отчета и прогнозы компании:

  • За 2016 г. количество семейств программ-вымогателей выросло на 752%.
  • В 2016 г. средняя сумма выкупа за возвращение доступа к файлам составила 0,5−5 биткоинов.
  • Атаки программ-вымогателей сегодня становятся все более целенаправленными, а в качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов/ страниц в Интернете (20%), а также наборы эксплойтов.
  • Основной акцент злоумышленников смещается – с 2015 г. главной целью программ-вымогателей становятся на частные лица, а бизнес.
  • Программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег.
  • При атаке на бизнес, злоумышленники чаще всего зашифровывают базы данных компании, на втором месте - SQL файлы.
  • В будущем возможно появление разновидностей программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями (ICS).

График ежемесячного прироста количества семейств программ-вымогателей, (2016)


Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:

  • В сентябре в результате атаки программы-вымогателя на муниципалитет города Спрингфилд (штат Массачусетс, США), его файлы были недоступны 10 дней.
  • В сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам.
  • В ноябре муниципалитет округа Мэдисон (штат Нью-Йорк, США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов.
  • В ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско (San Francisco Municipal Transportation Agency), власти были вынуждены сделать проезд на общественном транспорте в городе бесплатным на определённое время.
  • В ноябре программа-вымогатель зашифровала порядка 33 тыс. файлов в системе муниципалитета округа Хауард (США).
  • В декабре клиника East Valley Community Health Center в США подверглась атаке программы-вымогателя, в результате которой пострадали записи около 65 тыс. человек. Они содержали личную информацию, медицинские данные и данные страховки.

Для того, чтобы минимизировать возможные риски и защититься от программ-вымогателей Trend Micro рекомендует:

  • Регулярно делать резервное копирование данных. При этом создавать три копии, в двух форматах, одну из копий необходимо хранить без доступа к Сети.
  • Регулярно обновлять используемое на устройствах ПО.
  • Проводить обучение персонала, освещая тему фишинга.
  • Ограничить доступ к конфиденциальной информации в компании.
  • Не платить выкуп.
  • Использовать современные решения для информационной защиты, которые включают в себя сетевой мониторинг, технологии анализа поведения, защиту от уязвимостей и т.д.

ЛК: 75% шифровальщиков созданы русскоязычными хакерами

Из 62 семейств программ-шифровальщиков, обнаруженных «Лабораторией Касперского» в 2016 году, по меньшей мере 47 были созданы русскоговорящими киберпреступниками. В общей же сложности от подобных зловредов по данным компании, пострадало около 1,5 миллионов пользователей во всем мире, включая различные организации.

О происхождении большинства шифровальщиков экспертам «Лаборатории Касперского» стало известно после пристального изучения андеграундного сообщества русскоязычных вирусописателей и их «партнеров». Русскоговорящая киберпреступная среда активно развивается, и на смену небольшим группировкам с ограниченными возможностями приходят большие коалиции, обладающие всеми необходимыми ресурсами для атак на любые цели по всему миру, в том числе на крупные предприятия. Бурный рост числа «русских» программ-шифровальщиков стал возможен именно благодаря этому фактору — развитой и гибкой экосистеме киберпреступного сообщества.

«Лаборатория Касперского» выявила три основных пласта в структуре «бизнеса» по созданию и распространению программ-шифровальщиков. Наиболее продвинутые в техническом плане люди занимаются написанием новых и обновлением уже созданных семейств зловредов — это самые привилегированные участники андеграундного сообщества. Другая группа людей развивает и поддерживает партнерские программы, помогающие распространять вредоносное ПО через эксплойты, спам и другие вспомогательные инструменты. На низшей же ступени этой иерархии находятся собственно «партнеры» — киберпреступники, которые помогают в распространении зловредов в обмен на свою долю денег, полученных от жертв шифровальщиков в виде выкупа.

По данным «Лаборатории Касперского», ежедневная выручка, получаемая киберпреступниками в рамках одной партнерской программы, может составлять десятки или даже сотни тысяч долларов. При этом 60% выручки — это чистая прибыль.

«Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью — достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — рассказывает Антон Иванов, антивирусный эксперт «Лаборатории Касперского».

Вирус-вымогатель Петя (Petya)

В начале апреля 2016 года стало известно, что разработчики вирусов-шифровальщиков нашли новый способ сделать несчастными своих жертв. F-Secure, компания специализирующаяся на разработке систем кибербезопасности, 4 апреля 2016 г. выпустила предупреждение о "Пете"[8], новом виде вируса-шифровальщика, который блокирует весь жесткий диск компьютера вместо простого шифрования файлов на диске, как это делают другие подобные компьютерные вирусы.

По словам F-Secure, "Петя" шифрует MFT файловой системы, делая для операционной системы невозможным обнаружение нужных файлов, таким образом приводя компьютер в полностью неработоспособное состояние. MFT (англ. Master File Table — «Главная файловая таблица») — база данных, в которой хранится информация о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов.

«Вирус устанавливает себя на главную загрузочную запись диска (MBR). Но вместо скрытых действий, он показывает красный экран с инструкцией о том, как восстановить систему», - написал главный специалист F-Secure по безопасности Джарко Теркулойнен.

Image:ransom_petya.jpg Вирус-шифровальщик Петя (Petya) вероятно разработан в России

Атака на MFT занимает меньше времени, чем шифрование файлов на диске, при этом приводя к тем же результатам, добавил в комментариях к Dark Reading консультант по безопасности F-Secure Шон Салливан.

«Многие другие крипто-шифровальщики требуют времени и мощности процессора» сказал Салливан.

Жертвы подобных атак, на самом деле, часто сообщают что их компьютеры сильно тормозят во время атаки. В то время как домашние пользователи могут не знать, что вызвало снижение производительности, работники на предприятиях иногда имеют достаточно времени чтобы предотвратить полную потерю данных. С "Петей" это больше не вариант.

«Петя способен ударить по MFT за считанные секунды, перед тем как обрушить систему и выполнить перезагрузку. В условиях работы на предприятии, времени позвать на помощь не будет.»

Для своих жертв "Петя" представляет проблемы, нехарактерные для других вирусов-шифровальщиков. Поскольку Петя заражает MBR, он блокирует всю систему полностью. Поэтому жертве требуется найти другой компьютер с доступом в интернет чтобы заплатить вымогателю и восстановить доступ к своей скомпрометированной системе. Хотя это может само по себе не представлять проблемы для работников в офисе, у домашних пользователей это может вызвать затруднения, рассказал Салливан.

Петя также возлагает на пользователя задачу самостоятельно скачать браузер Tor - The Onion Router для доступа к скрытой ссылке для производства оплаты. «Петя не пытается предоставить прокси ссылки для службы Tor - The Onion Router» тем самым показывая, что авторов вредоносного кода не заботят сложности по установке Tor браузера, или просто они еще не создали данный функционал.

В какой-то степени, из-за того, что жертвам труднее заплатить вымогателю, авторы Пети возможно снижают свои шансы заработать на нем, сказал Салливан. Как результат, вероятность того что этот тип атаки получит более широкое распространение, будет зависеть от успеха авторов вируса в извлечении прибыли от "Пети".

«Это будет зависеть от того, смогут ли люди разобраться как заплатить. У вируса определенно есть некоторые преимущества в том, как он заражает систему. Поэтому мы вероятно увидим больше подобной активности, но еще слишком рано говорить, станет ли это распространённым явлением», - сказал Салливан.

Новости о "Пете" пришли посреди возросшего количества[9] опасений по поводу увеличения количества вирусов-шифровальщиков и их атак в последние месяцы. Многие верят, что успех авторов вирусов-шифровальщиков привлекает больше преступников, включая организованные преступные группы в сферу кибер-вымогательства. В последние месяцы, такие примеры вирусов-шифровальщиков как "Локки"[10], "ТеслаКрипт" и "Самас", заразили огромное количество индивидуальных пользователей и организаций, включая некоторые крупные госпитали США.

Большая волна атак заставила Министерство национальной безопасности США выпустить предупреждение [11] совместно с канадским Центром реагирования на кибер-происшествия, для информирования пользователей и организаций о серьезности данной угрозы. Предупреждение, сообщало пользователям и организациям о «опустошительных последствиях» атак вирусов-шифровальщиков.

«Восстановление может быть сложным процессом, в ходе которого потребуются услуги квалифицированного специалиста по восстановлению данных», - говорилось в предупреждении.

Для защиты от подобных кибер-атак частным лицами и организациям рекомендуется внедрить план по резервному копированию и восстановлению важных данных и использовать «белый список» чтобы быть уверенным, что на компьютере могут запускаться только специально разрешенные приложения. Другой совет заключается в том, чтобы поддерживать свое ПО в актуальном состоянии, регулярно устанавливая обновления и патчи, а также ограничить возможность установки и запуска приложений для пользователей.

Смотрите также