Программы-вымогатели: топ самых опасных
Самым распространенным семейством программ-вымогателей в 2020 году является Sodinokibi, которая с момента своего появления в апреле 2019 года преследует организации по всему миру. Эта программа-вымогатель, также известная как REvil, была ответственна за шифрование сетей большого количества известных организаций.
Программы-вымогатели постоянно развиваются, постоянно появляются новые варианты и создают новые угрозы для бизнеса. Однако некоторые типы программ-вымогателей оказались более успешными, чем другие.
Самым распространенным семейством программ-вымогателей в 2020 году является Sodinokibi, которая с момента своего появления в апреле 2019 года преследует организации по всему миру.
Эта программа-вымогатель, также известная как REvil, была ответственна за шифрование сетей большого количества известных организаций, включая Travelex и юридическую фирму из Нью-Йорка со знаменитыми клиентами.
Банда, стоящая за Sodinokibi, долгое время закладывала основу для атаки, незаметно перемещаясь по скомпрометированной сети, чтобы гарантировать, что все возможное может быть зашифровано до запуска атаки вымогателя.
Известно, что те, кто стоит за Sodinokibi, требовали выплаты в миллионы долларов в обмен на расшифровку данных. А учитывая, что хакеры часто получают полный контроль над сетью, те организации, которые отказываются платить выкуп после того, как стали жертвой Sodinokibi, также обнаруживают, что банда угрожает раскрыть украденную информацию, если выкуп не будет заплачен.
Sodinokibi — не единственная кампания по вымогательству, которая угрожает утечкой данных от жертв в качестве дополнительного рычага для вымогательства платежа; банды вымогателей, такие как Maze, Doppelpaymer и Ragnarlocker, также угрожают опубликовать украденную информацию, если жертва не заплатит.
Все время появляются новые семейства программ-вымогателей, в то время как другие внезапно исчезают или выходят из моды, а на подпольных форумах постоянно появляются новые вариации. Любая из самых распространенных форм программ-вымогателей прямо сейчас может стать вчерашней новостью всего через несколько месяцев.
Например, Locky когда-то был самой известной формой программы-вымогателя, создававшей хаос в организациях по всему миру в течение 2016 года, распространяясь через фишинговые электронные письма. Locky оставался успешным, потому что те, кто стоял за ним, регулярно обновляли код, чтобы избежать обнаружения. Они даже обновили его, добавив новые функции, включая возможность требовать выкуп на 30 языках, чтобы преступникам было проще нацеливать жертв по всему миру. В какой-то момент Locky стал настолько успешным, что стал одной из самых распространенных форм вредоносного ПО. Однако менее чем через год он исчез, и с тех пор о нем не слышали.
В следующем году именно Cerber стал наиболее распространенной формой вымогателей, на долю которых в апреле 2017 года, приходилось 90% атак программ-вымогателей на Windows. Одна из причин, по которой Cerber стал настолько популярным, заключалась в том, что он распространялся как «программа-вымогатель как услуга», что позволяло пользователям без технических знаний проводить атаки в обмен на часть прибыли, возвращаемой первоначальным авторам.
Хотя к концу 2017 года казалось, что Cerber исчез, он стал пионером модели «как услуга», которая сегодня популярна во многих формах программ-вымогателей.
Еще одной успешной формой программ-вымогателей в 2017 и 2018 годах была SamSam, которая стала одним из первых семейств, получивших печальную известность не только тем, что взимала выкуп в десятки тысяч долларов за ключ дешифрования, но и использовала незащищенные системы с выходом в интернет в качестве средства заражения и распространения по сетям.
В ноябре 2018 года Министерство юстиции США обвинило двух хакеров, работающих в Иране, в создании программы-вымогателя SamSam, которая, как сообщается, в течение года собрала выкуп с пользователей на сумму более 6 миллионов долларов. Вскоре после этого SamSam, похоже, перестал быть активной формой вымогателей.
В течение 2018 и 2019 годов еще одним семейством программ-вымогателей, которая оказалось проблематичным как для предприятий, так и для домашних пользователей, была GandCrab, Европол охарактеризовал ее как «одну из самых агрессивных форм программ-вымогателей».
GandCrab работал «как услуга» и получал регулярные обновления, а это означает, что даже когда исследователи безопасности взломали его и смогли выпустить ключ дешифрования, вскоре после этого появилась новая версия вымогателя с новым методом шифрования.
Создатели GandCrab в первой половине 2019 года, внезапно объявили о закрытии программы, заявив, что они получали 2,5 миллиона долларов в неделю, сдавая ее в аренду другим пользователям-киберпреступникам. GandCrab исчез через несколько недель, хотя похоже, что злоумышленники могли просто переключить свое внимание на другую кампанию. Исследователи предположили сильное сходство в коде GandGrab по сравнению с Sodinokibi, который по-прежнему пользуется успехом в 2020 году.
Программа-вымогатель WannaCry
WannaCry, также известная как WannaCrypt и Wcry, вызвала хаос во всем мире в результате атаки, которая началась в пятницу, 12 мая 2017 года.
Программа-вымогатель WannaCrypt требует 300 долларов в биткоинах за разблокировку зашифрованных файлов — цена, которая удваивается через три дня. Пользователям также угрожают с помощью записки о выкупе на экране навсегда удалить все их файлы, если выкуп не будет выплачен в течение недели.
В течение одного уик-энда жертвами программ-вымогателей стали более 300 000 жертв в 150 странах, причем пострадавшие от этого были предприятия, правительства и отдельные лица по всему миру.
По мнению исследователей в области безопасности, из всех стран, пострадавших от атаки, Россия пострадала больше всего: вредоносное ПО WannaCry привело к обрушению российских банков, телефонных операторов и даже ИТ-систем, поддерживающих транспортную инфраструктуру. Китай также сильно пострадал от атаки: 29 000 организаций стали жертвами этой особенно опасной формы вымогателей.
Среди других громких целей был производитель автомобилей Renault, который был вынужден остановить производственные линии в нескольких местах, так как программа-вымогатель нанесла ущерб системам.
Червь-вымогатель настолько силен, что использует известную программную уязвимость EternalBlue. Уязвимость Windows — одна из многих уязвимостей нулевого дня, о которых, по всей видимости, было известно АНБ — до того, как хакерский коллектив Shadow Brokers сообщил о ней. Ранее в этом году Microsoft выпустила исправление для этой уязвимости, но только для самых последних операционных систем.
В ответ на атаку Microsoft предприняла беспрецедентный шаг, выпустив исправления для неподдерживаемых операционных систем для защиты от вредоносного ПО.
Службы безопасности США и Великобритании подозревают Северную Корею как виновника атаки вымогателя WannaCry, а Белый дом официально объявил Пхеньян источником вспышки.
Однако, Северная Корея назвала обвинения в том, что она стояла за WannaCry, «абсурдными».
Независимо от того, кто в конечном итоге стоял за WannaCry, если цель схемы состояла в том, чтобы заработать большие суммы денег, она потерпела неудачу — было выплачено всего около 100,000 долларов.
Прошло почти три месяца, прежде чем злоумышленники WannaCry, наконец, вывели средства из биткоин-кошельков. Из-за колебаний стоимости биткоинов, хакеры вывели 140,000 долларов.
Но, несмотря на наличие критических исправлений для защиты систем от WannaCry и других атак, использующих уязвимость SMB, большое количество организаций, по-видимому, предпочли не применять обновления.
Считается, что это причина, по которой LG перенесла инфекцию WannaCry в августе — через три месяца после первоначальной вспышки. С тех пор компания заявила, что применила соответствующие исправления.
Публичный дамп эксплойта EternalBlue, стоящего за WannaCry, привел к тому, что различные хакерские группы попытались использовать его для распространения своего вредоносного ПО.
Программа-вымогатель NotPetya
Спустя чуть больше месяца после вспышки вируса-вымогателя WannaCry мир подвергся еще одной глобальной атаке вымогателей.
Эта кибератака сначала поразила цели в Украине, включая ее центральный банк, главный международный аэропорт и даже Чернобыльский ядерный объект, а затем быстро распространилась по всему миру, заразив организации в Европе, России, США и Австралии.
После некоторого первоначального недоразумения относительно того, что это за вредоносная программа — некоторые сказали, что это была Petya, некоторые — что-то еще, отсюда и название NotPetya. Исследователи Bitdefender пришли к выводу, что вспышка была вызвана модифицированной версией вымогателя Petya, объединяющей элементы GoldenEye — особенно злобного родственника Petya — и вымогателя WannaCry в чрезвычайно мощное вредоносное ПО.
Эта вторая форма вымогателя также использует тот же эксплойт EternalBlue для Windows, который предоставил WannaCry червеподобные функции для распространения по сети (а не просто через вложения электронной почты, как это часто бывает) и поразил 300 000 компьютеров по всему миру.
Однако NotPetya — гораздо более жестокая атака. Атака не только шифрует файлы жертв, но и целые жесткие диски, перезаписывая основную запись перезагрузки, не позволяя компьютеру загрузить операционную систему или что-либо сделать.
Злоумышленники просят выкуп в биткоинах в размере 300 долларов, который будет отправлен на определенный адрес электронной почты, который был отключен хостом почтовой службы. Однако, эта очень сложная программа-вымогатель, была оснащена очень простыми, неавтоматизированными функциями для получения выкупа, что заставило некоторых предположить — деньги не цель злоумышленников.
Это заставило многих поверить в то, что записка о вымогателе была всего лишь прикрытием для настоящей цели вируса — вызвать хаос путем безвозвратного удаления данных с зараженных машин.
Какой бы ни была цель атаки, она существенно повлияла на финансы зараженных организаций. Британская фирма по производству потребительских товаров Reckitt Benckiser заявила, что потеряла 100 миллионов фунтов стерлингов в результате того, что стала жертвой NotPetya.
Но это относительно скромные потери по сравнению с другими жертвами атаки: оператор судов Maersk и компания по доставке товаров FedEx оценили убытки в размере 300 миллионов долларов из-за удара NotPetya.
В феврале 2018 года правительства Великобритании, США, Австралии и других стран официально заявили, что вымогатель NotPetya был разработан российскими военными. Россия отрицает свою причастность.
Программа-вымогатель Bad Rabbit
В октябре 2017 года произошла третья в этом году громкая атака вымогателей, когда организации в России и Украине стали жертвами нового варианта вымогателя Petya — Bad Rabbit, которая заразила как минимум три российских СМИ, а также проникла в сети нескольких украинских организаций, включая Киевский метрополитен и Одесский международный аэропорт — в то время аэропорт заявил, что стал жертвой «хакерской атаки».
Первоначальным вектором атаки, использовавшимся для распространения Bad Rabbit, были попутные загрузки на взломанные веб-сайты, некоторые из которых были взломаны с июня. Никаких эксплойтов не использовалось, посетителям предлагалось установить фальшивое обновление Flash, которое удаляло вредоносное ПО.
Как и NotPetya до этого, Bad Rabbit распространялся по сетям с помощью просочившегося хакерского инструмента АНБ, но на этот раз через уязвимость EternalRomance SMB, а не через эксплойт EternalBlue.
Анализ Bad Rabbit показал, что он разделяет большую часть своего кода (по крайней мере 67%) с NotPetya, и исследователи из Cisco Talos пришли к выводу, что это, в сочетании с тем, как он использует эксплойты SMB, означает «высокую степень уверенности» в связи между двумя формами программ-вымогателей, и что у них даже может быть один и тот же автор.
Bad Rabbit был назван в честь текста, который появился в верхней части веб-сайта Tor с запиской о выкупе. Некоторые исследователи безопасности шутили, что его следовало назвать в честь строк кода, относящихся к персонажам из Игры престолов.
Почему предприятиям следует беспокоиться о программах-вымогателях?
Проще говоря: программы-вымогатели могут разрушить ваш бизнес. Если вредоносные программы заблокируют ваши файлы даже на день, это повлияет на ваш доход. Но, учитывая, что программы-вымогатели отключают большинство жертв как минимум на неделю, а иногда и на месяцы, потери могут быть значительными. Системы так долго отключаются не только потому, что программы-вымогатели блокируют систему, но и из-за всех усилий, необходимых для очистки и восстановления сетей.
И дело не только в немедленном финансовом ударе программ-вымогателей; потребители опасаются передавать свои данные организациям, которые они считают небезопасными.
