Эволюция Ransomware

Kate

Administrator
Команда форума
В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь?

История Ransomware​


Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских институтов в 90 странах. На каждом диске был интерактивный опрос, измерявший риск заражения СПИДом на основании ответов пользователя. Во время прохождения опроса первое ransomware — «AIDS Trojan» шифровало файлы на компьютерах пользователей после перезапуска определённого количества раз.

Принтеры, подключённые к заражённым компьютерам, распечатывали инструкции о том, что нужно отправить банковский перевод или чек на сумму 189 долларов в почтовый ящик в Панаме. Попп планировал распространить ещё 2 миллиона дисков с «AIDS», но его арестовали на пути в США с семинара ВОЗ по СПИДу. Несмотря на улики против доктора Поппа, его так и не признали виновным в этом преступлении.
f1a492402ebab36845d8a41a4bb82dee.png


К счастью для компьютерных специалистов того времени, в коде Поппа использовалось симметричное шифрование, поэтому для устранения последствий первого ransomware был написан инструмент расшифровки. С 1991 по 2004 год значительных ransomware-атак не проводилось, но некоторые называли это лишь затишьем перед бурей.

Технологический прогресс в эволюции криптовымогателей​


К началу 2000-х у киберпреступников уже имелась схема ransomware и доступ к её трём неотъемлемым технологическим аспектам, которыми не владел Попп…

(1) Эффективная и сверхбыстрая система доставки, соединяющая миллионы компьютеров по всему миру, т.е. world wide web. (2) Доступ к более надёжным инструментам асимметричной криптографии для шифрования файлов, которые невозможно взломать. (3) Платёжная платформа, обеспечивающая скорость, анонимность и возможность автоматизации расшифровки после проведения платежа, например Bitcoin.

Благодаря сочетанию всех этих трёх элементов ransomware и получило такую популярность. Вот ключевые события в истории криптовымогателей:

  • 2006 — Archiveus использовал RSA-1024 для шифрования файлов, из-за чего их нельзя было расшифровать. Жертвам вымогателя для получения пароля расшифровки приходилось покупать товары в онлайн-аптеке.
  • 2008 — изобретение Bitcoin. Теперь криптовымогатели могли создавать для каждой жертвы уникальные платёжные адреса, поэтому Bitcoin становится предпочительным платёжным средством.
  • 2011 — Bitcoin развивается и количество ransomware-атак растёт экспоненциально: за первые два квартала 2011 года было сообщено о 30 тысячах заражений. К концу третьего квартала это количество удвоилось.

1d11ddd4ef1b0d00d212a80d6d63c378.webp


  • 2012 — Reveton позаимствовал принцип у вируса Vundo и использовал тактику запугивания, чтобы заставить жертв платить. После шифрования файлов червь Reveton притворялся сообщением от органа правопорядка, предупреждающим жертву, что та совершила преступление, чаще всего — скачивание или использование пиратского ПО.
    • На сцене появляется Citadel — тулкит для разработки и распространения зловредного ПО и управления ботнетами, распространяющий ransomware при помощи программ с платной установкой. Киберпреступники могли платить номинальную сумму для установки своего ransomware на уже заражённые зловредным ПО компьютеры.
  • 2013 — 2015 — сочетание 2048-битного шифрования RSA, сокрытия публичного ключа и серверов C&C в сети Tor и применения ботнета Gameover Zeus для распространения позволило CryptoLockerстать наиболее агрессивным и плодотворным ransomware
    • К 2014 году мобильный троян Svpeng, изначально предназначавшийся для кражи информации о платёжных картах, эволюционировал в ransomware. У жертв блокировался доступ к телефону и им отправляли обвинения в просмотре порнографии с детьми.
    • В мае 2015 года появилась система Ransomware-as-a-Service (RaaS), при которой операторы сервисов RaaS получали 20% от каждого выплаченного выкупа в биткойнах.

  • 2016— Ransom32, полностью разработанный на Javascript, HTML и CSS — это первое «многоплатформенное» ransomware, способное заражать устройства с Windows, Linux и macOS.
    • Locky распространялся через фишинговые атаки при помощи зловредных вложений в документы Microsoft Word. На пике распространения он заражал до 100 тысяч устройств в день.
    • KeRanger — это первое ransomware, нацеленное на файлы Mac и систему восстановления Mac, отключающее функцию восстановления системы, позволявшую откатиться к предыдущему незашифрованному состоянию.

9eec0c6c58be8b8506590d815c5fc807.webp


  • 2017WannaCry и Petyaснова привлекают внимание к ransomware. WannaCry — это крипточервь с полуавтоматическим размножением и автоматическим распространением через целевые уязвимости систем.
    • В начале 2017 года WannaCry заразил более 250 тысяч устройств — самая значительная ransomware-атака в истории, финансовые потери по всему миру по оценкам составили 4 миллиарда долларов.
    • NotPetya (вариация Petya 2016 года) — ещё один крипточервь, эксплуатировавший те же уязвимости, что и WannaCry, несмотря на выпуск патчей безопасности. Оба варианта ransomware подчеркнули опасности работы в неподдерживаемых системах и необходимости установки патчей безопасности.
  • 2018— ransomcloud доказал, что облачные аккаунты электронной почты наподобие Office 365 тоже подвержены ransomware. К счастью, это было лишь подтверждение концепции, разработанное «белым» хакером.
    • Анонимность Bitcoin перестала быть гарантированной и киберпреступники начали мигрировать на другие криптовалюты. Новые варианты, например, Annabelle и AVCrypt, а также новая версия SamSam содержали в себе продвинутые функции уклонения от обнаружения и препятствования анализу после атак.
  • 2019 — криптовымогатели начали использовать двухэтапные атаки — сначала зловредное ПО для сбора данных, затем ransomware. Ransomware наподобие MegaCortex специально разрабатывается для атаки на корпоративные сети и использования контроллеров доменов для распространения.

Позже специалисты по безопасности сообщили, что нападающие используют виртуальные машины, чтобы замаскировать процесс шифрования ransomware файлов и папок хоста, избежав таким образом распознавания антивирусами.

Эволюция тактики Ransomware​


Кроме использования прогрессивных технологий криптовымогатели стали агрессивнее и применяют изобретательные способы повышения успеха выплат выкупа.

Киберпреступники начали делать основной упор на критически важную инфраструктуру и крупные организации. Например, в 2016 году ransomware-атакам подверглись несколько больниц, в том числе Hollywood Presbyterian Medical Center, Ottawa Hospital и Kentucky Methodist Hospital. Во всех случаях блокировались больничные устройства или шифровались медицинские файлы, что подвергало опасности пациентов. Некоторым больницам повезло, они использовали надёжные политики резервного копирования и восстановления. Однако остальным, к сожалению, приходилось платить выкуп, чтобы как можно быстрее восстановить доступ к услугам здравоохранения.

Эволюция Ransomware: 1989 — 2019 годы​


5f711561db280af4dd1c67f387aa507c.webp


В марте 2018 года многие онлайн-сервисы Атланты были выведены из строя после ransomware-атаки. Выкуп 55 тысяч долларов в биткойнах не был выплачен, однако по оценкам затраты на восстановление составили 2,6 миллиона долларов.

В мае 2021 года ransomware DarkSide на неделю вывело из строя критически важную инфраструктуру, отвечавшую за доставку 45% бензина, потребляемого 13 штатами США. Жертва этой атаки, Colonial Pipeline, выплатила 4,4 миллиона долларов для возврата доступа к своим системам. Подобные крупные выплаты лишь сильнее мотивируют нападающих находить всё более изобретательные способы заработка на ransomware.

654389904884666124a6642a7d8d4953.webp


Трубопровод Colonial Pipeline длиной почти 9 тысяч километров был выведен из строя на несколько дней после ransomware-атаки, скомпрометировавшей его компьютерную сеть. Автором атаки стала восточноевропейская киберпреступная группа DarkSide.

Также нападающие используют тактику «шифруй и извлекай данные». Они поняли, что те уязвимые места сетей, которые помогают заражать ransomware, можно использовать и для похищения данных. Атакующие не только шифруют файлы жертв, но и крадут критичную информацию, угрожая её публикацией, если не будет выплачен выкуп. Поэтому даже если организация может восстановиться после атаки при помощи резервных копий, она не может допустить публикацию данных.

Финская психотерапевтическая клиника Vastaamo с 40 тысячами пациентов стала жертвой самой новой тактики «тройного вымогательства». Обычно нападающие шифруют медицинские файлы, а затем требуют солидный выкуп. Однако в данном случае они также украли данные пациентов. Вскоре после первой атаки пациенты получили электронные письма с требованием меньших сумм, чтобы избежать публикации записей сеансов личной терапии. Из-за утечки данных и финансового урона Vastaamo объявила себя банкротом и прекратила свою работу.

Будущее Ransomware​


Cybersecurity Ventures сообщает, что с начала 2021 года количество атак увеличилось на 57% и в 2020 году урон от них составил 20 миллиардов долларов — на 75% больше, чем в 2019 году.

Кроме того, ransomware-атаки становятся всё более направленными на конкретных жертв: организации из сферы здравоохранения, коммунальных услуг и страхования/юриспруденции, обеспечивающие критически важные услуги, а значит с большей охотой готовые выплатить приличный выкуп.

603f21f5c147554cc63169e624ae3103.webp


Еженедельная статистика Ransomware-атак в разных отраслях по количеству организаций

Примерно 40% от всех вариантов ransomware включают в себя компоненты похищения данных для применения техник двойного или тройного вымогательства. Кроме того, RaaS-группа REvil предлагает своим партнёрам (которые и осуществляют сами атаки) бесплатные услуги атак Distributed-Denial-of-Service (DDoS) и VoIP-звонков со скрэмблингом, чтобы оказывать давление на жертв с целью выплаты выкупа в нужный период времени.

Почему возник внезапный рост ransomware-атак?

Это доходная сфера! Даже если успехом завершается малый процент ransomware-атак, он всё равно даёт огромную прибыль. Рассмотрим для примера крупнейшие на сегодня выплаты:

  • CWT Global — 4,5 миллиона долларов
  • Colonial Pipeline — 4,4 миллиона долларов
  • Brenntag North American Division — 4,4 миллиона долларов
  • Travelex — 2,3 миллиона долларов
  • Калифорнийский университет в Сан-Франциско — 1,14 миллиона долларов

Однако эти атаки составляют лишь крошечную долю успешных ransomware-кампаний. К сожалению, такие высокие выкупы мотивируют атакующих искать новые способы заражения, распространения и извлечения данных.

Ещё один важный фактор — постоянно расширяющаяся поверхность атак. В 2017 году из-за человеческой ошибки атаке WannaCry подверглись 55 дорожных камер в Виктории (Австралия). Хотя вред от атаки оказался минимальным, это даёт нам понять, какие устройства киберпреступники выбирают в качестве целей. Учитывая медленный процесс обновления безопасности и растущее число уязвимых устройств Internet of Things (IoT), это открывает новые возможности для операторов ransomware.

7ea3b7306d36d04098ec3aed5626d6fa.jpg


Специалисты также опасаются, что ransomware начнёт появляться в облачных сервисах и в основном будет нацелено на Infrastructure-as-a-Service (IaaS) и Platform-as-a-Service (PaaS). Также важным фактором являются новички — новое поколение взломщиков, вдохновлённых сериалами наподобие «Мистер Робот». У них есть больше ресурсов для взлома, чем у любого прошлого поколения. Эти новички с готовностью обучаются и с ещё большей готовностью тестируют свои навыки.

Ransomware находится в центре сложной и активно развивающейся экономики, имеющей все признаки настоящей коммерческой деятельности. Представьте сообщество опытных взаимодействующих разработчиков зловредного ПО, поставщиков услуг RaaS, их партнёров, отделов ИТ и клиентской поддержки и даже операторов, отвечающих за пресс-релизы и «брендирование» атакующих групп.

Передавая свои личные данные поставщикам различных услуг и полагаясь на технологии в выполнении своих повседневных задач, мы ненамеренно даём криптовымогателям возможность похищать информацию и удерживать нас в заложниках. Следовательно, следует ожидать роста масштабов ransomware-атак, повышения их агрессивности и изобретательности в вымогательстве выкупа. Вероятно, первый выкуп будет платиться за расшифровку данных, а второй — за то, чтобы они не были опубликованы.

Свет в конце туннеля шифрования​


Взлом Colonial Pipeline выявил уязвимость современного общества. Атака привела к распространению панических настроений в городах, скупке топлива, дефициту бензина и повышению цен на него.

Ущерб от ransomware не ограничивается суммами выкупа. Повреждение и уничтожение данных, простои сервисов, снижение продуктивности после атак, затраты, связанные с расследованием, восстановлением системы и улучшением её безопасности, а также обучение сотрудников — всё это сокрытые и незапланированные затраты, вызванные атаками.

57c07f425cc37a3905eae1c6b8ce880f.webp


Органы правопорядка обеспокоены и тем, что кибератаки на больницы могут приводить к смертям. Негативное влияние ransomware на человеческие жизни и общество больше нельзя отрицать и игнорировать.

В конце 2020 года была запущена программа Ransomware Task Force (RTF). Коалиция более чем 60 участников из различных секторов — промышленности, государственных органов, полиции — начала искать решения по предотвращению ransomware-атак. В апреле 2021 года RTF выпустила отчёт «Combating Ransomware: A Comprehensive Framework for Action» с описанием 48 приоритетных рекомендаций по борьбе с ransomware.

Эти сконцентрированные усилия принесли свои плоды. Хотя не было произведено ни одного ареста, ФБР удалось вернуть 63,7 биткойна (около 2,3 миллиона долларов) выкупа, выплаченного после атаки на Colonial Pipeline. ФБР и другие правоохранительные органы по всему миру смогли нарушить работу NetWalker — элемента ransomware-as-a-service, использовавшегося для связи с жертвами. В начале этого года также была прекращена работа ботнета Emotet — важного инструмента для доставки ransomware жертвам при помощи фишинга.

Может показаться, что это капля в море по сравнению с количеством ransomware-атак в недавнем прошлом, однако общество и международные организации активно работают над нейтрализацией угрозы криптовымогательства, предпринимая необходимые шаги в правильном направлении.

 
Сверху