Программы-вымогатели

Не существует единого типа программ-вымогателей, хотя у большинства из них есть общие черты, в том числе следующие:

  • Это вредоносная программа (например, вредоносное ПО)

  • Зловред крадется или тайно помещается на компьютере или устройстве жертвы.

  • Он имеет возможность шифровать файлы.

  • Он требует выкуп за ключ(и) дешифрования.

Не все вредоносные программы, называющие себя программами-вымогателями, на самом деле шифруют файлы и получают полный контроль над чьим-либо компьютером. Существует много гораздо менее сложных вредоносных программ на JavaScript, которые утверждают, что являются программами- вымогателями, но на самом деле являются подделкой. Они ничего не шифруют.

В большинстве случаев с поддельными программами-вымогателями все, что нужно сделать жертве, — это найти способ удалить поддельную программу-вымогатель со своего компьютера. Это самый простой тип для удаления, так как обычно требуется просто перезапустить соответствующую программу браузера, хотя это может потребовать некоторых усилий, поскольку программа-вымогатель «берет на себя управление» браузером. Некоторые жертвы поддельных программ-вымогателей могут легко закрыть свой пострадавший браузер, в то время как другим приходится каким-то образом принудительно закрывать программу. В Microsoft Windows это может включать в себя нажатие Ctrl-Alt-Del, запуск диспетчера задач, а затем завершение задействованных процессов. Если браузер невозможно закрыть или перезапустить, перезагрузка может потребоваться только в том случае, если фальшивая программа-вымогатель не изменила какие-либо локальные файлы компьютера. По моему неподтвержденному опыту, большинство поддельных программ-вымогателей можно уничтожить, закрыв браузер или перезагрузив соответствующее устройство, хотя, если ваш перезапущенный браузер автоматически открывает вашу последнюю страницу, остановить автоматическую перезагрузку может быть дополнительной проблемой. Если поддельная программа-вымогатель смогла изменить локальные файлы устройства и, следовательно, автоматически появится снова и «получит контроль» после перезагрузки, то пользователь должен использовать другой метод, чтобы обойти нормальный процесс загрузки, чтобы удалить поддельные файлы-вымогатели. На компьютере с Microsoft Windows это часто означает загрузку в безопасном режиме, а затем поиск и удаление вредоносного файла и/или записей в реестре.

Сегодня большая часть вредоносных программ и программ-вымогателей использует какой-либо автоматизированный метод, такой как троян или червь, чтобы взломать и получить первоначальный «плацдарм» для доступа к устройству и/или среде, а затем он позволяет злоумышленникам в конечном итоге проникнуть внутрь. взять под контроль и управлять его будущими действиями. Направляемые людьми программы-вымогатели «изменили правила игры» и стали гораздо более опасными и коварными. Это связано с тем, что люди, в отличие от автоматизированных программ, могут менять свою тактику, наступательные возможности и средства защиты на лету, как того требуют обстоятельства и знания.

В наши дни программы-вымогатели могут использовать те же автоматизированные методы, или злоумышленники-люди могут проникнуть в эксплуатируемую среду, осмотреться и использовать различные инструменты и сценарии для сбора учетных данных нужных им типов и использования других компьютеров (т. е. бокового перемещения). Сегодня большинство программ-вымогателей будут использовать и шифровать несколько компьютеров одновременно, потому что это увеличивает как вероятность, так и сумму выкупа.

Хакеры могут использовать различные методы для проникновения программ- вымогателей в организацию, в том числе следующие:

  • Социальная инженерия

  • Вредоносное ПО

  • Неисправленное программное обеспечение

  • Использование неправильных конфигураций

  • Подбор пароля

  • Использование ранее скомпрометированных паролей жертв

  • Заражение USB-носителя

Наиболее распространенным методом распространения программ-вымогателей является распространение и выполнение троянской программы через электронную почту или всплывающее сообщение на веб-сайте с использованием социальной инженерии. Социальная инженерия ответственна за подавляющее большинство атак программ- вымогателей в течение большинства периодов времени.

Обычно программа-вымогатель шифрует большинство файлов (или файлов с выбранными расширениями), которые она может найти на скомпрометированном хосте. Большинство программ-вымогателей не затрагивают загрузочные файлы и процессы компьютера, поэтому зараженные компьютеры работают достаточно хорошо, чтобы сообщать о том, что произошло, запрашивать выкуп и, возможно, разрешать ввод ключа дешифрования для разблокировки файлов. Некоторые программы-вымогатели, шифрующие файлы, шифруют все, включая загрузочные файлы, но оставляют достаточно мусора, чтобы расследователи могли найти и выяснить, что произошло.

Существует также множество программ-вымогателей, которые просто ищут и шифруют определенные типы файлов, обычно форматов Microsoft Office (например, Microsoft Word, Excel,так далее.). Хакер думает, что он может быстро зашифровать больше данных, используя меньшее количество файлов, и при этом получить оплату. Часто это правда. Данные пользователя более ценны, чем обычные и статические файлы операционной системы.

Сегодня большинство программ-вымогателей используют очень хорошую криптографию, такую как RSA и Advanced Encryption Standard (AES). Файлы, зашифрованные хорошими программами шифрования, обычно невозможно расшифровать без соответствующего ключа дешифрования. Тем не менее, если жертве «повезло», может получится дешифровать файлы и можно будет восстановить без ключа (ключей) дешифрования. Существуют также менее изощренные версии программ-вымогателей. Иногда одни и те же ключи дешифрования используются всеми версиями одной и той же программы-вымогателя, и если это так, как только одна жертва узнает, что это за ключи, другие могут использовать тот же ключ, если он общеизвестен, вместо того, чтобы платить выкуп.

Помимо сбора данных, злоумышленники-вымогатели крадут пароли компаний, сотрудников и клиентов. Раньше считалось, что если они крадут пароли, они крадут их только для того, чтобы помочь распространиться по горизонтали и использовать больше машин в той же сети. Больше не надо. Теперь, начиная примерно с 2019–2020 годов, их основная цель кражи паролей — использовать их для максимального вымогательства или в дополнительных преступных усилиях для максимизации прибыли. Это уже не просто трояны немедленного действия, программы- вымогатели остаются незамеченными на чьем-либо устройстве или в сети от нескольких часов до более года. Я вижу разные цифры в разные периоды времени о том, как долго программы-вымогатели в среднем остаются без обнаружения, но наиболее распространенная статистика — это диапазоны от 120 до 200 дней. Есть много компаний, где программы- вымогатели находились внутри сети год и более. Сегодняшние программы-вымогатели не только собирают сетевые пароли для распространения по сети, но и собирают каждый пароль, используемый сотрудником в системе или на веб-сайте, пока он находится в сети. Помимо сетевых паролей, программы получают пароли к веб-сайтам и службам, которые системы и сотрудники используют для ведения бизнеса, а также все пароли сотрудников использующих на своих личных сайтах.

Как только данные и пароли украдены, хакеры связываются с пострадавшими сотрудниками и клиентами первоначальной организации-жертвы и сообщают им, что у них есть, и говорят: «Если вы не заплатите нам, мы раскроем вашу конфиденциальную информацию, пароли или личную информацию миру!» Они часто говорят сотрудникам и клиентам, что единственная причина, по которой они их вымогают, заключается в том, что первоначальная компания-жертва не платит. Это вызывает проблемы с репутацией и доверием, не говоря уже об индивидуальных эмоциональных проблемах, и может привести к дальнейшей компрометации конфиденциальных данных, например к краже личных данных, если украденные учетные данные будут опубликованы и использованы другими хакерами.

В конце концов, после всего этого, если жертва все еще спорит об уплате выкупа, хакеры сделают все возможное, чтобы заставить жертву заплатить. Одна из тактик, которая становится все более распространенной, заключается в том, что они проводят массированные распределенные атаки типа «отказ в обслуживании» (DDoS), если у жертвы есть вторичные сайты, на которые не повлияло исходное событие программы- вымогателя. Возможно, программа-вымогатель отключила только корпоративную сеть жертвы, но не общедоступные веб-серверы жертвы, которые полностью размещены в другом месте. Хакеры также могут отключить их, чтобы попытаться причинить столько боли и страданий, сколько нужно, чтобы получить деньги. Подводя итог, вот что сегодня делает большинство программ-вымогателей:

  • Шифрует данные

  • Извлекает электронные письма, данные, конфиденциальную информацию, IP- адреса и публикует их в открытом доступе или передает хакерам, конкурентам если вы не платите

  • Крадет учетные данные компании, сотрудников и клиентов.

  • Вымогает у сотрудников и клиентов

  • Целевой фишинг деловых партнеров с собственных компьютеров жертвы с использованием реальных адресов электронной почты и тем, которым партнеры доверяют.

  • Проводит DDoS-атаки на любые службы, которые у жертвы все еще работают.

  • Публично ставит в неловкое положение компанию-жертву

Шаг 1 для всех программ-вымогателей — каким-то образом получить начальный «плацдарм» доступа к (первому) устройству жертвы, как бы это ни было сделано. В большинстве случаев это происходит из-за социальной инженерии, обычно потому, что жертве было отправлено фишинговое электронное письмо, в котором пользователю предлагалось открыть вложенный документ, выполнить файл или щелкнуть встроенную ссылку. Или пользователь был обманут при посещении веб-сайта, который затем представил мошенническую ссылку или всплывающее окно. В любом случае пользователя обманом заставили щелкнуть что-то и запустить первоначальную вредоносную программу.

Важно помнить, что в большинстве сценариев программ-вымогателей программа, которая будет выполнять фактическое шифрование, еще не установлена. Первая вредоносная программа, которая используется для взлома жертвы, создана для этой цели. Обычно она просто устанавливает себя на скомпрометированном устройстве таким образом, что он сможет автоматически перезапуститься после перезагрузки или отключения питания, и предоставляет доступ к зараженной системе, чтобы можно было проводить дополнительные атаки. Обычно следующее, что делают программы-вымогатели, — это заменяют себя новыми версиями и/или загружают одну или несколько дополнительных вредоносных программ. Большинство программ-вымогателей не обнаруживается ни одной антивирусной программой или, в лучшем случае, одной или двумя из более чем 100 существующих программ.

Некоторые программы-вымогатели изначально закрепляются за своей жертвой и сразу же начинают шифрование. Некоторые пытаются увидеть, сколько компьютеров они смогут взломать и зашифровать в течение нескольких часов. Другие позволяют хакерам получить доступ к среде и исследовать ее, что требует времени на изучение новой среды в течение нескольких дней, недель, месяцев и даже лет. Они начнут бродить по окружающей среде, читать электронную почту, просматривать приложения и базы данных и, по сути, пытаться узнать, какие у жертвы болевые точки. Они хотят либо украсть ценные данные, либо определить, что им нужно зашифровать, чтобы вызвать наибольшую операционную боль.

Они будут отслеживать электронную почту руководителей высшего звена, чтобы узнать, что их больше всего волнует, каковы структуры отчетности, сколько денег организация зарабатывает или имеет, и даже если у жертвы есть полис киберстрахования, который покрывает программы-вымогатели. Если у вас есть киберстрахование, они хотят знать, какова сумма франшизы и максимального покрытия? Этого достаточно, чтобы защитники программ-вымогателей теперь просили клиентов убедиться, что их полисы киберстрахования не находятся в сети, где злоумышленники могут их найти. Злоумышленники часто проверяют электронную почту на наличие ключевых слов, таких как хакер, вредоносное ПО, программа-вымогатель и т. д., чтобы получить раннее предупреждение, если кто-то начнет замечать их действия.

Ближе к концу жизненного цикла программы-вымогатели или злоумышленники установят и подготовят процедуры шифрования, используя один или несколько ключей шифрования. Если программы-вымогатели скомпрометировали несколько компьютеров, они попытаются зашифровать как можно больше сразу. Иногда жертвам везет, и они обнаруживают, что первые или несколько первых компьютеров зашифровываются, и могут отключить остальные машины потенциальных жертв до того, как эти машины тоже будут зашифрованы. До 25 процентов всех попыток шифрования программ-вымогателей прерываются до того, как они могут быть запущены или завершены. Эта цифра кажется высокой, потому что вы редко узнаете о ком-то, кто прервал программу-вымогатель до того, как она запустилась. Если задействовано несколько скомпрометированных компьютеров, обычно будет несколько ключей шифрования, разных для каждого компьютера или файла. Это в первую очередь потому, что злоумышленник хочет иметь возможность разблокировать хотя бы один компьютер или файл, чтобы показать, что он контролирует программу-вымогатель и имеет ключ дешифрования. Получив ключ дешифрования, жертва может подтвердить, что действительно разблокирует данные. Банда вымогателей обычно просит заплатить небольшой выкуп «как взаимную демонстрацию доверия» за выпуск образца ключа дешифрования. Если вы собираетесь заплатить выкуп, чтобы получить ключи дешифрования, такая договоренность выгодна обеим сторонам. Жертва следит за тем, чтобы она не платила за то, что не работает, а банда вымогателей может попытаться взимать дополнительную плату за решение, как только они докажут, что расшифровка действительно работает. Никогда не платите весь выкуп, не проверив, что доказательство ключа дешифрования и процесс работают. Подавляющее большинство программ-вымогателей извлекают данные (например, файлы баз данных, пароли, электронные письма и т. д.) перед тем, как приступить к шифрованию. Хакер часто отключает базы данных и службы электронной почты поздно ночью, чтобы выполнить копирование. Наблюдение за признаками неожиданного отключения службы поздно ночью — хороший способ обнаружить что-то подозрительное. Злоумышленники, извлекающие эти данные, обычно копируют их на другие серверы в среде для использования в качестве локальных промежуточных серверов, собирая большие объемы (например, несколько ГБ) архивных (например, TAR, ZIP, GZIP, ARC и т. д.) файлов. Обнаружение неожиданных, необъяснимых стопок больших зашифрованных файлов в вашей сети — плохой знак. Злоумышленники затем обычно копируют их в какой-либо бесплатный общий облачный сервис хранения или на взломанные компьютеры другой организации, а это означает, что большая стопка заархивированных файлов, которые вы найдете, может не быть вашими собственными данными.

В большинстве случаев программы-вымогатели используется шифрование с открытым, асимметричным ключом, так и шифрование с симметричным ключом. Шифрование с асимметричным ключом используется для блокировки симметричных ключей, которые выполняют шифрование всех файлов (очень похоже на распределенную программу шифрования). Процесс шифрования выглядит примерно так:

  1. Программа-вымогатель генерирует одну или несколько пар асимметричных открытых и закрытых ключей и один или несколько симметричных ключей. Для каждого файла или компьютера может быть свой симметричный ключ.

  2. Симметричные ключи используются для шифрования данных, безвозвратно удаляя версии данных открытого текста после завершения зашифрованной версии. Большинство программ-вымогателей добавляют к зашифрованным копиям файлов данных узнаваемое расширение файла.

  3. Симметричные ключи будут зашифрованы с помощью асимметричного открытого ключа, а затем версия с открытым текстом будет удалена.

  4. Асимметричный закрытый ключ будет отправлен на сервер хранения ключей программы- вымогателя в ожидании дальнейших инструкций.

Посте того, как программа-вымогатель отработала, жертве сообщают, как связаться с преступником через электронную почту, Skype или другие способы онлайн-общения. Часто преступник в своем уведомлении о выкупе указывает идентификационный номер, который должен быть включен в первоначальные сообщения. Это делается для того, чтобы преступник знал, кто с ним связывается, и как определить, какой зашифрованный открытый ключ принадлежит жертве, связывающейся с ним. В некоторых уведомлениях о программах-вымогателях будет отображаться фиксированная сумма, которую необходимо заплатить. Обычно это будет указано либо в долларах США, либо в биткойнах (BTC). Варианты прямого действия, как правило, имеют фиксированное количество. Многие другие программы-вымогатели не указывают запрашиваемую сумму выкупа и просто просят жертву связаться с ними. Только когда с ними связываются, банда вымогателей возвращается с фигурой, и это потому, что они проводят некоторые исследования о том, сколько денег они могут получить от жертвы. Часто в уведомлении о программе-вымогателе указывается крайний срок, измеряемый в днях, чтобы жертва почувствовала срочность.

Если выплачен выкуп, группа вымогателей предоставит один или несколько ключей дешифрования, которые можно использовать, вместе с инструкциями по их использованию; или они предоставят специальную программу или скрипт вместе с ключами дешифрования. В любом случае, процесс дешифрования, даже если он настолько автоматизирован, насколько это возможно, не является простым процессом. Даже при самых лучших намерениях с обеих сторон это часто не работает или работает плохо. Есть статистика, которая говорит, что только от 10 до 25 процентов жертв программ-вымогателей, которые платят за данные, на самом деле получают все свои данные обратно. Цифры обычно колеблются между 60 - 80 процентов платящих жертв, которые возвращают хотя бы часть данных. В любом случае, восстановление данных — это всегда беспорядок. Банды вымогателей не являются суперпрофессиональными разработчиками, которые тратят много времени и сил на отладку и устранение неполадок в своих программах. Восстановление, даже с ключами расшифровки, всегда требует много работы, и это при том, что все работает как можно лучше. Опять же, ключи дешифрования обычно предоставляются несколькими партиями — сначала «тестовая партия», чтобы доказать, что у злоумышленников есть ключи дешифрования и что ключи дешифрования работают, а затем остальные после выплаты большей части выкупа.

Приведу пример, когда фирма кибербезопасности Cyberwise проанализировала одну из самых популярных троянских вредоносных программ, Cerberus. На примере различных троянов они смогли определить, как выглядела сетевая инфраструктура, развернутая создателем трояна Cerberus для его поддержки. На рисунке показана воссозданная сетевая инфраструктура Cerberus, взятая из анализа Cyberwise (https://biznet.com.tr/wp-content/uploads/2020/08/Cerberus.pdf).

Это был профессионал с большим количеством ресурсов, который разработал полностью отказоустойчивую и хорошо продуманную сеть. У него были прокси-серверы, серверы кампаний, административные порталы, служба поддержки клиентов, центры обработки данных и даже проверка лицензионного ключа. Это был человек с технической подготовкой по проектированию и доставке крупномасштабных сетей с резервированием. Он мог прийти в любую крупную компанию, подать заявку на должность руководителя отдела ИТ и получить соответствующую квалификацию.

Если вы являетесь злоумышленником и беспокоитесь о том, что ваши незаконные транзакции с биткойнами каким-то образом отслеживаются, что ж, для этого есть специальные сервисы. Оказывается, биткойн-блокчейн, который отслеживает каждую транзакцию с точностью до миллиардной доли цента до того, кто ее отправил и получил, можно обыграть. У злоумышленников есть поставщики услуг, чья единственная задача — сделать их биткойн-транзакции более непрозрачными и трудными для отслеживания. Просто заставьте свои программы-вымогатели отправлять ваши биткойны на адрес кошелька центрального расчетного центра биткойнов. Там лидер смешивает ваши собранные биткойны с множеством биткойнов, собранных другими людьми, нарезает и отправляет обратно ваши уже отмытые биткойны на другие ваши биткойн-адреса на другой стороне. Если правоохранительные органы не смогут проникнуть внутрь цифрового кошелька отмывателей биткойнов, они не смогут увидеть, куда уходят деньги. Эти типы биткойн- сервисов известны как миксеры.

Я не хочу заканчивать эту главу мраком, но сейчас все очень плохо. Программы-вымогатели зарабатывают от миллиардов до десятков миллиардов долларов в год, и, если ничего не произойдет, многие люди предсказывают, что программы-вымогатели нанесут ущерб в несколько сотен миллиардов долларов в ближайшие десять лет.

Комментарии (0)