24.07.2024 06:25
LidiaISKIN 10 5500 Источник

Добрый день, меня зовут Лидия Виткова, я начальник аналитического центра кибербезопасности компании «Газинформсервис» (а еще немного product owner платформы расширенной аналитики Ankey ASAP). В 2023 году мы в рамках НИОКР, а потом уже и при разработке платформы расширенной аналитики изучали шифровальщиков и разрабатывали модели обнаружения паттернов поведения атак шифровальщиков. Путь был длинным, результатов много, по итогам проекта на Хабре будут две статьи. В этом материале расскажу, что это за волшебные твари – шифровальщики и какие у них в общем и целом манеры. Также предлагаю посмотреть на их эволюцию, так как в историческом контексте становится понятнее, как меняется вредонос и его «поведение».

Во второй статье я хочу поговорить уже про подходы к обнаружению атаки шифровальщиков, которые мы в итоге выбрали для внедрения в Ankey ASAP.

Почему нас вообще заинтересовали шифровальщики. Тему мы выбирали примерно в начале лета 2021 года, то есть задолго до того, как Россию захлестнула волна кибератак с использованием шифровальщиков. Но уже тогда их атаки были одними из самых заметных в кибербезе.

В отчете компании F_A_C_C_T «Программы-вымогатели 2021-2022» достаточно хорошо было показано, что шифровальщики еще в 2021 году стали угрозой № 1 в мире. В отчете от Verizon DBIR в 2021 году в разделе про шифровальщиков авторы пишут:

«В этом году мы с сожалением сообщаем, что стали свидетелями очередного увеличения числа случаев использования программ-вымогателей, которое продолжает расти с 2016 года и в настоящее время составляет 5% от общего числа наших инцидентов. Новым фактом является то, что 10% всех взломов в настоящее время связаны с программами-вымогателями. Это связано с тем, что злоумышленники применили новую тактику кражи данных и публикации их вместо простого шифрования…»

Итак, многие эксперты по информационной безопасности били тревогу, а у нас была сформирована сильная команда разработчиков в Ankey ASAP, специалисты Data Science жаждали новых сверхзадач, и было понимание, что пора браться за дело.

В ходе исследования мы узнали много нового и интересного. Прежде всего мы оценили эволюцию данного вида кибератак.

Поведение шифровальщиков

Как показывают примеры из новостей и отчетов, приведенных выше, шифровальщик – это вредоносное программное обеспечение, с которым сталкиваются многие, сражаются зачастую не на равных и проигрывают. Что же это за зверь?

Если коротко, то это компьютерный вирус. Зародился как вирус-вымогатель и проявлялся в двух видах: локер (блокирует доступ к системе) и шифровальщик (все, что есть на компьютере, превращается в набор символов – по сути, тем самым вся информация уничтожается). А за возврат данных злоумышленники требовали выкуп. В зарубежной литературе, научных статьях и отчетах чаще всего для его обозначения используется термин ransomware.

Так как это мировая проблема, то есть общепринятая классификация программ-вымогателей, и в ней шифровальщиков по принципу работы делят на:

– шифрующие файлы в системе;

– препятствующие работе с ПК (или другими сетевыми активами);

– препятствующие работе с браузерами.

А еще существуют и псевдо вымогатели, полностью и безвозвратно уничтожающее данные, — так называемые wiper-ы.

Сами шифровальщики могут быть троянскими программами, сетевыми червями, гибридами трояна и червя, а также набором из различных вредоносных программ (и хакерских инструментов). Когда объектом атаки является домашний компьютер, тогда программа обычно распространяется массово, и от нее защищает антивирус. А вот если целью становится крупная организация, тогда в ход идут изощренные методы доставки: программа маскируется под легальное ПО и бодро уклоняется от любого сигнатурного метода обнаружения. Тут как раз и помогает расширенная аналитика, поэтому мы и взялись за разработку своих анализаторов в Ankey ASAP.

Об особенностях этого вредоноса поговорили, переходим к исторической справке.

Эволюция шифровальщиков

Эволюцию шифровальщиков исследователи условно делят на три ключевых периода: до 2014 года, с 2015 по 2017 год, после 2017 года (рисунок 1). Я же предлагаю добавить и период с 2022 года.

Рисунок 1. Эволюция шифровальщиков [1]
Рисунок 1. Эволюция шифровальщиков [1]

Все, что было до 2014 года, можно отнести к тому времени, когда атаки шифровальщиков и локеров были широко распространены, жертвами чаще всего становились обычные пользователи и атаки носили случайный характер. В тот период выкуп, который требовали вымогатели, был маленьким.

После 2015 года злоумышленники начали внедрять в свои решения ПО для выкупа, именно тогда и появился устойчивый термин ransomware (ransom – выкуп и software – программное обеспечение). Это сократило количество жертв, зато привело к росту числа целенаправленных атак и увеличению требований о выкупе. На рисунке показан маленький диапазон 2015-2017 годов, когда шифровальщики плавно переходили из класса кибероружия массового поражения в класс дорогих и целенаправленных атак.

А вот после 2017 года в мире угроз, связанных с шифровальщиками, появились программы-вымогатели как услуга (RaaS), и мир начал привыкать к новому термину: охота на крупную дичь (BGH).

И теперь мы можем смело добавлять в историю четвертый, ключевой период, начавшийся в феврале-марте 2022-го, когда к киберпреступникам присоединились хактивисты, которым неинтересен выкуп. Так появился подвид шифровальщиков, которые просто уничтожают все данные безвозвратно. Возможно, в будущем шифровальщики вернутся к классу кибероружия массового поражения, но уже от хактивистов. Посмотрим, что готовит нам будущее, но антивирусами надо запастись и быть бдительными.

Далее я опишу просто несколько кейсов по диаграмме (рис 1), чтобы показать примеры эволюции. Они не демонстрируют все множество случаев, но показательны для анализа изменений: за многими «инновациями» стоят преступные группировки.

Кейсы из эволюции методов и технологий шифровальщиков

Кейс. Начало

Первым человеком, запустившим массовую атаку шифровальщика, стал американец, исследователь СПИДа Джозеф Попп. В 1989 году он разослал участникам конференции ВОЗ 20 000 дискет. Чтобы обмануть жертв, он утверждал в сопроводительных документах, что на дискетах содержится анкета для определения риска заражения. Диск содержал AIDS Trojan, и программа шифровала файлы, при этом использовался простой симметричный шифр. С жертв Джозеф Попп требовал 189 долларов.

 Промежуточные перемены

Развитие продолжалось, но я предлагаю перейти сразу к 2000-м. В 2004 году появилась первая современная программа-вымогатель GPCode. Она заражала системы через фишинговые письма. GPCode использовала симметричное шифрование, была массовой и выкуп составлял 20 баксов. В 2006 году появилась Archievus, в которой впервые применялся RSA-шифр, однако ключ был 1024-битный.

 Локеры

Перешагнем еще через шесть лет. Злоумышленники применили новую технологию, и в 2012 году появилась Reveton. Она была уже локером. Вирус блокировал компьютер и требовал выкуп с жертв от имени правоохранительных органов, обвиняя их в совершении преступления.

В 2013 году появился штамм вымогательского ПО CryptoLocker, в котором использовалось стойкое шифрование 2048 RSA. Был еще интересный TeslaCrypt в 2015 году, он атаковал геймеров и требовал 500 долларов, а если жертва не укладывалась в сроки, выкуп удваивался.

Известные массовые шифровальщики

В 2016 году пользователи столкнулись с вирусом Petya (рис 2). Он атаковал загрузочный сектор, то есть ОС даже не успевала запуститься, и жертвы лишались жесткого диска быстрее, чем успевали увидеть картинку с требованием.

В 2017-м вирус WannaCry потряс мир и поразил сотни тысяч компьютеров более чем в 150 странах. Эксплойт использовал для распространения уязвимость Eternal Blue, утечка о которой произошла из Агентства национальной безопасности США. Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. В общем-то, и для распространения шифровальщика Petya эта уязвимость часто использовалась киберпреступниками.

 

Рисунок 2. Заставка шифровальщика Petya.
Рисунок 2. Заставка шифровальщика Petya.

Охота на крупную дичь

В 2018 году появился Ryuk – сложный шифровальщик, который использовался уже для целенаправленных атак. Выкуп требовался в биткоинах, и на то время он составлял от 100 000 до 500 000 долларов.

В 2019 году появился Maze, в нем уже использовалась тактика двойного вымогательства, при которой данные удаляются при развертывании. А в 2020 году после распада группировки Maze был создан сервис Egregor Raas.

Еще 2020 год запомнится появлением Conti и Darkside. Эти киберперступники были ответственны за самые крупные киберинциденты по всему миру.

В те же годы Lockbit обновлялся до 2.0 и 3.0 в 2021 и 2022 году соответственно. Из интересного: записка с требованием выкупа для Lockbit 3.0 отличалась от многих. Во-первых, она была реально длиннее – это было письмо с обращением к жертве, в котором атакующие шантажировали пострадавшего угрозой, что они сольют данные в Интернет и тем самым жертва нарушит Общий регламент по защите данных (GDPR) – закон Европейского союза о защите данных. В записке сообщалось, что в случае утечки пострадавшие могут быть подвергнуты юридическим штрафам со стороны регуляторов.

Появление хактивизма

В 2022 году мы узнали, что такое хактивизм.

В отчете за 2023 год специалисты компании F.A.C.C.T. описали 14 APT-групп, действующих на территории России и стран СНГ. Чаще всего киберпреступников интересовали госучреждения, оборонка, объекты критической инфраструктуры. Однако, как показала весна 2024-го, сферами ретейла, доставки, финансов они тоже не пренебрегают.

На 2024 год пока в дальнейших прогнозах у экспертов – рост активности со стороны APT-групп, хактивистов и шифровальщиков.

В общем, не зря мы в 2022-м создавали модели обнаружения шифровальщиков. Но о жизненном цикле шифровальщика, признаках, подходах я расскажу во втором материале.

А пока предлагаю задуматься о будущем. Присоединяйтесь в комментариях к прогнозам!

Будущее шифровальщиков:

1)            через год;

2)            через два года;

3)            через три года.

Мои варианты:

1 год

Хактивисты из идейных перейдут в группу киберпреступников, стремящихся к обогащению, и увеличат со своей стороны количество атак. Внутренний нарушитель зазвучит более громко в ИБ.

2 года

APT-группировки разработают метод атаки крупных транснациональных компаний и появятся первые новости про масштабную блокировку автомобилей, смартфонов от одного производителя с требованием выкупа к корпорации.

3 года

Атаки шифровальщиков начнутся на ИИ-приложения, новыми целями атак станут модели машинного обучения и нейросети.

Предлагайте ваши варианты, а потом сравним.

[1] Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023.

Комментарии (10)


  1. Interpreter
    25.07.2024 06:55
    #27084436
    +1

    Третий вариант означает неограниченные возможности удаленного управления


  1. rivitna
    25.07.2024 06:55
    #27084630
    +1

    "Смешались в кучу кони козлы, люди"
    Я извиняюсь, Вы взрослым давали это читать до публикации?
    Многие термины и понятия используются без понимания их смысла.
    Я давно в теме, но даже у меня от "вирусов" и "вредоносов" глаз начинает дергаться.
    Нет смысла расписывать детально что не так в статье, статья в целом плоха.
    Скажу только, что шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки. Нельзя бороться с пожаром, дождавшийсь, когда он разгорится полностью


    1. LidiaISKIN Автор
      25.07.2024 06:55
      #27085474

      Добрый день, спасибо за комментарий, если Вы поделитесь контактами, то в следующий раз обязательно посоветуюсь с Вами. "Нельзя бороться с пожаром, дождавшись, когда он разгорится полностью" - вопрос сложный, при обнаружении шифровальщика мы учитываем жизненный цикл атаки, но его этапы пересекаются со множеством других атак и нет смысла в системе кричать об атаке шифровальщика, если это T1566, например. Вы правы, но тут вроде бы и нет противоречия, " шифрование инфраструктуры жертвы с использованием программ-вымогателей - это завершающий этап атаки".
      Как бы Вы как взрослый, опытный эксперт разделили жизненный цикл такой атаки? Я опиралась на научные статьи, но возможно исследователи все не правы (список научных статьей и даже выгрузку готова прислать), давайте тогда вместе проанализируем взгляд ученых и потом предложим свою терминологию, классификацию, модель.


      1. rivitna
        25.07.2024 06:55
        #27085516

        Часть контактов указана в моем профиле, можно и погуглить по нику, я не скрываюсь :-)

        Почитайте для начала книгу моего друга и коллеги


        1. LidiaISKIN Автор
          25.07.2024 06:55
          #27085592

          Кстати читала, и проблема в том, что в разработке моделей обнаружения, тогда когда мы выбираем признаки, нам надо на чем-то остановиться. Мы в итоге выбрали то, что выбирают многие: процессы и события. У нас с Вами разный возраст, согласна. Разная экспертиза, я не реверс-инженер и даже не претендую на это звание. Мне бы как-то пожар остановить и вот кстати отчеты Вашей компании, как и книги, мы читаем и постоянно обновляем признаковое пространство.
          По поводу терминологии, супер, предлагайте, у Вас есть опыт публикаций, можно сделать даже отдельный словарь, как всем можно говорить, а как нельзя. Это не всегда в итоге помогает и не все начинают использовать общую терминологию, но зато будет на что опираться.


  1. DarkAvengerBit
    25.07.2024 06:55
    #27085480
    +1

    Ради Бога, пожалуйста, не пишите, что вы "Эксперт по информационной безопасности", иначе нас всех измажут кое-чем. Слегка по пунктам:

    1) Раз и навсегда - со времён как минимум Ms-dos: Вирус - файловый инфектор. (Или файлово-загрузочный/загрузочный в то время). Вы можете называть какое-то впо вирусом только после того, как как вы увидели код, инфицирующий (заражающий чужеродным кодом) объекты файловой системы (в большинстве случаев исполняемые). Либо код, либо поведение. Всë остальное - не вирусы

    2) APT- группировки уже давно атаковали и транснациональные компании и целые службы и органы разных стран. И известная группа на корейском полуострове, и Moonlight Maze (о котором мало кто помнит. Ещё в 90-ых). Это не появилось сегодня

    3) Локеры появились не в 2012 году и это не новая технология. От тех же троянов-винлокеров (Trojan.Winlock) страдали пользователи и компании ещё с середины-конца нулевых

    4) Вайперы - не являются вымогателями! Это разновидность троянских программ (в широкой интерпретации троянского по), которые уничтожают данные. Напрямую, они не относятся к той же категории, что и ransomware. Да, они могут использоваться совместно или заменять последний stage в killchain, но... Стоять рядом с красной машиной ! = быть непосредственно красной машиной

    Давайте будем хоть как-то уважать ИБ... Профессионал от непрофессионала отличается в том числе и тем, что может сказать: "В этой области у меня недостаточно компетенций. Я не буду выдавать своë заключение/комментировать". Давайте также подумаем о том, что в Википедии не всегда всë правильно и хорошо написано. После всего этого назвать себя экспертом... Мне трудно это понять. Не превращайте эту область в сплошное инфоцыганство. Мир вам за это спасибо не скажет...


    1. LidiaISKIN Автор
      25.07.2024 06:55
      #27085542

      Добрый день, пусть меня измажут, Вас не тронут, не переживайте. Спасибо за комментарий, Вы правы в утверждении (1) и не правы одновременно, есть некоторый набор определений, не мной предложенный, и Ваше - пример, часть. ФСТЭК утверждает, что

      Компьютерный вирус (Computer Virus)

      программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам

      ГОСТ Р 51188-98
      Вы правы по пункту (2), но я не говорю, про то, что это будет инновацией, я говорю в прогнозе, про то, что это станет заметно пользователям устройств, которые также увидят сообщение на своих устройствах. Более того - прогноз - Предсказание о развитии и исходе каких-нибудь событий, явлений на основании имеющихся данных. (Толковый словарь Ушакова)
      (3) Вам виднее, я опиралась на данные исследований, могу сделать выгрузку источников, тут даже есть одна статья, с ней можно познакомится, она не полная, но в открытом доступе (Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023. )
      (4) - вопрос классификации спорный, изначально не я вайперы отнесла к вымогателям, но вообще-то я в этом пункте соглашусь с Вами, нет компонента вымогателя. Думаю в будущем будет уточнена классификация, однако же это не моя задача.

      "Давайте будем хоть как-то уважать ИБ..."

      Давайте, можем начать сейчас. Спасибо, что читаете хабр и делитесь мнением.


      1. DarkAvengerBit
        25.07.2024 06:55
        #27086014

        1) У вас: "вирус-вымогатель и проявляется в двух видах". " Вирус блокировал компьютер". В том же определении из ГОСТ (Вы его привели сами) есть фрагмент: "внедрять их в файлы, системные области компьютера" + "копии сохраняют способность дальнейшего распространения". Если вы хотите опираться на данное определение, то приведите код условного вымогателя, который заразил файл на диске (в котором имеется код, который позволяет заражать файловые объекты) и заражение по файлам затем пошло дальше. Приведите пример кода Trojan.Winlock или MbrLocker, который заражает другие файлы, или чьи копии способны самостоятельно распространяться, заражая файловые объекты. Если бы вы сказали, что условный Win32.Virut может распространяться - проблем нет. Можно было бы даже рассмотреть фрагмент машинного кода с данной процедурой/функцией. Однако же, мы говорим про рансомварь и локеры (win/mbr), притом почему-то называя их вирусами... Среди подавляющего большинства вендоров и специалистов принято 2 подхода: относить ransomware к отдельному классу ВПО, либо же отнести его к классу троянов (второй подход мне ближе по определённым личным причинам, однако и к первому варианту я отношусь с пониманием). Подходы к классификации сформировались задолго до ГОСТа. Задателями системы тогда были не российские организации по стандартизации, а вендора СЗИ + учëные. Обратитесь к той же самой классификации CARO, которая для многих стала основой. Затем, многие стали разрабатывать свои, но ни в одной нормальной классификации я не видел ransomware/троян-шифровальщик в категории "вирус". Ради справедливости вопросами только одной классификации я занимался несколько лет.

        2) Прогнозы должны строиться на объëмной аналитике. Данные из дарквеб'а, данные T.I. Общение с лицами по ту сторону баррикад. Отслеживание эксплуатации уязвимостей и их продажи. Финансовая целесообразность для применения подобных решений для киберпреступников. Изменения психологической состовляющей киберпреступных групп/кластеров активности. Распространëнность и доступность методов и инструментов для киберпреступников. И десятки (как минимум) других факторов. Есть у вас материалы/аналитика по вашему выводу "2 года"? Если всë сводится к тому, что стали распространены IOT устройства и электромобили и их будут павнить. Ну... Хорошо. Хотя, это очевидно и детям и людям лишь слегка знакомым с ИБ. Серьëзная аналитика на таком не строится

        3) Я опирался на данные исследований, данные своих коллег, а ещё на свой опыт вылеченных сотен компов от винлокеров. Немалая часть из которых (десятки-сотня) были мной происследованы/разревершены лично (в них и их внутренностях было мало интересного).

        4) Жаль, что кто-то отнëс их к вымогателем. Честно, сказать мне поэтому нечего.

        Хотелось бы, чтобы пулемëт не называли штурмовой винтовкой, а "грязную бомбу" термоядерной :)


        1. LidiaISKIN Автор
          25.07.2024 06:55
          #27086742

          Спасибо, очень развернутая аргументация. Вы правы и подходы к классификации сформировались задолго до ГОСТа, и прогнозы должны строиться на объемной аналитике. Однако не всегда объемная аналитика должна формироваться только на данных из дарквеб'а, данных T.I. Как же мы тогда будем готовить будущие кадры, экспертов? Они должны будут платить как-то за доступ к этим данным. Или тогда мы говорим, что аналитика может быть только от двух, трех компаний вендоров и все? А сотрудники в организациях, в гос органах, если они видят другую аналитику - они не видят? Они не могут строить прогнозы?
          по поводу 4) - соглашусь с Вами и внесу уточнение в статью, все-таки если мы начнем хотя бы сейчас что-то из классификации приводить в порядок, то в будущем и в новых ГОСТах данные обновятся


          1. DarkAvengerBit
            25.07.2024 06:55
            #27087062

            Строить прогнозы можно на чужих статьях, отчëтах, на общедоступных данных (в большинстве случаев). Это - если у вас нет своих систем, которые собирают данные (если грубо и на пальцах). Есть сенсоры/edr/почтовые фильтры/av/песочницы/данные от криминалистических исследований и. Т. Д. И прочее - собирайте оттуда. Есть аналитики по darkweb/onion/телеге, осинтеры с уклоном и прочие специалисты по ИБ - будут они добывать данные. Если у вас нет абсолютно никаких средств и ресурсов и, как следствие, самих данных, то вам придётся учиться на чужих публичных общедоступных данных. Приходящие специалисты-новички учатся на том, что имеется. К чему имеется доступ и какими ресурсами владеет организация.с кем есть каналы обмена информацией. Поставщики данных публичные и непубличные. Вне зависимости от того госструктура это или частная компания. Иногда данные приходится и покупать, такое встречается (пусть и не часто), но имеет место быть. Это уже ближе к вопросам мироздания и бытия - нет аналитиков, специалистов T.I.? Нет третхантеров, нет криминалистов/респондеров? Нет сока? Нет доступа к фидам? Нет СЗИ которые загребают данные как акула загребает ртом криль? Нет каналов взаимодействия с другими? Ну, тогда остаются только публичная инфа и поисковик) дальше не вижу смысла дискутировать. Большинство молодых специалистов, оказавшись на госслужбе или в частной организации в той или иной мере будут обеспечены ресурсами для выполнения задач/работы