Программы-вымогатели — это тип криптовирусного вредоносного ПО , которое навсегда блокирует доступ к личным данным жертвы , если не будет уплачен выкуп. В то время как некоторые простые программы-вымогатели могут заблокировать систему, не повреждая файлы, более продвинутые вредоносные программы используют метод, называемый криптовирусным вымогательством. Он шифрует файлы жертвы, делая их недоступными, и требует выкуп за их расшифровку. [1] [2] [3] [4] [5] При правильно реализованной криптовирусной атаке-вымогательстве восстановление файлов без ключа дешифрования является неразрешимой проблемой, а цифровые валюты, которые трудно отследить, такие как paysafecard или биткойн и другие Для выкупа используются криптовалюты , что затрудняет отслеживание и преследование преступников.
Атаки программ-вымогателей обычно осуществляются с использованием трояна, замаскированного под законный файл, который пользователя обманом заставляют загрузить или открыть, когда он приходит в виде вложения к электронному письму. Однако один громкий пример — червь WannaCry — автоматически перемещался между компьютерами без вмешательства пользователя. [6]
Начиная с 1989 года, когда появилась первая задокументированная программа-вымогатель, известная как троян СПИДа , использование программ-вымогателей выросло во всем мире. [7] [8] [9] За первые шесть месяцев 2018 года было совершено 181,5 миллиона атак с использованием программ-вымогателей. Этот рекорд означает увеличение на 229% по сравнению с тем же периодом 2017 года. [10] В июне 2014 года поставщик McAfee опубликовал данные, показывающие, что что в этом квартале было собрано более чем вдвое больше образцов программ-вымогателей, чем в том же квартале предыдущего года. [11] CryptoLocker был особенно успешным, заработав около 3 миллионов долларов США, прежде чем он был закрыт властями, [12] а CryptoWall, по оценкам Федерального бюро расследований США (ФБР), к июню 2015 года накопил более 18 миллионов долларов США. [13] В 2020 году IC3 получила 2474 жалобы, идентифицированные как программы-вымогатели, скорректированные убытки составили более 29,1 миллиона долларов. По данным ФБР, потери могут быть больше. [14] Во всем мире, по данным Statistica , в 2021 году было совершено около 623 миллионов атак с использованием программ-вымогателей, а в 2022 году — 493 миллиона. [15]
Концепция программ-вымогателей, шифрующих файлы, была изобретена и реализована Янгом и Юнгом в Колумбийском университете и представлена на конференции IEEE Security & Privacy в 1996 году. Это называется криптовирусным вымогательством , и оно было вдохновлено вымышленным лицехватом из фильма «Чужой» . [16] Криптовирусное вымогательство представляет собой следующий трехраундовый протокол между злоумышленником и жертвой. [1]
Симметричный ключ генерируется случайным образом и не поможет другим жертвам. Закрытый ключ злоумышленника ни в коем случае не становится доступен жертвам, и жертве достаточно отправить злоумышленнику очень небольшой зашифрованный текст (зашифрованный ключ симметричного шифрования).
Атаки программ-вымогателей обычно осуществляются с использованием трояна , проникающего в систему через, например, вредоносное вложение, встроенную ссылку в фишинговом электронном письме или уязвимость в сетевой службе. Затем программа запускает полезную нагрузку , которая каким-либо образом блокирует систему или утверждает, что блокирует систему, но этого не делает (например, программа- пугающее ПО ). Полезные нагрузки могут отображать ложное предупреждение, якобы сделанное такой организацией, как правоохранительный орган , ложно утверждая, что система использовалась для незаконной деятельности, содержит такой контент, как порнография и «пиратские» медиа . [17] [18] [19]
Некоторые полезные нагрузки состоят просто из приложения, предназначенного для блокировки или ограничения системы до тех пор, пока не будет произведена оплата, обычно путем установки оболочки Windows на себя [20] или даже изменения главной загрузочной записи и/или таблицы разделов , чтобы предотвратить загрузку операционной системы. пока его не отремонтируют. [21] Самые сложные полезные нагрузки шифруют файлы, причем многие из них используют стойкое шифрование для шифрования файлов жертвы таким образом, что только автор вредоносного ПО имеет необходимый ключ дешифрования. [1] [22] [23]
Практически всегда целью является оплата, и жертву принуждают заплатить за удаление программы-вымогателя либо путем предоставления программы, которая может расшифровать файлы, либо путем отправки кода разблокировки, который отменяет изменения полезных данных. Хотя злоумышленник может просто забрать деньги, не возвращая файлы жертвы, в интересах злоумышленника выполнить расшифровку в соответствии с соглашением, поскольку жертвы перестанут отправлять платежи, если станет известно, что они бесполезны. Ключевым элементом работы программы-вымогателя для злоумышленника является удобная платежная система, которую трудно отследить. Был использован ряд таких способов оплаты, включая банковские переводы , текстовые сообщения с повышенным тарифом , [24] услуги предоплаченных ваучеров , такие как paysafecard , [7] [25] [26] и криптовалюту Биткойн . [27] [28] [29]
В мае 2020 года поставщик Sophos сообщил, что средняя глобальная стоимость устранения атаки программы-вымогателя (с учетом времени простоя, времени людей, стоимости устройства, стоимости сети, упущенных возможностей и уплаченного выкупа) составила 761 106 долларов США. Данные девяносто пяти процентов организаций, заплативших выкуп, были восстановлены. [30]
Первая известная атака с целью вымогательства вредоносного ПО, «троян СПИДа» , написанная Джозефом Поппом в 1989 году, имела настолько серьезный конструктивный сбой, что платить вымогателю вообще не пришлось платить. Его полезная нагрузка скрывала файлы на жестком диске и шифровала только их имена , а также отображала сообщение о том, что срок действия лицензии пользователя на использование определенной части программного обеспечения истек. Пользователя попросили заплатить 189 долларов США компании PC Cyborg Corporation, чтобы получить инструмент для восстановления, хотя ключ дешифрования можно было извлечь из кода трояна. Троянец также был известен как «PC Cyborg». Поппа признали психически неспособным предстать перед судом за свои действия, но он пообещал пожертвовать прибыль от вредоносного ПО на финансирование исследований СПИДа . [31]
Идея использования анонимных денежных систем для безопасного сбора выкупа за похищение людей была выдвинута в 1992 году Себастьяном фон Зольмсом и Дэвидом Наккешем . [32] Этот метод сбора электронных денег также был предложен для атак с использованием криптовирусов. [1] В сценарии фон Зольмса-Наккеша использовалась газетная публикация (поскольку на момент написания статьи не существовало реестров биткойнов).
Идея использования криптографии с открытым ключом для атак по похищению данных была предложена в 1996 году Адамом Л. Янгом и Моти Юнгом . Янг и Юнг раскритиковали неудавшийся информационный троян о СПИДе, который полагался только на симметричную криптографию , фатальный недостаток заключался в том, что ключ дешифрования мог быть извлечен из трояна, и внедрили экспериментальный криптовирус для проверки концепции на Macintosh SE/30 , который использовал RSA. и алгоритм Tiny Encryption Algorithm (TEA) для гибридного шифрования данных жертвы. Поскольку используется криптография с открытым ключом , вирус содержит только ключ шифрования . Злоумышленник сохраняет соответствующий закрытый ключ дешифрования в тайне . В оригинальном экспериментальном криптовирусе Янга и Юнга жертва отправляла асимметричный зашифрованный текст злоумышленнику, который его расшифровывал и за определенную плату возвращал жертве содержащийся в нем симметричный ключ дешифрования. Задолго до появления электронных денег Янг и Юнг предположили, что электронные деньги можно также вымогать с помощью шифрования, заявив, что «создатель вируса может эффективно удерживать весь денежный выкуп до тех пор, пока ему не будет передана половина. Даже если электронные деньги были ранее зашифрованное пользователем, оно бесполезно для пользователя, если оно будет зашифровано криптовирусом». [1] Они назвали эти атаки « криптовирусным вымогательством», открытой атакой, которая является частью более широкого класса атак в области, называемой криптовирусологией , которая включает в себя как открытые, так и скрытые атаки. [1] Протокол криптовирусного вымогательства был вдохновлен паразитическими отношениями между лицехватом в исполнении Х. Р. Гигера и его хозяином в фильме « Чужой» . [1] [16]
Примеры программ-вымогателей стали заметными в мае 2005 года. [33] К середине 2006 года трояны, такие как Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip и MayArchive, начали использовать более сложные схемы шифрования RSA с постоянно увеличивающимся ключом. -размеры. Gpcode.AG, обнаруженный в июне 2006 года, был зашифрован с помощью 660-битного открытого ключа RSA. [34] В июне 2008 года был обнаружен вариант, известный как Gpcode.AK. Считалось, что при использовании 1024-битного ключа RSA он достаточно велик, чтобы его невозможно было взломать без согласованных распределенных усилий. [35] [36] [37] [38]
Шифрование программ-вымогателей вернулось к известности в конце 2013 года с распространением CryptoLocker — использования платформы цифровой валюты Биткойн для сбора денег в качестве выкупа. В декабре 2013 года ZDNet подсчитала, основываясь на информации о транзакциях биткойнов, что в период с 15 октября по 18 декабря операторы CryptoLocker получили от зараженных пользователей около 27 миллионов долларов США. [39] Техника CryptoLocker широко копировалась в последующие месяцы, включая CryptoLocker 2.0 (считалось, что она не связана с CryptoLocker), CryptoDefense (которая изначально содержала серьезный конструктивный недостаток, заключавшийся в сохранении закрытого ключа зараженной системы в доступном для пользователя файле) . location из-за использования встроенных в Windows API-интерфейсов шифрования), [28] [40] [41] [42] и обнаружения в августе 2014 года трояна, специально нацеленного на сетевые устройства хранения данных производства Synology . [43] В январе 2015 года сообщалось, что атаки с использованием программ-вымогателей происходили против отдельных веб-сайтов посредством взлома, а также с помощью программ-вымогателей, предназначенных для атак на веб-серверы на базе Linux . [44] [45] [46]
При некоторых инфекциях существует двухэтапная полезная нагрузка, характерная для многих вредоносных систем. Пользователя обманом заставляют запустить скрипт, который загружает основной вирус и запускает его. В ранних версиях системы двойной полезной нагрузки сценарий содержался в документе Microsoft Office с прикрепленным макросом VBScript или в файле средства сценариев Windows (WSF). Когда системы обнаружения начали блокировать эти полезные данные первого этапа, Центр защиты от вредоносных программ Microsoft выявил тенденцию к использованию файлов LNK с автономными сценариями Microsoft Windows PowerShell . [47] В 2016 году было обнаружено, что PowerShell участвует почти в 40% инцидентов безопасности конечных точек, [48]
Некоторые разновидности программ-вымогателей используют прокси-серверы , привязанные к скрытым службам Tor , для подключения к своим серверам управления и контроля , что затрудняет отслеживание точного местонахождения преступников. [49] [50] Кроме того, поставщики даркнета все чаще [ когда? ] начал предлагать технологию как услугу , при которой программы-вымогатели продаются, готовые к развертыванию на компьютерах жертв, на основе подписки, аналогично Adobe Creative Cloud или Office 365. [50] [51] [52]
Symantec отнесла программы-вымогатели к наиболее опасным киберугрозам. [53]
В августе 2010 года российские власти арестовали девять человек, связанных с трояном-вымогателем, известным как WinLock. В отличие от предыдущего трояна Gpcode, WinLock не использовал шифрование. Вместо этого WinLock тривиально ограничил доступ к системе, показав порнографические изображения, и попросил пользователей отправить SMS по повышенному тарифу (стоимостью около 10 долларов США), чтобы получить код, который можно было бы использовать для разблокировки их компьютеров. Мошенничество затронуло многочисленных пользователей в России и соседних странах, что, как сообщается, принесло группе более 16 миллионов долларов США. [19] [54]
В 2011 году появился троян-вымогатель, который имитировал уведомление об активации продукта Windows и сообщал пользователям, что установку Windows необходимо повторно активировать, поскольку «[являюсь] жертвой мошенничества». Предлагался вариант онлайн-активации (как и сам процесс активации Windows), но он был недоступен, и пользователю требовалось позвонить на один из шести международных номеров и ввести 6-значный код. Хотя вредоносная программа утверждала, что этот звонок будет бесплатным, он был направлен через мошеннического оператора в стране с высокими международными тарифами на телефонную связь, который поставил звонок на удержание, в результате чего с пользователя взималась крупная плата за международную междугородную связь . [17]
В 2012 году Symantec сообщила о распространении по Восточной Европе программы-вымогателя с экраном блокировки, якобы требующей правоохранительных органов оплаты за незаконную деятельность. [55]
В феврале 2013 года появился троян-вымогатель на основе эксплойт-кита Stamp.EK ; Вредоносное ПО распространялось через сайты, размещенные на хостинговых сервисах проекта SourceForge и GitHub , которые утверждали, что предлагают «поддельные обнаженные фотографии» знаменитостей. [56] В июле 2013 года появился троян-вымогатель, специфичный для OS X , который отображает веб-страницу, обвиняющую пользователя в загрузке порнографии. В отличие от своих аналогов на базе Windows, он не блокирует весь компьютер, а просто использует поведение самого веб-браузера , чтобы препятствовать попыткам закрыть страницу обычными способами. [57]
В июле 2013 года 21-летний мужчина из Вирджинии, чей компьютер по совпадению действительно содержал порнографические фотографии несовершеннолетних девочек, с которыми он общался сексуального характера, сдался полиции после того, как получил и был обманут программой-вымогателем ФБР MoneyPak, обвинившей его в хранении детская порнография. В ходе расследования были обнаружены компрометирующие материалы, и мужчине были предъявлены обвинения в сексуальном насилии над детьми и хранении детской порнографии. [58]
Обратной стороной программы-вымогателя является криптовирусная атака, изобретенная Адамом Л. Янгом, которая угрожает опубликовать украденную информацию из компьютерной системы жертвы, а не лишить жертву доступа к ней. [59] При атаке с помощью утечки вредоносное ПО передает конфиденциальные данные хоста либо злоумышленнику, либо, альтернативно, удаленным экземплярам вредоносного ПО, и злоумышленник угрожает опубликовать данные жертвы, если не будет заплачен выкуп. Атака была представлена в Вест-Пойнте в 2003 году и кратко описана в книге « Вредоносная криптография» следующим образом: «Атака отличается от атаки с вымогательством следующим образом. заплатить, чтобы получить ее обратно, тогда как в представленной здесь атаке жертва сохраняет доступ к информации, но ее раскрытие остается на усмотрение компьютерного вируса». [60] Атака основана на теории игр и первоначально называлась «игры с ненулевой суммой и живучие вредоносные программы». Атака может принести денежную выгоду в тех случаях, когда вредоносное ПО получает доступ к информации, которая может нанести ущерб пользователю или организации-жертве, например, репутационный ущерб, который может возникнуть в результате публикации доказательства того, что сама атака была успешной.
Общие цели эксфильтрации включают в себя:
Атаки с эксфильтрацией обычно являются целенаправленными, с тщательно подобранным списком жертв и зачастую с предварительным наблюдением за системами жертвы с целью обнаружения потенциальных объектов данных и слабых мест. [61] [62]
С ростом популярности программ-вымогателей на платформах ПК также распространяется распространение программ-вымогателей, нацеленных на мобильные операционные системы . Как правило, полезные нагрузки мобильных программ-вымогателей являются блокировщиками, поскольку нет смысла шифровать данные, поскольку их можно легко восстановить с помощью онлайн-синхронизации. [63] Мобильные программы-вымогатели обычно нацелены на платформу Android , поскольку позволяют устанавливать приложения из сторонних источников. [63] [64] Полезная нагрузка обычно распространяется в виде APK-файла , устанавливаемого ничего не подозревающим пользователем; он может попытаться отобразить сообщение о блокировке поверх всех других приложений, [64] в то время как другое использовало форму кликджекинга , чтобы заставить пользователя предоставить ему права «администратора устройства» для достижения более глубокого доступа к системе. [65]
На устройствах iOS использовались различные тактики , такие как использование учетных записей iCloud и использование системы «Найти iPhone» для блокировки доступа к устройству. [66] В iOS 10.3 Apple исправила ошибку в обработке всплывающих окон JavaScript в Safari , которая использовалась веб-сайтами-вымогателями. [67] Это недавно [ когда? ] было показано, что программы-вымогатели также могут атаковать архитектуры ARM, подобные тем, которые можно найти в различных устройствах Интернета вещей (IoT), таких как периферийные устройства Industrial IoT. [68]
В августе 2019 года исследователи продемонстрировали возможность заражения зеркальных камер программой-вымогателем. [69] Цифровые камеры часто используют протокол передачи изображений (PTP — стандартный протокол, используемый для передачи файлов). Исследователи обнаружили, что можно использовать уязвимости в протоколе для заражения целевой камеры (камер) программой-вымогателем (или выполнения любого произвольного кода). Эта атака была представлена на конференции по безопасности Defcon в Лас-Вегасе как доказательство концепции атаки (а не как настоящее вооруженное вредоносное ПО).
Первые атаки были направлены на случайных пользователей, обычно заражавшихся через вложения к электронной почте, отправленных небольшими группами преступников, требующих несколько сотен долларов в криптовалюте для разблокировки файлов (обычно фотографий и документов частного лица), зашифрованных программой-вымогателем. По мере того, как программы-вымогатели развивались как бизнес, в эту область вышли организованные банды, рекламирующие в темной сети экспертов и выполняющие функции аутсорсинга . Это привело к улучшению качества программы-вымогателя и ее успеху. Вместо случайных электронных писем банды похитили учетные данные, нашли уязвимости в целевых сетях и усовершенствовали вредоносное ПО, чтобы избежать обнаружения антивирусными сканерами. Требуемые выкупы возросли до гораздо больших сумм (миллионов), которые предприятие заплатило бы за восстановление своих данных, а не той суммы, которую физическое лицо заплатило бы за свои документы (сотни).
В 2016 году был отмечен значительный рост атак программ-вымогателей на больницы. Согласно отчету Symantec Corp. об угрозах интернет-безопасности за 2017 год, программы-вымогатели затронули не только ИТ-системы, но и уход за пациентами, клинические операции и выставление счетов. Интернет-преступники могут руководствоваться доступными деньгами и ощущением срочности в системе здравоохранения. [70]
Программы-вымогатели быстро распространяются среди пользователей Интернета, а также в среде IoT. [55] Большая проблема заключается в том, что некоторые организации и отрасли, которые решили платить, такие как Голливудский пресвитерианский медицинский центр и MedStar Health, теряют миллионы долларов. [71]
Согласно отчету Symantec 2019 ISTR, впервые с 2013 года в 2018 году наблюдалось снижение активности программ-вымогателей на 20 процентов. До 2017 года предпочтительными жертвами были потребители, но в 2017 году ситуация резко изменилась: дело перешло к предприятиям. В 2018 году этот путь ускорился: число заражений составило 81 процент, что представляет собой рост на 12 процентов. [72] Сегодня распространенный метод распространения основан на кампаниях по электронной почте.
В конце 2019 года группа вымогателей Maze загрузила конфиденциальные файлы компаний, прежде чем заблокировать их, и пригрозила обнародовать данные, если выкуп не будет выплачен; по крайней мере в одном случае они это сделали. За ними последовали многие другие банды; В даркнете были созданы «сайты утечки», где можно было получить доступ к украденным данным. Более поздние атаки были сосредоточены на угрозе утечки данных без обязательной их блокировки — это сводило на нет защиту, обеспечиваемую жертвам надежными процедурами резервного копирования. По состоянию на 2023 год [обновлять]существует риск того, что враждебные правительства будут использовать программы-вымогатели, чтобы скрыть то, что на самом деле является сбором разведывательной информации. [73]
Первая зарегистрированная смерть в результате атаки программы-вымогателя произошла в немецкой больнице в октябре 2020 года. [74]
В 2012 году начал распространяться крупный троян-вымогатель, известный как Reveton. Основанный на трояне Citadel (который, в свою очередь, основан на трояне Zeus ), его полезная нагрузка отображает предупреждение якобы от правоохранительного органа, утверждающее, что компьютер использовался для незаконной деятельности, такой как загрузка нелицензионного программного обеспечения или детской порнографии . Из-за такого поведения его часто называют «полицейским трояном». [75] [76] [77] Предупреждение информирует пользователя о том, что для разблокировки системы ему придется заплатить штраф, используя ваучер анонимной предоплаченной кассовой службы, такой как Ukash или paysafecard . Чтобы усилить иллюзию того, что компьютер отслеживается правоохранительными органами, на экране также отображается IP-адрес компьютера, а в некоторых версиях отображаются кадры с веб-камеры жертвы , чтобы создать иллюзию того, что пользователя записывают. [7] [78]
Первоначально Reveton начал распространяться в различных европейских странах в начале 2012 года. [7] Варианты были локализованы с использованием шаблонов с логотипами различных правоохранительных организаций в зависимости от страны пользователя; например, варианты, используемые в Соединенном Королевстве, содержали брендинг таких организаций, как Служба столичной полиции и Национальное подразделение полиции по борьбе с электронными преступлениями . Другая версия содержала логотип общества по сбору роялти PRS for Music , которое конкретно обвиняло пользователя в незаконном скачивании музыки. [79] В заявлении, предупреждающем общественность о вредоносном ПО, столичная полиция пояснила, что они никогда не будут блокировать компьютер таким образом в рамках расследования. [7] [18]
В мае 2012 года исследователи угроз Trend Micro обнаружили шаблоны вариантов для США и Канады , что позволяет предположить, что их авторы, возможно, планировали ориентироваться на пользователей в Северной Америке. [80] К августу 2012 года в США начал распространяться новый вариант Реветона, утверждающий, что он требует уплаты ФБР штрафа в 200 долларов с помощью карты MoneyPak . [8] [9] [78] В феврале 2013 года гражданин России был арестован в Дубае испанскими властями за его связь с преступной группировкой, которая использовала Реветон; еще десять человек были арестованы по обвинению в отмывании денег . [81] В августе 2014 года компания Avast Software сообщила, что обнаружила новые варианты Reveton, которые также распространяют вредоносное ПО для кражи паролей как часть своей полезной нагрузки. [82]
Шифрование программ-вымогателей вновь появилось в сентябре 2013 года с трояном, известным как CryptoLocker , который генерировал 2048-битную пару ключей RSA и, в свою очередь, загружал их на сервер управления и контроля и использовал для шифрования файлов с использованием белого списка определенных расширений файлов . Вредоносная программа угрожала удалить закрытый ключ, если платеж в биткойнах или предоплаченный денежный ваучер не будет произведен в течение 3 дней после заражения. Из-за чрезвычайно большого размера ключа, который он использует, аналитики и те, кто пострадал от трояна, сочли CryptoLocker чрезвычайно трудным для восстановления. [27] [83] [84] [85] Даже после истечения крайнего срока закрытый ключ все еще можно было получить с помощью онлайн-инструмента, но цена увеличится до 10 BTC, что по состоянию на ноябрь 2013 года стоило примерно 2300 долларов США. [ 86] [87]
CryptoLocker был изолирован в результате захвата ботнета Gameover ZeuS в рамках операции «Товар» , о чем официально объявило Министерство юстиции США 2 июня 2014 года. Министерство юстиции также публично предъявило обвинение российскому хакеру Евгению Богачеву за его предполагаемое участие. в ботнете. [88] [89] Было подсчитано, что до закрытия с помощью вредоносного ПО было вытащено не менее 3 миллионов долларов США. [12]
В сентябре 2014 года появилась волна троянов-вымогателей, которые сначала были нацелены на пользователей в Австралии под названиями CryptoWall и CryptoLocker (которые, как и CryptoLocker 2.0, не связаны с исходным CryptoLocker). Трояны распространялись через мошеннические электронные письма, выдававшие себя за неудавшиеся уведомления о доставке посылок от Почты Австралии ; Чтобы избежать обнаружения автоматическими сканерами электронной почты, которые переходят по всем ссылкам на странице для сканирования на наличие вредоносного ПО, этот вариант был разработан таким образом, чтобы требовать от пользователей посещения веб-страницы и ввода кода CAPTCHA перед фактической загрузкой полезной нагрузки, предотвращая такие автоматические процессы возможность сканировать полезную нагрузку. Symantec определила, что эти новые варианты, которые были идентифицированы как CryptoLocker.F , снова не связаны с исходным CryptoLocker из-за различий в их работе. [90] [91] Заметной жертвой троянов стала Австралийская радиовещательная корпорация ; прямые трансляции на новостном телеканале ABC News 24 были прерваны на полчаса и перенесены в студии в Мельбурне из-за заражения CryptoWall на компьютерах студии в Сиднее . [92] [93] [94]
Другой троян из этой волны, TorrentLocker , изначально содержал конструктивный недостаток, сравнимый с CryptoDefense; он использовал один и тот же поток ключей для каждого зараженного компьютера, что делало шифрование простым для преодоления. Однако позже этот недостаток был исправлен. [40] По оценкам, к концу ноября 2014 года TorrentLocker заразились более 9 000 пользователей только в Австралии, уступая только Турции с 11 700 заражениями. [95]
Другой крупный троян-вымогатель, нацеленный на Windows, CryptoWall, впервые появился в 2014 году. Один из вариантов CryptoWall был распространен в рамках вредоносной рекламной кампании в рекламной сети Zedo в конце сентября 2014 года, нацеленной на несколько крупных веб-сайтов; реклама перенаправлялась на мошеннические веб-сайты, которые использовали эксплойты плагинов браузера для загрузки полезной нагрузки. Исследователь Barracuda Networks также отметил, что полезная нагрузка была подписана цифровой подписью , чтобы обеспечить надежность программного обеспечения безопасности. [96] CryptoWall 3.0 использовал полезную нагрузку, написанную на JavaScript, как часть вложения электронной почты, которая загружала исполняемые файлы, замаскированные под изображения JPG . Чтобы еще больше избежать обнаружения, вредоносная программа создает новые экземпляры explorer.exe и svchost.exe для связи со своими серверами. При шифровании файлов вредоносная программа также удаляет теневые копии томов и устанавливает шпионское ПО, которое крадет пароли и биткойн-кошельки . [97]
В июне 2015 года ФБР сообщило, что около 1000 жертв обратились в Центр рассмотрения жалоб на интернет-преступления ФБР, чтобы сообщить о заражении CryptoWall, и оценили убытки как минимум в 18 миллионов долларов. [13]
Самый последний [ когда? ] версия CryptoWall 4.0 усовершенствовала свой код, чтобы избежать обнаружения антивирусом, и шифрует не только данные в файлах, но и имена файлов. [98]
Fusob — крупное семейство мобильных программ-вымогателей. В период с апреля 2015 года по март 2016 года около 56 процентов зарегистрированных мобильных программ-вымогателей составляли Fusob. [99]
Как и большинство других программ-вымогателей, он использует тактику запугивания, чтобы вымогать у пользователя огромную сумму. [100] Приложение действует так, как если бы оно было уведомлением от властей , требующим от жертвы заплатить штраф от 100 до 200 долларов США или иным образом предъявить фиктивное уголовное обвинение. Fusob запрашивает подарочные карты iTunes для оплаты, в отличие от большинства программ-вымогателей, ориентированных на криптовалюту.
Для заражения устройств Fusob маскируется под порнографический видеоплеер. [101] При установке сначала проверяется системный язык устройства. Если язык русский или восточноевропейский, Фусоб остается дремлющим. В противном случае он блокирует устройство и требует выкуп. Около 40% жертв приходится на Германию, в Великобритании – 14,5% жертв, а в США – 11,4%. Fusob и Small (еще одно семейство программ-вымогателей) представляли более 93% мобильных программ-вымогателей в период с 2015 по 2016 год.
В мае 2017 года атака программы-вымогателя WannaCry распространилась по Интернету с использованием вектора эксплойта под названием EternalBlue , который предположительно был утек из Агентства национальной безопасности США . Атака программы-вымогателя, беспрецедентная по своим масштабам, [102] заразила более 230 000 компьютеров в более чем 150 странах, [103] используя 20 различных языков для требования денег от пользователей, использующих криптовалюту Биткойн . WannaCry требовала 300 долларов США за компьютер. [104] Атака затронула Telefónica и несколько других крупных компаний в Испании, а также подразделения Британской национальной службы здравоохранения (NHS), где по меньшей мере 16 больницам пришлось отказать пациентам или отменить запланированные операции, [105] FedEx , Deutsche Bahn , Honda , [106] Renault , а также МВД России и российский оператор связи «МегаФон» . [107] Злоумышленники предоставили своим жертвам 7-дневный срок со дня заражения компьютеров, после чего зашифрованные файлы должны были быть удалены. [108]
Петя был впервые обнаружен в марте 2016 года; В отличие от других форм шифрования программ-вымогателей, вредоносное ПО нацелено на заражение основной загрузочной записи , устанавливая полезную нагрузку, которая шифрует файловые таблицы файловой системы NTFS при следующей загрузке зараженной системы, блокируя загрузку системы в Windows до тех пор, пока не выкуп уплачен. Check Point сообщила, что, несмотря на то, что она считала инновационной эволюцией в разработке программ-вымогателей, она привела к относительно меньшему количеству заражений, чем другие программы-вымогатели, действовавшие примерно в тот же период времени. [109]
27 июня 2017 г. сильно модифицированная версия Petya была использована для глобальной кибератаки, направленной в первую очередь на Украину (но затронувшей многие страны [110] ). Эта версия была модифицирована для распространения с использованием того же эксплойта EternalBlue, который использовался WannaCry. Из-за другого изменения конструкции он также не может фактически разблокировать систему после выплаты выкупа; это привело к тому, что аналитики по безопасности предположили, что атака была направлена не на получение незаконной прибыли, а просто на то, чтобы вызвать сбой. [111] [112]
24 октября 2017 года некоторые пользователи в России и Украине сообщили о новой атаке программы-вымогателя под названием «Bad Rabbit», которая повторяет схему, аналогичную WannaCry и Petya: шифрует таблицы файлов пользователя, а затем требует оплаты в биткойнах для их расшифровки. ESET предположила, что программа-вымогатель была распространена посредством фиктивного обновления программного обеспечения Adobe Flash . [113] Среди агентств, пострадавших от программы-вымогателя, были: « Интерфакс» , «Одесский международный аэропорт» , «Киевский метрополитен » и Министерство инфраструктуры Украины. [114] Поскольку для распространения программа-вымогатель использовала корпоративные сетевые структуры, она была обнаружена и в других странах, включая Турцию, Германию, Польшу, Японию, Южную Корею и США. [115] Эксперты полагали, что атака с помощью программы-вымогателя была связана с атакой Petya в Украине (особенно потому, что код Bad Rabbit имеет множество пересекающихся и аналогичных элементов с кодом Petya/NotPetya, [116] добавление к CrowdStrike Bad Rabbit и DLL NotPetya (динамическая ссылка) библиотека) используют 67 процентов одного и того же кода [117] ), хотя единственными виновниками являются имена персонажей из сериала «Игра престолов» , встроенные в код. [115]
Эксперты по безопасности обнаружили, что программа-вымогатель не использовала эксплойт EternalBlue для распространения, а 24 октября 2017 года был найден простой метод заражения незатронутой машины под управлением более старых версий Windows. [118] [119] Кроме того, сайты, которые использовались для заражения распространили фиктивное обновление Flash, отключились от сети или удалили проблемные файлы в течение нескольких дней после его обнаружения, эффективно прекратив распространение Bad Rabbit. [115]
В 2016 году появился новый штамм программы-вымогателя, нацеленный на серверы JBoss . [120] Было обнаружено, что этот штамм, получивший название «SamSam», обходит процесс фишинга или незаконных загрузок в пользу использования уязвимостей на слабых серверах. [121] Вредоносная программа использует грубую атаку протокола удаленного рабочего стола , чтобы подобрать слабые пароли, пока один из них не будет взломан. Вирус стоял за атаками на государственные учреждения и учреждения здравоохранения, при этом заметные хакерские атаки произошли в городе Фармингтон, штат Нью-Мексико , в Министерстве транспорта Колорадо , округе Дэвидсон, Северная Каролина , а совсем недавно [ когда? ] — атака программы-вымогателя на инфраструктуру Атланты . [121]
Мохаммад Мехди Шах Мансури (родился в Куме , Иран , в 1991 году) и Фарамарз Шахи Саванди (родился в Ширазе , Иран , в 1984 году) разыскиваются ФБР по подозрению в запуске программы-вымогателя SamSam. [122] Эти двое предположительно заработали 6 миллионов долларов на вымогательстве и нанесли ущерб на сумму более 30 миллионов долларов, используя вредоносное ПО. [123]
7 мая 2021 года была совершена кибератака на Колониальный трубопровод США. Федеральное бюро расследований определило DarkSide как виновника атаки программы-вымогателя Colonial Pipeline , совершенной с помощью вредоносного кода , которая привела к добровольному отключению основного трубопровода, поставляющего 45% топлива на восточное побережье США . Атака была названа худшей кибератакой на важнейшую инфраструктуру США на сегодняшний день . DarkSide успешно выманил около 75 биткойнов (почти 5 миллионов долларов США) из Colonial Pipeline. Американские чиновники расследуют, было ли нападение чисто криминальным или имело место при участии российского правительства или другого государственного спонсора. После нападения DarkSide опубликовал заявление, в котором утверждалось, что «Мы аполитичны, мы не участвуем в геополитике... Наша цель — зарабатывать деньги, а не создавать проблемы обществу».
В мае 2021 года ФБР и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместное предупреждение, призывающее владельцев и операторов критически важной инфраструктуры предпринять определенные шаги для снижения своей уязвимости к программам-вымогателям DarkSide и программам-вымогателям в целом.
Syskey — это утилита, включенная в операционные системы на базе Windows NT для шифрования базы данных учетных записей пользователей , при необходимости с помощью пароля. Этот инструмент иногда эффективно использовался в качестве программы-вымогателя во время мошенничества с технической поддержкой , когда звонивший с удаленным доступом к компьютеру мог использовать этот инструмент, чтобы заблокировать пользователя на его компьютере с помощью пароля, известного только ему. [124] Syskey был удален из более поздних версий Windows 10 и Windows Server в 2017 году по причине того, что он устарел и «известен тем, что он использовался хакерами в рамках мошенничества с программами-вымогателями». [125] [126]
Программа-вымогатель как услуга (RaaS) стала заметным методом после того, как российская [127] или русскоязычная [128] группа REvil провела операции против нескольких целей, включая базирующуюся в Бразилии JBS SA в мае 2021 года и Американская компания Kaseya Limited в июле 2021 года. [129] После телефонного разговора 9 июля 2021 года между президентом США Джо Байденом и президентом России Владимиром Путиным Байден заявил прессе: «Я очень ясно дал ему понять, что Соединенные Штаты ожидают когда с его территории проводится операция по вымогательству, даже если она не спонсируется государством, мы ожидаем, что они будут действовать, если мы предоставим им достаточно информации, чтобы определить, кто это такой». Позже Байден добавил, что Соединенные Штаты отключат серверы группы, если Путин этого не сделает. [130] [131] Четыре дня спустя веб-сайты REvil и другая инфраструктура исчезли из Интернета. [132]
Если атака подозревается или обнаруживается на ранних стадиях, для шифрования требуется некоторое время; немедленное удаление вредоносного ПО (относительно простой процесс) до его завершения предотвратит дальнейшее повреждение данных, не восстанавливая уже потерянные данные. [133] [134]
Эксперты по безопасности предложили меры предосторожности при борьбе с программами-вымогателями. Использование программного обеспечения или других политик безопасности для блокировки запуска известных полезных данных поможет предотвратить заражение, но не защитит от всех атак [27] [135] . Таким образом, наличие надлежащего решения для резервного копирования является критически важным компонентом защиты от программ-вымогателей. Обратите внимание: поскольку многие злоумышленники-вымогатели не только зашифровывают работающую машину жертвы, но также пытаются удалить любые горячие резервные копии, хранящиеся локально или доступные по сети на NAS , также важно поддерживать «автономные» резервные копии данных, хранящихся в места, недоступные с любого потенциально зараженного компьютера , например внешние накопители или устройства, не имеющие доступа к какой-либо сети (включая Интернет) , предотвращает доступ к ним программы-вымогателя. Более того, если вы используете NAS или облачное хранилище , компьютер должен иметь разрешение только на добавление к целевому хранилищу, чтобы он не мог удалять или перезаписывать предыдущие резервные копии. По данным comodo , применение двух сокращений поверхности атаки на ОС / ядре обеспечивает существенное уменьшение поверхности атаки, что приводит к повышению уровня безопасности. [136] [137] [138]
Установка обновлений безопасности , выпущенных поставщиками программного обеспечения, может уменьшить количество уязвимостей , которые используются для распространения определенными штаммами. [139] [140] [141] [142] [143] Другие меры включают кибергигиену — соблюдение осторожности при открытии вложений и ссылок электронной почты , сегментацию сети и изоляцию критически важных компьютеров от сетей. [144] [145] Кроме того, для смягчения распространения программ-вымогателей могут быть применены меры инфекционного контроля . [146] Сюда может входить отключение зараженных компьютеров от всех сетей, образовательные программы, [147] эффективные каналы связи, слежка за вредоносным ПО [ оригинальные исследования? ] и способы коллективного участия [146]
В августе 2021 года Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало отчет, в котором содержатся рекомендации по смягчению последствий атак программ-вымогателей. Это произошло из-за значительного скачка числа недавних атак, связанных с программами-вымогателями. Эти атаки включали агрессию против американской трубопроводной компании и компании-разработчика программного обеспечения, что отразилось на последующих клиентах MSP . [148]
Ряд файловых систем хранят снимки хранящихся в них данных, которые можно использовать для восстановления содержимого файлов, существовавших до атаки программы-вымогателя, если программа-вымогатель не отключит ее.
Существует ряд инструментов, предназначенных специально для расшифровки файлов, заблокированных программой-вымогателем, однако успешное восстановление может оказаться невозможным. [2] [151] Если для всех файлов используется один и тот же ключ шифрования, инструменты дешифрования используют файлы, для которых существуют как неповрежденные резервные копии, так и зашифрованные копии ( атака с известным открытым текстом на жаргоне криптоанализа ). Но она работает только тогда, когда шифр использованный злоумышленник изначально был слабым и уязвимым для атаки с использованием известного открытого текста); восстановление ключа, если оно возможно, может занять несколько дней. [152] Бесплатные инструменты расшифровки программ-вымогателей могут помочь расшифровать файлы, зашифрованные следующими формами программ-вымогателей: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker. , Легион, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. [153] Шифрование программ-вымогателей, взломанное исследователями безопасности, обычно используется в преступных целях; таким образом, на практике большинство атак невозможно предотвратить путем взлома шифрования. [154]
Проект No More Ransom — это инициатива Национального подразделения полиции Нидерландов по борьбе с преступлениями в сфере высоких технологий, Европейского центра по борьбе с киберпреступностью Европола , «Лаборатории Касперского» и McAfee , призванная помочь жертвам программ-вымогателей восстановить свои данные без уплаты выкупа. [155] Они предлагают бесплатный инструмент CryptoSheriff для анализа зашифрованных файлов и поиска инструментов расшифровки. [156]
Кроме того, на диске могут существовать старые копии файлов, которые ранее были удалены. В некоторых случаях эти удаленные версии все же можно восстановить с помощью программного обеспечения, предназначенного для этой цели .
Расследование ProPublica, проведенное в 2019 году , показало, что компании по кибербезопасности Proven Data Recovery и Monstercloud, которые рекламировали услуги дешифрования без выкупа, обычно просто платили выкуп и взимали с жертвы более высокую цену. [154] Хакеры SamSam так часто имели дело с Proven Data, что рекомендовали компанию жертвам, испытывающим технические трудности с оплатой. [154] Другие компании, такие как Coveware, были более прозрачными, предлагая услуги по оплате хакерам и исправлению незащищенных систем. [154] Многие американские жертвы обнаружили, что сумма выкупа была слишком низкой, чтобы соответствовать порогу Министерства юстиции США для участия федерального правительства, но у местной полиции не было технических возможностей, чтобы помочь, и они часто сами становились жертвами. [154]
Британский студент Зейн Кайзер из Баркинга, Лондон, был заключен в тюрьму на более чем шесть лет в Королевском суде Кингстона-на-Темзе за атаки с использованием программ-вымогателей в 2019 году. [157] Говорят, что он был «самым плодовитым киберпреступником, приговоренным к приговору в Великобритания". Он начал активную деятельность, когда ему было всего 17 лет. Он связался с российским организатором одной из самых мощных атак, предположительно бандой вредоносного ПО Lurk, и договорился о разделе своей прибыли. Он также связался с онлайн-преступниками из Китая и США, чтобы перевести деньги. [157] В течение примерно полутора лет он выдавал себя за законного поставщика онлайн-продвижения книжной рекламы на некоторых из самых посещаемых в мире сайтов легальной порнографии. Каждое из рекламных объявлений, рекламируемых на веб-сайтах, содержало разновидность Reveton Ransomware вредоносного Angler Exploit Kit (AEK) [158] , захватившего контроль над машиной. Следователи обнаружили около 700 000 фунтов стерлингов доходов, хотя его сеть, возможно, заработала более 4 миллионов фунтов стерлингов. Возможно, он спрятал немного денег, используя криптовалюты. Программа-вымогатель предлагала жертвам купить ваучеры GreenDot MoneyPak и ввести код на панели Reveton, отображаемой на экране. Эти деньги поступали на счет MoneyPak, которым управлял Кайзер, который затем переводил ваучеры на счет дебетовой карты своего американского сообщника Раймонда Одиги Уадиале. Уадиале был студентом Международного университета Флориды в 2012 и 2013 годах, а затем работал в Microsoft. Уадиале конвертировал деньги в цифровую валюту Liberty Reserve и вносил их на счет Liberty Reserve Кайзера. [159]
Прорыв в данном случае произошел в мае 2013 года, когда власти нескольких стран захватили серверы Liberty Reserve, получив доступ ко всем ее транзакциям и истории счетов. Кайзер использовал зашифрованные виртуальные машины на своем Macbook Pro с операционными системами Mac и Windows. [160] Раньше его нельзя было судить, поскольку он был помещен в отделение (принудительно) в соответствии с Законом Великобритании о психическом здоровье от 1983 года в больнице Гудмейс , где было обнаружено, что он использовал больничный Wi-Fi для доступа к своим рекламным сайтам. Его адвокат утверждал, что Кайзер страдал психическим заболеванием. [157] В июне 2016 года российская полиция арестовала 50 членов вредоносной банды Lurk. [161] Уадиале, натурализованный гражданин США нигерийского происхождения, был заключен в тюрьму на 18 месяцев. [162]
Публикация кода атаки, подтверждающего концепцию, распространена среди академических исследователей и исследователей уязвимостей. Он рассказывает о характере угрозы, передает серьезность проблем и позволяет разработать и принять контрмеры. Однако законодатели при поддержке правоохранительных органов рассматривают возможность объявить создание программ-вымогателей незаконным. В штате Мэриленд первоначальный проект HB 340 квалифицировал создание программ-вымогателей как уголовное преступление, караемое тюремным заключением на срок до 10 лет. [163] Однако это положение было исключено из окончательной версии законопроекта. [ нужна цитата ] Несовершеннолетний в Японии был арестован за создание и распространение кода-вымогателя. [164] Янг и Юнг располагали исходным кодом ANSI C криптотрояна-вымогателя в Интернете на сайте cryptovirology.com с 2005 года как часть написанной книги по криптовирусологии . Исходный код криптотрояна до сих пор доступен в Интернете и связан с черновиком главы 2. [165]
{{cite news}}
: CS1 maint: несколько имен: список авторов ( ссылка )