Новая волна вируса шифровальщика

Обновлено: 05.05.2024

Мы изучили самые активные группировки, которые взламывают компании, шифруют данные и требуют выкуп.

За последние пять лет зловреды-шифровальщики превратились из угрозы персональным компьютерам в серьезную опасность для корпоративных сетей. Преступники перестали гнаться за количеством зараженных компьютеров и вместо этого переключились на крупные цели. Атаки на коммерческие организации и государственные структуры приходится тщательно планировать, но в случае успеха суммы выкупов достигают десятков миллионов долларов.

Вымогатели пользуются тем, что у компаний гораздо больше финансовых возможностей, чем у рядовых пользователей. Кроме того, многие современные вымогатели крадут данные перед тем, как их зашифровать, и угрожают их публикацией. Таким образом, перед пострадавшей компанией появляется перспектива репутационных издержек, проблем с акционерами и штрафов регуляторов, которая зачастую оказывается страшнее выкупа.

По нашим данным, переломным стал 2016 год, когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое: если в январе 2016 мы фиксировали один случай каждые две минуты, то к концу сентября между инцидентами проходило всего 40 секунд.

1. Maze (он же ChaCha)

Зловред-вымогатель Maze был впервые замечен в 2019 году и быстро вырвался в лидеры среди себе подобных. Из общего числа жертв более трети атак пришлось на этот шифровальщик. Одна из характерных особенностей Maze — стоящая за ним группировка одной из первых начала похищать данные перед шифрованием. Если пострадавшие отказывались платить выкуп, преступники угрожали опубликовать украденные файлы. Позже этот прием подхватили многие другие вымогатели, включая REvil и DoppelPaymer, о которых мы расскажем ниже.

Еще одно новшество — преступники стали сообщать СМИ о своих атаках. В конце 2019 года злоумышленники из Maze связались с редакцией Bleeping Computer, рассказали им о взломе компании Allied Universal и в качестве подтверждения приложили несколько украденных файлов. В ходе переписки с редакцией они угрожали разослать спам с серверов Allied Universal, а позднее опубликовали конфиденциальные данные взломанной компании на форуме Bleeping Computer.

Атаки Maze продолжались до осени 2020 года — в сентябре группировка начала сворачивать свою деятельность. К этому времени от ее деятельности пострадали несколько международных корпораций, государственный банк одной из стран Латинской Америки и информационная система одного из городов США. В каждом случае вымогатели требовали у жертв суммы в несколько миллионов долларов.

2. Conti (он же IOCP ransomware)

Этот зловред появился в конце 2019 года и был весьма активен на протяжении всего 2020-го: на его счету более 13% всех жертв программ-вымогателей за этот период. Создатели Conti продолжают деятельность и сейчас.

Как и в случае Maze, вымогатели не только шифровали, но и сохраняли себе копию файлов из взломанных систем. Затем преступники угрожали опубликовать всю добытую информацию в Интернете, если жертва не выполнит их требования. Среди самых громких атак Conti — взлом школы в США, после которого у администрации потребовали $40 миллионов. Представители учреждения отметили, что были готовы заплатить $500 тысяч, но когда услышали сумму в 80 раз больше, отказались от переговоров.

3. REvil (он же Sodin, Sodinokibi)

Первые атаки этого шифровальщика были обнаружены в начале 2019 года в азиатских странах. Зловред быстро привлек внимание экспертов своими техническими особенностями — например, он использует легитимные функции процессора, чтобы обходить защитные системы. Кроме того, в его коде были характерные признаки того, что вымогатель создавался для сдачи в аренду.

В общей статистике жертвы REvil составляют 11%. Зловред отметился почти в 20 отраслях бизнеса. Наибольшую долю (30%) его жертв составляют промышленные предприятия, за ними идут финансовые организации (14%), сервисные провайдеры (9%), юридические фирмы (7%), а также телекоммуникационные и IT-компании (7%). На последнюю категорию пришлась одна из самых громких атак шифровальщика: в 2019 году преступники взломали нескольких IT-провайдеров и установили Sodinokibi части их клиентов.

Этой группировке на сегодняшний день принадлежит рекорд по размеру запрашиваемого выкупа — в марте 2021 злоумышленники потребовали у корпорации Acer $50 миллионов.

4. Netwalker (он же Mailto ransomware)

Из общего числа пострадавших на долю Netwalker пришлось более 10% жертв. Среди целей вымогателей — логистические гиганты, промышленные концерны, энергетические корпорации и другие крупные организации. Всего за несколько месяцев 2020 года выручка преступников превысила $25 миллионов.

Создатели зловреда, похоже, решили нести кибервымогательство в массы. Они предлагали мошенникам-одиночкам взять Netwalker в аренду и в случае успешной атаки получить солидную часть прибыли. По сведениям Bleeping Computer, доля распространителя зловреда могла достигать 70% от выкупа, хотя обычно исполнители в подобных схемах получают гораздо меньше.

В подтверждение серьезности своих намерений преступники публиковали скриншоты крупных денежных переводов. Чтобы максимально упростить аренду шифровальщика, они создали сайт, который автоматически публиковал похищенные данные по истечении срока, отведенного на внесение выкупа.

В январе 2021 года правоохранительные органы взяли под контроль инфраструктуру Netwalker и предъявили обвинение гражданину Канады Себастьяну Вашон-Дежардену (Sebastien Vachon-Desjardins). По мнению следствия, этот человек получал деньги за поиск жертв и распространение шифровальщика на их компьютерах. После этих событий активность Netwalker сошла на нет.

5. DoppelPaymer

Методы направленных кибератак

Каждая атака на крупную компанию — результат долгой работы киберпреступников, которые ищут уязвимости в инфраструктуре, продумывают сценарий и подбирают инструменты. Затем происходит взлом и распространение вредоносного кода по инфраструктуре компании. Преступники могут несколько месяцев находиться внутри корпоративной сети, прежде чем зашифровать файлы и выдвинуть свои требования.

Будь в курсе последних новостей из мира гаджетов и технологий


Атакующий весь мир вирус WannaCry: откуда он взялся, как работает и чем опасен?

Александр


12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были атакованы вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на .WNCRY.

WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности. Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.


WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены. Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран. Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.

По данным сайта The Intercept, WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.

Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область.

Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу). WanaCrypt0r — усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.

Известно, что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно. Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.

Откуда пошли вымогатели, как блокировщики превратились в шифровальщиков и почему они так популярны среди киберпреступников?


Первая волна: блокировщики

Вредоносное ПО данного типа оказалось весьма прибыльным и, естественно, приобрело немалую популярность у киберпреступников. Однако у популярности обнаружилась и другая сторона: эта тема довольно быстро привлекла внимание антивирусных экспертов и правоохранительных органов.

В результате преступники получили удар по самому больному месту — по платежным системам, через которые они получали выкуп. Изменив правила регулирования электронных платежей, госорганы смогли испортить жизнь мошенников сразу с двух сторон. Их деятельность стала одновременно менее прибыльной (сложнее извлекать деньги) и более рискованной (многие киберпреступники загремели в тюрьму).

В свою очередь, антивирусные эксперты создали бесплатные утилиты для борьбы с блокировщиками — например, у нас есть Kaspersky WindowsUnlocker. Конечно, программы-вымогатели после этого навсегда не исчезли, но эти меры помогли сдержать первую волну — за последние несколько лет количество заражений не росло.

Вторая волна: шифровальщики

Однако пару лет назад все изменилось. Во-первых, определенную популярность набрали биткойны — электронная платежная система, транзакции в которой крайне сложно отследить и никак невозможно регулировать. Во-вторых, киберпреступники придумали новый подход: вместо того чтобы блокировать доступ к браузеру или операционной системе, они начали шифровать файлы пользователя, хранящиеся на жестком диске.

В отличие от программ, личные файлы уникальны, так что их нельзя заменить, просто переустановив систему. Если же вымогатели используют стойкое шифрование, то и восстановить, то есть расшифровать, их крайне сложно, а нередко и вовсе невозможно. Для преступников это означает, что и выкуп можно брать более существенный: как правило, он составляет несколько сотен долларов для частного лица и несколько тысяч долларов — для организаций.

Некоторое время новое поколение вымогателей серьезно уступало в распространенности старым блокировщикам. Однако преобладание шифровальщиков было лишь вопросом времени: преступники стали массово переключаться на использование зловредов более эффективного типа. И в конце 2015 года количество попыток заражения шифровальщиками повышалось лавинообразно.

История и эволюция программ-вымогателей в цифрах и фактах

По нашим оценкам, полученным на основе данных Kaspersky Security Network, количество атак шифровальщиков выросло за год в 5,5 раза: со 131 111 попыток заражения пользователей наших продуктов в 2014–2015 годах до 718 536 в 2015–2016-м.

География атак и самые активные семейства вымогателей

В десятку стран, в которых пользователи чаще всего сталкиваются с вымогателями, входят Индия, Россия, Казахстан, Италия, Германия, Вьетнам, Алжир, Бразилия, Украина и США. Однако в Индии, Алжире, России, Вьетнаме, Казахстане, на Украине и в Бразилии это в основном старые и не слишком опасные блокировщики. В США почти в 40% случаев пользователей атакуют куда более серьезные вымогатели — шифровальщики. Наконец, в Италии и Германии абсолютное большинство вымогателей сейчас являются опасными шифровальщиками.

История и эволюция программ-вымогателей в цифрах и фактах

Еще один интересный факт: если изначально среди потенциальных жертв программ-вымогателей с большим отрывом лидировали домашние пользователи, то после появления шифровальщиков преступники все чаще обращают внимание и на бизнес: доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%.

История и эволюция программ-вымогателей в цифрах и фактах

Хотите узнать больше об эволюции троянцев-вымогателей? Читайте полную версию нашего отчета на Securelist.

Госорганы и крупные предприятия России, Украины и ряда других стран подверглись второй за последние два месяца вирусной атаке, которая шифрует данные и вымогает деньги. Но пока сколотить состояние злоумышленникам не удалось

Фото: Сергей Карпухин / Reuters

Видео:Телеканал РБК

Фото: Scott Barbour / Getty Images

Предвестники увольнения: как понять, что с вами готовы попрощаться

Фото: Shutterstock

Как выявить спад в экономике по длине юбок и спросу на трусы и помаду

Вопрос на $3 трлн: почему ведущие страны мира легализуют криптовалюты

Фото: Zuma \ TASS

Переждать не получится: как за два-три года изменится российский бизнес

Фото: Wang He / Getty Images

Горизонт планирования — один день: логистика погрузилась в новый кризис

Фото: Ilya S. Savenok / Getty Images

Ни слова о недовольстве: как быть с негативными эмоциями в коллективе

В июле 2015 года директор американского Управления по персоналу Кэтрин Арчулета покинула свой пост вскоре после крупнейшей кражи персональных данных, в результате которой хакеры получили сведения о 22 млн гражданах США — госслужащих и членах их семей. Похищенную базу данных в США называли крупнейшей в истории, а в качестве организатора кибератаки упоминалось правительство Китая.

Природа вируса

Фото:Victor J. Blue / Bloomberg

Нашли виноватых

Читайте также: