Новый вирус от хакеров

Обновлено: 19.04.2024

Мы изучили самые активные группировки, которые взламывают компании, шифруют данные и требуют выкуп.

За последние пять лет зловреды-шифровальщики превратились из угрозы персональным компьютерам в серьезную опасность для корпоративных сетей. Преступники перестали гнаться за количеством зараженных компьютеров и вместо этого переключились на крупные цели. Атаки на коммерческие организации и государственные структуры приходится тщательно планировать, но в случае успеха суммы выкупов достигают десятков миллионов долларов.

Вымогатели пользуются тем, что у компаний гораздо больше финансовых возможностей, чем у рядовых пользователей. Кроме того, многие современные вымогатели крадут данные перед тем, как их зашифровать, и угрожают их публикацией. Таким образом, перед пострадавшей компанией появляется перспектива репутационных издержек, проблем с акционерами и штрафов регуляторов, которая зачастую оказывается страшнее выкупа.

По нашим данным, переломным стал 2016 год, когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое: если в январе 2016 мы фиксировали один случай каждые две минуты, то к концу сентября между инцидентами проходило всего 40 секунд.

1. Maze (он же ChaCha)

Зловред-вымогатель Maze был впервые замечен в 2019 году и быстро вырвался в лидеры среди себе подобных. Из общего числа жертв более трети атак пришлось на этот шифровальщик. Одна из характерных особенностей Maze — стоящая за ним группировка одной из первых начала похищать данные перед шифрованием. Если пострадавшие отказывались платить выкуп, преступники угрожали опубликовать украденные файлы. Позже этот прием подхватили многие другие вымогатели, включая REvil и DoppelPaymer, о которых мы расскажем ниже.

Еще одно новшество — преступники стали сообщать СМИ о своих атаках. В конце 2019 года злоумышленники из Maze связались с редакцией Bleeping Computer, рассказали им о взломе компании Allied Universal и в качестве подтверждения приложили несколько украденных файлов. В ходе переписки с редакцией они угрожали разослать спам с серверов Allied Universal, а позднее опубликовали конфиденциальные данные взломанной компании на форуме Bleeping Computer.

Атаки Maze продолжались до осени 2020 года — в сентябре группировка начала сворачивать свою деятельность. К этому времени от ее деятельности пострадали несколько международных корпораций, государственный банк одной из стран Латинской Америки и информационная система одного из городов США. В каждом случае вымогатели требовали у жертв суммы в несколько миллионов долларов.

2. Conti (он же IOCP ransomware)

Этот зловред появился в конце 2019 года и был весьма активен на протяжении всего 2020-го: на его счету более 13% всех жертв программ-вымогателей за этот период. Создатели Conti продолжают деятельность и сейчас.

Как и в случае Maze, вымогатели не только шифровали, но и сохраняли себе копию файлов из взломанных систем. Затем преступники угрожали опубликовать всю добытую информацию в Интернете, если жертва не выполнит их требования. Среди самых громких атак Conti — взлом школы в США, после которого у администрации потребовали $40 миллионов. Представители учреждения отметили, что были готовы заплатить $500 тысяч, но когда услышали сумму в 80 раз больше, отказались от переговоров.

3. REvil (он же Sodin, Sodinokibi)

Первые атаки этого шифровальщика были обнаружены в начале 2019 года в азиатских странах. Зловред быстро привлек внимание экспертов своими техническими особенностями — например, он использует легитимные функции процессора, чтобы обходить защитные системы. Кроме того, в его коде были характерные признаки того, что вымогатель создавался для сдачи в аренду.

В общей статистике жертвы REvil составляют 11%. Зловред отметился почти в 20 отраслях бизнеса. Наибольшую долю (30%) его жертв составляют промышленные предприятия, за ними идут финансовые организации (14%), сервисные провайдеры (9%), юридические фирмы (7%), а также телекоммуникационные и IT-компании (7%). На последнюю категорию пришлась одна из самых громких атак шифровальщика: в 2019 году преступники взломали нескольких IT-провайдеров и установили Sodinokibi части их клиентов.

Этой группировке на сегодняшний день принадлежит рекорд по размеру запрашиваемого выкупа — в марте 2021 злоумышленники потребовали у корпорации Acer $50 миллионов.

4. Netwalker (он же Mailto ransomware)

Из общего числа пострадавших на долю Netwalker пришлось более 10% жертв. Среди целей вымогателей — логистические гиганты, промышленные концерны, энергетические корпорации и другие крупные организации. Всего за несколько месяцев 2020 года выручка преступников превысила $25 миллионов.

Создатели зловреда, похоже, решили нести кибервымогательство в массы. Они предлагали мошенникам-одиночкам взять Netwalker в аренду и в случае успешной атаки получить солидную часть прибыли. По сведениям Bleeping Computer, доля распространителя зловреда могла достигать 70% от выкупа, хотя обычно исполнители в подобных схемах получают гораздо меньше.

В подтверждение серьезности своих намерений преступники публиковали скриншоты крупных денежных переводов. Чтобы максимально упростить аренду шифровальщика, они создали сайт, который автоматически публиковал похищенные данные по истечении срока, отведенного на внесение выкупа.

В январе 2021 года правоохранительные органы взяли под контроль инфраструктуру Netwalker и предъявили обвинение гражданину Канады Себастьяну Вашон-Дежардену (Sebastien Vachon-Desjardins). По мнению следствия, этот человек получал деньги за поиск жертв и распространение шифровальщика на их компьютерах. После этих событий активность Netwalker сошла на нет.

5. DoppelPaymer

Методы направленных кибератак

Каждая атака на крупную компанию — результат долгой работы киберпреступников, которые ищут уязвимости в инфраструктуре, продумывают сценарий и подбирают инструменты. Затем происходит взлом и распространение вредоносного кода по инфраструктуре компании. Преступники могут несколько месяцев находиться внутри корпоративной сети, прежде чем зашифровать файлы и выдвинуть свои требования.

content/ru-ru/images/repository/isc/2021/ransomware-attacks-and-types.jpg

Выявление программ-вымогателей – основные различия

Наиболее популярны два типа программ-вымогателей:

Locky, Petya и прочие

Теперь вы знаете, что такое программы-вымогатели, и каких основных двух типов они бывают. Далее приведены несколько примеров известных программ-вымогателей, показывающих, чем они опасны.

Locky

WannaCry

WannaCry – это атака программы-вымогателя, в 2017 году имевшая место в более чем 150 странах. Она была разработана для использования уязвимости в системе безопасности Windows, созданной АНБ и ставшей известной в результате действий группы хакеров Shadow Brokers. Атаке WannaCry подверглись 230 000 компьютеров по всему миру, в том числе треть больниц Национальной службы здравоохранения Великобритании, что повлекло ущерб в 92 миллиона фунтов стерлингов. Пользователи были заблокированы, и у них требовали выкуп в биткойнах. Это атака вскрыла проблему устаревших систем: хакеры использовал уязвимость операционной системы, для которой на момент атаки уже в течение продолжительного времени существовал патч. Мировой финансовый ущерб, нанесенный WannaCry, составил около 4 миллиардов долларов США.

Bad Rabbit

Bad Rabbit – это атака с использованием программ-вымогателей, которая распространялась с 2017 года посредством так называемой скрытой загрузки. Для выполнения таких атак используются незащищенные веб-сайты. При атаке с использованием скрытой загрузки пользователь посещает настоящий веб-сайт, не подозревая, что он был взломан. Для большинства атак с использованием скрытой загрузки от пользователя требуется только открыть взломанную страницу. В этом случае запуск установщика, содержащего скрытую вредоносную программу, ведет к заражению. Это называется распространением вредоносных программ. Bad Rabbit просит пользователей запустить поддельную установку Adobe Flash, тем самым заражая компьютер вредоносной программой.

Ryuk – это троян-шифровальщик, распространившийся в августе 2018 года. Он отключаетфункцию восстановления операционных систем Windows, что делает невозможным восстановление зашифрованных данных без внешней резервной копии. Вирус Ryuk также шифрует сетевые жесткие диски. Атака имела масштабные последствия; многие американские компании, подвергшиеся нападению, выплатили требуемые суммы выкупа. Общий ущерб оценивается более чем в 640 000 долларов.

Shade/Troldesh

Jigsaw

CryptoLocker

CryptoLocker – это программа-вымогатель, впервые обнаруженная в 2007 году, распространяемая через зараженные вложения электронной почты. Она выполняла поиск важных данных на зараженных компьютерах и зашифровывала их. Пострадало около 500 000 компьютеров. Правоохранительным органам и компаниям по обеспечению безопасности в конечном итоге удалось получить контроль над сетью взломанных домашних компьютеров, используемых для распространения CryptoLocker по всему миру. Это позволило агентствам и компаниям перехватывать данные, передаваемые по сети, незаметно для злоумышленников. В конечном итоге это привело к созданию онлайн-портала, на котором жертвы могли получить ключ для разблокировки своих данных. Это позволило им получить свои данные без необходимости платить преступникам выкуп.

Petya

Petya (не путать с ExPetr) – это атака программы-вымогателя, впервые произошедшая в 2016 году, а затем повторившаяся как GoldenEye в 2017 году. Вместо шифрования отдельных файлов эта вредоносная программа-вымогатель шифровала целиком жесткие диски жертв. Это достигалось путем шифрования основной таблицы файлов (MFT), что сделало невозможным доступ к файлам на жестком диске. Программа-вымогатель Petya распространялась по корпоративным отделам кадров с посредством поддельного приложения, содержащего зараженную ссылку Dropbox.

Существует другой вариант вируса Petya – Petya 2.0, отличающийся некоторыми ключевыми особенностями. Однако с точки зрения осуществления атаки, оба вируса одинаково опасны для устройства.

GoldenEye

Повторное появление вируса Petya под именем GoldenEye привело к мировому заражению программами-вымогателями в 2017 году. Вирус GoldenEye, также известный как "смертоносный брат" WannaCry, поразил более 2000 целей, в том числе несколько известных российских нефтяных компаний и банков. В результате атаки вируса GoldenEye на Чернобыльскую АЭС, сотрудники были вынуждены вручную проверять уровень радиации, поскольку их компьютеры с Windows были отключены от сети.

GandCrab

B0r0nt0k

B0r0nt0k – это использующая шифрование программа-вымогатель, предназначенная для серверов на базе Windows и Linux. Эта программа-вымогатель шифруетфайлы на серверах Linux и добавляет к ним расширение .rontok. Она представляет опасность не только для файлов, но также меняет параметры запуска программ, отключает функции и приложения и добавляет записи реестра, файлы и программы.

Программа-вымогатель Dharma Brrr

Brrr – новая программа-вымогатель от Dharma, устанавливается вручную хакерами, взломавшими подключенные к Интернету службы рабочего стола. Как только хакер активирует программу-вымогатель, начинается шифрование обнаруженных файлов. Зашифрованным файлам присваивается расширение .id-[id].[email].brrr.

Программа-вымогатель FAIR RANSOMWARE

FAIR RANSOMWARE – это программа-вымогатель, выполняющая шифрование данных. С помощью мощного алгоритма шифруются все личные документы и файлы жертвы. Файлы, зашифрованные с помощью этой вредоносной программы, имеют расширение .FAIR RANSOMWARE.

Программа-вымогатель MADO

Программа-вымогатель MADO – это еще один вид программы-шифровальщика. Данные, зашифрованные этой программой, имеют расширение .mado и больше не открываются.

Атаки с использованием программ-вымогателей

Как описано выше, программы-вымогатели используются в абсолютно разных сферах. Обычно требуемый размер выкупа составляет от 100 до 200 долларов. Однако в некоторых случаях злоумышленники требуют гораздо больший выкуп, особенно если понимают, что блокировка данных может повлечь значительные финансовые потери для атакуемой компании. Таким образом, это позволяет киберпреступникам зарабатывать существенные суммы денег. В двух приведенных ниже примерах обратите внимание на жертв кибератаки, а не на тип используемых программ-вымогателей.

Программа-вымогатель WordPress

Программа-вымогатель WordPress, как следует из названия, нацелена на файлы веб-сайтов WordPress. У жертв вымогают выкуп, что типично для программ-вымогателей. Чем более востребован сайт на платформе WordPress, тем выше вероятность его атаки с применением программ-вымогателей.

Дело компании Wolverine

Компания Wolverine Solutions Group (предоставляющая медицинские услуги) стала жертвой атаки программ-вымогателей в сентябре 2018 года. Большое количество файлов компании было зашифровано вредоносной программой, в результате чего сотрудники не смогли их открыть. К счастью, эксперты-криминалисты смогли расшифровать и восстановить данные 3 октября. Однако в результате атаки были скомпрометированы данные многих пациентов. Имена, адреса, медицинские данные и другая личная информация могла попасть в руки киберпреступников.

Услуги по предоставлению программ-вымогателей

Услуги по предоставлению программ-вымогателей позволяют киберпреступникам с низкими техническими возможностями осуществлять атаки с использованием этих программ. Вредоносные программы предоставляется покупателям, что снижает риск и повышает выгоду для разработчиков.

Выводы

Атаки программ-вымогателей имеют различные проявления и масштабы. Вектор атаки – это важный фактор, зависящий от типа используемой программы-вымогателя. Чтобы оценить серьезность и масштабы атаки, необходимо учитывать потенциальный ущерб, то есть какие данные могут быть удалены или опубликованы. Независимо от типа программы-вымогателя, предварительное резервное копирование данных и использование программ безопасности может значительно снизить последствия атаки.

Другие статьи по теме

What Что такое программы-вымогатели

How to remove ransomware Как удалить программы-вымогатели

How to prevent Ransomware Как защитить себя от программ-вымогателей

Другие статьи по теме:

Распознавание программ-вымогателей (ransomware): чем отличаются трояны-шифровальщики

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Появился новый вирус для Android-смартфонов Vultur, который записывает и передает злоумышленникам изображение с экрана и информацию о нажатиях. Это позволяет практически в реальном времени красть любую конфиденциальную информацию с устройства, включая логины и пароли от банковских приложений и криптокошельков. Эксперты пока не зарегистрировали распространения Vultur в России, но не исключают этого в будущем. Также специалисты отмечают, что этот вирус — предвестник эволюции мобильных троянцев, которые в будущем могут стать более автоматизированными.


Стервятник за работой

Голландские специалисты по информационной безопасности из компании ThreatFabric обнаружили новый вирус для Android-смартфонов — Vultur. По данным фирмы, он делает скриншоты экрана устройств, фиксирует данные о нажатиях и передает эту информацию злоумышленникам. С помощью Vultur операторы вредоносной программы могут красть практически любую конфиденциальную информацию со смартфона жертвы. Целевые данные — логины и пароли от банковских приложений и криптокошельков. Ценность жертвы оператор определяет, изучая список установленных приложений на устройстве, который вирус также считывает и пересылает.

перезагрузка


Директор технического департамента RTM Group Федор Музалевский считает, что для быстрого и гарантированного избавления от Vultur пользователю придется сбросить настройки смартфона до заводских установок.

— Подобная схема распространения считается чрезвычайно эффективной, поскольку у площадки очень большая пользовательская база и доверие людей к Google Play максимально. Потенциальные жертвы, даже не раздумывая, устанавливают приложения из этого источника, доверяя свою безопасность Google, — говорит он.


Золотая жила

Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.

Похожего мнения придерживается и руководитель направления аналитики угроз ESET Александр Пирожков. По его данным, случаев заражения Vultur в России тоже не было, но злоумышленникам ничего не мешает переписать вирус под отечественные приложения.

вирус


— Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия — один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, — говорит он.

В июле 2021 года аналитическое агентство Chainalysis опубликовало рейтинг стран по доходу от реализации биткоинов. В нем Россия заняла пятое место с показателем в $600 млн.

Впрочем, некоторые эксперты считают, что до тех пор, пока вирус дойдет до нашей страны, он уже перестанет быть актуальным.

— В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем она докатится до России, — считает Федор Музалевский.

По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку.


Эксперт по кибербезопасности Сесилия Пасторино — о том, чем индустрия гаджетов для взрослых привлекает хакеров и почему это опасно

Штамм из будущего

По мнению специалистов ThreatFabric, появление Vultur в очередной раз подтверждает тенденцию по переходу разработчиков банковских троянцев от классической методики с фишинговыми окнами к более технологичным.

— Метод кражи паролей к криптокошелькам через запись экрана является эффективным. Злоумышленники очень быстро получают доступ к похищенным данным. В результате пользователь даже не успевает понять, что стал жертвой трояна, — соглашается Александр Пирожков.

Как объяснил Виктор Чебышев, под классической методикой подразумевается подлог окон с интерфейсом банковских приложений. Обычно, после проникновения на смартфон, троянец ждет, когда жертва запустит банковское приложение. В момент, когда это происходит, вирус вклинивается в событие и показывает пользователю фальшивое окно с интерфейсом банковского сервиса. Пользователь вводит данные, и они тут же уходят злоумышленнику. После хакеры сами авторизуются в приложении и переводят деньги, подтверждая операции с помощью SMS-кодов, которые троянец также перехватывает.

Group-IB: после 24 февраля число атак хакеров-вымогателей выросло в три раза


Центр кибербезопасности ФСБ рекомендовал российским компаниям подготовиться к хакерским атакам с использованием вирусов-шифровальщиков. Реакция Центра, по словам экспертов, вызвана возросшим числом атак хакеров, которые орудуют подобными вредоносными программами. С 24 февраля инцидентов стало в три раза больше. Кроме того, эксперты отмечают, что вместе с частотой атак изменился и их характер. Если раньше операторы вирусов-шифровальщиков руководствовались финансовой выгодой, то сейчас возросла доля безвозвратных шифрований. Главная цель злоумышленников – дестабилизировать работу жертвы.

Предупрежден – вооружен

ФСБ предупредила российские компании о хакерских атаках с использованием программ-шифровальщиков. Соответствующее заявление и список мер противодействия атакам были опубликованы на сайте Национального координационного центра по компьютерным инцидентам (НКЦКИ), созданного ФСБ.

Вирусы-шифровальщики – это тип вредоносных программ, которые, проникая на компьютеры, шифруют все доступные файлы. Зашифрованные файлы теряют свою функциональность, из-за чего парализуется и работа атакованного предприятия: оно теряет доступ к бухгалтерии, исследованиям, договорам и не только. Хакеры, которые распространяют вредоносы такого типа, требуют у компаний-жертв денежные выплаты за расшифровку файлов и восстановление деятельности предприятий. Таких киберпреступников называют вымогателями.

Аналогичные данные приводит и руководитель Лаборатории цифровой криминалистики Group-IB (одна из ведущих международная компания по предотвращению и расследованию киберпреступлений) Олег Скулкин.

Мера НКЦКИ не в последнюю очередь связана с проведением массовых атак против рунета, добавил в свою очередь руководитель группы исследования угроз Positive Technologies (международная компания в сфере информационной безопасности) Денис Кувшинов.

Новые мотивы

Хотя принято считать, что российские компании сталкиваются с хакерами-вымогателями реже, чем европейские и американские, эксперты отмечают, что говорить о новизне наблюдаемой тенденции не приходится.

Новизна текущей ситуации, по его словам, заключается только в том, что некоторые недавние инциденты стали публичными. В России подавляющее большинство кибератак не афишируется.

Аналогичного мнения придерживаются эксперты и других ИБ-компаний. Впрочем, источник в одной из них подчеркнул, что в текущей волне хакерских атак с применением вирусов-шифровальщиков прослеживаются новые мотивы.

Абсолютно все опрошенные эксперты сошлись в том, что рекомендации, опубликованные НКЦКИ, являются действенными, и их не стоит игнорировать — особенно ввиду ежедневно растущей активности киберпреступников, направленной против России.

Читайте также: