MalwareTech
Для заражения компьютеров по всему миру киберпреступники воспользовались утечкой шпионских инструментов из арсенала американских спецслужб
«Новый вымогатель WCry / WannaCry распространяется, как ад», — не скрывали эмоций исследователи из MalwareHunterTeam в пятницу утром. Меньше чем за два часа заражение было обнаружено в 11 странах мира: России, Великобритании, США, Китае, Испании, Италии, Вьетнаме, Тайване. К вечеру пятницы было зафиксировано 45 000 попыток атак в 74 странах мира. Атакам подверглись около 40 клиник в Англии и Шотландии, одна из крупнейших телекоммуникационных компаний Испании Telefonica. Масштабное заражение произошло в России (по нашим данных, обнаружено 5014 зараженных вирусом хостов) — о проблемах сообщали в «Мегафоне», МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров).
Вазражение, как установили криминалисты (компании автора, Group IB — Forbes) происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов (на скриншоте — список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту) и, используя сетевую уязвимость ОС Windows, установится на компьютеры. Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.
Есть еще одна причина успеха стиль масштабной атаки. WannaCry, как предположили эксперты, использует известную сетевую уязвимость ОС Windows, которая хотя и была закрыта Microsoft — в марте было выпущено обновление Security Bulletin MS17-010, но не все пользователи его установили. Любопытно другое: эксплоит ETERNALBLUE — оказалась из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), которые были выложена в открытый доступ хакерами Shadow Brokers. Это не первый случай — с помощью одного из инструментов АНБ — бэкдора DOUBLEPULSAR из утечки Shadow Brokers хакерам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване.
Наследство Поппа
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели сегодня, совершенно различные компании и организации. Угроза актуальна даже для некоммерческих организаций. Так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.
Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т.д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, кредитно-финансовые и бухгалтерские компании, аккумулирующие большие массивы финансовой информации — потерять их, особенно в на этапе сдачи годового отчета — большая угроза для любой компании. Шифрование, используемое этими программами, надежно, и найти альтернативного способа кроме, как получить ключ расшифровки данных от атакующего, либо с его сервера невозможно. После того, как файлы зашифрованы, появляется сообщение, в котором описывают сколько и куда необходимо перевести денег, чтобы получить ключ расшифровки. Как правило оплата производится в Bitcoin. Многие соглашаются заплатить вымогателям, лишь бы восстановить доступ к драгоценным данным, и тем самым финансируют развития этого вида киберпреступлений. Основной способ распространения таких программ – рассылки по электронной почте вложений под видом банковских выписок, счетов, актов-сверок, уведомлений о вызове в суд и т.п. (но как мы говорили выше, WannaCry распространяется по-другому).
Торжество вымогателей
Почему так распространены программы-вымогатели? На это есть несколько причин:
Обмен данными. Рост количества атак на компании связан в том числе с тем, что владельцы бот-сетей начали продавать доступы к компьютерам с критичными финансовыми системами, из которых нельзя похить деньги, но потеря данных из которых критична для бизнеса. Некоторые хакеры, управляющие банковскими троянами, в первую очередь интересуются компьютерами с системами дистанционного банковского обслуживания, и часто обнаруживают компьютеры бухгалтеров, которые привыкли работать удаленно в 1С. Поэтому они начали продавать информацию о таких компьютерах своим «партнерам», чтобы те шифровали данные и извлекали из этого прибыль. По аналогичной схеме доступы к системам могут быть проданы кибертеррористам или игрокам, заинтересованным в кибершпионаже.
Развитие сервисов, упрощающих атаки. Появились новые партнерские программы по распространению программ-вымогателей, предоставляющие любому желающему возможность сгенерировать исполняемый файл вымогателя, который может быть использован для заражения устройств жертв, и среду для переписки с требованиями выкупа. 20% от выкупа перечисляются создателю сервиса.
Повышение вероятности выплаты. Кроме того, хакеры начали проверять серверы с подобранными паролями на наличие систем с данными, потеря доступа к которым с высокой степенью вероятности приведет к выплате суммы, требуемой вымогателями.
Наиболее важная информация хранится на серверах, а самой популярной операционной системой для серверов является Linux. Поэтому атакующие создали вымогателей, которые шифруют данные на Linux-серверах.
Увеличение количества атак на мобильные устройства. Так, вымогатели для Android после шифрования выводят на экран устройства страницу, написанную на HTML/JS коде, с требованием перевести деньги на счет злоумышленника. В феврале 2016 года компания Blue Coat зафиксировала распространение программы-вымогателя под Android через набор эксплойтов. На вредоносном сервере был скрипт с эксплойтом под libxslt, который был в утечке Hacking Team. iOS-устройства тоже оказываются в зоне опасности. Установить вредоносное программное обеспечение на устройство Apple непросто, поэтому мошенники придумали особый подход. Специальное вредоносное ПО, используя базу перехваченных логинов и паролей от iCloud, автоматически заходит в iCloud, сбрасывает пароль, меняет привязанный адрес электронной почты, блокирует все устройства, привязанные к AppleID и настраивает окно блокировки таким образом, чтобы оно отображало требование атакующего перевести деньги за разблокировку.
Шифрование IoT-устройств (Internet of Things, «интернет вещей» — Forbes). С появлением популярных производителей IoT-устройств возникнет и рынок информации об их уязвимостях. IoT-устройства будут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.
Как минимизировать риски?
Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции», так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
Включите опцию «Показывать расширения файлов» в настройках Windows на своем компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как '.exe', '.vbs' и '.SCR'. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение. Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.
