Когда появилась самая первая программа вымогатель

А мериканская транснациональная корпорация Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. По оценкам специалистов, компания занимает четвертое место по объему выручки среди всех компаний, специализирующихся в области сетевой безопасности.

Наш журнал неоднократно публиковал статьи, предоставляемые российским представительством компании, посвященные проблемам кибербезопасности, в частности особенностям киберугроз в современном мире, пораженном ковидом.

В этом материале, представленном нашему журналу компанией Fortinet, рассказывается об истории развития программ-вымогателей начиная с 1989 года и объясняется, почему эти зловреды все еще популярны.

История программ-вымогателей

Программы-вымогатели — это тип вредоносного ПО, предназначенного для шифрования файлов на компьютере жертвы до уплаты выкупа. Он проникает на устройства и сети через зараженные электронные письма, веб-сайты или программы. Иногда такие вредоносы угрожают не просто шифрованием данных, но раскрытием чувствительной конфиденциальной информации, если жертва откажется от уплаты выкупа.

Программы-вымогатели 2020/2021

Согласно отчету Fortinet Global Threat Landscape Report, к концу 2020 года каждый день регистрировалось около 17 200 устройств, зараженных программами-вымогателями. А согласно отчету Chainanalysis, выручка от программ-вымогателей в 2020 году выросла на 311% по сравнению с 2019-м

С годами количество программ-вымогателей существенно выросло, и теперь они вносят свой вклад в быстро развивающийся бизнес киберпреступников. Сегодня злоумышленники все чаще целятся в крупные сектора экономики: здравоохранение, юридический сектор, образование, финансы и производственную сферу. Согласно отчету Fortinet Global Threat Landscape Report за второе полугодие 2020 года, к концу 2020 года каждый день регистрировалось около 17 200 устройств, зараженных программами-вымогателями. Кроме того, согласно отчету Chainanalysis , выручка от программ-вымогателей в 2020 году выросла на 311% по сравнению с 2019 годом и составила около 350 млн долларов.

Первая атака

Самая первая атака программ-вымогателей была нацелена на отрасль здравоохранения в 1989 году. Исследователь СПИДа раздал 20 тысяч зараженных дискет тем, кто присутствовал на конференции Всемирной организации здравоохранения по СПИДу. Эта атака была названа AIDS Trojan, но также была известна как вирус PC Cyborg, названный в честь вымышленного названия компании, требующей оплаты: PC Cyborg Corporation.

Дискеты содержали программу для анализа риска заражения человека СПИДом, а также вредоносные программы, которые активировались после 90-го включения зараженного компьютера: вредоносная программа скрывала каталоги и зашифровывала имена всех файлов на диске C, отображая при этом сообщение с требованием оплаты.

Вирусы Ransomware блокировщики и вымогатели

В последующие годы появились аналогичные атаки, а развитие интернета открыло новые возможности для киберпреступности, но программы-вымогатели оставались относительно незначительной угрозой до начала XXI века.

Трояны GPCode и Archiveus

В начале 2000-х проникновение интернета в развитом мире превысило 50%. Примерно к 2005 году коммутируемый доступ в интернет отошел на второй план, поскольку широкополосное подключение стало нормой. Когда так много людей стали использовать быстрый и надежный доступ в интернет, почва для развития новых программ-вымогателей стала еще более благодатной.

В 2006 году был выпущен троян Archiveus — первая программа-вымогатель, использовавшая шифрование RSA. Этот троян шифровал все в каталоге «Мои документы» и требовал, чтобы жертвы покупали товары в интернет-аптеке, чтобы получить 30-значный ключевой код, который разблокировал бы их файлы.

В том же году программа-вымогатель GPcode заразила компьютеры с помощью целевых фишинговых атак в виде вложений электронной почты, которые выглядели как заявления о приеме на работу. Подобно Archiveus, GPcode использовал 660-битный открытый ключ RSA для шифрования файлов в компьютерном каталоге «Мои документы», и жертвам приходилось платить за этот ключ. С тех пор программы-вымогатели стали набирать обороты все быстрее и быстрее.

Масштабирование: троян WinLock

В 2008 году был изобретен биткойн, децентрализованная цифровая валюта, позволяющая совершать одноранговые транзакции. Эта валюта впервые была введена в употребление в 2009 году и с тех пор пользуется все большей популярностью. Именно децентрализованный характер этой валюты позволяет использовать ее в Dark Web и для незаконной деятельности. Теперь, когда злоумышленники-вымогатели могли требовать оплату, путь которой невозможно отследить, они сильно активизировались.

К концу 2012 года вымогатели стоили на черном рынке пять миллионов долларов и становились все более инновационными. Примерно в это же время начались мошенничества с программами-вымогателями от лица правоохранительных органов

В каждом из первых двух кварталов 2011 года было обнаружено около 30 тысяч новых образцов программ-вымогателей. В третьем квартале это число увеличилось вдвое и продолжало расти. В то время среди основных игроков на рынке программ-вымогателей был Trojan.WinLock, новизна которого состояла в том, что он блокировал систему целиком, а не отдельные файлы. WinLock нацеливался на операционные системы Windows, блокируя пользователей до тех пор, пока они не купят ключ.

К концу 2012 года вымогатели стоили на черном рынке пять миллионов долларов и становились все более инновационными. Примерно в это же время начались мошенничества с программами-вымогателями от лица правоохранительных органов. В этих сценариях вредоносное ПО прикреплялось к электронным письмам от субъектов, выдававших себя за различные правоохранительные органы, что пугало многих людей и вынуждало открывать такие вложения не раздумывая.

Программа-вымогатель как услуга

В течение последнего десятилетия продолжающемуся росту этой категории вредоносов способствовало появление нового рыночного предложения, известного как Ransomware-as-a-Service (RaaS) , которое позволяло злоумышленникам приобретать готовые инструменты. Это означало, что им не нужно было глубоко погружаться в технические составляющие, чтобы заниматься киберпреступностью.

Zeus, вредоносный пакет троянов, впервые обнаруженный в 2007 году, произвел наибольший фурор, когда его использовали для установки вымогателя CryptoLocker. Атака программы-вымогателя CryptoLocker произошла в период с 2013 по 2014 год и распространялась через зараженные вложения электронной почты и через ботнет Gameover Zeus.

Вскоре после этого появились и другие крупномасштабные атаки, в том числе CryptoWall и Locky. Многие из этих угроз теперь подпадают под категорию расширенных постоянных угроз (APT) — это означает, что их сложно обнаружить и они весьма живучи, что делает их особенно трудными для обнаружения и удаления.

Глобальный уровень: Wannacry и Petya в 2017 году

К 2017 году атаки программ-вымогателей стали все более масштабными, атакуя компьютеры по всему миру одновременно. Одним из таких эксплойтов, ставших крупнейшим и самым известным в истории, была атака программы-вымогателя Wannacry в мае 2017 года: она была нацелена на операционные системы Windows, шифровала данные и требовала оплаты биткойнами. Хотя экстренные патчи смягчили атаку в течение нескольких дней, она заразила более 200 тысяч компьютеров в 150 странах, причинив ущерб, исчисляемый миллиардами долларов.

Хотя экстренные патчи смягчили атаку в течение нескольких дней, она заразила более 200 тысяч компьютеров в 150 странах, причинив ущерб, исчисляемый миллиардами долларов

Примерно в то же время на месте происшествия появилось семейство шифровальщиков под названием Petya. В июне 2017 года новый вариант Petya под названием NotPetya привел к масштабной глобальной кибератаке: инфекции были зарегистрированы в России, Украине, Франции, Германии, Италии, Польше, Великобритании и США. Больше всего пострадала Украина: нападениям подверглись более полутора тысяч физических и юридических лиц, в том числе финансовые учреждения.

Охота на крупную дичь

Все вышеперечисленное подводит нас к современной эпохе и к ландшафту киберпреступности, в котором многие злоумышленники теперь действуют как крупные распределенные предприятия с центрами обработки вызовов для работы с платежами. Многие такие организации теперь нацелены на крупные корпорации и отрасли или на высокопоставленных лиц, чтобы получить максимальные выплаты — стратегия, известная как «охота на крупную дичь» (BGH).

Один из примеров крупной и прибыльной киберпреступной организации — группа, известная как Sodinokibi (а также как REvil), которая использует бизнес-модель RaaS и вербует партнеров для распространения своих программ-вымогателей. Их подвиги включают в себя кражу почти терабайта данных из крупной юридической фирмы и требование выкупа за отказ от публикации.

Недавно киберпреступники, известные как DarkSide, получили доступ к сети US Colonial Pipeline в результате атаки программы-вымогателя. Это показывает, что ставки продолжают расти, а критичность атак высока.

*технический директор Fortinet в России

Источник: stimul.online

Эволюция Ransomware

В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь?

История Ransomware

Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских институтов в 90 странах. На каждом диске был интерактивный опрос, измерявший риск заражения СПИДом на основании ответов пользователя. Во время прохождения опроса первое ransomware — «AIDS Trojan» шифровало файлы на компьютерах пользователей после перезапуска определённого количества раз.

Принтеры, подключённые к заражённым компьютерам, распечатывали инструкции о том, что нужно отправить банковский перевод или чек на сумму 189 долларов в почтовый ящик в Панаме. Попп планировал распространить ещё 2 миллиона дисков с «AIDS», но его арестовали на пути в США с семинара ВОЗ по СПИДу. Несмотря на улики против доктора Поппа, его так и не признали виновным в этом преступлении.

К счастью для компьютерных специалистов того времени, в коде Поппа использовалось симметричное шифрование, поэтому для устранения последствий первого ransomware был написан инструмент расшифровки. С 1991 по 2004 год значительных ransomware-атак не проводилось, но некоторые называли это лишь затишьем перед бурей.

Технологический прогресс в эволюции криптовымогателей

К началу 2000-х у киберпреступников уже имелась схема ransomware и доступ к её трём неотъемлемым технологическим аспектам, которыми не владел Попп…

(1) Эффективная и сверхбыстрая система доставки, соединяющая миллионы компьютеров по всему миру, т.е. world wide web. (2) Доступ к более надёжным инструментам асимметричной криптографии для шифрования файлов, которые невозможно взломать. (3) Платёжная платформа, обеспечивающая скорость, анонимность и возможность автоматизации расшифровки после проведения платежа, например Bitcoin.

Благодаря сочетанию всех этих трёх элементов ransomware и получило такую популярность. Вот ключевые события в истории криптовымогателей:

• 2006 — Archiveus использовал RSA-1024 для шифрования файлов, из-за чего их нельзя было расшифровать. Жертвам вымогателя для получения пароля расшифровки приходилось покупать товары в онлайн-аптеке.
• 2008 — изобретение Bitcoin. Теперь криптовымогатели могли создавать для каждой жертвы уникальные платёжные адреса, поэтому Bitcoin становится предпочительным платёжным средством.
• 2011 — Bitcoin развивается и количество ransomware-атак растёт экспоненциально: за первые два квартала 2011 года было сообщено о 30 тысячах заражений. К концу третьего квартала это количество удвоилось.

2012 — Reveton позаимствовал принцип у вируса Vundo и использовал тактику запугивания, чтобы заставить жертв платить. После шифрования файлов червь Reveton притворялся сообщением от органа правопорядка, предупреждающим жертву, что та совершила преступление, чаще всего — скачивание или использование пиратского ПО.

• На сцене появляется Citadel — тулкит для разработки и распространения зловредного ПО и управления ботнетами, распространяющий ransomware при помощи программ с платной установкой. Киберпреступники могли платить номинальную сумму для установки своего ransomware на уже заражённые зловредным ПО компьютеры.

• К 2014 году мобильный троян Svpeng, изначально предназначавшийся для кражи информации о платёжных картах, эволюционировал в ransomware. У жертв блокировался доступ к телефону и им отправляли обвинения в просмотре порнографии с детьми.
• В мае 2015 года появилась система Ransomware-as-a-Service (RaaS), при которой операторы сервисов RaaS получали 20% от каждого выплаченного выкупа в биткойнах.

• 2016 — Ransom32, полностью разработанный на Javascript, HTML и CSS — это первое «многоплатформенное» ransomware, способное заражать устройства с Windows, Linux и macOS.

• Locky распространялся через фишинговые атаки при помощи зловредных вложений в документы Microsoft Word. На пике распространения он заражал до 100 тысяч устройств в день.
• KeRanger — это первое ransomware, нацеленное на файлы Mac и систему восстановления Mac, отключающее функцию восстановления системы, позволявшую откатиться к предыдущему незашифрованному состоянию.

• 2017 — WannaCry и Petya снова привлекают внимание к ransomware. WannaCry — это крипточервь с полуавтоматическим размножением и автоматическим распространением через целевые уязвимости систем.

• В начале 2017 года WannaCry заразил более 250 тысяч устройств — самая значительная ransomware-атака в истории, финансовые потери по всему миру по оценкам составили 4 миллиарда долларов.
• NotPetya (вариация Petya 2016 года) — ещё один крипточервь, эксплуатировавший те же уязвимости, что и WannaCry, несмотря на выпуск патчей безопасности. Оба варианта ransomware подчеркнули опасности работы в неподдерживаемых системах и необходимости установки патчей безопасности.

• Анонимность Bitcoin перестала быть гарантированной и киберпреступники начали мигрировать на другие криптовалюты. Новые варианты, например, Annabelle и AVCrypt, а также новая версия SamSam содержали в себе продвинутые функции уклонения от обнаружения и препятствования анализу после атак.

Эволюция тактики Ransomware

Кроме использования прогрессивных технологий криптовымогатели стали агрессивнее и применяют изобретательные способы повышения успеха выплат выкупа.

Киберпреступники начали делать основной упор на критически важную инфраструктуру и крупные организации. Например, в 2016 году ransomware-атакам подверглись несколько больниц, в том числе Hollywood Presbyterian Medical Center, Ottawa Hospital и Kentucky Methodist Hospital. Во всех случаях блокировались больничные устройства или шифровались медицинские файлы, что подвергало опасности пациентов. Некоторым больницам повезло, они использовали надёжные политики резервного копирования и восстановления. Однако остальным, к сожалению, приходилось платить выкуп, чтобы как можно быстрее восстановить доступ к услугам здравоохранения.

Эволюция Ransomware: 1989 — 2019 годы

В марте 2018 года многие онлайн-сервисы Атланты были выведены из строя после ransomware-атаки. Выкуп 55 тысяч долларов в биткойнах не был выплачен, однако по оценкам затраты на восстановление составили 2,6 миллиона долларов.

В мае 2021 года ransomware DarkSide на неделю вывело из строя критически важную инфраструктуру, отвечавшую за доставку 45% бензина, потребляемого 13 штатами США. Жертва этой атаки, Colonial Pipeline, выплатила 4,4 миллиона долларов для возврата доступа к своим системам. Подобные крупные выплаты лишь сильнее мотивируют нападающих находить всё более изобретательные способы заработка на ransomware.

Трубопровод Colonial Pipeline длиной почти 9 тысяч километров был выведен из строя на несколько дней после ransomware-атаки, скомпрометировавшей его компьютерную сеть. Автором атаки стала восточноевропейская киберпреступная группа DarkSide.

Также нападающие используют тактику «шифруй и извлекай данные». Они поняли, что те уязвимые места сетей, которые помогают заражать ransomware, можно использовать и для похищения данных. Атакующие не только шифруют файлы жертв, но и крадут критичную информацию, угрожая её публикацией, если не будет выплачен выкуп. Поэтому даже если организация может восстановиться после атаки при помощи резервных копий, она не может допустить публикацию данных.

Финская психотерапевтическая клиника Vastaamo с 40 тысячами пациентов стала жертвой самой новой тактики «тройного вымогательства». Обычно нападающие шифруют медицинские файлы, а затем требуют солидный выкуп. Однако в данном случае они также украли данные пациентов. Вскоре после первой атаки пациенты получили электронные письма с требованием меньших сумм, чтобы избежать публикации записей сеансов личной терапии. Из-за утечки данных и финансового урона Vastaamo объявила себя банкротом и прекратила свою работу.

Будущее Ransomware

Cybersecurity Ventures сообщает, что с начала 2021 года количество атак увеличилось на 57% и в 2020 году урон от них составил 20 миллиардов долларов — на 75% больше, чем в 2019 году.

Кроме того, ransomware-атаки становятся всё более направленными на конкретных жертв: организации из сферы здравоохранения, коммунальных услуг и страхования/юриспруденции, обеспечивающие критически важные услуги, а значит с большей охотой готовые выплатить приличный выкуп.

Еженедельная статистика Ransomware-атак в разных отраслях по количеству организаций

Примерно 40% от всех вариантов ransomware включают в себя компоненты похищения данных для применения техник двойного или тройного вымогательства. Кроме того, RaaS-группа REvil предлагает своим партнёрам (которые и осуществляют сами атаки) бесплатные услуги атак Distributed-Denial-of-Service (DDoS) и VoIP-звонков со скрэмблингом, чтобы оказывать давление на жертв с целью выплаты выкупа в нужный период времени.

Почему возник внезапный рост ransomware-атак?

Это доходная сфера! Даже если успехом завершается малый процент ransomware-атак, он всё равно даёт огромную прибыль. Рассмотрим для примера крупнейшие на сегодня выплаты:

• CWT Global — 4,5 миллиона долларов
• Colonial Pipeline — 4,4 миллиона долларов
• Brenntag North American Division — 4,4 миллиона долларов
• Travelex — 2,3 миллиона долларов
• Калифорнийский университет в Сан-Франциско — 1,14 миллиона долларов

Ещё один важный фактор — постоянно расширяющаяся поверхность атак. В 2017 году из-за человеческой ошибки атаке WannaCry подверглись 55 дорожных камер в Виктории (Австралия). Хотя вред от атаки оказался минимальным, это даёт нам понять, какие устройства киберпреступники выбирают в качестве целей. Учитывая медленный процесс обновления безопасности и растущее число уязвимых устройств Internet of Things (IoT), это открывает новые возможности для операторов ransomware.

Специалисты также опасаются, что ransomware начнёт появляться в облачных сервисах и в основном будет нацелено на Infrastructure-as-a-Service (IaaS) и Platform-as-a-Service (PaaS). Также важным фактором являются новички — новое поколение взломщиков, вдохновлённых сериалами наподобие «Мистер Робот». У них есть больше ресурсов для взлома, чем у любого прошлого поколения. Эти новички с готовностью обучаются и с ещё большей готовностью тестируют свои навыки.

Ransomware находится в центре сложной и активно развивающейся экономики, имеющей все признаки настоящей коммерческой деятельности. Представьте сообщество опытных взаимодействующих разработчиков зловредного ПО, поставщиков услуг RaaS, их партнёров, отделов ИТ и клиентской поддержки и даже операторов, отвечающих за пресс-релизы и «брендирование» атакующих групп.

Передавая свои личные данные поставщикам различных услуг и полагаясь на технологии в выполнении своих повседневных задач, мы ненамеренно даём криптовымогателям возможность похищать информацию и удерживать нас в заложниках. Следовательно, следует ожидать роста масштабов ransomware-атак, повышения их агрессивности и изобретательности в вымогательстве выкупа. Вероятно, первый выкуп будет платиться за расшифровку данных, а второй — за то, чтобы они не были опубликованы.

Свет в конце туннеля шифрования

Взлом Colonial Pipeline выявил уязвимость современного общества. Атака привела к распространению панических настроений в городах, скупке топлива, дефициту бензина и повышению цен на него.

Ущерб от ransomware не ограничивается суммами выкупа. Повреждение и уничтожение данных, простои сервисов, снижение продуктивности после атак, затраты, связанные с расследованием, восстановлением системы и улучшением её безопасности, а также обучение сотрудников — всё это сокрытые и незапланированные затраты, вызванные атаками.

Органы правопорядка обеспокоены и тем, что кибератаки на больницы могут приводить к смертям. Негативное влияние ransomware на человеческие жизни и общество больше нельзя отрицать и игнорировать.

В конце 2020 года была запущена программа Ransomware Task Force (RTF). Коалиция более чем 60 участников из различных секторов — промышленности, государственных органов, полиции — начала искать решения по предотвращению ransomware-атак. В апреле 2021 года RTF выпустила отчёт «Combating Ransomware: A Comprehensive Framework for Action» с описанием 48 приоритетных рекомендаций по борьбе с ransomware.

Эти сконцентрированные усилия принесли свои плоды. Хотя не было произведено ни одного ареста, ФБР удалось вернуть 63,7 биткойна (около 2,3 миллиона долларов) выкупа, выплаченного после атаки на Colonial Pipeline. ФБР и другие правоохранительные органы по всему миру смогли нарушить работу NetWalker — элемента ransomware-as-a-service, использовавшегося для связи с жертвами. В начале этого года также была прекращена работа ботнета Emotet — важного инструмента для доставки ransomware жертвам при помощи фишинга.

Может показаться, что это капля в море по сравнению с количеством ransomware-атак в недавнем прошлом, однако общество и международные организации активно работают над нейтрализацией угрозы криптовымогательства, предпринимая необходимые шаги в правильном направлении.

• Информационная безопасность
• Законодательство в IT

Источник: habr.com

Сага о программах-вымогателях

Рассказываем историю программ-вымогателей — как из немного наивных блокировщиков экрана они выросли в монстров, способных парализовать целый аэропорт.

Leonid Grustniy

2 апреля 2021

Если вы следите за миром информационной безопасности, то в последние годы наверняка много слышали о программах-вымогателях. Возможно, вам даже не повезло лично столкнуться с разрушительными последствиями их атак. Пожалуй, их без преувеличения можно назвать самыми опасными зловредами современности.

Но знаете ли вы, что такие вредоносные программы существуют уже более 30 лет, а особенности современных атак ученые предсказали еще в середине 90-х? Хотите узнать, почему на смену блокировщикам пришли шифровальщики, какую сумму составил самый крупный в истории выкуп и при чем тут СПИД?