Программа-вымогатель как услуга (Ransomware as a Service — RaaS) — это тип сервиса вредоносных программ, запускаемой преступниками для преступников. Настройки RaaS во многом похожи на традиционные модели «Программное обеспечение как услуга» (SaaS). Большая разница в том, что в данном случае программа представляет собой инструмент, используемый для преступной деятельности, в частности, для координации атак программ-вымогателей.
Программы-вымогатели — это тип вредоносного ПО, которое обычно шифрует файлы и папки на устройстве жертвы и требует выкупа в обмен на безопасное возвращение зашифрованных данных. Мы наблюдаем всплеск атак программ-вымогателей во многих регионах мира, вероятно, отчасти из-за доступности программ-вымогателей через RaaS.
В данной мы с вами подробнее рассмотрим, что такое RaaS и как он работает, включая несколько примеров. А также раскрываем основные шаги, которые вы можете предпринять, чтобы защитить себя от программ-вымогателей.
Что такое программа-вымогатель как услуга?
Вирус МВД. Как разблокировать вирус вымогатель
По самым скромным оценкам, общая сумма потерь от программ-вымогателей с середины 2019 по середину 2020 года составила более 1 миллиарда долларов. Средний размер выкупа в 2020 году составил 170 404 доллара. Успешные атаки программ-вымогателей могут принести злоумышленникам огромную прибыль. А использование RaaS может быть недорогим и относительно простым делом.
В то время как преступник может легко выполнить программу-вымогатель, разработка самой вредоносной программы требует технической смекалки и навыков. Это тип программного обеспечения, доступного для продажи в Интернете, обычно находится в даркнете. Разработчики создают программы-вымогатели и продают их для широкого использования.
Создатели рекламируют программное обеспечение для продажи, аналогично тому, как другие поставщики программного обеспечения продвигают законные услуги в открытой сети. Продавцы создают профессиональные веб-сайты, размещают рекламу в социальных сетях, размещают видеорекламу и технические документы и продвигают отзывы пользователей. Некоторые из них предоставляют круглосуточную техническую поддержку, форумы пользователей, документацию по поддержке и регулярные обновления.
Программы-вымогатели можно настраивать, и покупателям часто предоставляются элегантные интерфейсы, в которых они могут настраивать свои вредоносные программы. Некоторые панели мониторинга позволяют пользователям просматривать информацию о целях, например о том, где была запущена вредоносная программа, сколько файлов было зашифровано и сколько выкупов было заплачено.
Преступники, просматривающие варианты RaaS, могут получить специальные предложения и выбрать одну из различных моделей подписки. Они аналогичны предложениям традиционных поставщиков SaaS и могут принимать одну из следующих форм:
- Единовременная плата за лицензию: Предоставляет неограниченный доступ к услуге без будущих платежей.
- Ежемесячная ставка: покупатели платят фиксированную ежемесячную плату.
- Распределение прибыли: оператор получает долю прибыли от каждой успешной атаки, аналогично партнерской программе.
Некоторые модели могут включать комбинацию типов оплаты. Например, участие в прибыли можно комбинировать с лицензионным платежом или ежемесячной оплатой.
Вирусы Ransomware блокировщики и вымогатели
В то время как некоторые модели RaaS позволяют менее опытным преступникам зарабатывать деньги на программах-вымогателях, многие провайдеры RaaS очень разборчивы в отношении филиалов, с которыми они работают. Разработчики создают вредоносное ПО, но их прибыль часто зависит от способности аффилированных лиц распространять его. Некоторые создатели внедряют жесткие процессы отбора, чтобы гарантировать, что они работают только с партнерами, которые принесут им хорошую прибыль.
Примеры программ-вымогателей как услуги
Было обнаружено множество различных типов RaaS. Операторы постоянно разрабатывают новое и более совершенное программное обеспечение. Ниже приведены некоторые примеры печально известных программ-вымогателей, которые распространяются через модель RaaS.
Egregor
Egregor — относительно новый RaaS. Операторы, разработавшие программу-вымогатель, управляют платежным сайтом, а филиалы взламывают корпоративные сети и развертывают вредоносное ПО. Сообщается, что Egregor работает по партнерской системе, при этом разработчики получают 20-30% выкупа, а остальная часть идет аффилированным лицам.
Считается, что Egregor, запущенный в сентябре 2020 года, был заменой Maze RaaS, который прекратил свою деятельность примерно в то же время.
За последний год атакам Egregor подверглись несколько французских организаций, в том числе Ouest France, Ubisoft и Gefco. Недавно во Франции было произведено несколько арестов в связи с вымогательством Egregor.
REvil
Сообщается, что разработчики REvil RaaS очень разборчивы в том, с кем они работают. Кандидаты на участие в программе должны подтвердить свой опыт взлома, прежде чем они будут приняты.
REvil имеет длинный список жертв, включая Travelex, Brown-Forman, Cyrus One и SeaChange International. Сообщается, что за год он принес разработчикам 100 миллионов долларов. Эта программа-вымогатель, по всей видимости, в значительной степени нацелена на компании юридического, страхового и сельскохозяйственного секторов.
REvil использует несколько иной способ зарабатывания денег на традиционных схемах вымогательства. Помимо требования выкупа в обмен на безопасное возвращение файлов, он также угрожает утечкой украденных данных и дальнейшим вымогательством жертв .
Группа REvil отвечает за самый крупный на сегодняшний день запрос на выкуп. В марте 2021 года он запросил 50 миллионов долларов у производителя электроники Acer.
Dharma
Dharma — это далеко не новость на сцене RaaS, и она работает с 2017 года. Она заменяет файлы с расширением .dharma. Требования выкупа Дхармы, как правило, находятся на более низком уровне по сравнению с другими RaaS, в среднем около 9000 долларов .
Провайдеры предлагают очень простой в использовании комплект, который позволяет менее опытным хакерам присоединиться к ним в качестве аффилированных лиц. Легкость входа может быть связана с меньшей полезной нагрузкой.
Cerber
Cerber — еще одна программа-вымогатель, предлагаемая как RaaS. Это вредоносное ПО имеет ряд каналов распространения, включая фишинговые электронные письма, вредоносную рекламу (рекламу, зараженную вредоносным ПО) и вредоносные веб-сайты. Обычно это работает по партнерской модели, когда партнеры получают 40-процентную скидку от суммы выкупа.
Другие операции RaaS включают Locky, LockBit, Goliath, Shark, Stampado, Encryptor, Jokeroo, Ragnarok, ProLock, CryLock и Nefilim.
Как можно защититься от RaaS?
Когда мы обсуждаем, как защититься от RaaS, мы, по сути, говорим о том, как защитить себя от программ-вымогателей.
Вот как остановить программу-вымогатель как услугу:
- Научитесь обнаруживать вредоносные электронные письма. Поскольку электронная почта является обычным средством распространения программ-вымогателей, важно ознакомиться с общими признаками вредоносных электронных писем, рекламы и сайтов. Золотое правило — никогда не нажимать на ссылку или вложение, если вы не уверены, что можете доверять источнику.
- Используйте надежный брандмауэр: брандмауэр может выступать в качестве вашей первой линии защиты и предотвращать проникновение определенных типов вредоносных программ в вашу систему.
- Купите надежное антивирусное программное обеспечение: антивирусное программное обеспечение будет отслеживать и блокировать известные угрозы, включая многие виды вымогателей.
- Обновляйте программное обеспечение: обновления обычно включают исправления безопасности, устраняющие уязвимости. Задержка обновлений может сделать вашу систему уязвимой.
- Поддерживайте актуальные резервные копии: рекомендуется хранить несколько резервных копий в разных местах. При определении частоты резервного копирования подумайте, сколько данных вы можете позволить себе потерять, например, стоимость часа, стоимость дня и т. д. Также важно протестировать резервные копии, чтобы убедиться, что данные можно получить.
Источник: cisoclub.ru
Вымогатели: как ransomware-программы стали работать по модели сервиса и что с этим делать
Не так давно мировые СМИ писали об истории, которая случилась в техасском городке Кокрелл Хилл 2016 году — из-за кибератаки местное полицейское управление лишилось всех данных за последние восемь лет. Началось все с обычного спамерского электронного письма, которое открыл один из полицейских. Так в систему проникла вредоносная программа-вымогатель Osiris — новая реинкарнация троянской программы Locky.
Это один из множества примеров довольно распространенной в наши дни проблемы. Ransomware — вредоносное программное обеспечение, нацеленное на вымогание денег. Именно такая программа и «похоронила» данные полиции в Техасе. И это киберопасность совершенно нового поколения — с 2015 года специалисты считают ransomware самой серьезной киберугрозой.
Объяснять подробно, в чем смысл программы-вымогателя, наверное, уже никому не надо: это ПО, которое, внедряясь в систему, шифрует данные, тем самым блокирует их и для возобновления работы требует у жертвы деньги.
Проследим историю развития таких вредоносных ПО. Самый первый случай был зафиксирован в 1989 году. Это была AIDS Trojan, которая распространялась на дискетах на медицинской конференции. Потом долгое время столь резонансных случаев, связанных с кибервымогательством, не было.
Но само явление, естественно, никуда не исчезло, и вот в 2006 году оно вновь о себе заявило в полный рост: появился Archievus. Это была уже программа совершенно нового уровня. Ключевое ее отличие состояло в том, что она, во-первых, шифровала все содержимое папки My documents, чего раньше не было.
И, во-вторых, для восстановления файлов зараженному необходимо было обратиться к специальному веб-сайту для получения инструкций по расшифровке. И, наконец, впервые использовался алгоритм асимметричного шифрования. С того момента именно эти параметры стали основным и непреодолимым преимуществом вредоносного ПО. До настоящего времени оно позволяет таким программам обходить все новейшие системы защиты.
Постепенно появлялось все больше громких атак программ-вымогателей, которые становились все более устрашающе изобретательными. В 2011 году создатели ransomware обратили свой взгляд на ту аудиторию, которая вряд ли будет обращаться в полицию — пользователей пиратского контента. Вредоносное ПО распространялось под видом программы-активатора для MS Windows.
В 2012 году преступники стали искать новые способы оплаты, используя ваучеры. А в сентябре 2013 году появилась такая программа, как Cryptolocker. В мире киберпреступности это стало отдельным событием. Cryptolocker распространялся как через скомпрометированные сайты, так и по электронной почте, маскируясь под жалобы клиентов (похожим способом было атаковано техасское полицейское управление).
Тогда же для распространения вредоносного ПО впервые стали использоваться ботнет-сети. В работе программы применялись криптостойкие алгоритмы AES-256, а серверы управления находились в небезызвестной сети Tor. Положение жертв ухудшалось требованием оплатить в течение 3 дней после заражения, о чем авторы, конечно же, знали.
А в 2015 году появилась модель Ransomware-as-a-service (RaaS). С ее помощью любой — даже абсолютно обычный пользователь — может заказать услугу заражения очень продвинутого уровня.
Ему нет необходимости разрабатывать вредоносное ПО самостоятельно, тратить на это время и деньги — сегодня это уже обычный сервис — подписка, с помощью которой продвинутыми инструментами можно пользоваться довольно дешево. В прошлом году было зафиксировано несколько десятков новых разновидностей ransomware. Например, семейство Locky получило целых семь новых поколений развития.
Разнообразные примеры программ-вымогателей можно приводить долго. Впрочем, реальные цифры тут скажут больше любых слов. По оценкам ФБР, только в первом квартале 2016 года авторы ransomware получили $209 млн, а общие потери от их проникновений в прошлом году составили $1 млрд.
Как можно заметить, авторы вредоносных ПО очень изобретательны и технологически подкованы, ransomware-сервисы активно развиваются. И все чаще обращают свое внимание на бизнес. Теперь они несут огромную опасность для компаний любого размера, особенно в свете развития технологий, полезных и уже остро необходимых для нормальной работы организаций.
Взять хотя бы программы обеспечения непрерывности бизнеса, которые уже заняли и продолжают занимать лидирующую роль в головах и бюджетах руководителей средних и крупных компаний. Так, по данным аналитических агентств, это рынок растёт на 50% в год и уже через 4 года достигнет размера $11 млрд. Однако вместе с ним растет и «черный рынок» криптолокеров. Причем даже опережающими темпами — по оценке McAfee, на 80%, к 2021 году он будет оцениваться в $6 млрд. Как уже было сказано, киберпреступники изощрены, разработчики криптолокеров точно также, как и нормальный бизнес, переходят к модели «as-a-service».
Все это тотально увеличивает число новых атак шифровальщиками. Теперь достаточно обладать минимальными компьютерными знаниями для совершения такого преступления, используя продвинутые криптолокеры, предоставляемые как сервис. Услуга обхода средств антивирусной защиты имеет свой уровень SLA ( Service Level Agreement, соглашение об уровне предоставления услуги — Forbes) и технической поддержки. Все как в легальном бизнесе, да и суммы, как мы видим, похожи.
На этом месте можно задать себе, казалось бы, логичный вопрос: существует множество сильных программ-антивирусов, есть отличные бэкап-программы — так почему же вредоносные ПО стали такой проблемой? Однако здесь все не так просто, и нам надо вернуться назад и посмотреть на их технические характеристики. Антивирусы и бэкап хороши каждый в своем деле, но из-за специфичности они в полной мере не способны защитить систему от вредоносного ПО.
Проблема в том, что обычно они не взаимодействуют друг с другом. Говоря совсем упрощенным языком, обновления антивирусов могут приходить на ваш компьютер сколь угодно часто, но в одно из «окон» все равно может проникнуть новое вредоносное ПО. О таких резонансных случаях мы обычно и узнаем из прессы.
Потери впечатляют — так, в одном из отчетов исследовательской компании LogRhythm приводится случай медицинского центра, который в результате кибератаки каждый день терял более $100 000. То же самое с «окном» в бэкапах — системы резервного копирования смогут защитить ваши данные, сохранив их в облаке, но и здесь злоумышеленники могут воспользоваться временными слотами.
В эти моменты вредоносное ПО может проникнуть в систему, запуститься и удалить резервные копии. Можно, конечно, просто постоянно копировать и сохранять измененные версии файлов, но это означает, что придется хранить очень много данных. И если в случае с частным пользователем это еще как-то можно представить (хотя это и страшно неудобно), то для бизнеса такие решения попросту невозможны. К слову, в среднем время от проникновения ransomware до реального нанесения вреда пользователю составляет всего лишь 15 минут.
Всё, что нужно знать о программе-вымогателе Netwalker
В 2020 году киберпреступность росла в геометрической прогрессии: программы-вымогатели Emotet, Trickbot, Maze, Ryuk, а теперь и Netwalker стали серьезной проблемой во всех отраслях, больших и малых, государственных и частных, и пока нет оснований полагать, что эта тенденция ослабнет.
За 2019 год злоумышленники вымогательством получили от своих жертв около 11,5 миллиардов долларов. Для сравнения, в 2018 году эта цифра составила 8 миллиардов. По оценкам экспертов, к 2021 году потери от атак программ-вымогателей вырастут почти на 100% и достигнут 20 миллиардов долларов. С момента своих первых атак в марте 2020 года Netwalker, также известный как Mailto, позволил злоумышленникам получить в виде выкупа более 30 миллионов долларов.
Что из себя представляет программа-вымогатель Netwalker?
Netwalker — это быстро набирающая масштабы программа-вымогатель, созданная в 2019 году группой киберпреступников, известной как Circus Spider. Circus Spider — один из новых членов более обширной группы Mummy Spider. На первый взгляд Netwalker действует, как и большинство других разновидностей программ-вымогателей: проникает в систему через фишинговые письма, извлекает и шифрует конфиденциальные данные, а затем удерживает их для получения выкупа.
Увы, Netwalker способен на большее, чем просто удержание захваченных данных «в заложниках». Чтобы продемонстрировать серьезность своих намерений, Circus Spider публикует образец украденных данных в интернете, заявляя, что, если жертва не выполнит их требования вовремя, то в даркнет попадут и остальные данные. Circus Spider выкладывает конфиденциальные данные жертвы в даркнете в защищенной паролем папке и публикует пароль в интернете.
Программа-вымогатель Netwalker использует модель «вымогательство как услуга» (RaaS).
В марте 2020 года члены Circus Spider решили сделать имя Netwalker нарицательным. Они расширили свою партнерскую сеть подобно тому, как это сделала группа преступников, стоящих за Maze. Переход к модели «программа-вымогатель как услуга» (RaaS) позволил им существенно расширить масштабы, нацелиться на большее количество организаций и увеличить размеры получаемых выкупов.
Модель RaaS включает вербовку помощников для содействия в выполнении преступных планов. Как упоминалось выше, Netwalker начинал набирать обороты и уже имел ряд крупных результатов. Однако по сравнению с другими крупными группами вымогателей они оставались небольшими… пока не перешли к модели RaaS.
Чтобы заслужить «честь» присоединиться к их небольшой преступной группе, Circus Spider опубликовали определенный набор требуемых критериев — своеобразную криминальную вакансию, если хотите.
Их основные критерии при выборе «помощников»:
- опыт работы с сетями;
- владение русским (они не принимают англоговорящих);
- они не обучают неопытных пользователей;
- наличие постоянного доступа к целям, представляющим для них ценность;
- доказательства наличия опыта.
- полностью автоматическая панель чата TOR;
- права наблюдателя;
- поддержка всех устройств Windows, начиная с версии Windows 2000;
- быстрый многопотоковый блокировщик;
- быстрые и гибкие настройки блокировщика;
- доступ к процессам разблокировки;
- шифрование смежной сети;
- уникальные сборки PowerShell для упрощения работы с антивирусными программами;
- мгновенные выплаты.
На кого и на что нацелена программа-вымогатель Netwalker?
С момента первого крупного результата в марте 2020 года наблюдается всплеск атак программы-вымогателя Netwalker. В первую очередь, ее целями стали учреждения здравоохранения и образования. Они провели одну из своих наиболее публично освещенных кампаний против крупного университета, специализирующегося на медицинских исследованиях.
Программа-вымогатель похитила конфиденциальные данные этого университета, и, чтобы показать серьезность намерений, злоумышленники выложили образец украденных данных в открытый доступ. Эти данные включали студенческие приложения, содержащие такую информацию, как номера социального страхования и другие конфиденциальные данные. Это нарушение привело к тому, что университет заплатил злоумышленникам выкуп в размере 1,14 миллиона долларов за расшифровку их данных.
Злоумышленники, стоящие за Netwalker, предприняли серьезную попытку извлечь выгоду из хаоса эпидемии коронавируса. Они рассылали фишинговые электронные письма на тему пандемии, выбрав целью медицинские учреждения, которые уже перегружены пострадавшими от пандемии. Сайт одной из первых жертв в сфере здравоохранения был заблокирован программой-вымогателем как раз в тот момент, когда люди начали обращаться к ним за советом во время пандемии. Эта атака вынудила их запустить второй сайт и направить пользователей на новый, вызвав беспокойство и замешательство у всех участников. В течение года Netwalker и другие группы программ-вымогателей продолжали атаковать медицинские учреждения, пользуясь тем, что они уделяют мало внимания информационной безопасности.
Помимо сфер здравоохранения и образования, Netwalker атакует организации в других отраслях, в том числе:
- производство;
- управление бизнесом;
- управление потребительским опытом и качеством обслуживания;
- электромобили и решения для накопления электричества;
- образование;
- и многие другие.
Как работает Netwalker?
Шаг 1: фишинг и проникновение
Netwalker в значительной степени полагается на фишинг и адресный фишинг как методы проникновения. Если сравнивать с другими программами-вымогателями, рассылки фишинговых писем у Netwalker происходят часто. Эти письма выглядят вполне легитимно, что легко вводит в заблуждение жертв. Обычно Netwalker прикрепляет сценарий VBS с названием CORONAVIRUS_COVID-19.vbs, который запускает программу-вымогатель, если получатель откроет вложенный текстовый документ с вредоносным сценарием.
Шаг 2: эксфильтрация и шифрование данных
Если сценарий открывается и запускается в вашей системе, значит Netwalker начал проникать в вашу сеть. С этого момента начинается отсчет времени до шифрования. Попав в систему, программа-вымогатель превращается в не вызывающий подозрений процесс, обычно в виде исполняемого файла Microsoft.
Это достигается за счет удаления кода из исполняемого файла и внедрения в него собственного вредоносного кода для доступа к process.exe. Этот метод известен как Process Hollowing. Он дает программе-вымогателю возможность находиться в сети достаточно долго для извлечения и шифрования данных, удаления резервных копий и создания лазеек на случай, если кто-либо заметит, что что-то не так.
Шаг 3: вымогательство и восстановление (или потеря) данных
Как только Netwalker закончит эксфильтрацию и шифрование данных, жертва обнаружит, что данные украдены, и найдет записку с требованием выкупа. Записка с требованием выкупа Netwalker относительно стандартна: в ней объясняется произошедшее и что пользователь должен делать, если хочет вернуть свои данные в целости и сохранности. Затем Circus Spider потребует определенную сумму денег для оплаты в биткойнах, используя портал браузера TOR.
(Источник)
Как только жертва удовлетворяет выдвинутые требования, она получает доступ к своему индивидуальному инструменту дешифрования и может безопасно расшифровать свои данные.
Если жертва не выполнит требования вовремя, злоумышленники увеличат размер выкупа или опубликуют в даркнете все украденные данные либо их часть.
Ниже представлена схема конкретного пути атаки Netwalker.
(Источник)
Советы по защите от программы-вымогателя Netwalker
Netwalker становится все более изощренным, и от него все труднее защищаться. В первую очередь это связано с ростом их сети «помощников».