Программы-вымогатели, или шифровальщики — это вредоносное ПО, которое блокирует устройство или шифрует его содержание, вымогая деньги у жертв. За определенную плату операторы вредоносного кода обещают восстановить доступ к зараженному компьютеру или данным. Многие группы работают по модели «вымогатель как услуга» (Ransomware as a Service, RaaS), когда клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе»; разработчикам достается своя доля от выкупа.
Эксперты Group-IB изучили, как действовали операторы шифровальщиков в 2021–2022 годах (отчет есть в распоряжении «Известий»). Специалисты отмечают, что запрашиваемые злоумышленниками суммы выкупа продолжают расти. Средний размер требуемой платы в 2021 году составил $247 тыс., а самая крупная сумма — $240 млн. При этом участники партнерских программ-шифровальщиков тесно взаимодействуют с продавцами доступов. Те ищут уязвимые устройства, получают к ним доступ и перепродают инструменты операторам. Продавцам доступа платят либо заранее, либо отчисляют процент от полученного выкупа.
Во многие программы RaaS новых участников раньше привлекали на андеграундных форумах, однако теперь это чаще делают в частном порядке, чтобы усложнить мониторинг со стороны правоохранительных органов. Для самых важных целей участники партнерских программ могут нанимать инсайдеров и использовать уязвимости нулевого дня (угрозы, обнаруженные злоумышленниками до того, как о ней узнали производители).
Исследователи отмечают, что некоторые организации могут быть хорошо защищены, в связи с чем развернуть шифровальщик в масштабах всего предприятия едва ли удастся, поэтому злоумышленники смещают фокус в сторону извлечения данных. Оно происходит в 63% случаев всех атак. При этом в среднем на восстановление после атаки уходит 22 дня.
Тремя самыми опасными группировками вымогателей в 2021 году стали LockBit, Conti и Pysa. Первая буквально на днях заявила о взломе Continental — немецкого производителя автокомплектующих. Жертвами злоумышленников в прошлом уже становились организации из США, Китая, Индии, Индонезии, а также из нескольких европейских стран. Другой популярный шифровальщик — Conti. Так же, как и LockBit, группировка в основном нападает на промышленные предприятия. Правда, в последнее время появляются новости об исчезновении бренда — якобы Conti прекращает работу и распадается на несколько «отрядов». Третий лидер этого рынка — Pysa. Название группировки расшифровывается как Protect Your System Amigo («защищай свою систему, дружище»). В основном вымогатель атакует системы Windows, на которых работают организации сфер образования и здравоохранения, а также госсектор.
По данным Group-IB, наиболее уязвимыми регионами в мире являются Северная Америка (52% инцидентов), Европа (28%), далее идут Азиатско-Тихоокеанский регион (10%), Латинская Америка (6%), Ближний Восток и Африка (4%).
Своих целей шифровальщикам удается достичь при помощи удаленного внешнего подключения (47% случаев), фишинга (26%), общедоступных приложений (21%) и других методов (6%).
Внешние службы удаленного доступа, в особенности VPN и RDP (служба дистанционного управления устройством), широко используются участниками партнерских программ-вымогателей. Эксплуатация публичных RDP-серверов — самый частый способ получения доступа в сеть: около половины всех изученных атак начались с хаков такого рода.
— Во многих случаях незащищенные RDP-серверы позволяли злоумышленникам проникать в сети малых и средних организаций, но мы также заметили, что у большого числа компаний одни и те же проблемы безопасности. Так как многим из них нужно организовывать рабочие места для сотрудников, работающих удаленно, эта техника получения первоначального доступа по-прежнему является самой распространенной, — пояснили исследователи Group-IB.
Некоторые партнеры использовали учетные данные VPN для подключения к целевым сетям и собственные виртуальные машины для тестирования на проникновение, чтобы атаковать инфраструктуру изнутри. Яркий пример — партнеры LockBit: они назвали эту технику «гнидануться в сеть».
Чтобы обнаружить злоумышленников, эксперты советуют обращать внимание на множественные безуспешные попытки входа, аутентификацию из нетипичных мест и в нетипичное время, а также проводить поиск неизвестных устройств.
Использование ботов становится всё более распространенным. Впрочем, для операторов одной из самых опасных бот-сетей в истории — Emotet — 2021 год начался очень плохо. На Украине арестовали двоих участников группировки, что привело к подрыву всей командной инфраструктуры Emotet. Вид штаб-квартиры Emotet поразил многих: скромное старое жилье, заваленное аппаратурой и разным хламом. В тайниках киберполиция нашла большие суммы наличных и даже слитки золота. На тот момент деятельность группировки нанесла иностранным банкам ущерб в размере более $2,5 млрд.
Как ни странно, в ноябре 2021-го бот-сеть появилась вновь. Она, как правило, распространяется с помощью вредоносных документов Microsoft Word и таблиц Microsoft Excel.
Одна из схем Emotet выглядела следующим образом. В разосланных фишинговых письмах содержались ссылки на фейковые страницы «Google Диск», где жертве предлагалось просмотреть PDF-документ. После того как она нажимала на кнопку просмотра, ей предлагалось установить фейковую программу Adobe PDF Component. Это приводило к скачиванию вредоноса, который далее использовался для установки Emotet.
В отличие от многих ботов, шифровальщик BazarLoader в основном распространялся не через фишинг, а через вишинг (выманивание денег посредством звонка). Спам-письма содержали информацию о платных подписках, которые якобы могли быть отменены по телефону. Во время телефонного разговора злоумышленники обманом заставляли жертву посетить подложный сайт и давали инструкции о том, как скачать и открыть вредоносный документ, который загружал и запускал BazarLoader.
Чтобы повысить шансы получить выкуп, операторы вымогателей, прежде чем начинать процесс шифрования, собирают и извлекают ценные данные из сети жертвы, сообщается в отчете Group-IB. Если жертва откажется платить, ее данные могут быть опубликованы на специальных сайтах — этим также можно шантажировать или, в конце концов, получить прибыль за сам слив. Информация может публиковаться по частям. До обнародования извлеченных данных некоторые злоумышленники организуют аукционы. Есть и такие операторы, которые не публикуют извлеченные данные, а используют их для совместной работы с другими злоумышленниками.
Операторы вымогателей собирают не все доступные данные, а только наиболее чувствительную информацию для дальнейшего вымогательства (например, в руководстве группировки Conti рекомендуется собирать все файлы, относящиеся к клиентам жертвы, ее финансовым показателям, активным проектам и т.п.).
Чтобы уменьшить размер извлекаемых данных, операторы шифровальщиков могут использовать инструменты для архивирования. Поэтому создание большого количества архивов за короткий промежуток должно насторожить компанию.
Еще один подход, позволяющий злоумышленникам обходить средства обнаружения, — это обфускация данных. Злоумышленники могут передавать полезные файлы или команды, которые выглядят как изображения или аудиофайлы.
Выгрузка информации в облачные хранилища — другой популярный способ извлечения. Большинство злоумышленников используют хранилище MEGA. Если организацию заметил облачный сервис, который не используется в ее контуре, это также должно насторожить.
Иногда хакеры запускают вымогателей благодаря самим же сотрудникам.
— Во время одной из операций по реагированию на инцидент нами было установлено, что злоумышленник (вероятно, имеющий отношение к группировке Wizard Spider) отправлял внутренние электронные письма с вредоносными вложениями. Оказалось, что атакующий купил доступ к почтовому аккаунту одного из сотрудников. Хотя данная техника использовалась в самом начале атаки, она позволила атакующему моментально осуществить перемещения внутри сети на хосты других сотрудников, — поделились в Group-IB.
Как говорилось выше, обычно операторы программ-вымогателей используют не один метод воздействия, для того чтобы заставить жертву заплатить. Шифрование всех ценных данных — сильный мотиватор, однако, помимо этого, операторы используют дополнительные рычаги, например: извлечение и обнародование ценных данных, DDoS-атаки на жертв, уведомление клиентов жертвы об инциденте по электронной почте.
Мария Немцева