Введение

По мере того как наше зависимость от цифровой инфраструктуры растет, влияние атак вымогательского вируса становится все более серьезным, нарушая повседневные операции и причиняя финансовые потери. Задержание киберпреступников становится более сложным, так как они прибегают к изощренным методам, чтобы скрыть свои следы. Одним из таких инструментов, которым они прибегли, является криптовалюта для получения выкупных платежей. Они пользуются децентрализованным и псевдонимным характером криптовалюты в качестве предпочтительной формы оплаты. Только в 2023 году атаки вымогательского вируса привели к более чем 1 миллиарду долларов выкупных платежей,сообщилфирмой анализа блокчейна, Chainalysis.

Что такое вирус-вымогатель?

Ransomware - это вредоносное программное обеспечение, предназначенное для шифрования данных системы, делая их недоступными до выплаты выкупа. Этот кибератака нацелена на физических лиц, бизнес и государственные организации, используя уязвимости в их системах для получения несанкционированного доступа. Как только вредоносное ПО запущено, оно шифрует файлы и требует оплату, обычно в криптовалюте, чтобы расшифровать данные.

Хотя основная цель атак с использованием вирусов-вымогателей в основном финансовая, в некоторых случаях они также используются для причинения нарушений в работе, получения несанкционированного доступа к конфиденциальной информации или оказания давления на организации, чтобы они выполняли другие требования. Они также были использованы в качестве средства кибервойны между странами с политическим напряжением.

История и эволюция вирусов-вымогателей

Первая известная атака вирусов-вымогателей была осуществлена с помощью вируса AIDS Trojan в 1988 году, также известного как вирус PC Cyborg. Он распространялся с помощью гибких дисков среди участников конференции Всемирной организации здравоохранения. После определенного количества перезагрузок компьютера троян зашифровывал файлы и требовал выкуп в размере 189 долларов, оплачиваемый на почтовый ящик в Панаме. По сравнению с современными стандартами, этот тип атаки использовал примитивное шифрование, но заложил основы современных вирусов-вымогателей. С начала 2006 года для доставки вирусов-вымогателей на веб-сайты и через спам-письма использовалось шифрование Advanced RSA, а выкуп оплачивался с помощью ваучеров, paysafecard и других электронных методов, которые были трудны для отслеживания.

Источник: Chainalysis

К 2010 году, по мере роста популярности Bitcoin, злоумышленники начали требовать выкуп в псевдонимной валюте, которую гораздо сложнее отследить. С тех пор были разработаны более новые и совершенные модели вирусов-вымогателей, создавая преступную индустрию, которая заработала свыше 3 миллиардов долларов с 2019 по 2024 год.

Роль криптовалют в вирусах-вымогателях

Одной из ключевых особенностей криптовалют, особенно биткоина, является их псевдонимность. В то время как транзакции записываются в блокчейне, идентичности сторон, вовлеченных в сделку, маскируются адресами кошельков, что затрудняет прослеживание до злоумышленника. Традиционные платежные системы, такие как кредитные карты и банковские переводы, оставляют ясные следы личности, которые правоохранительные органы могут использовать для расследования киберпреступников.

С учетом того, что транзакции с биткоинами публично отслеживаемы на блокчейне, некоторые киберпреступники перешли к криптовалютам, ориентированным на конфиденциальность, таким как Монеро, которые предлагают функции анонимности и используют скрытые адреса и кольцевые подписи, чтобы еще больше затруднить отслеживание деталей транзакций.

Как работает вирус-вымогатель Crypto

Крипто-вирус-вымогатель проникает в целевую систему, обычно через фишинговые электронные письма, вредоносные загрузки или эксплуатацию уязвимостей системы. После проникновения вредоносное ПО шифрует файлы на компьютере или в сети жертвы с использованием сложных алгоритмов шифрования, делая данные недоступными.

Источник: ComodoSSL

Операционные этапы выполнены поэтапно;

• Инфекция
• Шифрование
• Вирус-вымогатель требует

Инфекция

Криптовымогатель входит в устройство жертвы через такие каналы, как;

Фишинговые электронные письма: Киберпреступники отправляют электронные письма, которые кажутся исходящими от законных источников, обманывая получателей, чтобы они нажимали на вредоносные ссылки или скачивали инфицированные вложения. Эти файлы часто выдавали себя за важные документы или обновления, маскируя свою истинную природу.

Устаревшее программное обеспечение: Вирус-вымогатель может использовать ошибки в устаревших версиях программного обеспечения операционных систем или приложений. Это было заметно в атаке WannaCry, которая использовала уязвимость в Microsoft Windows.

Мальвертайзинг: Пользователи могут ненамеренно взаимодействовать с обманными рекламными объявлениями для загрузки поддельных обновлений программного обеспечения, которые приводят к установке вируса-вымогателя.

Взломы протокола удаленного рабочего стола: Протокол удаленного рабочего стола (RDP) используется для поддержания удаленного подключения к серверу в ситуациях, когда сотрудники организации работают из разных мест. Интерфейс RDP на компьютере сотрудника общается через протоколы шифрования с компонентом RDP на сервере. Хотя данные зашифрованы, этот способ подключения подвержен взломам, которые злоумышленники используют для загрузки вируса-вымогателя на сервер компании.

Шифрование

Попав в систему, вымогатель начинает шифровать файлы жертвы. Крипто-вымогатель использует методы шифрования, такие как:

• RSA (Rivest–Shamir–Adleman): Асимметричный алгоритм шифрования, использующий открытый и закрытый ключи. Открытый ключ шифрует файлы, а для их расшифровки требуется закрытый ключ, которым обладает злоумышленник.
• AES (Advanced Encryption Standard): Симметричный метод шифрования, в котором используется один и тот же ключ для шифрования и дешифрования. Вирус-вымогатель использует это для шифрования файлов, а ключ хранится у злоумышленника.

Этот вредоносный код нацеливается на типы файлов, включая документы, изображения, видео и базы данных, все, что может быть ценным для жертвы. Во время этого процесса пользователи могут даже не заметить, что их данные блокируются, пока шифрование не завершится, не оставляя им никаких немедленных вариантов восстановления.

Один из заметных шаблонов в основных атаках вирусов-вымогателей заключается в том, что они происходят во время праздников или тогда, когда большинство сотрудников не находится в сети, чтобы избежать обнаружения.

Вирус-вымогатель

Источник: Proofpoint

После шифрования данных вирус-вымогатель отображает сообщение о выкупе жертве, часто через всплывающее окно, текстовый файл или HTML-страницу.

Экран требования выкупа, запрашивающий Bitcoin в обмен на приватный ключ
Источник: Varonis

Сумма выкупа обычно запрашивается в Биткоине или Монеро с ссылкой на сайт оплаты или способом связи с злоумышленниками (иногда размещенными в темной сети).

Источник: Proofpoint

Если жертва выполняет требования и переводит запрошенную сумму, злоумышленники могут предоставить ключ для расшифровки файлов. Однако, выплата выкупа не гарантирует, что злоумышленники выполнят свои обязательства. В некоторых случаях жертвы никогда не получают ключ для расшифровки даже после выплаты, либо им могут предъявить дополнительные требования выкупа.

Эксперты по кибербезопасности и правоохранительные органы не рекомендуют выплачивать выкуп, так как киберпреступники могут прибегнуть к двойному шантажу, при котором атакующие не только шифруют файлы жертвы, но и крадут чувствительные данные. Затем они угрожают выпустить или продать данные, если не будет получен еще один выкуп.

Заметные атаки CryptoRansomware

Вирус-вымогатель WannaCry (2017)

WannaCry - одна из самых известных и широко распространенных атак вируса-вымогателя в истории. Он использовал уязвимость в операционной системе Microsoft Windows, известную как EternalBlue, которую ранее похитила хакерская группа Shadow Brokers у NSA. WannaCry затронул более 200 000 компьютеров в 150 странах, включая такие крупные учреждения, как национальная служба здравоохранения Великобритании (NHS), FedEx и Renault. Он вызвал широкое нарушение работы, особенно в системах здравоохранения, где серьезно пострадали услуги для пациентов.

Заметка вымогателя WannaCry
Источник: КиберПики

Злоумышленники потребовали $300 в биткоинах в обмен на ключ для расшифровки, хотя многие жертвы не смогли восстановить свои данные даже после оплаты. Атака в конечном итоге была остановлена исследователем в области безопасности, который активировал «переключатель убийства», встроенный в код вредоносного ПО, но не до того, как нанести ущерб на миллиарды долларов.

NotPetya (2017)

NotPetya был вредоносным программным обеспечением, которое одновременно являлось вирусом-вымогателем и программой-стиральщиком, разработанной для вызывания разрушений, а не для вымогания выкупа.

Заметка вымогателя NotPetya
Источник: SecurityOutlines

Вирус-вымогатель, похоже, требовал выкуп в Bitcoin, но даже после выплаты восстановление зашифрованных данных было невозможно, что указывает на то, что финансовая выгода не была истинной целью. В отличие от традиционных вирусов-вымогателей, NotPetya, казалось, имела политические мотивы и нацелена на Украину в период геополитического напряжения с Россией. Хотя в конечном итоге он распространился по всему миру, он нанес ущерб крупным международным корпорациям, включая Maersk, Merck и FedEx, что привело к оценочным глобальным финансовым потерям свыше 10 миллиардов долларов.

DarkSide (2021)

DarkSide привлекла мировое внимание после своего нападения на Colonial Pipeline, крупнейший топливный трубопровод в Соединенных Штатах, что привело к нехватке топлива на восточном побережье. Атака нарушила поставки топлива и вызвала широкомасштабные панические покупки. В конечном итоге Colonial Pipeline заплатила выкуп в размере 4,4 миллиона долларов в Bitcoin, хотя позже ФБР вернуло часть этого выкупа.

Записка с требованием выкупа DarkSide

Источник: KrebsonSecurity

Вирус-вымогатель как сервис

RaaS - это бизнес-модель, при которой создатели вирусов-вымогателей сдают в аренду свое вредоносное программное обеспечение аффилиатам или другим киберпреступникам. Аффилиаты используют это программное обеспечение для совершения атак, делятся прибылью от выкупа с разработчиками вирусов-вымогателей.

REvil

REvil (также известная как Sodinokibi) — одна из самых изощренных групп программ-вымогателей, работающая по принципу «программа-вымогатель как услуга» (RaaS).

REvil связывали с громкими атаками на глобальные организации, включая JBS (крупнейшего поставщика мяса в мире) и компанию по разработке программного обеспечения Kaseya. Это затронуло более 1000 компаний, использующих продукты ее ПО.

Стук

Источник: BleepingComputer

Clop - еще один Ransomware as a Service (RaaS), который осуществляет масштабные кампании спиро-фишинга, нацеленные на корпорации и требующие крупные выкупы. Операторы Clop используют метод двойного вымогательства: они крадут данные перед их шифрованием и угрожают утечкой чувствительной информации, если выкуп не будет выплачен.

В 2020 году Клоп был ответственен за масштабную утечку данных, связанную с программным обеспечением для передачи файлов Accellion, которая затронула несколько университетов, финансовых учреждений и государственных учреждений.

Защита от вирусов-вымогателей в сфере криптовалют

Самая эффективная защита начинается с предотвращения входа вредоносных программ в вашу систему. Вот несколько мер, которые могут защитить ваш компьютер от вирусов-вымогателей.

Осведомленность в области кибербезопасности

Пользователям и сотрудникам следует обучать распознавать и реагировать на угрозы, такие как фишинговые электронные письма или подозрительные вложения. Регулярное обучение осведомленности в области кибербезопасности может значительно снизить риск случайных инфицирований.

Обновления программного обеспечения

Регулярные обновления и патчи для операционных систем, приложений и программного обеспечения безопасности снижают риск атак, ограничивая уязвимость для вирусов-вымогателей, вызванных устаревшим программным обеспечением.

Резервное копирование данных

Если происходит атака вируса-вымогателя, наличие недавнего резервного копирования позволяет жертве восстановить свои данные без выплаты выкупа. Резервные копии должны храниться в автономном режиме или в облачных средах, которые не прямо подключены к сети, чтобы защитить их от заражения вирусом-вымогателем.

Фильтры электронной почты

Системы фильтрации электронной почты сканируют входящие сообщения на наличие подозрительных ссылок, вложений или характеристик. Эти фильтры могут блокировать электронные письма, содержащие известные вредоносные элементы, прежде чем они попадут во входящие пользователей.

Сегментация сети и контроль доступа

Сегментация сети ограничивает распространение вируса-вымогателя после его вторжения в вашу систему, даже если одна часть сети скомпрометирована, ущерб можно ограничить. Эксперты советуют разделять чувствительные системы и данные от обычных операций, ограничивая доступ к критическим областям.

Контроль доступа, такой как многофакторная аутентификация (MFA) и принцип наименьших привилегий (предоставление пользователям только необходимого доступа), может ограничить доступ пользователей. Если злоумышленник получает доступ к одной учетной записи или системе, сегментация и контроль доступа могут предотвратить боковое перемещение по сети, ограничивая зону действия вируса-вымогателя.

Решения для обнаружения и реагирования на конечные точки (EDR)

Решения EDR обеспечивают непрерывное мониторинг и анализ действий конечных точек, помогая обнаружить ранние признаки заражения вирусом-вымогателем. Эти инструменты могут автоматически реагировать на подозрительное поведение, изолировать зараженные устройства и предотвращать распространение вируса-вымогателя по всей сети.

Вывод

Crypto Ransomware подчеркивает одно из неправомерных использований криптовалюты, когда преступники пользуются анонимностью технологии блокчейна. Хотя в отношении криптовалюты в качестве выкупа мало что можно сделать, наилучшие меры — защитить пользователей и системы от заражения вредоносными программами путем избегания фишинговых ссылок и регулярного обновления программного обеспечения.

Кроме того, регулярное создание резервных копий данных гарантирует возможность восстановления важных файлов без уплаты выкупа в случае атаки. Сегментация сети служит еще одной важной защитной мерой, так как она ограничивает распространение вируса-вымогателя, заключая его в определенные части системы и защищая неповрежденные области.