Вступ

У міру того, як наша залежність від цифрової інфраструктури зростає, наслідки атак програм-вимагачів стають дедалі серйознішими, порушуючи повсякденну роботу та спричиняючи фінансові втрати. Затримати кіберзлочинців складніше, оскільки вони вдаються до витончених методів, щоб приховати свої сліди. Одним із таких інструментів, який вони прийняли, є криптовалюта для отримання викупу. Вони використовують децентралізовану та псевдонімну природу криптовалюти як бажану форму оплати. Лише у 2023 році атаки програм-вимагачів призвели до виплат викупу на суму понад 1 мільярд доларів США, оскільки повідомленовід фірми з аналізу блокчейну, Chainalysis.

Що таке Вірус-вимагач?

Ransomware - це шкідливе програмне забезпечення, створене для шифрування даних системи, що робить їх недоступними, поки не буде сплачено викуп. Цей кібератаки націлені на фізичних осіб, підприємства та урядові організації, зловживаючи вразливостями їх систем, щоб отримати несанкціонований доступ. Після розгортання шкідливого програмного забезпечення воно шифрує файли і вимагає оплату, як правило, у криптовалюті, для розшифрування даних.

Хоча основною метою атак вірусів-вимагачів є переважно фінансова вигода, у деяких випадках вони також використовуються для спричинення оперативних розладів, незаконного доступу до конфіденційної інформації або тиску на організації для виконання інших вимог. Вони також використовувалися як знаряддя кібервійни між країнами з політичною напругою.

Історія та еволюція вірусів-вимагачів

Першою відомою атакою програм-вимагачів був троян СНІДу в 1988 році, також відомий як PC Cyborg Virus. Його розповсюджували на дискетах серед учасників конференції Всесвітньої організації охорони здоров'я. Після певної кількості перезавантажень комп'ютера троян зашифрував файли та зажадав викуп у розмірі 189 доларів, сплачений на абонентську скриньку в Панамі. Ця атака використовувала примітивне шифрування порівняно з сучасними стандартами, але вона заклала основу для сучасних програм-вимагачів. Станом на 2006 рік розширене шифрування RSA використовувалося для доставки програм-вимагачів на веб-сайти та через спам-електронну пошту, при цьому виплати викупу здійснювалися за допомогою ваучерів, paysafecard та інших електронних методів, які було важко відстежити.

Джерело: Chainalysis

До 2010 року, коли Bitcoin набув популярності, нападники почали вимагати викуп у псевдонімній валюті, яку було набагато важче відстежити. З того часу були розроблені новіші та більш вдосконалені моделі вірусів-вимагачів, що створили злочинну галузь, яка нагромадила понад 3 мільярди доларів з 2019 по 2024 рік.

Роль криптовалют у вірусах-вимагачах

Одна з ключових особливостей криптовалют, особливо Bitcoin, - їхній псевдонімний характер. Хоча транзакції записуються в блокчейні, ідентичність сторін, що беруть участь, маскується адресами гаманця, що ускладнює відстеження атакувальника. Традиційні платіжні системи, такі як кредитні картки та банківські перекази, залишають чіткі сліди особи, які правоохоронні органи можуть використовувати для розслідування кіберзлочинців.

З врахуванням того, що транзакції з Bitcoin можуть бути публічно відстежені на блокчейні, деякі кіберзлочинці перейшли на криптовалюти, спрямовані на конфіденційність, такі як Monero, які пропонують функції анонімності та використовують приховані адреси та кільцеві підписи для подальшого затемнення деталей транзакцій.

Як працює криптовалютний вірус-вимагач

Крипто-вірус-вимагач проникає в цільову систему, зазвичай через фішингові електронні листи, шкідливі завантаження або використання вразливостей системи. Після входу в систему, шкідливе ПЗ шифрує файли на комп'ютері чи мережі жертви за допомогою складних алгоритмів шифрування, що робить дані недоступними.

Джерело: ComodoSSL

Етапи операції виконуються поетапно;

• Зараження
• Шифрування
• Вимога викупу

Зараження

Крипто-вірус-вимагач потрапляє на пристрій жертви через такі канали, як;

Фішингові листи: Кіберзлочинці відправляють листи, які здаються походити від законних джерел, обманюючи отримувачів, щоб вони клікали на шкідливі посилання або завантажували інфіковані додатки. Ці файли часто маскуються під важливі документи або оновлення, приховуючи свою справжню природу.

Застаріле програмне забезпечення: Вірус-вимагач може використовувати помилки в застарілих версіях програмного забезпечення операційних систем або програм. Це було очевидно в атаках WannaCry, які використовували вразливість в Microsoft Windows.

Маливартизація: Користувачі можуть ненавмисно взаємодіяти з обманливою рекламою, щоб завантажити фальшиві оновлення програмного забезпечення, які призводять до встановлення вірусу-вимагача.

Remote Desktop Protocol Hacks: Remote Desktop Protocol (RDP) використовується для підтримки віддаленого з'єднання з сервером у ситуаціях, коли співробітники організації працюють з різних місць. Інтерфейс RDP на комп'ютері співробітника зв'язується за допомогою протоколів шифрування з компонентом RDP на сервері. Незважаючи на те, що цей спосіб з'єднання зашифрований, він схильний до хакерських атак, які зловмисники використовують для завантаження програм-вимагачів на сервер компанії.

Шифрування

Після потрапляння в систему, вірус-вимагач починає шифрувати файли жертви. Вірус-вимагач використовує методи шифрування, такі як:

• RSA (Rivest-Shamir-Adleman): Асиметричний алгоритм шифрування, який використовує пару публічного та приватного ключа. Публічний ключ шифрує файли, а для їх розшифрування потрібний приватний ключ, який володіє атакувач.
• AES (Advanced Encryption Standard): Симетричний метод шифрування, де використовується один і той же ключ як для шифрування, так і для дешифрування. Вірус-вимагач використовує це для шифрування файлів, а ключ зберігається у зловмисника.

Вірус-вимагач націлюється на типи файлів, включаючи документи, зображення, відео та бази даних, все, що може бути цінним для потерпілого. Під час цього процесу користувачі навіть не можуть помітити, що їх дані були заблоковані до тих пір, поки шифрування не буде завершено, залишаючи їх без негайних варіантів відновлення.

Одним з помітних шаблонів у великих атаках вірусів-вимагачів є те, що вони відбуваються під час відпусток або тоді, коли більшість персоналу не знаходиться в мережі, щоб уникнути виявлення.

Вимога викупу

Джерело: Proofpoint

Після шифрування даних вірус-вимагач відображає вимогу викупу для жертви, часто через спливаюче вікно, текстовий файл або HTML сторінку.

Екран з вимогою викупу, який просить Bitcoin в обмін на приватний ключ
Джерело: Varonis

Сума викупу зазвичай запитується в Bitcoin або Monero з посиланням на сайт оплати або спосіб зв'язку з нападниками (іноді розміщений на темній мережі).

Джерело: Proofpoint

Якщо жертва виконує вимогу та переказує запитану суму, зловмисники можуть надати ключ розшифрування для розблокування файлів. Однак оплата викупу не гарантує, що зловмисники дотримаються угоди. У деяких випадках жертви ніколи не отримують ключ розшифрування навіть після оплати, або вони можуть стикнутися з додатковими вимогами викупу.

Фахівці з кібербезпеки та правоохоронні органи не рекомендують платити викуп, оскільки кіберзлочинці можуть вдаватися до подвійного вимагання, де зловмисники не тільки шифрують файли жертви, але й крадуть чутливі дані. Потім вони загрожують оприлюднити або продати ці дані, якщо не буде сплачено інший викуп.

Відомі атаки вірусами-вимагачами Крипто

Вірус-вимагач WannaCry (2017)

WannaCry — одна з найвідоміших і найпоширеніших атак програм-вимагачів в історії. Він використовував вразливість у Microsoft Windows, відому як EternalBlue, яку хакерська група Shadow Brokers раніше вкрала у АНБ. WannaCry вразив понад 200 000 комп'ютерів у 150 країнах, включаючи такі великі установи, як Національна служба охорони здоров'я Великобританії (NHS), FedEx і Renault. Це спричинило широкомасштабні збої, особливо в системах охорони здоров'я, де послуги пацієнтів зазнали серйозного впливу.

Примітка вірусу-вимагача WannaCry
Джерело: КіберПіки

Атакувальники вимагали $ 300$ у Bitcoin в обмін на ключ дешифрування, хоча багато жертв не змогли відновити свої дані навіть після оплати. Атаку врешті-решт було припинено дослідником з безпеки, який активував «вимикач», вбудований в код шкідливої програми, але не перед тим, як завдати мільярди доларів збитків.

НеПетя (2017)

NotPetya - це подвійний шкідливий програмний засіб, який служить як вірус-вимагач і шкідлива програма-витирач, призначена для спричинення руйнування, а не для викупу.

Примітка вірусу-вимагачу NotPetya
Джерело: SecurityOutlines

Зловмисне програмне забезпечення, схоже, вимагало викуп у біткоїнах, але навіть після оплати відновлення зашифрованих даних було неможливим, що вказує на те, що фінансова вигода не була справжньою метою. На відміну від традиційних програм-вимагачів, NotPetya виглядав політично мотивованим, націленим на Україну в період геополітичної напруженості у відносинах з Росією. Незважаючи на те, що в кінцевому підсумку він поширився по всьому світу, він завдав шкоди великим транснаціональним корпораціям, включаючи Maersk, Merck і FedEx, що призвело до глобальних фінансових втрат у розмірі понад 10 мільярдів доларів.

Темна сторона (2021)

DarkSide здобула світову увагу після свого нападу на Colonial Pipeline, найбільший трубопровід для палива в США, що призвело до дефіциту палива по всьому Східному узбережжі. Цей напад нарушив постачання палива і спричинив широкомасштабні панічні покупки. Колоніальний трубопровід у кінцевому підсумку виплатив викуп у розмірі 4,4 мільйона доларів у Bitcoin, хоча пізніше ФБР відновило частину цього викупу.

Примітка вірусу-вимагача DarkSide

Джерело: KrebsonSecurity

Вірус-вимагач-як-сервіс

RaaS - це бізнес-модель, в якій розробники вірусів-вимагачів здають своє шкідливе програмне забезпечення в оренду афіліатам або іншим кіберзлочинцям. Афіліати використовують це програмне забезпечення для проведення атак, розподіляючи отримані викупні виплати з розробниками вірусів-вимагачів.

REvil

REvil (також відомий як Sodinokibi) — одна з найскладніших груп програм-вимагачів, яка працює як програма-вимагач як послуга (RaaS).

REvil був пов'язаний з високопрофільними атаками на глобальні організації, включаючи JBS (найбільший постачальник м'яса у світі) та Kaseya, компанію-розробника програмного забезпечення, що змусило більше 1,000 підприємств, які покладаються на її продукти програмного забезпечення.

Вірус-вимагач

Джерело: BleepingComputer

Clop — це ще одна програма-вимагач як послуга (RaaS), яка проводить масштабні фішингові кампанії, націлені на корпорації та вимагаючи значні викупи. Оператори Clop використовують техніку подвійного вимагання: вони крадуть дані, перш ніж зашифрувати їх, і погрожують витоком конфіденційної інформації, якщо викуп не буде сплачено.

У 2020 році Clop був відповідальний за масштабне порушення безпеки даних, пов'язане з програмним забезпеченням передачі файлів Accellion, яке вплинуло на кілька університетів, фінансових установ та урядових агентств.

Захист від криптовалютного вірусу-вимагача

Найефективніша оборона починається з запобігання входу шкідливих програм до вашої системи. Ось деякі заходи, які можуть захистити ваш комп'ютер від вірусів-вимагачів.

Сприйняття кібербезпеки

Користувачі та співробітники повинні бути навчені розпізнавати та реагувати на загрози, такі як фішингові електронні листи або підозрілі вкладення. Регулярне навчання з кібербезпеки може значно зменшити ризик випадкової інфікованості.

Оновлення програмного забезпечення

Регулярні оновлення та виправлення для операційних систем, програм і програмного забезпечення безпеки зменшують ризик атак, обмежуючи вплив програм-вимагачів, спричинених застарілим програмним забезпеченням.

Резервне копіювання даних

Якщо сталася атака вірусу-вимагача, наявність недавнього резервного копіювання дозволяє потерпілому відновити свої дані без виплати викупу. Резервні копії слід зберігати в автономному режимі або в хмарних середовищах, які не безпосередньо підключені до мережі, щоб захистити їх від зараження вірусом-вимагачем.

Фільтри електронної пошти

Системи фільтрації електронної пошти сканують вхідні повідомлення на наявність підозрілих посилань, вкладень або характеристик. Ці фільтри можуть блокувати електронні листи, що містять відомі шкідливі елементи, перш ніж вони потраплять до папки "Вхідні" користувачів.

Сегментація мережі та контроль доступу

Сегментація мережі обмежує розповсюдження вірусу-вимагача після його проникнення в систему, навіть якщо одна частина мережі скомпрометована, шкода може бути обмежена. Експерти радять відокремлювати чутливі системи та дані від звичайних операцій, обмежувати доступ до критичних областей.

Контроль доступу, такий як багаторівнева аутентифікація (MFA) та принцип найменшого доступу (надання користувачам лише необхідного доступу), може обмежити доступ користувача. Якщо зловмисник отримує доступ до одного облікового запису або системи, сегментація та контроль доступу можуть запобігти бічному руху по мережі, обмежуючи зону поширення вірусу-вимагача.

Рішення з виявлення та реагування на кінцеві точки (EDR)

Рішення EDR забезпечують безперервний моніторинг та аналіз активності кінцевих точок, допомагаючи виявити ранні ознаки зараження програмами-вимагачами. Ці інструменти можуть автоматично реагувати на підозрілу поведінку, ізолюючи заражені пристрої та запобігаючи поширенню програм-вимагачів у мережі.

Висновок

Crypto Ransomware висвітлює одне з неправомірних застосувань криптовалюти, коли злочинці користуються анонімністю технології блокчейн. Хоча щодо криптовалюти як викупу не так багато потрібно зробити, найкращими можливими заходами є захист користувачів і систем від зараження програмами-вимагачами, уникаючи фішингових посилань і проводячи регулярні оновлення програмного забезпечення.

Також, регулярне створення резервних копій даних забезпечує можливість відновити важливі файли без виплати викупу, якщо сталася атака. Сегментація мережі служить ще одним важливим захисним заходом, оскільки вона обмежує поширення вірусу-вимагача, утримуючи його в певних частинах системи та захищаючи незахоплені області.