Анализи

Атаките с рансъмуер дефинират новата ера на зловреден софтуер

CIO Media

Джош Фрулингер, CSO

Рансъмуерът (зловреден софтуер, който държи данни за откуп) се използва от години. През 1991 г. например биолог разпространи първия рансъмуер, PC Cyborg, като изпрати дискети по традиционната поща до други изследователи на СПИН. В средата на първото десетилетие на XXI век Archiveus беше първият рансъмуер, който използва криптиране, но отдавна вече е победен и можете да намерите паролата му на страницата в Wikipedia за него. В началото на второто десетилетие на XXI век се появи серия от "полицейски" пакети с рансъмуер, наречени така поради това, че претендираха да бъдат предупреждения от правоприлагащите органи за незаконни действия на жертвите и настояваха за плащане на "глоби"; те започнаха да се възползват от ново поколение на услуги за анонимни плащания, за да събират пари, без да бъдат проследени и хванати.

През второто десетилетие на XXI век се появи нова тенденция за рансъмуер: използването на криптовалути като метод за плащане на откупи, предпочитан от киберпрестъпниците. Изкушението за престъпниците е очевидно, тъй като криптовалутите са специално предназначени да осигурят метод за непроследимо, анонимно плащане. Повечето банди за рансъмуер изискваха плащане в биткойн, най-често срещаната криптовалута, въпреки че някои започнаха да сменят предпочитанията си към други валути, тъй като популярността на биткойна направи стойността му по-непостоянна.

Към средата на второто десетилетие на XXI век атаките стигнаха до кризисни нива. Но към 2018 г. изглеждаше, че бумът на рансъмуера си отива в полза на друг незаконен начин за получаване на биткойни, който не изискваше от жертвите да разбират какво е това портфейл от биткойни: криптоджакинг. Хакерите следваха схемата, която спамърите и DDoS хакерите използват от години: тайно установяване на контрол на компютри без знанието на техните собственици. В случая на криптоджакинг компрометираните машини станаха платформи за добив на биткойни, като тихичко генерираха криптовалута на заден план и изяждаха процесорни ресурси на нищо неподозиращите жертви. Атаките с рансъмуер намаляха през 2018 г., докато тези с криптоджакинг скочиха с 450%.

Атаки с рансъмуер днес
През последните две години обаче рансъмуерът се завърна с нова сила. Мунир Хаад, ръководител на лабораторията Juniper Threat Labs на Juniper Networks, вижда две големи движещи сили зад тази тенденция. Първата е свързана с капризите на ценообразуването на криптовалутата. Много криптохакери използваха компютрите на своите жертви, за да добиват валутата с отворен код Monero; когато цените на Monero падат, "в даден момент хакерите ще осъзнаят, че копането на криптовалута няма да е толкова печелившо, колкото рансъмуера", казва Хаад. И тъй като хакерите вече са проникнали в машините на жертвите си с помощта на троянски коне, беше проста работа да нанесат атака с рансъмуер в подходящия момент. "Искрено се надявах, че вероятността това да се случи ще е две до три години, казва Хаад, но им трябваше година до 18 месеца, за да направят този обратен завой и да се върнат към първоначалната си атака."

Другата тенденция беше, че повече атаки се насочиха към удар върху производствени сървъри, които съхраняват важни за работата данни. "Ако превземат случаен лаптоп, организацията може да не се разтревожи много", казва Хаад. "Но ако това се случи със сървърите, които поддържат ежедневния бизнес, това има много по-поразяваща сила."

Тези видове атаки изискват по-добра подготовка - не толкова по отношение на самия код на рансъмуера, колкото до уменията, необходими на хакерите, за да проникнат в по-защитени системи за инсталиране на зловредния софтуер. "Тактика от рода "стреляй напосоки" няма да им даде голяма възвращаемост на инвестицията", казва Хаад. "По-целенасочени атаки с добра способност за движение встрани ще ги отведат там, но през повечето време движението встрани не е автоматично. Става дума в действителност за достигане до точки за първоначално проникване и след това някой лично да влезе там и да проучи мрежата, да мести файлове, да ескалира права, да открадне пароли на администратор, за да получи дистанционно достъп до друга машина."

Като имаме това предвид, да погледнем към най-лошите нападатели в тази нова ера на рансъмуер.

5 семейства от рансъмуер: Целите и методите на техните атаки
1. SamSam
Атаки, които използват софтуер, познат като SamSam, започнаха да се появяват в края на 2015 г., но реално се увеличиха през последните няколко години и взеха няколко високопоставени скалпа, включително транспортното министерство на щата Колорадо, администрацията на град Атланта и много медицински заведения. SamSam е перфектният пример за това как организационното умение е толкова важно, колкото и уменията за писане на код. SamSam не търси безразборно за някаква конкретна уязвимост, както го правят някои други варианти на рансъмуер, а вместо това работи като рансъмуер-като-услуга, чиито контрольори внимателно сондират предварително избрани мишени за слабости с пробойните, от които той се възползва, изпълнявайки гамбита от уязвимости в IIS до FTP до RDP. След като са вътре в системата, хакерите прилежно работят за ескалиране на права, които ще им гарантират, че когато те започнат да криптират файлове, атаката ще е особено вредна.

Въпреки че първоначално изследователите на сигурността вярваха, че SamSam има източноевропейски произход, преобладаващото мнозинство атаки със SamSam се насочиха към институции в Съединените щати. В края на 2018 г. министерството на правосъдието на Съединените щати обвини двама иранци, че те стоят зад атаките; обвинението каза, че тези атаки са нанесли щети за над 30 милиона щатски долара. Не е ясно каква част от тази сума представлява действително платен откуп; по едно време официални лица от Атланта предоставиха на местните медии екранни снимки на съобщения за откуп, които включваха информация за начина за комуникация с хакерите, което ги накара да затворят този комуникационен портал и вероятно не позволи на градската администрация да плати откуп, дори ако е искала да го направи.

2. Ryuk
Ryuk е друг вариант на целенасочен рансъмуер, който направи големи удари през 2018 г. и 2019 г., избирайки жертвите си конкретно като организации с ниска поносимост към престой; в това число влизат ежедневни издания и компанията за снабдяване с вода на Северна Каролина, когато се бореше с последствията от урагана "Флорънс". The Los Angeles Times написа доста подробен отчет за това какво се е случило, когато неговите собствени системи са били заразени. Една особена зловредна характерна черта на Ryuk е, че може да деактивира опцията за възстановяне Windows System Restore на заразените компютри, с което затруднява още повече възстановяването на криптирани данни без плащане на откуп. Исканията за откуп бяха изключително високи, съответстващи на богатите жертви, които хакерите взеха на прицел; вълна от атаки през ваканционен период показа, че хакерите не се страхуват да развалят Коледа, за да постигнат целите си.

Анализаторите смятат, че изходният код на Ryuk е до голяма степен производен на Hermes, който е продукт на Lazarus Group от Северна Корея. Това обаче не означава, че самите атаки с Ryuk са извършени от Северна Корея; McAfee смята, че Ryuk е създаден с код, закупен от руски говорещ доставчик, отчасти поради това, че рансъмуерът няма да се изпълнява на компютри, чиито езици са руски, беларуски или украински. Не е ясно как този руски източник е добил кода от Северна Корея.

3. PureLocker
PureLocker е нов вариант на рансъмуер, който беше разгледан в доклад, издаден през ноември 2019 г. съвместно от IBM и Intezer. Изпълняван на машини с Windows или Linux, PureLocker е добър пример на новата вълна от целенасочения зловреден софтуер. Вместо да се вкорени в машините чрез мащабни фишинг атаки, PureLocker изглежда свързан с more_eggs, зловреден софтуер, използващ задни вратички, разпространяван от няколко добре известни криминални кибербанди. С други думи, PureLocker се инсталира на машини, които вече са били компрометирани и са доста добре разбрани от хакерите, и след това продължава да извършва редица проверки на машината, на която се намира, преди да се изпълни, вместо да криптира на случаен признак данни навсякъде, където може да ги намери.

Въпреки че IBM и Intezer не разкриха колко разпространени са били заразените с PureLocker, те огласиха, че повечето случаи са на корпоративни производствени сървъри, които очевидно са мишени с голяма стойност. Тъй като този вид атака предполага контрол от страна на висококвалифициран човек, изследователят по сигурност в Intezer Майкъл Кахилоти смята, че PureLocker е рансъмуер като предложение за услуга, което е достъпно само за престъпни банди, които могат да платят добре в брой.

4. Zeppelin
Zeppelin е еволюционен наследник на семейството, познато като Vega или VegasLocker, предложение от вида рансъмуер-като-услуга, което внесе хаос в счетоводни фирми в Русия и Източна Европа. Zeppelin има някои нови технически трикове в ръкава си, особено когато става дума за възможност за конфигуриране, но това, което го отличава от семейството Vega, е целенасоченият му характер. Докато Vega се разпространява донякъде безразборно и най-вече в руски говорещия свят, Zeppelin е специално проектиран да не се изпълнява на компютри, работещи в Русия, Украйна, Беларус или Казахстан. Zeppelin може да се разполага по много начини, включително като програма за зареждане на EXE, DLL или PowerShell, но изглежда, че поне някои от неговите атаки идват от компрометирани доставчици на услуги за управлявана сигурност, което трябва да смрази кръвта на всички.

Zeppelin започна да се появява на сцената през ноември 2019 г. и като още едно доказателство за разликата му от Vega мишените му изглеждат внимателно подбрани. Жертвите бяха най-вече в отраслите на здравеопазването и технологиите в Северна Америка и Европа, а някои от бележките за откуп бяха специално адресирани до заразената организация. Експертите по сигурността смятат, че промяната от поведението на Vega е резултатът от базовия код, използван от нов и по-амбициозен хакер, вероятно в Русия; въпреки че броят на инфекциите не е толкова голям, някои смятат, че това, което видяхме досега, е доказване на концепция за по-голям брой атаки.

5. REvil/Sodinokibi
Sodinokibi, познат още като REvil, се появи за пръв път през април 2019 г. Подобно на Zeppelin, Sodinokibi изглежда като наследник на друго семейство зловреден софтуер, наречено GandCrab; освен това има код, който не му позволява да се изпълнява в Русия и няколко съседни държави, както и в Сирия, показвайки, че произходът му е от този регион. Той има няколко метода за разпространение, включително използване на пробойни в сървърите Oracle WebLogic и виртуалните частни мрежи Pulse Connect Secure.

Разпространението на Sodinokibi отново показа, че зад него има амбициозен екип за команда и контрол, вероятно като рансъмуер като предложение за услуга. На него се дължи затварянето на административните услуги на повече от 22 градчета в Тексас през септември, но достигна истинския си статус на злодей в навечерието на Нова година през 2019 г., когато затвори услугата за обмен на валути Travelex в Обединеното кралство, принуждавайки гишетата на летищата да работят с химикалка и хартия и оставяйки в безизходица клиентите. Хакерите поискаха зашеметяващия откуп от 6 милиона щатски долара, за който компанията отказа да потвърди или да отрече, че е платила.

Когато попитах Хаад от Juniper за неговия избор на най-лош рансъмуер за 2019 г., той посочи Sodinokibi поради допълнителните трикове, които контролиращите Sodinokibi използват в атаките си. "Единственото нещо, което прави това малко специално, е, че тази конкретна група възприе нов подход да не казва на хората "Вие няма да получите данните си обратно, ако не платите откупа", но и също "Ние ще публикуваме тези поверителни данни в мрежата или ще ги продадем на нелегален форум на онзи, който даде най-много". Това изпраща подхода на рансъмуера до следващото ниво в неговия бизнес модел. "Това е огромна промяна в обичайния модел на рансъмуер - в крайна сметка едно от големите му предимства е, че вие можете да блокирате данните на жертвите, без да преминавате през трудния процес на ексфилтрирането му - но те вече следваха заплахата поне веднъж. Новата ера на хиперцеленасочен рансъмуер за конкретна жертва, изглежда, достига нови и опасни дълбочини.

Превод и редакция Мариана Апостолова


X