Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели? - Технологии
$58.79
65.73
ММВБ1860.39
BRENT45.90
RTS992.84
GOLD1242.40

Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели?

читайте также
+26 просмотров за суткиПод присмотром «плохих парней»: сервисы видеонаблюдения и кибербезопасность +63 просмотров за суткиЦифровая идентичность: почему об ограничении анонимности в интернете должен задуматься каждый +3 просмотров за суткиКиберпреступления: что противопоставить изобретательным мошенникам? Антивирус для микроволновки: как будет работать кибербезопасность в эпоху «интернета вещей»? +1 просмотров за суткиВзлом OneLogin: хакеры получили доступ к данным пользователей Amazon +11 просмотров за суткиПервая причина – это ты. Почему случился WannaCry, и что нас спасет от компьютерных эпидемий в будущем? +1 просмотров за суткиУязвленные сети: пока WannaCry не грянет, мужик не перекрестится +1 просмотров за суткиБольше не обращались: США дважды направляли в Россию запрос о вмешательстве в выборы +3 просмотров за суткиКак вирусы-вымогатели принимают платежи и почему они требуют «выкуп» в биткоинах? +2 просмотров за суткиПочему в информационной безопасности нет «серебряной пули»? Технический анализ +7 просмотров за суткиНовый уровень вредоносности: какие вызовы системам безопасности бросает WannaCry? +5 просмотров за суткиМир на квантах: чего не хватает в России для развития инфраструктуры нового рынка +3 просмотров за суткиAPT28 – миф и большая ошибка России? Кибер-вымогатели: масштабная хакерская атака поразила почти треть стран мира +6 просмотров за суткиЦелевые атаки на банки: Россия как тестовый полигон +1 просмотров за суткиИдентификация по нажатию клавиш: системы безопасности учатся анализировать поведение пользователей +6 просмотров за суткиДырявый щит и большие данные: как меняется кибербезопасность в эпоху слияния онлайн и оффлайн? +4 просмотров за суткиВымогатели: как ransomware-программы стали работать по модели сервиса и что с этим делать +18 просмотров за суткиАтака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний +2 просмотров за суткиЧто взломали TheShadowBrokers: о чем свидетельствуют технические детали утечки «кибероружия»

Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели?

Илья Сачков Forbes Contributor
Фото Getty Images
Для заражения компьютеров по всему миру киберпреступники воспользовались утечкой шпионских инструментов из арсенала американских спецслужб

«Новый вымогатель WCry / WannaCry распространяется, как ад», —  не скрывали эмоций исследователи из MalwareHunterTeam в пятницу утром. Меньше чем за два часа заражение было обнаружено в 11 странах мира: России, Великобритании, США, Китае, Испании, Италии, Вьетнаме, Тайване. К вечеру пятницы было зафиксировано 45 000 попыток атак в 74 странах мира. Атакам подверглись около 40 клиник в Англии и Шотландии, одна из крупнейших телекоммуникационных компаний Испании Telefonica. Масштабное заражение произошло в России  (по нашим данных, обнаружено 5014 зараженных вирусом хостов) — о проблемах сообщали  в «Мегафоне», МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров).

Заражение, как установили криминалисты (компании автора, Group IB — Forbes) происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов (на скриншоте — список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту) и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры.  Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные  — базы данных, почту, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным —  $300 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту

Есть еще одна причина успеха стиль масштабной атаки.  WannaCry, как предположили эксперты, использует известную сетевую уязвимость ОС Windows, которая хотя и была закрыта Microsoft — в марте было выпущено обновление Security Bulletin MS17-010, но не все пользователи его установили.  Любопытно другое: эксплоит ETERNALBLUE — оказался из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), которые были выложена в открытый доступ хакерами Shadow Brokers. Это не первый случай — с помощью одного из инструментов АНБ — бэкдора DOUBLEPULSAR из утечки Shadow Brokers хакерам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. 

Наследство Поппа

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее.  Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС. 

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели сегодня, совершенно различные компании и организации. Угроза актуальна даже для некоммерческих организаций. Так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т.д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, кредитно-финансовые и бухгалтерские компании, аккумулирующие большие массивы финансовой информации — потерять их, особенно в на этапе сдачи годового отчета — большая угроза для любой компании. Шифрование, используемое этими программами, надежно, и найти альтернативного способа кроме, как получить ключ расшифровки данных от атакующего, либо с его сервера невозможно. После того, как файлы зашифрованы, появляется сообщение, в котором описывают сколько и куда необходимо перевести денег, чтобы получить ключ расшифровки.  Как правило оплата производится в Bitcoin. Многие соглашаются заплатить вымогателям, лишь бы восстановить доступ к драгоценным данным, и тем самым финансируют развития этого вида киберпреступлений.  Основной способ распространения таких программ – рассылки по электронной почте вложений под видом банковских выписок, счетов, актов-сверок, уведомлений о вызове в суд и т.п. (но как мы говорили выше, WannaCry распространяется по-другому).

карта распространения вируса WannaCry по состоянию на вечер 12 мая

Торжество вымогателей

Почему так распространены программы-вымогатели? На это есть несколько причин:

  • Обмен данными. Рост количества атак на компании связан в том числе с тем, что владельцы бот-сетей начали продавать доступы к компьютерам с критичными финансовыми системами, из которых нельзя похить деньги, но потеря данных из которых критична для бизнеса. Некоторые хакеры, управляющие банковскими троянами, в первую очередь интересуются компьютерами с системами дистанционного банковского обслуживания, и часто обнаруживают компьютеры бухгалтеров, которые привыкли работать удаленно в 1С. Поэтому они начали продавать информацию о таких компьютерах своим «партнерам», чтобы те шифровали данные и извлекали из этого прибыль. По аналогичной схеме доступы к системам могут быть проданы кибертеррористам или игрокам, заинтересованным в кибершпионаже.
  •  Развитие сервисов, упрощающих атаки. Появились новые партнерские программы по распространению программ-вымогателей, предоставляющие любому желающему возможность сгенерировать исполняемый файл вымогателя, который может быть использован для заражения устройств жертв, и среду для переписки с требованиями выкупа. 20% от выкупа перечисляются создателю сервиса.
  • Повышение вероятности выплаты. Кроме того, хакеры начали проверять серверы с подобранными паролями на наличие систем с данными, потеря доступа к которым с высокой степенью вероятности приведет к выплате суммы, требуемой вымогателями.
  • Наиболее важная информация хранится на серверах, а самой популярной операционной системой для серверов является Linux. Поэтому атакующие создали вымогателей, которые шифруют данные на Linux-серверах.
  •  Увеличение количества атак на мобильные устройства. Так, вымогатели для Android после шифрования выводят на экран устройства страницу, написанную на HTML/JS коде, с требованием перевести деньги на счет злоумышленника. В феврале 2016 года компания Blue Coat зафиксировала распространение программы-вымогателя под Android через набор эксплойтов. На вредоносном сервере был скрипт с эксплойтом под libxslt, который был в утечке Hacking Team.  iOS-устройства тоже оказываются в зоне опасности.  Установить вредоносное программное обеспечение на устройство Apple непросто, поэтому мошенники придумали особый подход. Специальное вредоносное ПО, используя базу перехваченных логинов и паролей от iCloud, автоматически заходит в iCloud, сбрасывает пароль, меняет привязанный адрес электронной почты, блокирует все устройства, привязанные к AppleID и настраивает окно блокировки таким образом, чтобы оно отображало требование атакующего перевести деньги за разблокировку.
  •  Шифрование IoT-устройств (Internet of Things, «интернет вещей» — Forbes).  С появлением популярных производителей IoT-устройств возникнет и рынок информации об их уязвимостях. IoT-устройства будут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.

  Как минимизировать риски?

  •  Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
  • Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции»,  так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
  •  Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
  •  Включите опцию «Показывать расширения файлов» в настройках Windows  на своем  компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как '.exe', '.vbs' и '.SCR'. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
  •  Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
  • Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry  решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение.  Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
  • Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.