Перейти к основному содержанию
Реклама
Прямой эфир
Экономика
Коммунальщиков заставят вкладывать средства в обновление ЖКХ-инфраструктуры
Армия
Для армии разработан мобильный заправочный пункт
Армия
Российские военные с помощью БПЛА уничтожили опорные пункты ВСУ в ДНР
Общество
В Севастополе и Крыму 24 июня объявлено Днем траура
Общество
Слуцкий назвал инспирированными извне теракты в Севастополе и Дагестане
Армия
Экипаж миномета 2С4 «Тюльпан» уничтожил опорный и наблюдательный пункты ВСУ
Наука и техника
Ученые создали аэротрубу для имитации взрывов и пожаров
Общество
Синоптики спрогнозировали облачность и до +23 градусов в Москве 24 июня
Армия
Расчет САУ «Гвоздика» уничтожил живую силу ВСУ на донецком направлении
Общество
Сервисы по трудоустройству рассказали о росте спроса на IT-специалистов
Мир
Суд признал невиновным американца после 20 лет ожидания смертной казни
Общество
Фестиваль в честь праздника Святой Троицы прошел в Краснодарском крае
Мир
Глава МАГАТЭ Рафаэль Гросси призвал остановить атаки на Энергодар
Общество
В Ленинградской области провели реконструкцию «Свирская победа»
Армия
Операторы FVP-дронов группировки войск «Восток» уничтожили танк Leopard
Экономика
ВТБ раскрыл детали присоединения «Открытия» и крымского РНКБ
Мир
США сообщили о повреждении греческого судна в Красном море после атаки хуситов
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
вкл
выкл

Атаки шифровальщиков — самая большая и разрушительная киберугроза вот уже третий год подряд, следует из отчета Group-IB. Наличие множества техник и присутствие на рынке продавцов доступов позволяют даже неопытным злоумышленникам шантажировать бизнесменов. Между тем размер выкупа за возврат данных продолжает расти. «Известия» выясняли, через какие файлы проникают зловреды.

Масштаб угрозы

Программы-вымогатели, или шифровальщики — это вредоносное ПО, которое блокирует устройство или шифрует его содержание, вымогая деньги у жертв. За определенную плату операторы вредоносного кода обещают восстановить доступ к зараженному компьютеру или данным. Многие группы работают по модели «вымогатель как услуга» (Ransomware as a Service, RaaS), когда клиенты вносят залог, заказывают атаку и получают прибыль по «партнерской программе»; разработчикам достается своя доля от выкупа.

Эксперты Group-IB изучили, как действовали операторы шифровальщиков в 2021–2022 годах (отчет есть в распоряжении «Известий»). Специалисты отмечают, что запрашиваемые злоумышленниками суммы выкупа продолжают расти. Средний размер требуемой платы в 2021 году составил $247 тыс., а самая крупная сумма — $240 млн. При этом участники партнерских программ-шифровальщиков тесно взаимодействуют с продавцами доступов. Те ищут уязвимые устройства, получают к ним доступ и перепродают инструменты операторам. Продавцам доступа платят либо заранее, либо отчисляют процент от полученного выкупа.

клавиатура рука
Фото: TASS/dpa/picture-alliance/Silas Stein

Во многие программы RaaS новых участников раньше привлекали на андеграундных форумах, однако теперь это чаще делают в частном порядке, чтобы усложнить мониторинг со стороны правоохранительных органов. Для самых важных целей участники партнерских программ могут нанимать инсайдеров и использовать уязвимости нулевого дня (угрозы, обнаруженные злоумышленниками до того, как о ней узнали производители).

Исследователи отмечают, что некоторые организации могут быть хорошо защищены, в связи с чем развернуть шифровальщик в масштабах всего предприятия едва ли удастся, поэтому злоумышленники смещают фокус в сторону извлечения данных. Оно происходит в 63% случаев всех атак. При этом в среднем на восстановление после атаки уходит 22 дня.

Тремя самыми опасными группировками вымогателей в 2021 году стали LockBit, Conti и Pysa. Первая буквально на днях заявила о взломе Continental — немецкого производителя автокомплектующих. Жертвами злоумышленников в прошлом уже становились организации из США, Китая, Индии, Индонезии, а также из нескольких европейских стран. Другой популярный шифровальщик — Conti. Так же, как и LockBit, группировка в основном нападает на промышленные предприятия. Правда, в последнее время появляются новости об исчезновении бренда — якобы Conti прекращает работу и распадается на несколько «отрядов». Третий лидер этого рынка — Pysa. Название группировки расшифровывается как Protect Your System Amigo («защищай свою систему, дружище»). В основном вымогатель атакует системы Windows, на которых работают организации сфер образования и здравоохранения, а также госсектор.

По данным Group-IB, наиболее уязвимыми регионами в мире являются Северная Америка (52% инцидентов), Европа (28%), далее идут Азиатско-Тихоокеанский регион (10%), Латинская Америка (6%), Ближний Восток и Африка (4%).

Своих целей шифровальщикам удается достичь при помощи удаленного внешнего подключения (47% случаев), фишинга (26%), общедоступных приложений (21%) и других методов (6%).

Через удаленщиков и VPN

Внешние службы удаленного доступа, в особенности VPN и RDP (служба дистанционного управления устройством), широко используются участниками партнерских программ-вымогателей. Эксплуатация публичных RDP-серверов — самый частый способ получения доступа в сеть: около половины всех изученных атак начались с хаков такого рода.

VPN телефон
Фото: TASS/Zuma

— Во многих случаях незащищенные RDP-серверы позволяли злоумышленникам проникать в сети малых и средних организаций, но мы также заметили, что у большого числа компаний одни и те же проблемы безопасности. Так как многим из них нужно организовывать рабочие места для сотрудников, работающих удаленно, эта техника получения первоначального доступа по-прежнему является самой распространенной, — пояснили исследователи Group-IB.

Некоторые партнеры использовали учетные данные VPN для подключения к целевым сетям и собственные виртуальные машины для тестирования на проникновение, чтобы атаковать инфраструктуру изнутри. Яркий пример — партнеры LockBit: они назвали эту технику «гнидануться в сеть».

Чтобы обнаружить злоумышленников, эксперты советуют обращать внимание на множественные безуспешные попытки входа, аутентификацию из нетипичных мест и в нетипичное время, а также проводить поиск неизвестных устройств.

Бот в помощь

Использование ботов становится всё более распространенным. Впрочем, для операторов одной из самых опасных бот-сетей в истории — Emotet — 2021 год начался очень плохо. На Украине арестовали двоих участников группировки, что привело к подрыву всей командной инфраструктуры Emotet. Вид штаб-квартиры Emotet поразил многих: скромное старое жилье, заваленное аппаратурой и разным хламом. В тайниках киберполиция нашла большие суммы наличных и даже слитки золота. На тот момент деятельность группировки нанесла иностранным банкам ущерб в размере более $2,5 млрд.

Как ни странно, в ноябре 2021-го бот-сеть появилась вновь. Она, как правило, распространяется с помощью вредоносных документов Microsoft Word и таблиц Microsoft Excel.

Microsoft Word программа
Фото: Global Look Press/Valentin Wolf

Одна из схем Emotet выглядела следующим образом. В разосланных фишинговых письмах содержались ссылки на фейковые страницы «Google Диск», где жертве предлагалось просмотреть PDF-документ. После того как она нажимала на кнопку просмотра, ей предлагалось установить фейковую программу Adobe PDF Component. Это приводило к скачиванию вредоноса, который далее использовался для установки Emotet.

В отличие от многих ботов, шифровальщик BazarLoader в основном распространялся не через фишинг, а через вишинг (выманивание денег посредством звонка). Спам-письма содержали информацию о платных подписках, которые якобы могли быть отменены по телефону. Во время телефонного разговора злоумышленники обманом заставляли жертву посетить подложный сайт и давали инструкции о том, как скачать и открыть вредоносный документ, который загружал и запускал BazarLoader.

Рычаги давления

Чтобы повысить шансы получить выкуп, операторы вымогателей, прежде чем начинать процесс шифрования, собирают и извлекают ценные данные из сети жертвы, сообщается в отчете Group-IB. Если жертва откажется платить, ее данные могут быть опубликованы на специальных сайтах — этим также можно шантажировать или, в конце концов, получить прибыль за сам слив. Информация может публиковаться по частям. До обнародования извлеченных данных некоторые злоумышленники организуют аукционы. Есть и такие операторы, которые не публикуют извлеченные данные, а используют их для совместной работы с другими злоумышленниками.

Операторы вымогателей собирают не все доступные данные, а только наиболее чувствительную информацию для дальнейшего вымогательства (например, в руководстве группировки Conti рекомендуется собирать все файлы, относящиеся к клиентам жертвы, ее финансовым показателям, активным проектам и т.п.).

Чтобы уменьшить размер извлекаемых данных, операторы шифровальщиков могут использовать инструменты для архивирования. Поэтому создание большого количества архивов за короткий промежуток должно насторожить компанию.

хакер компьютер
Фото: ИЗВЕСТИЯ/Александр Казаков

Еще один подход, позволяющий злоумышленникам обходить средства обнаружения, — это обфускация данных. Злоумышленники могут передавать полезные файлы или команды, которые выглядят как изображения или аудиофайлы.

Выгрузка информации в облачные хранилища — другой популярный способ извлечения. Большинство злоумышленников используют хранилище MEGA. Если организацию заметил облачный сервис, который не используется в ее контуре, это также должно насторожить.

Иногда хакеры запускают вымогателей благодаря самим же сотрудникам.

— Во время одной из операций по реагированию на инцидент нами было установлено, что злоумышленник (вероятно, имеющий отношение к группировке Wizard Spider) отправлял внутренние электронные письма с вредоносными вложениями. Оказалось, что атакующий купил доступ к почтовому аккаунту одного из сотрудников. Хотя данная техника использовалась в самом начале атаки, она позволила атакующему моментально осуществить перемещения внутри сети на хосты других сотрудников, — поделились в Group-IB.

Как говорилось выше, обычно операторы программ-вымогателей используют не один метод воздействия, для того чтобы заставить жертву заплатить. Шифрование всех ценных данных — сильный мотиватор, однако, помимо этого, операторы используют дополнительные рычаги, например: извлечение и обнародование ценных данных, DDoS-атаки на жертв, уведомление клиентов жертвы об инциденте по электронной почте.

Прямой эфир