6 крупнейших атак вымогателей за последние годы

0
18

Крупнейшие атаки вымогателей, о которых сообщалось в течение последних пяти лет, показывают, как этот тип угрозы превратился из пустяков в мощную опасность.

Содержание
1. TeslaCrypt 2. SimpleLocker 3. WannaCry 4. NotPetya 5. SamSam 6. Ryuk Стоит упомянуть — CryptoLocker Изменения к лучшему?

Вредоносное ПО, то есть программное обеспечение, которое захватывает файлы на зараженной машине, не является чем-то новым. Уже в 1991 году появился ПК Cyborg — первый представитель этого вида. Он распространялся через дискеты и интранет между исследовательскими институтами, проводящими исследования в области СПИДа. В середине 2000 года был запущен Archiveus — первый вымогатель, использующий шифрование. Он был разработан несколько лет назад, в 2006 году, и теперь вы можете найти пароль для доступа к зашифрованным файлам даже в Википедии — он гласит: mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw . В начале второго десятилетия 21-го века появилась серия «полицейских» пакетов вымогателей, в которых жертве было предложено заплатить «мандат» на разблокировку файлов. Они открыли новую эру вымогателей — анонимные онлайн-платежи, чтобы авторы вредителей могли избежать ответственности. Новая тенденция появилась после 2010 года: вымогательство платежей в криптовалютах. В большинстве случаев вымогательство относится к платежам в биткойнах, наиболее ценной криптовалюте, хотя колебания курса привели к тому, что киберпреступники начали получать выкуп за других.

За прошедшие годы вымогатели превратились из пустяков в серьезную угрозу и используются не только преступниками, но и, конечно же, неофициально — правительственными и шпионскими агентствами. Вот список шести крупнейших атак такого типа за последние пять лет.

1. TeslaCrypt

TeslaCrypt — один из вариантов CryptoLocker , появившийся в 2013 году. Он специализируется на захвате связанных с играми файлов, то есть игр, карт, загруженного контента и т. Д. Файлы этого типа бесценны для любителей цифровых развлечений и обычно хранятся локально, а не в облаке. В 2016 году TeslaCrypt была ответственна за 48% всех глобальных атак вымогателей . Эта вредоносная программа была опасна, потому что ей не помогли никакие методы, и без зашифрованных файлов было невозможно восстановить любые зашифрованные файлы. Но неожиданно авторы вредоносного ПО заявили, что … они заканчивают эту забаву и сделали ключ к зашифрованному контенту общедоступным!

2. SimpleLocker

Чем больше ценных файлов появилось на смартфонах, тем больше было записано мобильных вымогателей. Android стал любимой целью атак в конце 2015 и начале 2016 года, когда количество известных вредоносных программ-вымогателей в этой мобильной системе увеличилось в четыре раза. Многие из них были так называемыми «блокировщиками» — они не позволяли пользователям файлы, блокируя определенные функции в интерфейсе. SimpleLocker появился в конце 2015 года и был крайне агрессивен — он полностью заблокировал доступ ко всем файлам на устройстве. Это первая известная программа-вымогатель, которая была загружена с помощью ранее установленного в системе трояна, что значительно затруднило ее обнаружение специалистами по безопасности. Местом его создания считается Восточная Европа, но 3/4 жертв были зарегистрированы в США.

SimpleLocker заразил около 150000 устройств в 2016 году. Большинство из них через поддельные приложения и контент за пределами магазина Google Play . И хотя Google работает над системой, которая распознает угрозы в, казалось бы, невинных приложениях, некоторые все же попадают в магазин.

3. WannaCry

В середине 2017 года две взаимосвязанные атаки вымогателей обрушились на мир, в результате чего, среди прочего, блокировка больниц в Украине и радиостанций в США. WannaCry провела две крупные атаки, которые Avast назвал «самой грозной вредоносной программой в истории». 12 мая он был записан впервые в Европе, и только через четыре дня он был представлен на более чем 250 000 компьютеров в 116 странах и более 150 000 устройств Android. Но это не только цифры, стоящие за этим, но и тот факт, что «первая волна атак использует хакерские инструменты, разработанные АНБ», по словам Джо Партлоу из ReliaQuest . Вредоносная программа использовала эксплойт, обнаруженный в реализации Microsoft протокола SMB. Microsoft быстро исправила дыру, но многие пользователи не сделали патч. И WannaCry активно распространялся между устройствами, подключенными к сети, поскольку для дальнейшего заражения не требовалось никакого дальнейшего взаимодействия с пользователем. Многие организации и компании имели порт 445, используя SMB, открытый для интернета, что помогало распространять вредоносное ПО.

4. Не Петя

Если предположить, что WannaCry был началом «новой эры вымогателей», NotPetya стал его подтверждением. Петя впервые был записан в 2016 году, а через несколько недель после появления WannaCry был обновлен. Специалисты по безопасности описали модификацию как NotPetya, чтобы избежать ошибок, потому что она была настолько обширной, что полностью отличалась от оригинала. Слухи говорят, что это не вымогатель, а инструмент нападения России на Украину.

Варун Бадвар , глава и основатель RedLock , видит в этом предупреждение: «было много дискуссий о том, кто стоит за атаками WannaCry. Но знание разработчиков вымогателей не предотвращает появление новых вредоносных программ этого типа. Инструменты для создания вредоносных программ и поиска эксплойтов легко доступны в Интернете, и любой может их использовать — от написания сценариев для детей до организованных преступных групп и хакеров, нанятых правительствами. Распространение NotPetya показало, что кибербезопасность еще не на том уровне, каким она должна быть. Лучшая защита дает Мониторинг в реальном времени сетевого трафика в облачной инфраструктуре в сочетании с инструментами, автоматически отслеживающими сетевой трафик ».

6 крупнейших атак вымогателей за последние годы

5. SamSam

Атаки с использованием программного обеспечения, известного как SamSam, начались в 2015 году, но их последствия начали ощущаться только через несколько лет, когда они повредили Департамент транспорта Колорадо, парализовали компьютеры города Атланты, а также многие медицинские учреждения. В отличие от своих предшественников, у SamSam была другая тактика — вместо использования известных уязвимостей он работал по принципу Ransomware-as-a-service . Он терпеливо исследовал все защитные меры для выбранной цели, и когда он обнаружил уязвимость, он впустил вредителя. Этот, находящийся в системе, позволил дать злоумышленнику разрешение на шифрование файлов — и он готов.

Хотя эксперты подозревают, что SamSam из Восточной Европы, большинство его атак наносят удар по учреждениям в США. В конце 2018 года министерство юстиции США обвинило двух иранцев в причастности к атакам, которые привели к общей потере в 30 миллионов долларов. Не ясно, выплачено ли столько выкупа. Власти Атланты показали скриншоты запросов на оплату, отправленных через курьера, который вскоре был закрыт, но выкуп не был выплачен.

6. Рюк

Рюк — еще одна целевая атака вымогателей, о которой сообщалось в 2018 и 2019 годах, включая газеты (машины Los Angeles Times были заражены) и учреждения в урагане, разрушенном Северной Каролиной Северная Каролина. Рюк смог отключить опцию восстановления системы на зараженной машине с Windows, что сделало невозможным отмену изменений, вызванных вымогателями. За ключ дешифрования требовался очень высокий выкуп — неудивительно, если учесть бюджет атакующих учреждений. Примечательно, что основные атаки проводились в период Рождества. Аналитики говорят, что большие куски кода Гермеса были использованы для создания вымогателей, которые были созданы северокорейской группой хакеров Lazarus . Это не значит, однако, что Рюк был создан в этой стране. McAfee сообщает, что код был куплен кем-то, кто говорит по-русски, и что вредоносное ПО не атаковало компьютеры, основной язык которых был русский, белорусский и украинский.

Стоит упомянуть — CryptoLocker

CryptoLocker появился в 2013 году и открыл «эру вымогателей». В то время он распространял известный нам метод специально созданных вложений в электронных письмах и использовал открытый ключ шифрования RSA для блокировки пользовательских файлов. Он потребовал выкуп за их разблокировку. Джонатан Пенн, стратегический директор Avast , отметил, что более 500 000 машин были заражены в течение 2013 года и в начале 2014 года. CryptoLocker — при взгляде на современные стандарты — был очень примитивен и был уничтожен во время операции Tovar , которая уничтожила ботнет, контролируемый вредоносной программой, и раскрыла ключи, которые она использовала для шифрования файлов. Но, как отмечает Пенн, этот вымогатель открыл широкие возможности для десятков последователей, многие из которых полагаются на код CryptoLocker . Его различные варианты принесли в 2015 году около 3 миллионов долларов выкупа, из которых один из них — CryptoWall — взял половину этой суммы.

6 крупнейших атак вымогателей за последние годы

Изменения к лучшему?

С 2018 года произошло уменьшение количества вымогателей в сети. Статистика показывает, что в 2017 году 48% организаций в США сталкивались с подобными атаками, но в 2018 году их было всего 4%. Это связано с несколькими факторами — вымогатели часто нацелены на определенный тип деятельности или конкретную жертву (например, SamSam или Ryuk ). Несмотря на то, что вышеупомянутые 48% — это много, имейте в виду, что в это число входят компании, которые получили фишинговые электронные письма, обнаруженные службой безопасности или ИТ-отделом компании. Кроме того, следует отметить, что меньшее количество успешных атак не означает меньшую прибыль для киберпреступников. Но и среди них вымогательство стало устаревшим — чтобы заплатить выкуп, жертва должна выполнить несколько сложных задач, начиная с знакомства с тем, как работают биткойны, что часто требует длительного времени, и часто вместо того, чтобы платить преступникам, они обращаются за помощью к специалистам.

И, наконец, проще заработать биткойны с помощью криптовалюты — этот метод позволяет проникать биткойнам в компьютер жертвы, а когда он начинает работать, он использует ресурсы машины, чтобы помочь мне в криптовалюте. Хакеры, использующие этот метод, используют те же сценарии, что и спаммеры, и используются для DDoS-атак . Несмотря на то, что количество атак с использованием программ-вымогателей снижается в течение двух лет, количество крипто-взломов растет с пугающей скоростью — в прошлом году количество таких атак было на 450% выше, чем в 2017 году! Поэтому этот тип атаки в настоящее время считается самой серьезной угрозой.