Добро пожаловать обратно, мои начинающие кибервоины!
Недавние события в очередной раз подчеркнули важность безопасности SCADA! 7 мая 2021 года компания Colonial Pipeline подверглась атаке вируса-вымогателя, в результате чего компания была вынуждена закрыть трубопровод, поставляющий 45% бензина в крупные города восточного побережья США (Нью-Йорк, Филадельфия, Вашингтон и др.). Это привело к дефициту бензина и его запасам в некоторых мегаполисах из-за паники среди потребителей. В итоге Colonial Pipeline выплатила злоумышленникам 5 миллионов долларов за доступ к своим данным.
Представьте, что произойдёт, если злоумышленник сможет сделать то же самое с электросетями или электростанциями! Чтобы узнать больше о самых важных взломах SCADA в истории, нажмите здесь.
Хотя программы-вымогатели сейчас широко распространены в нашем цифровом пространстве, они далеко не новы. В этой статье мы рассмотрим самые важные атаки программ-вымогателей в истории, чтобы лучше понять развитие этого всё более важного вида цифровых атак. Есть все основания полагать, что этот метод атак на системы и получения выкупа будет только развиваться в будущем.
Как работают программы-вымогатели
Первый шаг — это получение вредоносным ПО доступа к сети/системе. Это может быть сделано различными способами, например:
1. Вложения в электронные письма
2. Сообщения в социальных сетях
3. Всплывающие окна
§4. Известные уязвимости (EternalBlue)
Затем программа-вымогатель должна зашифровать данные. Ранние атаки программ-вымогателей создавали собственные алгоритмы шифрования, что делало их довольно простыми для расшифровки (криптоанализ легко взламывает большинство самодельных алгоритмов шифрования). Современные программы-вымогатели используют готовые библиотеки шифрования, такие как AES, что делает расшифровку практически невозможной без пароля.
Последняя разработка — программы-вымогатели как услуга (RAAS). Такие атаки программ-вымогателей, как Cryptowall, Locky и Tesla Crypt, представляли собой программы-вымогатели как услугу.
Первая программа-вымогатель (1989)
Первая известная атака с использованием вируса-вымогателя произошла в 1989 году. Этот вирус-вымогатель распространялся с помощью дисков среди людей, работающих в сфере исследований СПИДа.
Криптолокер (2013)
Cryptolocker появился в 2013 году и стал одним из самых прибыльных программ-вымогателей своего времени. Он заразил 250 000 систем по всему миру, обычно заражая хост через вложения в электронные письма. За время своего существования он принёс более 3 миллионов долларов. В конечном итоге он был обезврежен международными правоохранительными органами. Теперь у нас есть инструмент для расшифровки шифрования Cryptolocker, что фактически нейтрализовало угрозу этого вредоносного ПО.
КриптоСтена (2014-2016)
Cryptowall появился в 2014 году и атаковал сотни тысяч систем. Он использовал вредоносную рекламу на распространённых доменах, чтобы перенаправлять пользователей на заражённые CryptoWall сайты, где вредоносное ПО загружалось на их устройства. Вредоносное ПО эксплуатировало уязвимость Java.
За время своего существования он заразил более 600 000 систем и получил более 18 миллионов долларов выкупа.
CryptoWall распространяется через электронные письма с ZIP-вложениями, где вирус скрыт в виде PDF-файлов. PDF-файлы часто маскируются под счета, заказы на закупку, счета-фактуры и т. д.
Когда жертвы открывают вредоносные PDF-файлы, они заражают компьютер вирусом CryptoWall и устанавливают вредоносные файлы в папки %AppData% или %Temp%.
žЕсли на вашем компьютере присутствуют какие-либо буквы дисков, CryptoWall просканирует его на наличие файлов данных.
žОтличительной чертой CryptoWall является то, что он запрограммирован для работы как на 32-битных, так и на 64-битных системах, что увеличивает вероятность запуска вируса на любом компьютере, который он заразит.
CryptoWall 2.0 (январь 2015 г.)
Cryptowall 2.0 появился в 2015 году и распространялся через вложения электронной почты, PDF-файлы и различные наборы эксплойтов. Cryptowall 2.0 обладал рядом более продвинутых технологий, чем Cryptowall 1.0, особенно в области обфускации и антиэмуляции. Он использовал ToR для обфускации канала управления и контроля (C&C), а также включал в себя защиту от виртуальных машин (для предотвращения попыток дизассемблирования или изучения) и антиэмуляции. Кроме того, при необходимости он мог переключаться между 32- и 64-битным режимами.
Голливудский пресвитерианский (2016)
žВ 2016 году Голливудский пресвитерианский медицинский центр подвергся атаке вируса-вымогателя.
žАдминистрация заплатила 17 000 долларов за возврат файлов
Сан- Франциско MTA (2016)
ž25 ноября 2016 года MTA Сан-Франциско стал жертвой вируса-вымогателя.
žЭто нарушило работу систем продажи билетов и управления автобусами на 2 дня, прежде чем администрация выплатила 100 биткоинов (5 миллионов долларов по текущему обменному курсу)
WannaCry (2017)
Вирус-вымогатель WannaCry впервые появился в мае 2017 года и заразил более 300 000 компьютеров в более чем 150 странах. В отличие от большинства предыдущих вредоносных программ, WannaCry не требовал никакого взаимодействия с пользователем. Вместо этого он использовал недавно выпущенный эксплойт EternalBlue для заражения систем Windows 7 без обновлений (EternalBlue был выпущен группой Shadowbrokers в марте 2017 года). Следователи и аналитики вредоносного ПО подозревают, что за этим стоит спонсируемая северокорейским государством хакерская группа Lazarus.
После заражения компьютера Wannacry выкуп начинается с 300 долларов, если вы заплатите в течение 6 часов, и удваивается до 600 долларов, если вы промедлите. Wannacry угрожает безвозвратно удалить ваши файлы, если вы не заплатите выкуп в течение 7 дней.
MalwareTech (Маркус Хатчинс) обнаружил аварийный выключатель, определив URL-адрес командного интерфейса в коде и зарегистрировав домен (видимо, в спешке они не успели зарегистрировать доменное имя). К сожалению, когда Маркус Хатчинс путешествовал по США, его арестовали. Быстрое обезвреживание этой бомбы замедленного действия сделало его подозреваемым в разработке
Wannacry. Вместо этого ФБР установило, что несколько лет назад Хатчинс разработал модули, которые могли использоваться при других взломах. В конце концов, он признал себя виновным и был освобожден от наказания. Сейчас он работает в США в крупной компании, занимающейся информационной безопасностью.
Подробнее о WannaCry и нашем разборе вируса можно прочитать здесь .
Петя 2016
Petya впервые появился в 2016 году и считался продвинутым вирусом-вымогателем. Он шифровал MFT (главную таблицу файлов, используемую для контроля и управления всеми файлами в файловой системе NTFS). Благодаря шифрованию MFT все файлы в файловой системе становились недоступными. Затем Petya заменял MFT запиской с требованием выкупа. Это был один из первых широко распространённых эксплойтов типа «выкуп как услуга» (RAAS).
NotPetya 2017
žNotPetya впервые появился в 2017 году и также использовал эксплойт EternalBlue для доступа к непатченным системам Windows 7. NotPetya был разработан так, чтобы его можно было ошибочно принять за Petya, отсюда и его название — NotPetya.
žNotPetya зашифровал главную загрузочную запись (Master Boot Record) и другие файлы, чтобы система не могла загрузиться. Затем он отправляет пользователю сообщение с предложением перезагрузить систему, после чего система становится непригодной к использованию.
žNotPetya, возможно, является самой разрушительной кибератакой в истории и, вероятно, была разработана российской разведкой и спонсируемыми государством хакерскими группами для атаки на Украину. Она обошлась Украине более чем в 10 миллиардов долларов, но, как и почти любое вредоносное ПО, не могла ограничиться только Украиной. Она распространилась по всему миру и нанесла ущерб таким компаниям, как:
BadRabbit 2017
žBadRabbit впервые появился в 2017 году в России, Украине и США. Это была новая, улучшенная версия NotPetya. Впервые он появился на российских сайтах, выдавая себя за установщик Adobe Flash (см. изображение ниже).
žВероятно, он был разработан Sandworm, той же российской хакерской группой, спонсируемой государством, которая ответственна за BlackEnergy3 .
žБольшая часть кода вируса была схожа с NotPetya, что подразумевает одних и тех же авторов, но это мог быть случайный код, использующий повторно используемый код. Сначала он шифровал файлы, а затем зашифровывал главную загрузочную запись (MBR) двумя разными ключами. В отличие от NotPetya, он расшифровывал файлы, если был заплачен выкуп.
žBadRabbit потребовал выплатить 0,05 BTC (около 2500 долларов США по текущему обменному курсу) и дал пользователям 40 часов на оплату.
ГандКраб 2018
žGandCrab впервые появился в январе 2018 года и быстро стал самым успешным вирусом-вымогателем 2018 года. Начав свою деятельность как вирус-вымогатель как услуга (RAAS), он прошел через множество итераций, чтобы оставаться актуальным.
GandCrab был первым вирусом-вымогателем, требовавшим оплату в криптовалюте DASH. Кроме того, он использовал домен верхнего уровня .bit, не одобренный ICANN. Это дополнительно затрудняло отслеживание сервера управления.
GandcCab распространялся среди жертв несколькими способами. Наиболее популярными были спам-письма, в которых пользователей обманным путём заставляли открыть ZIP-архив, содержащий скрипт для загрузки GandCrab.
Фобос 2019
žPhobos впервые появился в начале 2019 года и до сих пор активен. Этот вирус-вымогатель, как правило, атакует небольшие организации со слабой защитой RDP.
Содиноки Апрель 2019
žSodinoki впервые появился в апреле 2019 года и до сих пор активен. Его очень сложно обнаружить и переустановить даже после выплаты выкупа компанией.
Змея 2020
žВирус-вымогатель Snake впервые появился в январе 2020 года и до сих пор активен. Это первый вирус-вымогатель, специально разработанный для атак на объекты SCADA/ICS.
В отличие от других программ-вымогателей, Snake целенаправленно выбирает цели, а не применяет подход дробовика, характерный для большинства программ-вымогателей (это в значительной степени обусловлено большим разнообразием систем и протоколов, доступных в секторе SCADA/ICS).
žСнейк был успешно атакован и освобожден;
Краткое содержание
Программы-вымогатели, пожалуй, являются ведущей вредоносной угрозой в нашем цифровом пространстве. Они заражают системы, а затем шифруют ключевые файлы, пока жертва не заплатит вымогателю. Со временем суммы выкупов значительно выросли — обычно в районе 200-300 долларов — и теперь достигают 50 миллионов долларов. Понимая механизмы и эволюцию этих вредоносных программ, мы можем лучше защищать наши системы и предвидеть следующую волну программ-вымогателей.
Недавние события в очередной раз подчеркнули важность безопасности SCADA! 7 мая 2021 года компания Colonial Pipeline подверглась атаке вируса-вымогателя, в результате чего компания была вынуждена закрыть трубопровод, поставляющий 45% бензина в крупные города восточного побережья США (Нью-Йорк, Филадельфия, Вашингтон и др.). Это привело к дефициту бензина и его запасам в некоторых мегаполисах из-за паники среди потребителей. В итоге Colonial Pipeline выплатила злоумышленникам 5 миллионов долларов за доступ к своим данным.
Представьте, что произойдёт, если злоумышленник сможет сделать то же самое с электросетями или электростанциями! Чтобы узнать больше о самых важных взломах SCADA в истории, нажмите здесь.
Хотя программы-вымогатели сейчас широко распространены в нашем цифровом пространстве, они далеко не новы. В этой статье мы рассмотрим самые важные атаки программ-вымогателей в истории, чтобы лучше понять развитие этого всё более важного вида цифровых атак. Есть все основания полагать, что этот метод атак на системы и получения выкупа будет только развиваться в будущем.
Как работают программы-вымогатели
Первый шаг — это получение вредоносным ПО доступа к сети/системе. Это может быть сделано различными способами, например:
1. Вложения в электронные письма
2. Сообщения в социальных сетях
3. Всплывающие окна
§4. Известные уязвимости (EternalBlue)
Затем программа-вымогатель должна зашифровать данные. Ранние атаки программ-вымогателей создавали собственные алгоритмы шифрования, что делало их довольно простыми для расшифровки (криптоанализ легко взламывает большинство самодельных алгоритмов шифрования). Современные программы-вымогатели используют готовые библиотеки шифрования, такие как AES, что делает расшифровку практически невозможной без пароля.
Последняя разработка — программы-вымогатели как услуга (RAAS). Такие атаки программ-вымогателей, как Cryptowall, Locky и Tesla Crypt, представляли собой программы-вымогатели как услугу.
Первая программа-вымогатель (1989)
Первая известная атака с использованием вируса-вымогателя произошла в 1989 году. Этот вирус-вымогатель распространялся с помощью дисков среди людей, работающих в сфере исследований СПИДа.
Криптолокер (2013)
Cryptolocker появился в 2013 году и стал одним из самых прибыльных программ-вымогателей своего времени. Он заразил 250 000 систем по всему миру, обычно заражая хост через вложения в электронные письма. За время своего существования он принёс более 3 миллионов долларов. В конечном итоге он был обезврежен международными правоохранительными органами. Теперь у нас есть инструмент для расшифровки шифрования Cryptolocker, что фактически нейтрализовало угрозу этого вредоносного ПО.
КриптоСтена (2014-2016)
Cryptowall появился в 2014 году и атаковал сотни тысяч систем. Он использовал вредоносную рекламу на распространённых доменах, чтобы перенаправлять пользователей на заражённые CryptoWall сайты, где вредоносное ПО загружалось на их устройства. Вредоносное ПО эксплуатировало уязвимость Java.
За время своего существования он заразил более 600 000 систем и получил более 18 миллионов долларов выкупа.
CryptoWall распространяется через электронные письма с ZIP-вложениями, где вирус скрыт в виде PDF-файлов. PDF-файлы часто маскируются под счета, заказы на закупку, счета-фактуры и т. д.
Когда жертвы открывают вредоносные PDF-файлы, они заражают компьютер вирусом CryptoWall и устанавливают вредоносные файлы в папки %AppData% или %Temp%.
žЕсли на вашем компьютере присутствуют какие-либо буквы дисков, CryptoWall просканирует его на наличие файлов данных.
žОтличительной чертой CryptoWall является то, что он запрограммирован для работы как на 32-битных, так и на 64-битных системах, что увеличивает вероятность запуска вируса на любом компьютере, который он заразит.
CryptoWall 2.0 (январь 2015 г.)
Cryptowall 2.0 появился в 2015 году и распространялся через вложения электронной почты, PDF-файлы и различные наборы эксплойтов. Cryptowall 2.0 обладал рядом более продвинутых технологий, чем Cryptowall 1.0, особенно в области обфускации и антиэмуляции. Он использовал ToR для обфускации канала управления и контроля (C&C), а также включал в себя защиту от виртуальных машин (для предотвращения попыток дизассемблирования или изучения) и антиэмуляции. Кроме того, при необходимости он мог переключаться между 32- и 64-битным режимами.
Голливудский пресвитерианский (2016)
žВ 2016 году Голливудский пресвитерианский медицинский центр подвергся атаке вируса-вымогателя.
žАдминистрация заплатила 17 000 долларов за возврат файлов
Сан- Франциско MTA (2016)
ž25 ноября 2016 года MTA Сан-Франциско стал жертвой вируса-вымогателя.
žЭто нарушило работу систем продажи билетов и управления автобусами на 2 дня, прежде чем администрация выплатила 100 биткоинов (5 миллионов долларов по текущему обменному курсу)
WannaCry (2017)
Вирус-вымогатель WannaCry впервые появился в мае 2017 года и заразил более 300 000 компьютеров в более чем 150 странах. В отличие от большинства предыдущих вредоносных программ, WannaCry не требовал никакого взаимодействия с пользователем. Вместо этого он использовал недавно выпущенный эксплойт EternalBlue для заражения систем Windows 7 без обновлений (EternalBlue был выпущен группой Shadowbrokers в марте 2017 года). Следователи и аналитики вредоносного ПО подозревают, что за этим стоит спонсируемая северокорейским государством хакерская группа Lazarus.
После заражения компьютера Wannacry выкуп начинается с 300 долларов, если вы заплатите в течение 6 часов, и удваивается до 600 долларов, если вы промедлите. Wannacry угрожает безвозвратно удалить ваши файлы, если вы не заплатите выкуп в течение 7 дней.
MalwareTech (Маркус Хатчинс) обнаружил аварийный выключатель, определив URL-адрес командного интерфейса в коде и зарегистрировав домен (видимо, в спешке они не успели зарегистрировать доменное имя). К сожалению, когда Маркус Хатчинс путешествовал по США, его арестовали. Быстрое обезвреживание этой бомбы замедленного действия сделало его подозреваемым в разработке
Wannacry. Вместо этого ФБР установило, что несколько лет назад Хатчинс разработал модули, которые могли использоваться при других взломах. В конце концов, он признал себя виновным и был освобожден от наказания. Сейчас он работает в США в крупной компании, занимающейся информационной безопасностью.
Подробнее о WannaCry и нашем разборе вируса можно прочитать здесь .
Петя 2016
Petya впервые появился в 2016 году и считался продвинутым вирусом-вымогателем. Он шифровал MFT (главную таблицу файлов, используемую для контроля и управления всеми файлами в файловой системе NTFS). Благодаря шифрованию MFT все файлы в файловой системе становились недоступными. Затем Petya заменял MFT запиской с требованием выкупа. Это был один из первых широко распространённых эксплойтов типа «выкуп как услуга» (RAAS).
NotPetya 2017
žNotPetya впервые появился в 2017 году и также использовал эксплойт EternalBlue для доступа к непатченным системам Windows 7. NotPetya был разработан так, чтобы его можно было ошибочно принять за Petya, отсюда и его название — NotPetya.
žNotPetya зашифровал главную загрузочную запись (Master Boot Record) и другие файлы, чтобы система не могла загрузиться. Затем он отправляет пользователю сообщение с предложением перезагрузить систему, после чего система становится непригодной к использованию.
žNotPetya, возможно, является самой разрушительной кибератакой в истории и, вероятно, была разработана российской разведкой и спонсируемыми государством хакерскими группами для атаки на Украину. Она обошлась Украине более чем в 10 миллиардов долларов, но, как и почти любое вредоносное ПО, не могла ограничиться только Украиной. Она распространилась по всему миру и нанесла ущерб таким компаниям, как:
- Maersk (крупнейшая в мире судоходная компания)
- Мерк
- FedEx
- Кэдбери
- Роснефть (российская нефтехимическая компания)
- Пфайзер
BadRabbit 2017
žBadRabbit впервые появился в 2017 году в России, Украине и США. Это была новая, улучшенная версия NotPetya. Впервые он появился на российских сайтах, выдавая себя за установщик Adobe Flash (см. изображение ниже).
žВероятно, он был разработан Sandworm, той же российской хакерской группой, спонсируемой государством, которая ответственна за BlackEnergy3 .
žБольшая часть кода вируса была схожа с NotPetya, что подразумевает одних и тех же авторов, но это мог быть случайный код, использующий повторно используемый код. Сначала он шифровал файлы, а затем зашифровывал главную загрузочную запись (MBR) двумя разными ключами. В отличие от NotPetya, он расшифровывал файлы, если был заплачен выкуп.
žBadRabbit потребовал выплатить 0,05 BTC (около 2500 долларов США по текущему обменному курсу) и дал пользователям 40 часов на оплату.
ГандКраб 2018
žGandCrab впервые появился в январе 2018 года и быстро стал самым успешным вирусом-вымогателем 2018 года. Начав свою деятельность как вирус-вымогатель как услуга (RAAS), он прошел через множество итераций, чтобы оставаться актуальным.
GandCrab был первым вирусом-вымогателем, требовавшим оплату в криптовалюте DASH. Кроме того, он использовал домен верхнего уровня .bit, не одобренный ICANN. Это дополнительно затрудняло отслеживание сервера управления.
GandcCab распространялся среди жертв несколькими способами. Наиболее популярными были спам-письма, в которых пользователей обманным путём заставляли открыть ZIP-архив, содержащий скрипт для загрузки GandCrab.
Фобос 2019
žPhobos впервые появился в начале 2019 года и до сих пор активен. Этот вирус-вымогатель, как правило, атакует небольшие организации со слабой защитой RDP.
Содиноки Апрель 2019
žSodinoki впервые появился в апреле 2019 года и до сих пор активен. Его очень сложно обнаружить и переустановить даже после выплаты выкупа компанией.
Змея 2020
žВирус-вымогатель Snake впервые появился в январе 2020 года и до сих пор активен. Это первый вирус-вымогатель, специально разработанный для атак на объекты SCADA/ICS.
В отличие от других программ-вымогателей, Snake целенаправленно выбирает цели, а не применяет подход дробовика, характерный для большинства программ-вымогателей (это в значительной степени обусловлено большим разнообразием систем и протоколов, доступных в секторе SCADA/ICS).
žСнейк был успешно атакован и освобожден;
- Крупнейшая частная больница в Европе, Фресниус
- итальянская энергетическая компания ENEL
- японский автопроизводитель Honda
- и несколько других крупных компаний, не желающих публиковать свои названия.
Краткое содержание
Программы-вымогатели, пожалуй, являются ведущей вредоносной угрозой в нашем цифровом пространстве. Они заражают системы, а затем шифруют ключевые файлы, пока жертва не заплатит вымогателю. Со временем суммы выкупов значительно выросли — обычно в районе 200-300 долларов — и теперь достигают 50 миллионов долларов. Понимая механизмы и эволюцию этих вредоносных программ, мы можем лучше защищать наши системы и предвидеть следующую волну программ-вымогателей.
