Кибервымогательство – новый тренд компьютерных преступлений
Майская массированная атака червя WannaCry, поразившая сотни частных и государственных компаний, привлекла внимание мировых масс-медиа к ransomware-вредоносам. Тема в тренде и интересна теперь не только специалистам ИБ. Как известно, червь WannaCry за неполные две недели поразил более 300 тысяч компьютеров по всему миру. Суммарный ущерб в мировом масштабе оценивается в 1 млрд. долларов. Для распространения была использована закрытая еще в марте уязвимость EternalBlue и бэкдор DoublePulsar.
Стабильный рост в данном криминальном сегменте наблюдался давно, как минимум на протяжении последних двух лет. Последняя массовая атака, выполненная на весьма качественном уровне, означает, что рост продолжится и дальше.
Основой для роста ransomware-сектора киберпреступности стали два фактора – развитие анонимных систем онлайн-платежей (в особенности bitcoin) и новая ступень организации киберпреступности – децентрализация и предоставление вредоносного ПО как сервиса (RaaS).
Основная цель преступников остается прежней – максимальная нажива, схема же, в сравнении с привычными «Локерами», слегка меняется.
Вредоносная программа получает доступ к данным своей жертвы, а затем шифрует их. Далее с помощью этой же программы или другим способом злоумышленник предлагает владельцу данных приобрести инструмент для расшифрования за плату, которую необходимо перевести по указанному адресу. Шифрование без возможности восстановления при этом равноценно потере данных.
Принципиальный экономический момент состоит в том, что инструмент восстановления зашифрованных данных для владельца дешевле, чем стоимость потери этих данных.
ЭКОНОМИКА ПРЕСТУПЛЕНИЯ
Большинством хакеров движет именно жадность, стремление обогатиться, а вовсе не злоба или идеологические мотивы. По всей видимости, при массовом употреблении этот вид преступлений экономически гораздо более привлекателен, чем продажа украденной у кого-то информации.
Зачем сбывать краденую информацию по сниженным ценам в условиях конкуренции между хакерами? Вымогательство проще и, похоже, надежнее.
Каждая конкретная жертва имеет свою личную границу цены, которую она готова заплатить за восстановление своих данных и нормальное продолжение своей деятельности. Хакеру, в свою очередь, надо угадать эту цену.
Попробуем встать на место хакера. Предположим, что у него есть средства обхода защиты средств безопасности жертвы. Получив доступ, он может украсть критическую для жертвы информацию и постараться потом ее кому-то продать. Эта операция обладает сравнительно низкой доходностью в силу высокой конкуренции между хакерами. Кроме того, хакер может безвозвратно уничтожить эту информацию.
Альтернативный подход состоит в следующем: зашифровать эти данные и потребовать выкуп. Моральная ответственность хакера при таком преступлении невелика. Никто не умрет, никто не потеряет свои сбережения. И даже информация не крадется и не разглашается. Как только осуществляется перевод денег из рук в руки, жертва восстанавливает свои данные. Очень рациональная стратегия: «заплатите, получите ключ для восстановления и работайте дальше».
Ключевым вопросом является цена, при которой жертва соглашается заплатить и не сообщать в правоохранительные органы. Для определения стоимости выкупа могут быть использованы предположения о роде деятельности жертвы, либо конкретная информация о жертве, собранная вредоносной программой. Например, при проведении целевой атаки по списку адресов, хакер может заранее предположить потенциальную важность данных. Список адресатов может быть сформирован по закрытой (утекшие базы, взломанные сайты и т.д.) либо открытой информации (социальные сети, сайты поиска работы).
По данным отчета Symantec “Ransomware and Business 2016”, в 2016 году было обнаружено более 100 новых семейств ransomware-программ, при этом средний размер выкупа, запрашиваемого программами, составил 679$ по сравнению с 294$ в 2015 году.
КНУТ И ПРЯНИК. «ПРИВЕДИ ДРУГА!»
Кроме цены для жертвы также немаловажным может быть риск разглашения информации. Итак, «кнут» – это угроза удаления и/или разглашения информации.
Может существовать и своеобразный «пряник». Например, ransomware-программа Popcorn Time в своем требовании выкупа объясняет действия хакера тяжелым положением «сирийских студентов», вынужденных таким способом собирать пожертвования.
Чтобы пользователь был посговорчивей, используются и классические средства вирусописателей: удаление части данных по таймеру, сообщения о якобы незаконных действиях (со ссылками на статьи УК) и иные трюки. Например, упомянутая выше ransomware-программа Popcorn Time в числе прочего предлагает пользователю вместо платежа разослать специально подготовленные ссылки своим друзьям. В случае, если хотя бы двое из них заплатят, пользователь получит ключ расшифрования бесплатно.
Если же пользователь оказался несговорчивым и предпочел понести потери информации вместо потери денег, то у хакера может иметься инструмент анализа результативности кампании, позволяющий скорректировать работу ПО. Так, по данным отчета McAfee Labs “Understanding Ransomware and Strategies to Defeat it”, некоторые ransomware-программы, предоставляемые в качестве сервиса, и, таким образом, доступные даже новичкам, имеют в комплекте инструменты оценки доходности.
Картинка с запросом денег за расшифровку
ПРИМЕР ИЗ ЖИЗНИ
Несмотря на некоторую сложность системного вредоносного ПО, практическая его реализация не представляет особых проблем для программиста средней руки или даже студента.
Например, не так давно один наш коллега после открытия "левого" письма в электронной почте столкнулся с вымогателем Ransom: Win32/Simlosap.A (другие названия: Trojan.Encoder.567; Win32/Filecoder.CQ). Анализ кода зловреда показал, что распространение трояна происходит в упакованном виде. Использовался самодельный упаковщик, написанный на Visual Basic. Сам ransomware-вымогатель был разработан с использованием компилятора Delphi 6.0-7.0. Для реализации основной задачи – шифрования троян применяет трехступенчатое шифрование RSA (768 бит), которое также было реализовано на Delphi. Для функционала работы с многоразрядной арифметикой привлекались сторонние библиотеки.
Шифрование файла устроено следующим образом. Первые 30 000 байт содержимого шифруются сложением по модулю 256 с гаммой, для генерации которой используется алгоритм хеширования MD5. Если длина содержимого больше 30 000 байт, в нем на случайных позициях находятся три блока длиной 1024 байт, которые шифруются алгоритмом RSA на сгенерированном в начале работы открытом ключе. Формируется определенная служебная информация, которая записывается в конец зашифрованного файла.
ВЫВОДЫ И ПЕРСПЕКТИВЫ
Как известно, даже идеально построенная система ИБ предприятия, к сожалению, не гарантирует 100% безопасности. Что уж говорить о рядовых пользователях, которые в большинстве случаев не имеют даже актуального антивирусного софта.
Если шифрование в коде ransomware-программы организовано правильно, то дешифрование данных оказывается крайне сложным и требует анализа кода и вскрытия алгоритма. Единственным надежным средством обезопасить данные от работы ransomware-вирусов остается грамотно построенное резервное копирование.
Можно прогнозировать бурный рост преступлений с использованием Ransomware, поскольку это и в самом деле весьма удобный и доходный способ криминального обогащения.
Ссылки:
www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ISTR2016_Ransomware_and_Businesses.pdf
https://www.bleepingcomputer.com/news/security/new-scheme-spread-popcorn-time-ransomware-get-chance-of-free-decryption-key/
www.mcafee.com/it/resources/white-papers/wp-understanding-ransomware-strategies-defeat.pdf