Новости о вирусе вымогателе

Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.

Содержание

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Как защитить бизнес от ransomware

Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet [2] . Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.

Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.

Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.

1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.

Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.

RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.

3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.

Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.

4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.

5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?

6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.

Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.

7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.

8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.

9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.

10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.

Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.

11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

Защита от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

No More Ransom

Когда в середине декабря прошлого года появились первые сообщения о зараженных новым видом коронавируса, люди по всему миру с интересом обсуждали его предположительный источник распространения — стихийный рынок в китайском городе Ухань, постоянными покупателями которого вполне могли бы стать колдуньи из детских сказок, снующие мимо лавок в поисках ингредиентов для волшебного зелья. На оптовом рынке животных и морепродуктов можно было найти любую экзотику: жареных змей и летучих мышей, павлинов и гигантских саламандр, крыс и волчат. Гастрономические предпочтения китайцев перестали быть предметом праздного любопытства как только в январе Ухань закрыли на карантин, а ВОЗ признала распространение Covid-19 чрезвычайной ситуацией в области общественного здравоохранения, имеющей международное значение.

Новости по теме

Новая инфекция уже давно пересекла границы Поднебесной, и хакеры этим воспользовались — первой жертвой оказались компьютеры японцев. В конце января к ним на почту стали приходить письма от фейковых центров общественного здравоохранения Японии и службы социального обеспечения инвалидов, в которых шла речь о подозрении на новые случаи заражения коронавирусом с прикрепленным "вордовским" файлом-описанием соответствующих мер профилактики. Однако невинный на первый взгляд документ содержал макросы (набор пользовательских инструкций с заданной командой для их выполнения), активирующие процесс загрузки трояна Emotet. На зараженном компьютере он позволяет в любой момент устанавливать и удалять другие вредоносные программы (например, вирусы-вымогатели) и, получив доступ к списку электронных адресов, может дальше самораспространяться через спам-рассылку, объединяясь с другими зараженными ПК в ботнет: в руках злоумышленников такая сеть становится инструментом для майнинга криптовалют или целевых DdoS-атак.

При этом неискушенный в хакерских приемах пользователь может даже не догадываться о заражении своего ПК, поскольку некоторые вирусы работают незаметно и могут долгое время не давать о себе знать. "Примерно 80% компьютеров по всему миру чем-то заражены. А похищенные данные и саму ботсеть хакеры, как правило, просто продают в Даркнете. Там же за 5-10 тыс. долларов можно купить "незаметный" вирус, который видоизменяют так, чтобы его исполняемый код не определялся антивирусом и не вписывался в шаблоны уже обнаруженных вредоносных программ. Для этого используются различные методы шифрования и новые алгоритмы кодировки", - сообщает директор по кибербезопасности компании IT Specialist Дмитрий Петращук.

С начала февраля нарастает популярность доменных имен, которые содержат слова coronavirus и Covid-19, а особый всплеск эксперты RiskIQ наблюдали после объявления пандемии: 15 марта было зарегистрировано 13,5 тыс. таких адресов, а на следующий день — уже 35 тыс. В погоне за кликбейтами и вниманием пользователей к этой акции присоединились и хакеры.

Новости по теме

По разным оценкам экспертов, до 10% "коронавирусных" доменных имен содержат в себе потенциальные угрозы для ПК. Многие из них попадают в блэклисты поисковых систем и браузеров, однако этот процесс уже не остановить: в среднем ежедневно появляется по 2 тысячи новых подобных адресов.

Специализированный сервис Maltiverse на этот момент выявил свыше 130 скомпрометированных ссылок, исполняемых файлов и различных документов, которые содержат в своем названии слова "coronavirus" и "COVID-19" и являются источником заражения. А компания Trend Micro в отчете об обнаруженных киберугрозах за первый квартал 2020 года сообщила о 199,4 тыс. спам-письмах и 198 тыс. разосланных по всему миру вредоносов, при этом их количество будет неуклонно продолжать расти.

"Чтобы подобраться к жертве, хакеры всегда пользовались громкими инфоповодами: будь то печально известное событие 11 сентября, президентские выборы в Америке или запуск "Теслы" в космос. Однако обычно это касалось масштаба одной страны или континента. Текущая хакерская активность на этом фоне очень сильно отличается: режим карантина введен почти во всем мире, не считая, может быть, каких-то африканских стран. Помимо такой масштабности проблемы, людей объединяет еще и общая обеспокоенность за свое здоровье перед смертельным коронавирусом. Чем компьютерные злоумышленники и не преминули воспользоваться", - говорит Дмитрий Петращук.

По ту сторону файрволла

Когда страны только начали закрывать свои границы на въезд и выезд, жертвы хакеров уже начали получать по почте спам с предложением перейти по фишинговой ссылке, чтобы уточнить данные об авиаперелетах и забронированных гостиничных номерах: злоумышленники таким образом воровали у невнимательных пользователей учетные данные.

Но с объявлением пандемии их "боевая" тактика поменялась: вирусная спам-рассылка проходит под фейковой маской авторитетных отправителей, которыми стали Центры по контролю и профилактике заболеваний (СDC), Всемирная организация здравоохранения (WOH), Австралийская медицинская ассоциация (AMA) и министерства здравоохранения в разных странах.

Фишинговые письма предлагают ознакомиться с обновленными статистическими данными по распространению коронавируса, медицинскими исследованиями на этот счет и рекомендациями по профилактике заболевания. Акцентируя внимание на важности информации, сообщения предлагали срочно ознакомиться с вложением: это мог быть уже готовый исполняемый файл (например, Coronavirus Disease (Covid-19) CURE.exe) или менее подозрительный текстовый документ или архив (например, CoronaVirusSafetyMeasures_pdf).

Среди прочих таким образом распространялся с начала февраля вирус-вымогатель Netwalker, шифрующий системные файлы и требующий выкуп. По экспертным оценкам, он поразил 10% всех организаций в Италии, а также атаковал логистическую компанию Toll Group, веб-сайт района общественного здравоохранения Шампейн-Урбана в штате Иллинойс, университетскую больницу Брно в Чехии и множество испанских госпиталей. Впрочем, исследования компаний по кибербезопасности показывают, что заражение "компьютерным" коронавирусом происходят по всему миру повсеместно, и у него тоже существуют свои разновидности.

Так, помимо вымогателей, безобидное на первый взгляд письмо от профессора и доктора медицины может содержать самораспространяющиеся модульные трояны, которые способны при желании хакера выполнять почти любые трюки с компьютером (Emotet и Trickbot) или средства удаленного доступа, которые формируют ботсети, делают скриншоты, отслеживают нажатия клавиш, собирают учетные данные, историю браузера и похищают биткоин-кошельки (AgentTesla, Formbook, Hawkeye, BlackNET).

Недавно плеяду вредоносного программного обеспечения пополнил "фирменный" CoronaVirus, которого в середине марта эксперты MalwareHunterTeam обнаружили на фишинговом сайте компании WiseCleaner, предоставляющей полезные утилиты и ПО. После скачивания вирус-вымогатель зашифровывает данные и переименовывает диск C: в CoronaVirus и при перезагрузке компьютера блокирует экран, а за восстановление данных требует выкуп в размере 0,008 биткойна (примерно 50 долларов).

Интересно, что медики стали не только прикрытием для хакерских операций, но и их главной мишенью. Так, атаки на компьютерную систему ВОЗ за время эпидемии участились вдвое, хоть и не увенчались успехом. 15 марта киберпреступники попытались дискредитировать меры по борьбе с коронавирусом и атаковали Министерство здравоохранения США. А хакерская группировка Maze заразила вирусом-вымогателем сеть британской исследовательской фирмы Hammersmith Medicines Research, которая взялась за разработку вакцины против Covid-19.

Такую странную политику в киберпространстве компьютерные злоумышленники объясняют просто: здоровье – превыше всего, но это не повод наживаться на вирусе заинтересованным лицам.

Война миров

Впрочем, во время пандемии хакерские группировки действуют не только во имя самопровозглашенных гуманистических девизов, но и в интересах государственных спецслужб. Так, специалисты по кибербезопасности корпорации Malwarebytes сообщили 16 марта о том, что спонсируемая пакистанским государством хакерская группировка APT36 от имени Министерства здравоохранения Индии рассылает спам с трояном удаленного доступа Crimson RAT, который должен похищать учетные данные и информацию о системных параметрах с компьютеров в индийских правительственных учреждениях.

В отчетах о глобальных киберугрозах упоминаются и другие инциденты: севернокорейская хакерская группировка Kimsuky в конце февраля устроила подобную спам-рассылку для южнокорейских чиновников, а китайские группировки Vicious Panda и Mustang Panda – для правительства Вьетнама.

Украина тоже оказалась полигоном для хакерских атак, причем, по признанию экспертов, весьма изощренных. По данным компании по кибербезопасности QiAnXin, российские хакерские группировки Hades и TA 542 сперва воспользовались дезинформацией об угрозе проникновения коронавируса в Украину. В сети появились сообщения о якобы зараженных иностранцах, из-за чего в некоторых городах наши соотечественники стали перекрывать доступ к больницам, а в Новых Санжарах начались массовые беспорядки. На фоне всеобщей растерянности и паники хакеры устроили спам-рассылку от имени Центра общественного здравоохранения МОЗ Украины с "последними достоверными данными о коронавирусе".

Письмо быстро распространилось по сети и стало вирусным, а в прикрепленном документе содержался C# бэкдор, предоставляющий злоумышленникам удаленный доступ к ПК.

Под красивой обложкой

Однако уловки хакеров не ограничиваются спам-рассылкой по электронной почте: жертв приманивают новыми предложениями и услугами.

Кроме того, известно об онлайн-картах распространения Covid-19 с интерактивными статистическими данными, при взаимодействии с которыми ПК заражается трояном удаленного доступа AzorUlt.

Для своих хакерских замыслов злоумышленники часто используют примитивные методы социальной инженерии, манипулируя простыми человеческими чувствами.

Спам с призывом "Коронавирус: действуй сегодня или все люди умрут" переводит ошарашенного пользователя на фишинговый сайт Microsoft, который требует залогиниться (то есть "слить" свою учетную запись хакерам через фейковую форму авторизации).

Коронавирусная эпидемия сделала медицинские маски и антисептики дефицитным товаром, и на желании защититься от заражения сыграли хакеры. Зная запросы целевой аудитории, на электронную почту приходили письма с предложением приобрести надежные защитные маски. Обрадовавшемуся пользователю оставалось только ввести свои банковские данные в соответствующей форме…

Как сообщают в Sky News, таким образом киберпреступники смогли выманить у одних только жителей Великобритании около миллиона долларов. При этом все время появляются новые мошеннические схемы.

Например, до сих пор работает фишинговый сайт американской компании Healthcare workforce logistics: она предлагает помощь медицинским учреждениям, которые в связи с пандемией Covid-19 испытывают недостаток в персонале. К подлинной ссылке хакеры добавили домен верхнего уровня blog., где веб-ресурс предлагает заполнить анкету с учетными данными компании и получить "стандартное соглашение HWL COVID-19".Вероятно, за этой корпоративной информацией и охотятся злоумышленники.

В то же время жертвой коронавируса может стать не только ПК, но и смартфон: специалисты в сфере кибербезопасности неоднократно сообщали о фейковых мобильных приложениях, которые могут уведомлять о приближении зараженных коронавирусом или предлагают приобрести эксклюзивную маску (например, Coronavirus Finder, COVID 19 TRACKER, Coronasafetymask).
Однако телефон оказывается более защищенным перед грозным видом байтового вируса, чем компьютер: во-первых, как правило, эти приложения доступны не в официальном маркете GooglePlay, а при переходе по соответствующей ссылке в браузере; во-вторых, что-то неладное можно заподозрить во время установки приложения, которое постепенно запрашивает доступ все к новым и новым ресурсам телефона, пытаясь заполучить права администратора устройства. Так, банковский троян-вымогатель под видом полезного приложения пытается подступиться к правам блокировки экрана — это нужно якобы для своевременного уведомления пользователя о приближении зараженного коронавирусом. Однако на деле смартфон в какой-то момент превращается в заблокированный бесполезный "кирпич" с требованием о выкупе. Эксперты по кибербезопасности сообщают также о том, как вредоносное ПО предназначалось для спам-рассылок по всей книге контактов и шпионажа через камеру и микрофон.

"Чтобы обезопасить свой компьютер от заражения, следует для начала использовать другую учетную запись без прав администратора (или создать учетную запись пользователя с ограниченными правами), чтобы случайно не установить вредоносные программы. Кроме того, свободная учетная запись админа дает возможность восстановить важные данные и не потерять полностью контроль над происходящим в компьютере. В целом, компании по кибербезопасности не сидят на месте: происходит постоянная борьба, если можно так выразиться, с хакерами. Одни работают над созданием средств киберзащиты, другие — ищут способы их обойти, и так все время. Как правило, через несколько дней после обнаружения и анализа экспертами нового вредоносного ПО информация о нем уже появляется у антивируса. Поэтому антивирусное программное обеспечение надо тоже постоянно обновлять, как и другое программное обеспечение в целом, чтобы закрывать обнаруженные уязвимости", - советует Дмитрий Петращук.

Как хакеры блокируют базы данных больниц, сражающихся с COVID-19

Начну с деталей сюжета. После того как волна атак вирусов-вымогателей вывела из строя компьютерные сети медицинских учреждений в Соединенных Штатах и Евросоюзе, информационный портал BleepingComputer 18 марта связался с семью самыми крупными в мире операторами таких вирусов (да-да, не удивляйтесь: киберурки давно организованы и действуют по лекалу легитимного бизнеса — официальные представительства, системные администраторы, пресс-службы, советы директоров — все как у взрослых, но только полностью анонимно) и поинтересовался, есть ли у них остатки совести, в том смысле, что собираются ли они и дальше вымогать деньги из больниц, в которых работа ведется в авральном режиме.

Из семи операторов вирусов-вымогателей лишь два (Maze и DoppelPaymer) заявили, что собираются на время воздержаться от атак на медицинские учреждения. Правда, уже через неделю после данного обещания Maze выложила в открытый доступ в интернете паспортные данные и медицинские карты добровольцев, участвовавших в экспериментах по разработке вакцины от коронавируса, проводимых британской компанией Hammersmith Medicines Research.

Причина слива информации:

британские исследователи отказались платить выкуп, после того как Maze вывела из строя их корпоративную сеть.

Паспорта и медкарты — это предупреждение. Следующим шагом, вероятно, станет предание гласности финансовой документации и ноу-хау научных наработок. До этого, впрочем, дело не дойдет, и Hammersmith Medicines Research, подобно остальным, заплатит вымогателям.

Оператор вируса-вымогателя Ryuk обращение BleepingComputer вообще проигнорировал и продолжил заниматься своим ремеслом: в марте оператор Ryuk Ransomware атаковал 10 медицинских учреждений, в том числе сеть, обслуживающую девять больниц.

в Даркнете продаются образцы зараженной коронавирусом крови, предварительно впрыснутой в кровеносную систему летучих мышей,

но, думаю, это уже лишнее. Никакой ценной информации для осмысления феномена самоопускания на дно новые детали не принесут: и так ясно, что дальше опускаться некуда.

Анализ предлагаю начать с краткой предыстории. Первый вирус-вымогатель (ransomware) появился в 2005 году. Это был простенький код-троян под названием Trojan.Winlock\LockScreen, который заражал компьютер пользователя, прописываясь в секторе автозагрузки диска.

Пользователь не мог работать, потому что экран целиком закрывало сообщение о якобы совершенных им незаконных действиях. Для избавления от баннера предлагалось заплатить скромный выкуп — отправить платную эсэмэску, пополнить чужой мобильный счет и прочие детские шалости.

К тому времени, как Микрософт залатала самые одиозные дыры в защите своей ОС, хакеры набрались опыта, поднаторели и перешли к взрослым действиям. Отныне вирусы-вымогатели не разменивались на ерунду вроде загрузочных секторов диска, а шифровали ассиметричным ключом уже целиком содержание дисков — начиная с программ и заканчивая всеми документами пользователя.

Очень кстати подоспела криптореволюция, качественно облегчившая монетизацию выкупа, и понеслось: в феврале 2013 года вирус-вымогатель CryptoLocker вытянул из пользователей 27 миллионов долларов. Petya (март 2016 года) требовал выкуп в размере 0,9 биткойна (380 долларов по текущему на тот момент обменному курсу). Misha соглашался расшифровать диски пользователя уже за 1,93 биткойна (875 долларов).

В 2017 году в истории вирусов-вымогателей случилась значимая метаморфоза:

модификация Petya, получившая прозвище NotPetya, массово атаковала украинские банки, аэропорты, электростанции, правительственные сайты и даже Чернобыльскую АЭС,

однако делалось это не ради выкупа, а ради нанесения максимально возможного вреда атакованным предприятиям. NotPetya хоть и требовал для проформы выкуп в 300 долларов, однако, независимо от того, выплачивался он или нет, зашифрованные данные не восстанавливались, поскольку изначально возможность дешифрации не предусматривалась.

Фото: РИА Новости

Современные вирусы-вымогатели — Ryuk, Sodinokibi — достигли зловредного совершенства: они точечно атакуют корпоративные структуры и шифруют диски так, что не оставляют практически никаких шансов на восстановление без выкупа. При этом выкуп устанавливается астрономический — от 15 до 50 биткоинов.

13 апреля оператор вируса-вымогателя Sodinokibi заявил об отказе от получения выкупа в биткойнах и переходе на полноценную анонимную криптовалюту Monero. Можно не сомневаться, что за Sodinokibi последуют и остальные вирусы-вымогатели, поскольку, в отличие от биткойна, блокчейн анонимных криптовалют не позволяет идентифицировать ни адрес отправителя, ни адрес получателя, ни сумму перевода, ни географическое местоположение участников транзакции.

Теперь вопрос: кто стоит в реальности за кибербандами? По мнению официальных американских ведомств,

архивраг — это Северная Корея,

которая крышует легендарную хакерскую группу Lazarus, взломавшую с февраля 2017-го по сентябрь 2018 года 13 криптобирж на общую сумму 882 миллиона долларов.

Equation Group госзаказ исправно выполнила: создала эксплойт EternalBlue и бэкдор DoublePulsar. В 2017 году хакерская группировка The Shadow Brokers взломала информационную систему Агентства национальной безопасности и выложила в открытый доступ и правду-матку о сотрудничестве АНБ с Equation Group, и сам код эксплайта и бэкдора.

Именно этот украденный у АНБ код использовала Lazarus Group для создания вируса-вымогателя WannaCry.

Такой вот замечательный творческий симбиоз случился у сторонников Ким Чен Ира с борцами за торжество мировой демократии.

Предлагаю, однако, оставить мастеров плаща и кинжала в покое, поскольку эти хтонические миры изначально пребывают вне всякой этики. Достаточно ознакомиться с историей любой разведслужбы любой страны любой эпохи, чтобы понять: все они — близнецы-братья. У них общая логика и общая мораль. Вернее, отсутствие всякой морали в принципе. Видимо, без этого условия невозможно эффективно выполнять возложенные на эти структуры обязательства.

Фото: РИА Новости

Оператор Netwalker Ransomware заявил BleepingComputer, что не ставит перед собой задачу целенаправленно атаковать больницы и медучреждения, и, если чья-то сеть оказалась зашифрованной их вирусом, то наверняка это случилось по ошибке.

Новости о вирусе вымогателе

Содержание

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Как защитить бизнес от ransomware

Защита от целевых атак шифровальщиков

No More Ransom

Новости по теме

Новости по теме

Новости по теме

Новости по теме

По ту сторону файрволла

Война миров

Под красивой обложкой

Читайте также