рансъмуер

До 2021 г. киберпрестъпленията ще струват 6 трлн. долара според проучване на Cybersecurity Ventures. В тази зашеметяваща сума се включват не само печалбите на хакерите, но и всички разходи, които възникват покрай всяко отделно компютърно престъпление.

Когато една организация бъде заразена с рансъмуер, плащането на откуп не е единственият разход, който прави. Тя плаща за възстановяване на информационните системи и възстановяване на бизнес процеси. Това може да струва милиони. Атланта например трябваше да отдели 17 млн. долара от своя бюджет, за да погаси щетите, причинени от рансъмуера SamSam.

Компютърни престъпления като услуга

По-притеснителното обаче е, че днес почти всеки може да се превърне в киберпрестъпник. Моделът cybercrime as a service позволява на човек с компютър и достъп до интернет да си плати, за да използва готови инструменти за осъществяване на кибератаки.

Или пък да си купи данни за достъп до критична инфраструктура като сървъри и информационни системи.

А какво да кажем за възможността да се купят крадени акаунти за платежни услуги за части от стойността им?

„Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, казва Питър Трейвън, специален агент на ФБР.

А понякога и много по-малко. Компанията за информационна сигурност ESET дава пример с някои от най-популярните незаконни услуги, които се предлагат на черния пазар. Цените им варират от няколко долара до почти $ 2000.

Криптовируси под наем

На кого му е притрябвало да си пише сам криптовирус, когато може просто да си наеме такъв? Срещу определена сума желаещите получават готова онлайн услуга с интерфейс, който не изисква почти никакви технически познания.

Един такъв криптовирус е Ranion, който се предлага като онлайн услуга с месечни и годишни абонаментни планове. Срещу 1900 долара потребителят получава за една година пълна функционалност на рансъмуера, включително и опция за техническа помощ, ако е необходимо. Предлагат се и месечни планове за по 120 долара, както и други ценови оферти според нуждите и желанията на клиентите.

Друг популярен модел е този на споделените приходи. Това означава, че използването на рансъмуера е напълно безплатно, но авторите му вземат като комисион част от всеки платен откуп.

Споделени бот мрежи

Някои престъпници изграждат бот мрежи, които след това отдават под наем. Потребителите плащат, за да използват тяхната изчислителна мощ за извършване на DDOS атаки.

Цената на услугата зависи от продължителността на атаката, както и от трафика, който ще се генерира. Ако например някой иска да осъществи тричасова DDOS атака, това ще му струва около 60 долара.

В много случаи целта на тези DDOS атаки е да се извади от строя определен сървър или да се използват срещу популярни онлайн игри като Fortnite.

Достъп до хакнати сървъри

Има незаконни сайтове, които предлагат данни за достъп до сървъри от цял свят чрез RDP. Цените са пословично ниски и варират между 8 и 15 долара. В тези сайтове могат да се намерят и данни за достъп до сървъри в България.

Търсачките на сайтовете предлагат доста детайлно сегментиране. Може да се избира сървър по местоположение или операционна система.

Един от най-популярните такива сайтове xDedic беше свален от Европол и ФБР през януари 2019 г. Там се продаваха данните за достъп до десетки хиляди сървъри от повечето страни по света. Европол оценява щетите от xDedic на около 68 млн. долара.

Да си купиш краден PayPal

Престъпниците рядко използват PayPal акаунтите, които са хакнали, тъй като това е свързано с определени рискове. Вместо това те ги препродават на други престъпници.

Сделката е рискована (ако те хванат), но за сметка на това доходна. Според ESET цената на един хакнат PayPal акаунт е около 10% от стойността на парите в него. Така че ако някой иска да си купи краден акаунт с 2000 долара в него, той ще трябва да плати около 200 долара.

Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

Замирането на криптовирусите е мит

През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

WannaCry

WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

GandCrab

За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

NotPetya

NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

SamSam

SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

Lokibot

Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

Прочетете нашия съветник как да се предпазите от рансъмуер.

Американското правосъдно министерство обвини двама ирански граждани за организиране на рансъмуер кампанията SamSam, Досега тя е ощетила частни и държавни институции по цял свят с поне 30 млн. долара, твърди обвинението.

Заподозрени за автори на SamSam са Фарамарз Шахи Саванди и Мохамед Мехди Шах Мансури. Според обвинението те са създали първата версия на SamSam в края на 2015 и са започнали да проучват организации, които да атакуват.

„Заподозрените са използвали малуер, за да нанаесат щети за над 30 млн. долара на над 200 институции. Според обвинението заподозрените са пробили компютърни системи в 10 американски щата, както и Канада, и са искали откуп. Криминалната им дейност е ощетила държавни агенции, общински власти, болници и безброй невинни жертви“, коментира зам.главният прокурор Род Розенстийн.

В търсене на слаби места

Голяма част от рансъмуер кампаниите таргетират безразборно десетки и дори стотици хиляди потребители. SamSam се отличава с това, че атакува конкретни организации. За да постигнат това, неговите автори първо намират организации със слабо място. В повечето случаи това е уязвим компютър, който използва RDP(Remote Desktop Protocol) за отдалечен достъп.

Уязвимият компютър се използва като входна точка, през която SamSam се вмъква в компютърната мрежа на организацията и криптира данните, намиращи се на свързаните устройства. За да бъдат декриптирани, жертвите трябва да платят откуп, чийто размер може да варира от няколко хиляди долара до 50 хил. долара.

Обвинението твърди, че следвайки този модел Шахи Саванди и Мехди Шах Мансури са спечелили над 6 млн. долара от събрани откупи.

Нов криминален бизнес модел

SamSam е в основата на нов бизнес модел в компютърната престъпност според едно от последните проучвания на компанията за киберсигурност Sophos. Именно SamSam е дал началото на таргетираните атаки срещу институции, при които размерът на исканите откупи може да стигне стотици хиляди долари и дори да надхвърли 1 млн. долара.

Според американското правосъдно министерство активност на SamSam за последно е засечена на 25 септември 2018 г. На тази дата с рансъмуер беше атакувано пристанището в Сан Диего.

Основната цел на престъпниците, които работят с криптовируси, е да получат финансова изгода. Някои от тях обаче го правят с особена изобретателност.

Обикновено когато компютърът ви е заразен с рансъмуер, вие трябва да платите откуп, за да получите ключ, с който да дектиптирате данните на твърдия диск. Но BleepingComputer съобщава за криптовирус, който освен откуп в биткойн иска от жертвите да изпратят и… данни за отдалечен достъп до компютрите им.

Подобно искане е крайно необичайно. То предполага, че авторът му иска първо да прибере откупа, а след това да открадне и данните на жертвата си.

Това е като да откриете бележка в дома си: „Откраднахме телевизора ви. Ще си го получите обратно, ако ни платите 150 лв. Пратете и ключове за входната врата, за да можем да влезем и да ви го върнем“.

Едва ли ще дадете на крадци ключовете за дома си.

Рансъмуерът е докладван за пръв път на 30 октомври и е наречен CommonRansom.

#Ransomware Hunt: extension „.[<email>].CommonRansom“, note „DECRYPTING.txt“ has interesting instructions for the victim – https://t.co/pNPFZa8vBx pic.twitter.com/3BSAHSmGp8

— Michael Gillespie (@demonslay335) October 30, 2018

На заразения компютър се появява съобщение за откуп в размер на 0.1 биткойн. Но освен откупа жертвата трябва да изпрати на посочен имейл адрес и следните данни: IP адрес на заразения компютър, RDP порт и потребителско име и парола за администраторски достъп.

Да се предостави тази информация е изключително неразумно. Данните дават възможност на автора на рансъмуера да получи достъп до заразения компютър. Той може действително да декриптира файловете на твърдия диск, но едновременно с това може да ги копира или унищожи, да инсталира друг малуер на устройството и т.н.

Рансъмуерът продължава да е основна заплаха за потребителите в интернет. Според McAfee броят на новите варианти на криптовируси намалява от средата на 2017 г. досега.

Това не променя факта, че към юни 2018 г. са засечени почти 18 млн. различни версии на рансъмуер. Всяка от тях има потенциала да зарази хиляди индивидуални потребители и фирми.

Рансъмуерът все още e една от основните кибер заплахи за бизнеса. За това подсказва и статистиката. Около 26% от кибер застраховките през 2017 г. са срещу рансъмуер според финансовата група AIG.

Финансовите измерения на проблема също не са незначителни. Вземете за пример рансъмуера WannaCry, който взе жертви и в България. Точна оценка за загубите от този зловреден код няма, но според компанията за анализ и управление на риска Cyence щетите може да достигнат 4 млрд. долара.

Все повече атаки с рансъмуер таргетират конкретна фирма, а целта е да се криптират данните й и след това да се иска откуп за тях. Някои от последните рансъмуер атаки засегнаха организации, управляващи критична инфраструктура като пристанища, енергийни мощности и общински администрации.

Истината обаче е, че нито една фирма не е защитена от рансъмуер. Ето защо е важно да предприемете мерки, за да се предпазите от рансъмуер. Или от загубите, които ще последват при успешна атака.

Създайте стратегия за бекъп и възстановяване на данните

Много компании правят резервни копия на данните си. Това обаче не е достатъчно, за да ги спаси в случай на заразяване с рансъмуер. Всяка компания трябва да има стратегия за бекъп и възстановяване. Тя не включва само възстановяването на данните, а на цялостната среда на работа. Ако се ограничите само до бекъп на информацията, фирмата ви може да се окаже в ситуация, в която данните са възстановени, но информационните системи – не. Съответно целият бизнес не може да функционира. Стратегията за бекъп гарантира, че дори и рансъмуер атаката да е успешна, фирмата ще може да възобнови дейността си възможно най-бързо.

Използвайте софтуер против рансъмуер

Той наблюдава поведението на програмите и процесите, които се опитват да модифицират данните на служебните компютри. Ако засече съмнителни приложения или такива, които вече са идентифицирани като рансъмуер, софтуерът ги блокира.

Защитете достъпа до информационните ресурси през RDP

Remote Desktop Protocol (RDP) е популярна технология за отдалечен достъп до компютри. Само в България тя се използва от поне 6000 машини, показва справка в Shodan. Проблемът е, че RDP не е сигурна: паролите могат да се отгатват, а много администратори настройват системите така, че да са достъпни от всеки IP адрес на планетата. Ако хакер получи достъп до компютрите и сървърите на фирмата, той може да инсталира рансъмуер и да блокира информационните й системи. Ето защо добрата практика изисква да защитите достъпа през RDP до информационните ресурси на компанията.

Обучения на служителите

Голяма част от рансъмуер атаките стават заради неволни действия на служителите. Те получават имейл от непознат източник и решават да отворят прикачения в него файл, активирайки по този начин зловредния код. Едно обучение може да намали риска това да се случи.

Не плащайте подкупа

Практиката на повечето организации, които са пострадали от рансъмуер, е да не плащат искания откуп. Дори и да платите исканата сума, това не гарантира, че данните ви ще бъдат декриптирани. Вместо това може да получите искане за още пари. Плащането на откуп се счита за насърчване на престъпната дейност и затова препоръките са да не се прави.

Хакерите, които през 2015 г. оставиха стотици хиляди в Украйна без електричество, си имат наследник. Новооткритият зловреден код и групировката зад него носят името GreyEnergy. Според продължило три години проучване на компанията за киберсигурност ESET, организацията вероятно се занимава с шпионаж и подготвя нови кибератаки.

GreyEnergy е засечен от анализаторите на ESET при таргетирани атаки срещу организации в Украйна и Полша, които обаче не са нанесли значими щети. Името на заплахата е заигравка с BlackEnergy – зловреден код, който през декември 2015 г. предизвика авария в електроразпределителната мрежа на Украйна и остави 230 хил. души без електричество. „През последните 3 години забелязахме, че GreyEnergy таргетират организации в Украйна и Полша“, коментира Антон Черепанов, който оглавява разследването на ESET срещу хакерската организации.

Прочетете още: GreyEnergy: една от най-големите кибер заплахи се завръща с нов арсенал

Според Черепанов има редица сходства между зловредния код, използван от BlackEnergy и GreyEnergy. И в двата случая той е съставен от модули, целта му са едни и същи ораганизации и следите му са прикрити чрез Tor мрежата.

ESET вече предостави доказателства, че BlackEnergy има връзка с TeleBots, която таргетира организации не само в Украйна, но и по целия свят. През 2017 г. TeleBots влезе в новините заради рансъмуера NotPetya, който парализира дейността на компании в Украйна, Европа, Азия и Америка.

Засега GreyEnergy действа значително по-скрито в сравнение с BlackEnergy и TeleBots. Групата се ограничава основно до шпионаж и разузнаване, без да нанася поражения от мащабите, в които го правят BlackEnergy и TeleBots. Според ESET това означава, че в момента GreyEnergy проучва потенциални цели и се подготвя за бъдещи атаки.

Атаката с рансъмуера NotPetya и кибератаките срещу индустриални системи в Украйна са дело на една и съща група хакери. Това твърди компанията за киберсигурност ESET на базата на множество открити сходства в кодовете, използвани за двете атаки.

„Още когато Industroyer порази електроразпределението в Украйна се появиха спекулации, че има връзка между Industroyer и TeleBots. Но досега нямаше категорични доказателства за това“, коментира пред Welivesecurity Антон Черепанов, анализтор на ESET.

TeleBots са група хакери, която се счита за автор на атаката с NotPetya. Това е рансъмуер, който през юни 2017 г. нанесе значими поражения на организации от целия свят. Основни цели на NotPetya бяха украински банки и други организации, въпреки че рансъмуерът беше засечен и в страни като Германия, Полша, Италия, Великобритания и САЩ.

В края на 2016 г. Украйна пострада от друга мащабна кибератака. Тя беше осъществена с малуера Industroyer, създаден специално, за да таргетира индустриални системи за контрол. Атаката предизвика проблеми с електрозахранването в различни региони на Украйна. Това беше втората голяма атака срещу електроразпределителната мрежа на Украйна. Подобна атака се случи и в края на 2015 г.

Името на TeleBots беше спрягано като организатор на атаката с Industroyer, без да има категорични доказателства за това.

Сега от ESET вярват, че са открили такива. През април компанията е засякла опит на TeleBots да зарази система с бекдор, който който е подобрена версия на кода, използван за заразяване на индустриалните системи с Industroyer през 2015г. „Откритието ни показва, че TeleBots все още са активни и продължават да подобряват инструментите и тактиките, които използват“, коментира Черепаров.

Сравнение: вляво е кодът на използваният бекдор, наречен Exaramel. Вдясно е кодът, използван за активирането на Industroyer през 2015г. 

NotPetya влезе в новините заради мащабa на щетите, които нанесе. Някои от засегнатите компании – като спеидиторската фирма AP Moller-Maersk – съобщиха за загуби от порядъка на стотици милиони като резултат от NotPetya.

Рансъмуерът е една от основните заплахи за бизнеса, тъй като може да доведе до значими загуби на данни и да парализира дейността на цели компании. В края на септември рансъмуер блокира част от административните дейности на пристанището в Сан Диего.

По-рано през 2018 г. рансъмуерът SamSam доведе до блокиране на работата на Колорадския департамент по транспорта. Около месец по-късно същият малуер направи невъзможно за гражданите на Атланта да си плащат задълженията към кметството.

Последен ъпдейт на 4 октомври 2018 в 05:11 ч.

Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.

„Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.

Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.

Все повече атаки

Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.

[UPDATE]#PortofBarcelona has responded actively to the attack received, operating normally and without altering its seaside and land operations.

The Information Systems Department continues working to recover the functionalities, only internal, which have been affected.

— Port of Barcelona (@portofbarcelona) September 22, 2018

Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.

SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.

Парализа на ключова информационна инфраструктура

Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.

Какво могат да направят организациите

Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).