WannaCry, NotPetya, Bad Rabbit и другие продемонстрировали силу ransomware, и новые коварные приемы будут только расширять масштабы проблемы.

2017-й стал годом ransomware. Хотя вредоносные программы, зашифровывающие файлы, в той или иной форме существуют почти три десятка лет, за последние несколько месяцев они превратились из вопроса кибербезопасности в общественную угрозу. В сентябре этот термин даже вошел в словарь Merriam-Webster.

Нынешний год особенно отмечен летним сезоном ransomware — хотя уже инциденты 2016 г. продемонстрировали организациям потенциальные опасности шифровальщиков как в операционном, так и финансовом плане, их угроза показала себя в полную силу на протяжении шести недель мая и июня 2017-го.

Сначала сотни тысяч систем по всему миру поразил вредонос WannaCry, распространявшийся в форме сетевого червя благодаря использованию уязвимости, информация о которой была украдена хакерами у АНБ США. От него особенно пострадала Государственная служба здравоохранения Великобритании, в результате чего тысячи пациентов не смогли получить своевременную помощь.

Через несколько недель разразилась еще одна глобальная эпидемия ransomware в форме вируса Petya с аналогичным функционалом червя, дополненным возможностью необратимого уничтожения данных на инфицированных системах.

Хотя конечным предназначением этих вредоносов был заработок на выкупе, ни одна из кампаний не стала в этом плане успешной. Те, кто стоял за WannaCry (по подозрению разведывательных служб атака исходила из Северной Кореи), в конечном счете сумели выручить из связанных с атакой биткоин-кошельков около 140 тыс. долл., что является довольно жалкой суммой, учитывая масштабы и последствия кампании.

Однако реальный итог атак WannaCry и Petya заключается в том, что теперь всем стали ясны нынешние масштабы проблемы ransomware. И это лишний раз подтвердили недавние атаки в России и Украине шифровальщика Bad Rabbit, показавшие, что вирусописатели продолжают работать над новыми версиями вымогательских программ.

Ransomware как отвлекающий маневр

Мы уже видели, как заражение шифровальщиком может сопровождаться другими разрушительными действиями. Например, в функционале Petya имелся «стиратель», предназначенный для необратимого уничтожения данных в инфицированных системах. Это тактика коварства — в то время как шифровальщик выставляет себя как неотложную проблему, параллельно происходят какие-то другие фоновые действия.

«Ransomware может быть внешне видимым публичным образом происходящего, который запугивает пользователей, но когда ваше внимание полностью этим отвлечено, за кулисами может совершаться целый ряд других вещей, например, инфильтрация в системы, вывод данных или перевод денежных средств», — говорит Пери Карпентер, директор по стратегии компании KnowBe4, работающей в сфере безопасности.

Это подразумевает, что инфекция шифровальщика может оказаться лишь наименьшей из ваших проблем. Проникновение трояна или кража реквизитов доступа могут открыть злоумышленникам полный доступ к сети даже после того, как проблема восстановления от действий шифровальщика будет решена, и может статься, что организации сдадутся и заплатят выкуп преступникам, которые сохранят возможность распоряжаться уязвимостями их сети.

Другим потенциальным исходом такого чрезвычайного происшествия является шифрование ваших данных в сочетании с их кражей.

Ransomware вместе с шантажом

«Как еще некто мог бы использовать доступ к вашему компьютеру, чтобы делать деньги? Я думаю, будет все больше случаев, когда ransomware станет не просто зашифровывать данные с предложением „заплати и получишь обратно“, но и будет средством доксинга — сбора секретной информации с угрозой ее публикации в Интернете, если вы не заплатите требуемую сумму», — говорит Марк Дюфресн, директор по исследованию угроз и предотвращению враждебных действий компании Endgame, специализирующейся на безопасности.

Эта тактика уже освоена в некоторых семействах вымогательских программ. Например, одна из разновидностей вымогателя для Android уже использовала угрозу раскрыть приватную информацию жертвы ее контактам как средство «стимулировать» уплату выкупа. Между тем некоторые формы вредоносов уведомляют, что могут видеть, какие веб-сайты посещались жертвами, хотя на сегодняшний день маловероятно, что ransomware действительно имеет эту возможность.

«Налаженное резервное копирование эту проблему не решает. Если в вашем почтовом ящике имеется компрометирующая переписка, либо что-то тайное или сомнительное, у вас будет побудительный мотив заплатить выкуп, чтобы это не выплыло наружу», — говорит Дюфресн.

Корпоративное ransomware

Еще одной потенциальной тактикой преступников может стать охота на корпоративную инфраструктуру. Ограничивать работников в использовании ПК плохо, но попадание шифровальщиков в критические системы может стать крайне разрушительным для бизнеса и чрезвычайно прибыльным для преступных элементов.

«Нам предстоит увидеть усиление фокуса на концепцию корпоративного ransomware, когда оно уже не будет избирать мишенью один конкретный ПК, а будет пытаться распространить заразу по всей организации и поразить как можно больше систем», — считает Дмитрий Альперович, сооснователь и директор по технологии работающей в области безопасности компании Crowdstrike.

Это определенно потребует больших усилий, чем создание шифровальщиков, случайно распространяющихся через почтовые рассылки, однако увеличит денежный выигрыш.

«Вряд ли организация будет раздумывать, если дело стоит нескольких сотен тысяч долларов. Я не сомневаюсь, — говорит Альперович, — что если выкуп составит десять миллионов, его все равно заплатят. Когда ваш бизнес рушится на глазах и вам предстоят убытки в миллионы долларов, все разумные соображения отпадают, и если вы сможете, вы заплатите сколько надо, причем совет директоров и CEO примут такое решение без всяких колебаний».

Новые сетевые атаки

Однако не каждая киберпреступная группа будет тратить время и ресурсы для нападения на конкретные мишени, и шифровальщики будут продолжать распространяться случайным образом через спам-рассылки, потому что это все еще работает.

И, как продемонстрировали инциденты 2017 г., их эффект будет усиливать использование SMB-эксплойтов типа EternalBlue или EternalRomance, помогающих ransomware с минимальными усилиями распространяться по сети.

Киберпреступники вовсе не собираются забывать про такие эксплойты. Bad Rabbit в очередной раз продемонстрировал, как много организаций попросту игнорирует критические патчи, выпущенные более полугода назад, так что злоумышленники могут вольготно эксплуатировать недавно обнаруженные уязвимости, пользуясь небрежностью предприятий и пользователей в отношении установки обновлений.

«Я бы хотел отметить высокий риск того, что создатели вредоносного ПО будут усиливать его возможности распространения по сетям. Они будут заниматься своим обычным делом — будь то шифровальщики или другие вредоносы — но с акцентом на сетевое распространение», — говорит Холи Уильямс, руководитель группы тестирования на проникновение компании ‎Sec-1.

Утечка эксплойтов АНБ сыграла важную роль в передаче самораспространяющихся вредоносов: WannaCry использовал SMB-уязвимость EternalBlue, а BadRabbit эксплуатировал EternalRomance. Однако авторы шифровальщиков смогут найти новые средства атак на сети и без утечек из АНБ.

«Существует куда больше методов, которые могут использоваться вредоносами для распространения по сетям, и несколько из них задействовал NotPetya — одну опубликованную уязвимость и другие функции, о которых мы давно знаем по тестам на проникновение. Возможность извлекать из системы реквизиты доступа в виде простого текста — как это делал NotPetya — известна с 2012 г. Уязвимости меняют свой порядок приоритетов», — говорит Уильямс.

Хотя 2017 г. многие будут считать годом, когда шифровальщики были признаны реальной угрозой, он может стать предвестником наступления еще худших времен.

«Вы увидите, как преступники все лучше понимают, где находятся большие деньги. Это не несколько тысяч, а миллионы долларов, и это меняет игру», — говорит Альперович.

Версия для печати