Александр Герасимов, Awillix: Как устроен рынок шифровальщиков

На форумах в даркнете, где анонимно общаются хакеры и мошенники, увеличивается число обсуждений, касающихся распространения вредоносного ПО. Речь о программах-вымогателях, которые, попадая на компьютер, переводят все данные в нечитаемый вид и предлагают пользователю ввести ключ, чтобы вернуть все обратно. Для расшифровки данных мошенники обычно требуют перевести деньги на биткоин кошелек. Как правило, после оплаты код либо не приходит, либо оказывается фейковым. О мире шифровальщиков рассказал директор по информационной безопасности и сооснователь Awillix Александр Герасимов.

Александр Герасимов

Директор по информационной безопасности и сооснователь Awillix.

Эксперт в области тестирования на проникновение и анализа защищенности.

Раньше группировки мошенников чаще атаковали систему процессинга банков, чтобы получить доступ к деньгам. Сейчас – вступают в партнерскую программу операторов-шифровальщиков и массово распространяют вредоносное ПО, чтобы больше заработать на вымогательстве.

По данным исследования Group-IB:

«За последний год появилось 7 из 15 партнерских программ для атак на компании от операторов шифровальщиков, что сформировало рынок продажи доступов в корпоративные сети. В интервале H2 2019 — H1 2020 количество выставленных на продажу доступов увеличилось в 2,6 раза. Если за прошлый период было 138 подобных лотов, то за текущий их число выросло до 362. Растет и количество злоумышленников, активно продающих доступы в корпоративные сети. В 2019 году таких продавцов было 50, а в первой половине 2020 года их стало 63».

Структура рынка вредоносного ПО

Черный бизнес шифровальщиков сейчас представляет собой большую и сложную экосистему: одни люди разрабатывают модификации вредоносного ПО, другие помогают их распространять. Есть операторы, которые связывают создателей с исполнителями и получают комиссию с продаж. Так появляется множество партнерских программ.

Объявление о незаконных продуктах в теневом интернете размещается на нескольких крупных площадках и мелких тематических ресурсах, где киберпреступники общаются и заключают сделки. Обычно там размещают приглашения присоединиться к партнерской программе или рекламу исходного кода программ для сборки шифровальщика. После вступления в программу можно распространять готовое вредоносное ПО, не обладая особенными навыками — нужно лишь указать биткоин кошелек и ждать выкуп от жертвы, не забывая платить партнерам процент с каждой сделки. 

Иногда, чтобы усилить давление на жертву перед шифрованием, преступники крадут данные системы и угрожают опубликовать, если жертва отказывается платить выкуп. 

Важно сказать, что есть группировки, которые проводят весь цикл взлома без привлечения партнеров. При появлении новой уязвимости, они в автоматическом режиме сканируют весь спектр IP-адресов, используя удаленный рабочий стол. Затем эксплуатируют уязвимость и проникают в инфраструктуру, где также автоматически распространяют вредоносное ПО.

Вымогатели редко выбирают в качестве жертв конкретные организации. Злоумышленники только после вторжения понимают, кого им удалось взломать и могут ли они рассчитывать на получение выкупа. Поэтому их атаки лишь условно можно считать целевыми. Чем больше удастся распространить вредоносное ПО, тем больше они смогут заработать в итоге. 

Что делать, если шифровальщик проник на компьютер?

Также довольно-таки часто вредоносные объекты попадают в корпоративные сети федеральных компаний, медицинских и образовательных учреждений. В таких случаях организациям либо приходилось платить выкуп, либо обращаться за помощью к специалистам.

Специалисты по расследованию подобных инцидентов называют реверс-инженерами. Они могут «посмотреть» внутренности программы и найти способ расшифровать данные, не зная исходный ключ. Например, самостоятельно сгенерировать его.

Также в расследовании могут помочь вирусные аналитики. Они умеют находить различные цифровые отпечатки. Например, определять к каким IP-адресам или доменным именам обращается шифровальщик. Эта информация помогает быстрее найти злоумышленников.

Как защититься от атак?

Методы и способы доставки вирусов-шифровальщиков постепенно усложняются: злоумышленники маскируют угрозы под официальное банковское приложение, новую версию обновления Adobe Flash Player или Oracle Java. Но одним из самых популярных способов распространения шифровальщиков остается фишинг.

Например, менеджеру по продажам пришло письмо от клиента с деталя сотрудничества и подозрительным файлом. Менеджер открывает документ – и на его компьютер попадает вредоносная программа, которая собирает всю информацию о клиентах, договорах и уникальных технологиях компании, а затем шифрует данные на диске.

Сотрудник не знал, что его действия могут помочь киберпреступнику проникнуть в корпоративную сеть. Однако тот, кто отправил ему злополучный файл, четко понимал, что происходит. По такому принципу проходит большое количество атак.

— Не открывайте подозрительные файлы и не переходите по ссылкам в электронных письмах. Скачивайте программы только с официального сайта разработчика или с других проверенных ресурсов.

— Вовремя устанавливайте обновления, чтобы не стать жертвой злоумышленников.

— Делайте резервные копии важных файлов.