Популярность шифровальщиков привлекла внимание организованных преступных групп, с помощью этих зловредов они организуют целевые атаки на крупные организации для хищения денежных средств. В конце 2016 года мы выявили рост числа атак, главной целью которых был запуск шифровальщика на узлах сети и серверах организации. Это можно объяснить простотой организации таких атак и их высокой рентабельностью:
- Затраты на создание шифровальщика значительно ниже, чем на другие виды вредоносного ПО;
- Понятная модель монетизации;
- Широкий выбор потенциальных жертв.
Сегодня злоумышленник (или группа) может легко создать свой собственный шифровальщик, не прилагая для этого особых усилий. Яркий пример – криптор Mamba, в основе которого лежит DiskCryptor, ПО с открытым исходным кодом. Некоторые преступные группы даже не утруждают себя программированием и используют эту легальную утилиту, что называется, «из коробки».
Утилита DiskСryptor
Модель атаки обычно выглядит так:
- Поиск сервера организации с незащищенным RDP;
- Подбор пароля (или покупка доступа на черном рынке);
- Шифрование узла или сервера в ручном режиме.
Сообщение после шифрования сервера организации
Затраты на такую атаку минимальны, а прибыль может исчисляться тысячами долларов. По такой же схеме работают некоторые партнёры известных массовых шифровальщиков, с одним лишь отличием – для шифрования файлов они используют версию криптора, купленную у разработчика группы.
Однако на этом поле играют и настоящие профессионалы. Они тщательно выбирают цели (крупные организации с большим количеством узлов в сети), а сами атаки занимают несколько недель и проводятся в несколько этапов:
- Поиск жертвы;
- Выявление возможности проникновения;
- Проникновение в сеть организации с использованием эксплойтов для популярного ПО или троянцев на зараженных узлах сети;
- Закрепление в сети и исследование ее топологии;
- Получение необходимых прав для установки шифровальщика на всех узлах/серверах организации;
- Установка шифровальщика.
О шифровальщике одной из таких групп мы недавно рассказывали в одном из наших постов — PeterWrap.
Сообщение на экране машины, зараженной PetrWrap
Отдельно стоит отметить программный арсенал некоторых групп, который они использовали для проникновения и закрепления в сети организации. Так, например, одна из групп использовала публичные эксплойты для серверного ПО, использующегося на сервере атакуемой организации. После эксплуатации уязвимости, атакующие установили на системе PUPY RAT (RAT модуль с открытым исходным кодом).
Описание Pupy RAT
После закрепления в заражённой системе злоумышленники использовали mimikatz с целью получения необходимых прав, затем, используя PsExec, устанавливали шифровальщик по всей сети.
Из описанного выше можно сделать вывод, что сценарий заражения шифровальщиком при целевой атаке значительно отличается от обычного сценария заражения (запуск вредоносного вложения в почте, drive-by-атак и т.д.). Для обеспечения комплексной безопасности сети организации необходимо вести аудит ПО на всех узлах и серверах сети, а при обнаружении устаревшего ПО незамедлительно его обновлять. Также администраторам сети нужно убедиться, что все типы удаленного доступа надежно защищены.
Отдельно стоит отметить, что в большинстве случаев, целью атак являются именно сервера организации, что говорит о необходимости использования на них защитных решений. Кроме этого, должен быть налажен постоянной процесс резервного копирования: это поможет оперативно, с минимальными затратами, вернуть IT-инфраструктуру компании в рабочий режим.
Программы-вымогатели для целевых атак