История года 2019: города в осаде вымогателей

Программы-вымогатели атакуют частный сектор уже на протяжении многих лет.

Все больше компаний осознают необходимость применения мер безопасности, но и киберпреступники научились точно определять цели, в защите которых есть изъяны. За последние три года доля пользователей, атакованных программами-вымогателями, по отношению ко всем случаям обнаружения вредоносных программ возросла с 2,8 до 3,5%. Эти цифры могут показаться незначительными, но важно помнить, что программы-вымогатели могут нанести очень серьезный ущерб зараженным системам и сетям, поэтому эту угрозу ни в коем случае не следует недооценивать. Доля целей программ-вымогателей по отношению ко всем жертвам вредоносного ПО постоянно колеблется, однако просматривается тенденция к уменьшению: 2,94% в I квартале 2019 года по сравнению с 3,53% два года назад.

Общее количество ежегодно атакуемых пользователей изменилось. Согласно наблюдениям экспертов «Лаборатории Касперского», целями программ-вымогателей в каждом полугодии становятся от порядка 900 тыс. до 1,2 млн пользователей.

Несмотря на то что среди шифровальщиков периодически попадаются исключительно сложные образцы, общая схема их работы весьма проста: зловред превращает файлы на компьютере жертвы в нечитаемые зашифрованные данные, после чего требует выкуп за ключи расшифровки. Эти ключи создаются самими злоумышленниками и могут быть использованы для расшифровки файлов и возврата данных к первоначальному состоянию. Без ключа работа на зараженном устройстве невозможна. Вредоносная программа может распространяться самими создателями, либо же они могут продать ее другим злоумышленникам или своим партнерским сетям — «сторонним распространителям», которые делятся частью доходов от успешных атак с владельцами технологии.

В 2019 году активность атак вымогателей в значительной степени сместилась в сторону новой цели — муниципальных служб. Пожалуй, наиболее масштабным и широко обсуждавшимся инцидентом стала атака в Балтиморе — город стал жертвой широкомасштабной вымогательской кампании, в результате которой многие службы были парализованы, а на восстановление IT-инфраструктуры города потребовались десятки миллионов долларов.

Согласно общедоступной статистике и заявлениям, отслеживаемым экспертами «Лаборатории Касперского», в 2019 году целями программ-вымогателей стали по меньшей мере 174 муниципальные структуры. Таким образом, по сравнению со статистикой прошлого года количество атак программ-вымогателей на городские структуры выросло приблизительно на 60%. Хотя не все организации обнародовали вымогаемые суммы и сообщили, был ли в итоге выплачен выкуп, по известным данным можно сказать, что суммы запрашиваемого выкупа варьировались в пределах от 5000 до 5 000 000 долларов США (в среднем — около 1 032 460 долларов). При этом разброс в суммах выкупа был очень велик — так, со школьных округов в небольших населенных пунктах требовали суммы примерно в 20 раз меньшие, чем с мэрий в крупных городах.

Однако фактический ущерб от этих атак, согласно оценкам независимых аналитиков, зачастую отличался от суммы, затребованной вымогателями. Во-первых, некоторые муниципальные организации и поставщики услуг застрахованы от инцидентов кибербезопасности, и страховка так или иначе компенсирует ущерб. Во-вторых, своевременная реакция на инцидент зачастую помогает избежать последствий атаки. Кроме того, не все городские учреждения выполняют требования вымогателей: в случае с атакой шифровальщика в Балтиморе должностные лица отказались платить выкуп, и в итоге город потратил 18 млн долларов на восстановление своей IT-инфраструктуры. Хотя эти затраты намного превысили изначальную затребованную сумму выкупа (114 000 долларов США), следует понимать, что уплата выкупа может быть лишь краткосрочным решением, к тому же поощряющим вымогателей продолжать свою преступную деятельность. Также нужно иметь в виду, что после компрометации городской IT-инфраструктуры последняя потребует аудита и тщательного расследования инцидента во избежание повторения подобных случаев; кроме того, необходимо будет внедрить надежные защитные решения, что также потребует расходов.

Сценарии атак могут различаться. Например, успешная атака может оказаться следствием незащищенного удаленного доступа. Но, как правило, для атак на муниципалитеты используются две точки входа: социальная инженерия и уязвимости в не обновленных вовремя программах. Эксперты «Лаборатории Касперского» каждый квартал наблюдают одну и ту же ситуацию: абсолютным лидером практически во всех рейтингах наиболее часто блокируемых программ-вымогателей на пользовательских устройствах остается WannaCry. Несмотря на то что Microsoft выпустила исправление для Windows, которое закрыло соответствующую уязвимость за несколько месяцев до начала атак, WannaCry тем не менее заразил сотни тысяч устройств по всему миру. Удивительнее же всего то, что этот шифровальщик по-прежнему живет и здравствует. Свежая статистика, собранная «Лабораторией Касперского» в III квартале 2019 года, продемонстрировала, что спустя два с половиной года после окончания эпидемии WannaCry этим зловредом была атакована пятая часть всех пользователей, ставших целями программ-вымогателей. Более того, данные за период с 2017 года по середину 2019 года показывают, что WannaCry остается одним из самых распространенных образцов вредоносного ПО — на его долю пришлось 27% случаев всех атак со стороны программ-вымогателей за этот срок.

Альтернативный сценарий подразумевает использование преступниками человеческого фактора; пожалуй, это самый недооцененный вектор атаки, поскольку тренинги персонала, направленные на повышение осведомленности о киберугрозах, в целом недостаточно универсальны. Многие производства терпят колоссальные убытки вследствие ошибок сотрудников (в некоторых областях такие эпизоды составляют половину всех инцидентов безопасности); фишинговые письма и спам с установщиками вредоносного ПО по-прежнему свободно циркулируют по Сети и находят свои жертвы. Иногда среди этих жертв оказываются те, кто управляет счетами и финансами компании, и они даже не подозревают, что открыв на своем компьютере вредоносное письмо и загрузив, казалось бы, обычный файл PDF, они могут скомпрометировать всю корпоративную сеть.

Среди множества различных муниципальных организаций, ставших целями киберпреступников в 2019 году, некоторые подвергались атакам чаще других.

Наиболее часто атакованными структурами, несомненно, были образовательные учреждения, такие как школьные округа, — на их долю пришлось около 61% всех атак: всего за год мишенями стали более 105 школьных округов, насчитывавших в общей сложности 530 школ. По этому сектору был нанесен тяжелый удар, однако традиционализм методов сыграл учебным заведениям на руку: в то время как в некоторых колледжах занятия были отменены, многие образовательные учреждения продолжили работу, не дожидаясь восстановления IT-систем — по словам руководства этих организаций, компьютеры лишь недавно стали активно использоваться в учебном процессе и преподаватели прекрасно могут вести занятия и без них.

Мэрии и муниципальные центры подверглись атакам в 29% случаев. Злоумышленники зачастую пытаются нанести удар по критически важным процессам, остановка которых может быть чревата серьезными проблемами для подавляющего большинства граждан и местных организаций. К сожалению, эти учреждения до сих пор оборудованы довольно слабой инфраструктурой и используют ненадежные защитные решения. Для рабочих процессов в этой сфере (в особенности в небольших городках и поселках) не требуются значительные вычислительные мощности, поэтому старые компьютеры и ПО в таких учреждениях подолгу не обновляются, поскольку вроде бы и так справляются со своими задачами. Возможно, нежелание приводить рабочий инструментарий в актуальное состояние связано с распространенным заблуждением, что обновления безопасности в основном включают внешние изменения или новые технические возможности ПО, в то время как на самом деле их основное предназначение — закрытие уязвимостей, обнаруженных «белыми» и «черными» хакерами и исследователями безопасности.

Еще одной популярной целью оказались больницы — на их долю пришлось 7% всех атак. В то время как некоторые «черные» хакеры и киберпреступные группировки заявляют, что действуют в соответствии с определенным «кодексом чести», в большинстве случаев злоумышленниками движет элементарная жажда наживы, и поэтому они наносят удары по жизненно важным службам, длительные перебои в работе которых недопустимы, — как в случае медицинских учреждений.

Далее, около 2% всех подвергшихся атакам учреждений составили муниципальные коммунальные службы или их субподрядчики. Такая популярность может быть вызвана тем, что через этих поставщиков городских услуг можно получать доступ к целым сетям устройств и организаций, поскольку каждая такая служба взаимодействует со множеством других учреждений и домашних хозяйств — в частности, выставляя им счета. В сценарии, когда атака злоумышленников на поставщика услуг оказывается успешной, скомпрометированными могут оказаться все районы, обслуживаемые атакованной организацией. Кроме того, перебои в работе коммунальных сервисов могут нарушить жизненно важные текущие процессы, такие как онлайн-оплата счетов горожанами и т. п., — в итоге жертва атаки может решить заплатить выкуп, чтобы быстро справиться с проблемой, хотя в долгосрочной перспективе этот выбор может повлечь новые трудности.

Давайте подробнее рассмотрим вредоносные программы, активно используемые в атаках на муниципальные службы.

Самые злостные вымогатели

Ryuk

Хотя данные об атакующих их программах-вымогателях раскрывают не все организации, шифровальщик Ryuk (вердикт: Trojan-Ransom.Win32.Hermez) упоминался в качестве причины инцидентов безопасности в городских службах наиболее часто. Этот шифровальщик известен своими атаками на крупные организации, а также правительственные и муниципальные сети. Впервые этот зловред объявился во второй половине 2018 года, и в течение 2019 года он постоянно распространялся и видоизменялся.

География

ТОР 10 стран — основных целей Ryuk

Страны	%*
Германия	8,60
Китай	7,99
Алжир	6,76
Индия	5,84
Россия	5,22
Иран	5,07
США	4,15
Казахстан	3,38
ОАЭ	3,23
Бразилия	3,07

^{* Доля пользователей в каждой стране, атакованных шифровальщиком Ryuk, по отношению к общему числу пользователей, атакованных этим зловредом по всему миру}

Атаки Ryuk были отмечены по всему миру, хотя некоторые страны пострадали от этого вымогателя больше других. Согласно статистике Kaspersky Security Network, в 8,6% случаев он атаковал цели в Германии; далее следуют Китай (8%) и Алжир (6,8%).

Распространение

Злоумышленники, стоящие за Ryuk, используют для доставки этой программы-вымогателя своим жертвам многоэтапную схему.

Первый этап включает заражение большого количества машин ботом Emotet (вердикт: Trojan-Banker.Win32.Emotet) — как правило, посредством рассылки спама, содержащего документ с вредоносным макросом. Если жертва разрешала выполнение макроса, на машину загружался бот.

На втором этапе заражения Emotet получает со своих серверов команду загрузить и установить в скомпрометированной системе еще один вредоносный компонент — Trickbot (вердикт: Trojan.Win32.Trickster). Этот компонент позволяет злоумышленникам провести разведку в скомпрометированной сети.

Если преступники обнаруживают, что проникли в инфраструктуру крупной жертвы, например в большую муниципальную или корпоративную сеть, они с высокой вероятностью переходят к реализации третьего этапа заражения и развертывают шифровальщик Ryuk на узлах этой сети.

Краткое техническое описание

Ryuk постоянно развивался с самого момента своего создания, и в мире сейчас существует несколько его версий, между которыми есть определенные различия. Некоторые представители Ryuk являются 32-разрядными, другие — 64-разрядными; одни включают в себя прописанный в явном виде список процессов, в которые будет внедряться вредоносный код, другие, наоборот, не трогают строго определенные процессы, пытаясь заразить все прочие; схема шифрования также может варьироваться в зависимости от конкретного образца.

Приведем описание одной из недавних модификаций, обнаруженной в конце октября 2019 года (MD5: fe8f2f9ad6789c6dba3d1aa2d3a8e404).

Шифрование файлов

Эта модификация Ryuk использует гибридную схему на базе алгоритма AES для шифрования содержимого файлов жертвы и алгоритм RSA для шифрования ключей AES. Ryuk использует стандартную реализацию криптографических процедур, предоставляемых Microsoft CryptoAPI.

Образец троянца содержит встроенный 2048-битный RSA-ключ злоумышленников. Приватный ключ держится в тайне и может быть использован преступниками для дешифровки, если выкуп будет уплачен. Для шифрования каждого файла жертвы Ryuk генерирует новый уникальный 256-битный ключ. Ключи AES шифруются по алгоритму RSA и сохраняются в конце зашифрованного файла.

Ryuk шифрует файлы как на локальных дисках, так и в сетевых папках. Зашифрованные файлы получают дополнительное расширение (.RYK), и в этой же папке создается файл уведомления с требованием выкупа и электронным адресом преступников.

Дополнительные функции

Чтобы нанести сети наибольший ущерб, этот вариант Ryuk использует прием, с которым при анализе семейства шифровальщиков мы раньше не сталкивались: троянская программа пытается «разбудить» другие машины, пребывающие в состоянии сна, но настроенные на пробуждение по сигналу Wake-on-LAN.

Это делается с целью увеличения площади атаки: файлы в сетевых папках на спящих компьютерах недоступны, но если троянцу удастся разбудить их, то эти файлы также будут зашифрованы. С этой целью Ryuk получает MAC-адреса соседних машин из локального ARP-кеша зараженной системы и начинает транслировать UDP-пакеты, начинающиеся с «волшебного числа» {0xff, 0xff, 0xff, 0xff, 0xff, 0xff}, на порт 7, что приводит к пробуждению атакуемых компьютеров.

Другие возможности алгоритма Ryuk, более характерные для шифровальщиков, включают: внедрение кода в легитимные процессы с целью избежания обнаружения; попытки завершения процессов, связанных с бизнес-приложениями, для получения доступа к файлам, используемым этими программами; попытки остановки различных служб, связанных как с бизнес-приложениями, так и с защитными решениями.

Purga

Это семейство шифровальщиков было впервые замечено в середине 2016 года и до сих пор активно разрабатывается и используется по всему миру, в том числе для атак на муниципальные службы. Это вредоносное ПО отличается тем, что атакует как обычных пользователей, так и крупные корпорации и даже правительственные организации. Наши продукты детектируют представителей этого семейства как Trojan-Ransom.Win32.Purga. Оно также известно как Globe, Amnesia и Scarab.

География

ТОР 10 стран — основных целей Purga

Страны	%*
Россия	85,59
Беларусь	1,37
Турция	0,85
Индия	0,80
Казахстан	0,74
Германия	0,62
Украина	0,54
Китай	0,46
Алжир	0,40
ОАЭ	0,40

^{* Доля пользователей в каждой стране, атакованных шифровальщиком Purga, по отношению к общему числу пользователей, атакованных этим зловредом по всему миру}

Распространение

Для распространения зловредов этого семейства используются различные векторы заражения, но чаще всего кампании спама и брутфорс-атаки на RDP.

По нашим данным, самым распространенным сценарием атаки на сегодняшний день является следующий:

1. Преступники сканируют сеть в поисках открытого RDP-порта.
2. Затем они пытаются подбором найти подходящие учетные данные, чтобы войти в атакуемую систему.
3. Если это удается, они пытаются повысить свои привилегии, используя для этого различные эксплойты.
4. Затем преступники запускают программу-вымогатель.

Краткое техническое описание

Шифровальщик Purga является примером программы-вымогателя, находящейся в процессе очень активной разработки. На протяжении двух последних лет преступники изменили несколько алгоритмов шифрования, функции генерации ключей, криптографические схемы и т. д.

Ниже мы кратко опишем последнюю модификацию.

Схема именования файлов

Каждая модификация Purga имеет свое расширение для шифруемых файлов и уникальный электронный адрес для контакта с преступниками. В зависимости от конфигурации троянцы этого семейства используют одну из двух схем именования:

1. 1. <оригинальное имя файла>.<оригинальное расширение>.<новое расширение>

1. <имя зашифрованного файла>.<новое расширение>

Шифрование файлов

В процессе шифрования троянец использует стандартную схему, сочетающую симметричный и асимметричный алгоритмы. Каждый файл шифруется с использованием случайно сгенерированного симметричного ключа, после чего этот симметричный ключ шифруется асимметричным ключом и результат сохраняется в файле в специально организованной структуре.

Stop

Знаменитый шифровальщик Stop (также известный как Djvu STOP) впервые был замечен в конце 2018 года. Наши решения детектируют его как Trojan-Ransom.Win32.Stop. Согласно нашей статистике, только в 2019 году различные модификации шифровальщика Stop атаковали более 20 000 жертв по всему миру. Закономерно, что согласно отчету KSN за третий квартал 2019 года Stop оказался на седьмом месте среди самых распространенных программ-вымогателей.

География

ТОР 10 стран — основных целей Stop

Страны	%*
Вьетнам	10,28
Индия	10,10
Бразилия	7,90
Алжир	5,31
Египет	4,89
Индонезия	4,59
Турция	4,30
Марокко	2,42
Бангладеш	2,25
Мексика	2,09

^{* Доля уникальных пользователей в каждой стране, атакованных шифровальщиком Stop, по отношению к общему числу пользователей, атакованных этим зловредом по всему миру}

Распространение

Создатели зловреда в основном распространяют его через установщики программного обеспечения. Компьютер заражается программой-вымогателем, когда пользователь пытается загрузить определенное программное обеспечение с сомнительного сайта или воспользоваться «кряком».

Краткое техническое описание

Для шифрования файлов Stop использует случайно сгенерированный ключ Salsa20, который затем шифруется открытым RSA-ключом.

В зависимости от доступности командного сервера Stop использует либо онлайн-ключ RSA, либо локальный, который присутствует в конфигурации каждого вредоносного образца.

Заключения и рекомендации

2019 год стал годом атак программ-вымогателей на муниципальные службы, и эта тенденция, скорее всего, продолжится в 2020 году. Для роста числа подобных атак есть целый ряд причин.

Во-первых, в таких учреждениях финансирование кибербезопасности в большей степени нацелено на страхование и реагирование на инциденты, чем на проактивные защитные меры. В результате такого подхода и возникают ситуации, в которых единственным решением оказывается заплатить преступникам, тем самым поощрив их к продолжению криминальной деятельности.

Во-вторых, муниципальные инфраструктуры, как правило, включают множество сетей, охватывающих различные организации, поэтому атака по ним вызывает нарушение процессов сразу на нескольких уровнях, что в итоге может парализовать работу служб целых районов.

Более того, в муниципальных сетях зачастую хранятся данные, критически важные для бесперебойного функционирования ежедневных процессов, напрямую связанных с благосостоянием граждан и работой местных организаций. Атакуя эти цели, злоумышленники наносят удар в больное место.

Тем не менее простые превентивные меры могут помочь в борьбе с эпидемией:

• Очень важно устанавливать все обновления безопасности сразу после их выпуска. Большинство кибератак базируется на эксплуатации уязвимостей, которые уже были обнародованы и закрыты, поэтому установка свежих обновлений безопасности снижает вероятность успешной атаки.
• Защищайте удаленный доступ к корпоративным сетям с помощью VPN и используйте надежные пароли для учетных записей доменов.
• Всегда обновляйте вашу операционную систему, чтобы устранить недавно обнаруженные уязвимости, и используйте надежное защитное решение с актуальными базами данных.
• Регулярно делайте резервные копии ваших файлов, чтобы их можно было восстановить в случае утраты (например, при атаке шифровальщика или поломке устройства), и храните их не только на физических носителях, но и в облаке для дополнительной надежности.
• Помните, что вымогательство с целью получения выкупа является уголовным преступлением. Вы не должны платить выкуп. Если вы стали жертвой вымогателей, обратитесь в местные органы правопорядка. Также попытайтесь найти в интернете утилиту-расшифровщик — некоторые из них бесплатно доступны здесь: https://noransom.kaspersky.ru
• Для предотвращения кибератак необходимо обучение сотрудников правилам кибергигиены. Интерактивная игра Kaspersky Interactive Protection Simulation предлагает специальный сценарий, посвященный угрозам для местной администрации.
• Используйте защитное решение для организаций, чтобы защитить бизнес-данные от атак программ-вымогателей. Решение Kaspersky Endpoint Security для бизнеса включает функции обнаружения подозрительного поведения, контроля аномалий и защиты от эксплойтов, которые помогают обнаруживать как известные, так и неизвестные угрозы и предотвращают вредоносную активность. Уже используемое защитное решение другого производителя может быть дополнительно усилено бесплатной утилитой Kaspersky Anti-Ransomware для бизнеса.