Kaspersky Security Bulletin

История года: программы-вымогатели в заголовках СМИ

За последний год выражение «программа-вымогатель» то и дело всплывало в заголовках печатных и цифровых СМИ по всему миру, включая Wall Street Journal, BBC и New York Times. Вслед за директорами и специалистами по безопасности его начали использовать чуть ли не все, от политиков до школьных учителей и врачей. Названия вроде Babuk и REvil звучат далеко за пределами профессиональной IT-среды. Кажется, что жертвой вымогателей сегодня может стать каждый — независимо от близости к сфере технологий и кибербезопасности — и эта угроза напрямую влияет на человеческие жизни.

Вот почему в этот раз нашу ежегодную серию публикаций Security Bulletin мы решили посвятить распространению программ-вымогателей. Но как мы все оказались в этой ситуации и как изменился ландшафт подобных угроз с 2019-го, когда мы впервые выбрали эту угрозу темой года?

Пожалуй, «новую эру» шифровальщиков ознаменовало появление в конце 2019 года зловреда Maze. Его операторы создали новую, высокоэффективную тактику для атаки на крупные компании с высоким доходом: «двойное вымогательство». Использующие ее злоумышленники не только шифруют данные жертв, но и крадут конфиденциальную информацию (персональные данные клиентов и сотрудников, внутренние документы, интеллектуальную собственность и т. д.), а затем угрожают опубликовать ее в открытом доступе. Это дает им больше шансов получить выкуп. В 2020 году мы назвали эту новую тактику «вымогательство 2.0«. Как и следовало ожидать, крупные игроки, такие как REvil (Sodinokibi), DarkSide, Babuk, Avaddon, Conti и другие, приняли ее на вооружение. Разработчики Maze, помимо этого, начали публиковать украденную информацию на своей «стене позора», и другие киберпреступники вскоре последовали их примеру, создав собственные сайты для раскрытия скомпрометированных данных.

Количество организаций, упомянутых на таких сайтах, недвусмысленно говорит о темпах распространения «вымогательства 2.0» в 2021 году. За период с января по ноябрь общее число жертв достигло 1500 — это на 30% больше, чем за весь 2020 год. А если учесть, что на сайтах вымогателей упоминаются не все их жертвы, их настоящее число скорее всего намного больше.

Одновременно с распространением новой тактики начала формироваться целая криминальная экосистема для поддержки злоумышленников, работающая по модели «шифровальщик как услуга» (RaaS). Роли в ней четко распределены. Одни участники предоставляют сам шифровальщик, а также платформу для ведения переговоров с жертвами и публикации скомпрометированных данных. Другие — партнеры или аффилированные организации — устраивают прямые атаки. Кроме того, инструменты для первичного проникновения в инфраструктуру злоумышленники приобретают у сторонних поставщиков. Вся эта экосистема является большим подспорьем для вымогателей и помогает им действовать намного эффективнее.

Сочетание тактики «двойного вымогательства» и RaaS позволяет киберпреступникам совершать успешные атаки на крупные корпорации, получая сотни тысяч или даже миллионы долларов выкупа. По данным отчета подразделения по борьбе с финансовыми преступлениями в составе Министерства финансов США (FinCEN), только в этой стране в первой половине 2021 года жертвы заплатили вымогателям около 600 млн долларов. В нем также говорится, что группировки, которые были наиболее активны в прошлом году, за последние три года могли получить выкупов на общую сумму 5,2 млрд долларов.

Сейчас преступники охотятся на «крупную дичь»: они выбирают большие B2B-компании, требуют большие выкупы, крадут конфиденциальную информацию и проводят изощренные атаки с серьезными последствиями для жертв. Глядя на результаты самых крупных инцидентов последних лет, нетрудно догадаться, почему вымогательство получило такое широкое распространение.

В этой статье мы подробно разберем, как эволюционировали группировки вымогателей в 2021 году. Начнем с главных событий, которые попали в заголовки крупнейших мировых СМИ.

Главные события 2021 года, связанные с деятельностью вымогателей

Пожалуй, самым громким и одновременно беспрецедентным происшествием этого года стало прекращение работы крупнейшего поставщика топлива в США — трубопроводной компании Colonial Pipeline. В начале мая группировка вымогателей, известная как DarkSide (больше не существует), сумела проникнуть в корпоративную сеть компании и похитить около 100 ГБ информации. Работа трубопровода остановилась на шесть дней, и в конце концов руководство Colonial Pipeline заплатило преступникам 4,4 млн долларов. Позднее в том же месяце примеру DarkSide последовал другой RaaS-оператор, REvil. Эта печально известная группировка сумела остановить работу нескольких фабрик JBS — крупнейшего мирового поставщика говядины. В итоге компании пришлось заплатить 11 млн долларов, чтобы вернуть контроль над своими предприятиями и восстановить украденные данные.

Атаки, которым подверглись Colonial Pipeline и JBS, заставили президента Байдена объявить чрезвычайное положение и провести встречу с президентом Путиным для обсуждения совместных мер по противодействию вымогателям. Это запустило новую важную тенденцию: власти начали активно вмешиваться в инциденты, связанные с вымогательством, и наращивать международную кооперацию для борьбы с киберпреступностью. В сентябре 2021 года казначейство США ввело санкции против обменника криптовалюты Suex за содействие вымогателям в получении выкупов. В результате громкая атака на Colonial Pipeline стала причиной развала DarkSide: группировка привлекла к себе слишком много внимания. Правоохранительным органам удалось перехватить контроль над ее сервисами, включая блог и платежную систему, а также изъять у преступников некоторую сумму денег.

Avaddon — еще один активный оператор RaaS-сервиса, известный с 2019 года, — также вышел из игры в 2021 году благодаря вмешательству правоохранителей, которые приняли жесткие меры и против самой группировки, и против печально известного ботнета Emotet, который члены Avaddon использовали для проникновения в системы пользователей. Однако недавно выяснилось, что Emotet снова начал действовать.

Случай с REvil — еще один интересный пример того, как изменился жизненный цикл программ-вымогателей: после одной громкой масштабной атаки их операторы, столкнувшись с реакцией властей, или совсем отходят от дел, или меняют название группировки. Группировка REvil появилась в 2019 году, уже в 2020-м она заработала на своих незаконных операциях 100 млн долларов и украла информацию о предстоящих релизах компании Apple, запросив за нее выкуп в размере 50 млн долларов. Стоит ли говорить, что всеобщее внимание дорого обошлось злоумышленникам. Воспользовавшись уязвимостью в Kaseya VSA, популярном решении для удаленного мониторинга и управления, участники REvil взломали сети около 50 поставщиков управляемых услуг. Однако вскоре после этой атаки серверы группировки оказались отключены — по слухам, из-за вмешательства правоохранительных органов. В октябре она возобновила свою деятельность, заявив, что отключение было вызвано внутренними причинами, однако меры, принятые международным сообществом, в конечном итоге заставили REvil остановить работу сайта для публикации скомпрометированных данных и платежного сайта в сети Tor, а также прекратить операции — по крайней мере, пока.

Группировка Babuk — активный RaaS-оператор и создатель нашумевшего шифровальщика Babuk Locker — появилась в 2021 году. Ее участники украли 250 ГБ данных из сети управления полиции Вашингтона и потребовали за них выкуп. Впоследствии она также прекратила деятельность, но, судя по всему, по собственной воле. В конце апреля участники Babuk заявили, что уходят на покой, и выложили исходный код своего зловреда в открытый доступ, чтобы его могли использовать другие операторы программ-вымогателей. Позднее преступники сменили название на Payload Bin и начали предлагать свою платформу группировкам вымогателей, у которых не было собственных сайтов для публикации скомпрометированных данных.

Ключевые игроки сегодня

Поскольку инциденты, связанные с вымогательством, стали привлекать все больше внимания, период активности киберпреступных группировок начал сокращаться. На сегодняшний день все, кто в 2021 году участвовал в «охоте на крупную дичь», уже задержаны или отошли от дел. Однако во многих случаях они не выходят из игры, а просто меняют название. Так, REvil и Babuk произошли от уже несуществующих группировок вымогателей GandCab и Vasa Locker, а бывшие участники DarkSide быстро образовали новую банду — BlackMatter. После короткого периода успешных атак на компании в США и даже на крупную японскую технологическую компанию Olympus она также прекратила свою деятельность — предположительно под давлением правоохранительных органов.

Еще один известный действующий оператор RaaS-сервиса — группировка Conti. Она впервые заявила о себе в 2019 году и год спустя все еще оставалась довольно активной. В числе ее самых громких атак за 2021 год — взлом сети государственных школ округа Брауард во Флориде и отключение серверов Министерства здравоохранения Ирландии. Стоит заметить, что участники Conti тоже ощущают давление со стороны властей: после раскрытия информации о внутренних процессах группировке пришлось изменить свою инфраструктуру и отключить платежные порталы в видимом и теневом интернете. К сожалению, преступники успели сделать резервные копии своих серверов и снова запустили их в течение суток.

Важно отметить, что группировки вымогателей, чаще всего всплывающие в заголовках СМИ, — не те же самые, с которыми сталкиваются простые пользователи. Операторы громких атак выбирают своими целями компании, способные заплатить большой выкуп, тогда как группировки, использующие более старые и распространенные программы-вымогатели, скорее заинтересованы в том, чтобы получить скромные выплаты, но от большего количества людей.

Аналитики «Лаборатории Касперского» сравнили число запросов от конкретных семейств программ-вымогателей с общей статистикой подобных запросов и составили картину распределения атак между разными семействами в 2020 году.

Распределение атак между разными семействами программ-вымогателей, 2020 г. (скачать)

Crysis (Dharma) и Stop (Djvu) — самые старые из действующих группировок вымогателей. Crysis может использовать несколько векторов атаки, но в последнее время отдает предпочтение эксплуатации незащищенных RDP-подключений. Stop — самое распространенное семейство программ-вымогателей «старой школы». В отличие от многих современных группировок, предпочитающих управлять атакой напрямую, его операторы используют проверенную традиционную схему заражения: потенциальные жертвы ищут в сети пиратское ПО, а находят исполняемые файлы с шифровальщиком. Поначалу участники Stop атаковали как B2B-, так и B2C-сектор, но потом сосредоточились на последнем. В 2020 году на счету Crysis и Stop было более 50% всех атак с использованием программ-вымогателей, тогда как на долю REvil пришлось всего 1,7%.

Похожую картину мы наблюдали и в первых трех кварталах 2021 года.

Распределение атак между разными семействами программ-вымогателей, I–III кв. 2021 г. (скачать)

Лидером по числу обнаружений оказалось семейство Stop (Djvu), а зловреды Crysis (Dharma) опустились на третье место. Вторым стало еще одно давно известное семейство программ-вымогателей — Phobos, жертвами которого чаще всего становятся представители малого и среднего бизнеса. Семейство REvil увеличило свою долю в общем числе атак до 2,2%, однако оказалось наименее распространенным среди зловредов из первой десятки. Поскольку Crysis и Stop уделяют больше внимания распространению вредоносного ПО, а не самим атакам, и просят сравнительно небольшие выкупы, они редко попадают в заголовки СМИ. Однако именно с ними чаще всего сталкиваются пользователи в обычной жизни.

От массовых заражений к целевым атакам: начало «охоты на крупную дичь»

Ранее в этом году мы опубликовали отчет «Программы-вымогатели в цифрах», противоречащий всем громким заголовкам: в нем говорилось, что число пользователей, столкнувшихся с программами-вымогателями, уменьшилось. Действительно, доля уникальных пользователей продуктов «Лаборатории Касперского», обнаруживших троянцы-вымогатели на своих устройствах, от общего количества жертв вредоносного ПО стабильно снижается с начала 2020 года.

Процент уникальных пользователей продуктов «Лаборатории Касперского», столкнувшихся с программами-вымогателями, от общего количества жертв вредоносного ПО, 2020–2021 гг. (скачать)

И хотя старейшие семейства программ-вымогателей, такие как Stop и Crysis, по-прежнему остаются самыми распространенными, абсолютное число пользователей, которым пришлось столкнуться с ними, продолжает падать.

Это происходит потому, что более новые и известные группировки переходят от массовых заражений к целевым атакам на корпорации и промышленные организации, из которых можно выжать миллионы долларов. С 2019 по 2020 год количество уникальных пользователей, ставших жертвами целевых атак вымогателей (таких как Babuk, REvil и другие участники «охоты на крупную дичь»), уменьшилось на 767%. Эта тенденция продолжилась и в 2021 году.

Запуск шифровальщика в системе жертвы — последний этап атаки вымогателей. К этому времени они, как правило, уже полностью контролируют сеть пострадавшей организации. Если данные уже зашифрованы, необходимо провести расследование, чтобы определить первоначальный вектор атаки, принять меры для предотвращения повторного проникновения злоумышленников в сеть, а затем попробовать восстановить утраченную информацию. Этот процесс называется реагированием на инцидент. Для его выполнения средние и крупные компании чаще всего привлекают собственных сотрудников или сторонних подрядчиков (например, клиенты «Лаборатории Касперского» могут воспользоваться услугами экспертов группы реагирования на киберинциденты). Если посмотреть на данные за 2019-й, 2020-й и первые три квартала 2021 года, можно заметить интересную закономерность.

Доля обращений за услугой реагирования на инциденты, связанные с использованием программ-вымогателей, 2019–2021 гг. (скачать)

За период с января по ноябрь 2021 года число обращений за услугой реагирования на инциденты, связанные использованием программ-вымогателей, выросло на 10% в сравнении с 2020 годом и на 12,7% в сравнении с 2019-м.

Таким образом, хотя общее количество атак вымогателей продолжает снижаться, крупные организации все чаще становятся их жертвами.

Отрасли, которые чаще всего атакуют вымогатели

Какие же отрасли больше всего страдают от масштабных атак «охотников на крупную дичь»?

Распределение обращений за услугой реагирования на инциденты, связанные с использованием программ-вымогателей, по секторам, 2020 г. (скачать)

В 2020 году за услугой реагирования на инциденты чаще всего обращались организации промышленного (26,85%) и государственного секторов (21,3%). Запросы, полученные от них, составили почти половину от общего количества за 2020 год. Поскольку оба этих сектора являются критически важными, такие компании не могут позволить себе перебоев в работе, а значит, с большей вероятностью заплатят злоумышленникам.

В 2021 году распределение обращений за услугой реагирования на инциденты выглядело следующим образом.

Распределение обращений за услугой реагирования на инциденты, связанные с использованием программ-вымогателей, по секторам, 2021 г. (скачать)

Промышленный и государственный сектора по-прежнему остаются любимыми мишенями вымогателей. В 2021 году количество атак на первый из них немного увеличилось, а на второй — слегка уменьшилось. Кроме того, мы наблюдаем резкий рост числа подобных инцидентов в IT-секторе: с 2,78% в 2020 году до 13,33% в 2021-м.

При этом важно учитывать, что на статистику такого рода влияют, по крайней мере отчасти, клиентские базы конкретных компаний. Одними из самых громких инцидентов в этих отраслях стали атаки на  компанию Colonial Pipeline и Министерство здравоохранения. Кроме того, специалисты «Лаборатории Касперского» обнаружили серию атак на промышленные предприятия с использованием шифровальщика Cring.

Взгляд в будущее: развитие тенденций использования программ-вымогателей

Эпоха «охоты на крупную дичь» продолжается. Известные группировки то и дело оказываются на передовицах, а новички модернизируют их тактики, чтобы выжать из своих жертв еще больше денег. На сегодняшний день можно выделить две наиболее значимые тенденции, связанные с вымогательством:

Атаки на Linux

В 2020 году группировки DarkSide и RansomExx атаковали серверы VmWare ESXi, используя специальные сборки шифровальщиков для Linux. Сегодня эта схема становится популярной и у других «охотников на крупную дичь». REvil, HelloKitty, Babuk, Conti, Hive и, возможно, даже PYSA и RagnarLocker уже добавили сборки для Linux в свой арсенал. Для чего? Все просто: возможность шифровать данные виртуальных машин, размещенных на серверах ESXi, позволяет максимально увеличить поверхность атаки.

Финансовый шантаж

В апреле участники группировки DarkSide разместили на своем сайте для публикации скомпрометированных данных заявление о том, что собираются заняться финансовым шантажом компаний, угрожая девальвацией их акций. Они были не первыми, кто проявил интерес к этой теме: в 2020 году бывший представитель группировки REvil, известный под псевдонимом Unknown, опубликовал на форуме Exploit пост с призывом к операторам программ-вымогателей использовать фондовые биржи как инструмент давления на жертв. С тех пор финансовый шантаж становится все более популярным среди киберпреступников. В ноябре этого года ФБР предупредило: «для атак на компании вымогатели выбирают значимые финансовые события, такие как слияния и поглощения». По данным ведомства, с марта по июль 2020 года жертвами киберпреступников стали три компании, которые находились в процессе сложных переговоров о слиянии и поглощении. Кроме того, операторы программ-вымогателей научили своих зловредов сканировать корпоративные сети на предмет ключевых слов, связанных с финансами, таких как «NASDAQ» или «10-Q» («квартальный финансовый отчет»). В качестве примера можно привести троянца Pyxie, который использует группировка Defray777 (RansomEXX).

Во время таких процессов, как слияние и поглощение, подготовка к переходу в статус публичной компании или оценка финансовых показателей, организации особенно уязвимы. Утечка любой информации может привести к катастрофическим последствиям для стоимости бизнеса. Исследование, проведенное Comparitech, показывает, что из-за атаки вымогателей акции компании в краткосрочной перспективе могут в среднем подешеветь на 22%.

Опасаясь подобных последствий, жертвы становятся еще более сговорчивыми. Поскольку правоохранительные органы и политические деятели быстро пресекают деятельность вымогателей, те стараются сделать свои атаки максимально эффективными. И финансовый шантаж очень помогает им в этом. Вероятно, в 2022 году этот вид вымогательства станет еще популярнее и прочно войдет в арсенал операторов шифровальщиков.

Заключение

Стоит ли ожидать, что в новом году названия программ-вымогателей будут появляться в заголовках СМИ с такой же частотой, как и в 2021-м? Пострадает ли от действий вымогателей еще больше трубопроводных компаний, образовательных и медицинских организаций? Сложно сказать наверняка. Но эта угроза точно никуда не денется. На смену DarkSide и другим подобным группировкам обязательно придут новые банды, а крупнейшие игроки 2021 года снова могут заявить о себе — или усовершенствовать свои тактики и начать действовать под другими именами. Если они вернутся к «охоте на крупную дичь», это может привести к новым страшным последствиям — перебоям с поставкой топлива и продуктов, человеческим жертвам и банкротству компаний.

Однако громкие атаки привлекают внимание общественности, а это, как мы уже убедились, не всегда на руку преступникам. Резонанс, вызванный операциями группировок REvil и DarkSide, заставил правительства и международные правоохранительные организации объединить усилия, чтобы обезвредить их. И пока подобные атаки продолжаются, это сотрудничество, скорее всего, будет только крепнуть. В конце концов, только так мы сможем эффективно противостоять вымогателям.

В то же время пристальное внимание со стороны властей может осложнить жизнь и тем компаниям, которые страдают от рук преступников. В прошлом году Управление по контролю за иностранными активами Министерства финансов США заявило, что уплата выкупов может нарушать международные санкции и грозит жертвам правовыми последствиями. Однако, как мы неоднократно убедились, санкции пугают владельцев бизнеса меньше, чем возможный ущерб от раскрытия корпоративных данных. К сожалению, это означает, что вымогательство останется доходной схемой для киберпреступников. В наступающем году правительства могут принять еще больше законов, чтобы не дать жертвам платить выкупы.

Учитывая все вышесказанное, стоит отметить: упоминание программ-вымогателей в заголовках СМИ имеет один неоспоримый плюс — чем больше люди будут знать о них, тем эффективнее они смогут защитить себя.

Рекомендации «Лаборатории Касперского», которые помогут вам не стать жертвой вымогателей:

  • Не используйте службы удаленных рабочих столов (такие как RDP) в публичных сетях без крайней необходимости и всегда создавайте для них надежные пароли.
  • Оперативно устанавливайте исправления для коммерческих VPN, которые предоставляют удаленным сотрудникам доступ к корпоративной сети и выполняют роль шлюзов.
  • Своевременно обновляйте программы на всех используемых устройствах, чтобы вымогатели не могли эксплуатировать уязвимости.
  • В своей стратегии защиты сфокусируйтесь на том, чтобы не допустить распространения вредоносного ПО и утечки данных в интернет. Отслеживайте исходящий трафик, чтобы выявлять несанкционированные подключения. Регулярно создавайте резервные копии данных. Обеспечьте к ним быстрый доступ для экстренных случаев. Используйте актуальные аналитические данные об угрозах, чтобы всегда быть в курсе тактик, методов и процедур, которые используют злоумышленники.
  • Используйте такие решения, как Kaspersky Endpoint Detection and Responseи Kaspersky Managed Detection and Response. Они помогут обнаружить и остановить атаку на ранних этапах, до того как преступники достигнут своей цели.
  • Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform. Бесплатное занятие на тему защиты от шифровальщиков доступно здесь.
  • Используйте надежное решение для защиты рабочих мест, например Kaspersky Endpoint Security для бизнеса с функциями защиты от эксплойтов, поведенческого анализа и отката вредоносных действий. Кроме того, решение Kaspersky Endpoint Security для бизнеса содержит механизмы самозащиты, которые не дают злоумышленникам удалить его.

История года: программы-вымогатели в заголовках СМИ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Andrew

    Ошибка в тексте — GrandCab
    Правильно: GandCrab

    1. Securelist

      Спасибо за наблюдательность!
      Исправили.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике