А ты защитил себя от кибершантажиста? Шифровальщики – угроза №1 в 2016 году

 НИКОЛАЙ ДЕМИДОВ, технический эксперт «Лаборатории Касперского»

А ты защитил себя от кибершантажиста?
Шифровальщики – угроза №1 в 2016 году

Все большее количество компаний по всему миру сталкиваются с проблемой кибервымогательства. Рассмотрим угрозу в деталях, а именно – функционал вредоносного ПО,основные пути его распространения

Также предложим противоядие – описание механизмов защиты «Лаборатории Касперского», которые позволяют избежать подобных угроз, и дадим рекомендации на случай заражения незащищенных систем.

С чего все начиналось?

В середине 2000-х годов зародилось новое направление киберпреступности, связанное с шантажом. Методы основывались на запугивании пользователя путем блокирования рабочего стола вредоносным ПО, либо более простым способом – всплывающей HTML-страницей, открывающейся во весь экран веб-браузера. В обоих случаях пользователь информировался о том, что его компьютер заблокирован, и для продолжения нормальной работы необходимо отправить платную SMS на короткий номер.

Оба метода получили свое название:

• Компьютерный блокировщик/Блокировщик экрана (Computer locker/Screen locker) – основывался на вредоносном JavaScript. Не представлял опасности для продвинутого пользователя. Нейтрализовался путем исправления реестра и очистки автозагрузки.
• Веб-блокировщик (Web blocker) – частично либо полностью ограничивал работу браузера. Исправлялся путем банального закрытия Web браузера.

Однако уже в мае 2005 года был обнаружен первый в мире вымогатель, использующий свой собственный симметричный алгоритм шифрования, получивший известность подименем Gpcode.am. Такой метод легко подвергался расшифровке при условии, если удавалось найти пару (encrypted + unencrypted) файлов. В конце ноября 2010 года появилась новая модификация Gpcode.ax,в которой применялось сильное шифрование (RSA-1024 и AES-256), что сделало восстановление практически невозможным.

Перерождение блокиратора в шифровальщика

Новый метод с применением шифрования получил термин – Crypto-Ransomware или шифровальщик. Он начал превалировать над всеми ранее известными способами шантажа, фактически положив конец развитию обычных компьютерных блокировщиков.

Начиная с 2013 года мы наблюдаем резкий рост количества заражений среди компаний, это свидетельствует о смене приоритетов у кибермошенников в сторону бизнеса (см. рис. 1 и 2), и это логично с точки зрения платежеспособности жертв.

Рисунок 1. Динамика роста шифровальщиков в 2014-2016 годах

Рисунок 2. Доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%

Жизненный цикл шифровальщика:

• Распространение.
• Заражение.
• Шифрование.
• Сокрытие следов.
• Шантаж.

Проследуем по этапам жизненного цикла шифровальщика, останавливаясь на его функциональных особенностях и примерах.

Основные пути распространения Ransomware

Так как шифровальщик относится к классу Malware, он имеет аналогичные ему пути распространения. Перечислим основные из них.

Атака типа «Drive-by загрузка»

В код страниц скомпрометированного сайта внедряется вредоносный скрипт, осуществляющий перенаправление браузера посетителя на посторонний ресурс, содержащий набор эксплойтов. В случае успешной эксплуатации уязвимостей ПО посетителя на его компьютер будет автоматически без его ведома установлено и запущено вредоносное ПО.

Атака типа «Watering hole»

Объединяет собой загрузку drive-by и целевой фишинг. Киберпреступники изучают поведение людей, которые работают в интересующей их организации, чтобы узнать, какие Интернет-ресурсы они чаще всего посещают.

Затем злоумышленники заражают веб-сайт, пользующийся у сотрудников популярностью – желательно такой, который принадлежит доверенной организации и служит ценным источником информации.

В классическом варианте атаки применяется эксплойт нулевого дня. Когда сотрудник открывает страницу этого сайта, его компьютер подвергается заражению.

Баннерная рекламная сеть (Malvertising)

Часто бывает, когда на первый взгляд безобидная система банерной рекламы становится мощным инструментом распространения зловреда.

Например, в 2010 году в баннерных сетях таких крупных компаний как Google и Microsoft был обнаружен целый ряд exploit-паков, эксплуатирующих сразу более 7 уязвимостей.

Электронная почта (Spear-phishing)

Направленная форма фишинга. Человеку в организации-мишени отправляется специально подготовленное электронное письмо, располагающее к доверию, в расчете на то, что оноткроет ссылку или приложение, которые запустят исполняемый код.

Примером можно привести шифровальщика Petya, ориентированного на корпоративных пользователей. В рассылаемых письмах содержится резюме кандидата на работу.

Социальные сети

Прекрасный инструмент для проведения как целевого заражения, так и массового, где публикуется ссылка на инфицированный ресурс, содержащий любой из доступных злоумышленникам видов проникновения (Exploit, Dropper, Downloader и т.д.).

Удаленный рабочий стол RDP (Remote Desktop Protocol)

Все еще не редки случаи, когда порт TCP 3389 проброшен наружу для технических целей. Например, аутсорсинга, 1C бухгалтерии, либо нужд по администрированию, что приводит в конечном итоге к плачевным последствиям.

Дело в том, что за удаленным доступом постоянно ведется охота. Регулярно сканируются публичные сети, и выполняется подбор (Brute Force) паролей к целевым хостам. Далее злоумышленник вручную выполняет шифрование, предварительно отключив все протоколирующие и восстановительные механизмы системы (журналирование, создание теневых копий файлов).

Также при ручном проникновении хакеры часто прибегают к помощи утилиты Mimikatz, позволяющей при необходимости повысить привилегии доступа для запуска шифровальщика с административными правами.

Основные средства доставки

Перечислим распространенные средства доставки и их функциональные отличия.

Загрузчик (downloader)

Принцип работы загрузчика заключается в загрузке тела шифровальщика с определенного веб-сайта. Благодаря ему злоумышленники решают сразу несколько задач:

• сокращение размера вложения, например, электронной почты;
• легкое обновление тела шифровальщика, достаточно заменить его на обновленный на сайте, откуда его забирают распространяемые загрузчики.

Dropper

Принцип работы заключается в расшифровке из собственного тела шифровальщика и его инициализация в системе жертвы. Наличие шифрования направлено на усложнение детекта средствами безопасности.

Заражение

Бытует распространенное утверждение о том, что запуск шифровальщика возможен только при помощи некорректных действий пользователя, а именно делегирования прав доступа администратора в момент запуска зловреда (к примеру, игнорируя предупреждение UAC), либо разрешения на использование макросов в открытом документе Word. На самом деле, ситуация изменилась с появлением комбинированных шифровальщиков в 2016 году.

Принцип работы прост: на момент инициализации основного шифровальщика запрашивается доступ к правам администратора. В случае бдительности пользователя и получения отказа, запускается запасной шифровальщик, осуществляющий шифрацию файлов на уровне прав пользователя.

Наглядный пример (март 2016 года): шифровальщик со звучным именем Petya работает в паре с шифровальщиком Mischa как резервный вариант на случай проблем с правами администратора.

В момент запуска шифровальщик может обладать следующим набором предопределяющих функций:

• определение локализации операционной системы/раскладки клавиатуры – необходимо для адаптации вывода сообщения на языке пользователя, либо для того, чтобы избежать заражения в определенных странах;
• GeoIP – определение географических координат по IP-адресу, некоторые шифровальщики адаптированы заражать только определенные страны.

Также некоторые виды шифровальщиков используют соединение с командным центром для получения ключа шифрования и прочих дополнительных функций.

Например, шифровальщик Cryptowall использует командный центр для получения ключа шифрования, а также может выполнять целый ряд дополнительных команд, одной из них является команда для загрузки и выполнения файла. Также он обладает возможностью загрузки SPAM-бота для рассылки самого себя различным адресатам, полученным откомандного центра.

А вот шифровальщик TeslaCrypt использует командный центр опционально и только для передачи статистики по количеству заражений.

Применяемые техники обхода обнаружения

Киберпреступники непрерывно совершенствуют техники обхода стандартных средств защиты. Прежде чем мы перечислим основные из них, обратим ваше внимание на общую структуру файла malware.

Дело в том, что, зачастую, современные исполняемые файлы упакованы (сжаты) упаковщиком. Он служит инструментом сокращения размера исполняемого файла, применяя длясвоей задачи алгоритмы сжатия без потерь (например, семейство LZ* или алгоритм Хаффмана). В результате работы упаковщика тело программы сжимается и прикрепляется кминиатюрному загрузчику, способному восстановить и запустить программу.

Среди создателей вредоносного ПО также популярен упаковщик, но уже в целях обхода детектирующих механизмов. Малварный упаковщик направлен на решение следующих задач:

• противодействия автоматическому детекту;
• усложнение реверса файла.

Способы:

• вызов различных API, направленных на обман эмулятора;
• многоуровневое шифрование для сокрытия кода;
• инжектирование в легитимный процесс расшифрованного тела программы для обхода стандартных средств защиты. (Встречаются случаи, когда упаковщик создает собственную копию процесса, после чего инжектирует в размеченную область его памяти шифровальщик).

Применение легитимных инструментов для шифрования данных

Шифровальщик bat.Scatter имеет модульную структуру, состоящую из легитимных инструментов, в частности, для шифрования используется программа gnupg – свободная программа для шифрования информации (https://ru.wikipedia.org/wiki/GnuPG). А тело представляет собой исполняемый *.bat-файл, выкачивающий утилиты из интернета. Процесс такой работы не вызывает подозрений со стороны средств контроля безопасности.

Инжектирование процесса

Техника по динамическому внедрению собственного кода в чужой процесс позволяет использовать все привилегии легитимного процесса в своих целях. Данный метод дает возможность обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

• определение дескриптора нужного процесса;
• выделение области памяти в адресном пространстве целевого процесса;
• запись кода и данных в эту область;
• создание нового потока в виртуальном пространстве процесса.

Отдельно важно отметить наличие обфускации кода, применяемого в самом теле шифровальщика, как метод дополнительного запутывания на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа. Часто обфускация применяется с частичным многоуровневым шифрованием кода. Непосредственно шифровальщик способен определять среду выполнения (эмулятор/виртуальная среда).

Типы шифрования

Каждый из существующих шифровальщиков применяет различные криптосхемы. Под «криптосхемой» мы понимаем схему взаимодействия криптографических алгоритмов длявыполнения определенной задачи, в данном случае – шифрование файлов.

Рассмотрим применяемые виды шифрования:

• самописные алгоритмы (симметричные), простые на сочетании арифметических операций XOR, ADD, SUB, MUL и т.д.;
• известные симметричные шифры (поточные RC4), блочные (AES, BlowFish и т.д.);
• асимметричная криптография и (гибридная), когда файлы шифруются симметричным алгоритмом, а ключи – ассиметричным.

Откуда берутся ключи?

В процессе своей эволюции шифровальщики применяли различные способы хранения ключей и алгоритмов шифрования.

• Ключ содержится в теле шифровальщика. Пример: Xorist имеет встроенный ключ для симметричного алгоритма.
• Ключ генерируется трояном при запуске на клиенте. Пример: Enigma генерирует ключ и шифрует его асимметричным алгоритмом RSA.
• Ключ запрашивается у командного сервера. Пример: Cryptowall, Locky и другие запрашивают у C&C ключ для асимметричного алгоритма. Aura запрашивает ключ длясимметричного шифра.

Сокрытые следов

Вдобавок к шифрованию данных, большая часть различных шифровальщиков, прежде всего, выполняет простые шаги по недопущению возможных путей восстановления информации.

Для этого используется ряд команд, направленных на уничтожение теневых копий, находящихся на диске:

vssadmin.exe delete shadows /all

или

wmic shadowcopy delete

Что касается сокрытия следов, то можно сказать, что данная мера не популярна среди большинства известных шифровальщиков. Этот этап можно отнести к ручному заражению, когда хакеры выполняют целый ряд скриптов для получения нужных привилегий в системе для запуска шифровальщика. Обычно в завершение своей работы происходит «зачистка» атакуемого хоста.

Что подразумевается под зачисткой?

• отключение журналирования в зараженной операционной системе;
• удаление всех журналов событий;
• остановка служб, отвечающих за создание резервных и теневых копий на жестких дисках;
• удаление резервных копий восстановления, а также теневых копий с жестких дисков.

Нововведения в развитии шифровальщиков

Современный шантаж – это не только стойкое шифрование и широкий путь распространения, это также:

• новый вид оплаты, в котором котируется криптовалюта (Bitcoin);
• автоматическое создание криптокошелька для получения выкупа;
• использование Tor-сети, что обеспечивает полную конфиденциальность злоумышленникам;
• использование сервисов Tor to Web, что позволяет осуществлять взаимодействие жертвы с личным кабинетом, расположенным в Tor-сети;
• безопасные e-mail, например, сервис Riseup.net;
• безопасное общение через Bitmessage (https://ru.wikipedia.org/wiki/Bitmessage);
• автоматическая классификация и оценка зашифрованных файлов для назначения стоимости выкупа;
• автоматическое выставление счета;
• автоматическая выдача декриптора при поступлении платежа от жертвы.

Последнее время все чаще встречаются комплекты, где к шифровальщику идет дополнительная полезная нагрузка в виде:

• SPAM-бота – обычно применяется в целях собственного распространения;
• Stealer – кража паролей (электронная почта, сохраненные браузером, RDP-, VPN-доступ и т.д.).

Добавились новые поддерживаемые шифровальщиками операционные системы:

• Apple Mac OSX – 2016 год, обнаружен первый действующий шифровальщик osx.keranger;
• мобильная платформа Android – 2014 год, AndroidOS.Kokri – шифрующий личные данные на смартфоне.

Роль шифровальщиков в целенаправленных атаках

Также известны случаи применения шифровальщика на заключительном этапе развития целенаправленной атаки в крупных компаниях.

Например, в 2011 году кинокомпания Sony Pictures Entertainment подверглась подобной атаке, в ходе которой было зашифровано (парализовано) более 80% персональных компьютеров корпорации.

Шантаж

Заключительная часть, в которой происходит психологическое воздействие на пользователя с целью получения выкупа. Обычно таким воздействием является обратный таймер, информирующий о том, что объявленная цена будет увеличена по истечении определенного времени. Также встречаются шифровальщики, информирующие об удалении ключа после истечения заданного времени.

Человек, столкнувшийся с шантажом, чаще всего вступает в контакт с хакером через личный кабинет с основного окна предупреждения либо через электронную почту, указанную вфайле «прочти меня».

Практически всегда присутствует возможность расшифровать от одного до нескольких файлов для проверки, таким образом, злоумышленник демонстрирует свою возможность решить проблему после получения выкупа.

Приведем пример взаимодействия с личным кабинетом Scatter.

Итак, нажав кнопку входа в личный кабинет, мы автоматически при помощи Web to Tor-сервиса попадаем на страницу входа (см. рис. 3).

Рисунок 3. Страница входа в личный кабинет Scatter

Там жертву просят загрузить vault.key, создаваемый автоматически шифровальщиком. Именно в этом файле находится статистика и определена важность зашифрованной информации. Подложив файл, мы попадаем в главное меню (см. рис. 4), где можем увидеть таймер обратного отсчета времени до повышения цены, оценку важности зашифрованной информации как Normal и ее стоимость 0,111 BTC, что в пересчете равняется 60$. Предоставляется возможность отправить сообщение злоумышленнику и ознакомиться сраспространенными вопросами.

Рисунок 4. Главное меню в личном кабинете Scatter

На рис. 5 показана форма общения с мошенником.

Рисунок 5. Форма общения с мошенником в личном кабинете Scatter

Пример текстового послания шифровальщика из файла ПРОЧТИ_МЕНЯ.txt (см. рис. 6).

Рисунок 6. Пример текстового послания шифровальщика из файла ПРОЧТИ_МЕНЯ.txt

Предупрежден – значит защищен

Современные темпы развития шифровальщиков представляют серьезную проблему, на которую неразумно не обращать внимания. Столкнувшись с шантажом, жертва встает перед фактом выбора: платить либо потерять информацию.

Поэтому крайне важно предупредить угрозу и не дать ей развиться, нежели заниматься решением ее последствий.

По данным опроса корпоративных пользователей, проведенного «Лабораторией Касперского» в 2016 году, за прошедший год программами-шифровальщиками были атакованы 38% российских компаний, причем отечественному бизнесу эта угроза кажется гораздо более серьезной, чем зарубежному, и не зря. Количество этого вида киберугроз длякорпоративного сектора в 2015-2016 годах увеличилось почти в 6 раз по сравнению с периодом 2014-2015. При этом одним из наиболее уязвимых сегментов бизнеса являются представители небольших и средних компаний: 40% таких компаний за прошедший год столкнулись с шифровальщиками.

Эффективная защита от шифровальщиков, которую предлагает «Лаборатория Касперского»

На всем протяжении развития вымогателей «Лаборатория Касперского» совершенствует технологии противодействия. На сегодняшний день компания обладает многоступенчатой защитой.

Если в компании принято решение не выделять отдельную ставку для ИТ-специалиста, то задачу по организации обслуживания ИТ-инфраструктуры можно решить несколькими способами:

• Частично или полностью передать управление ИТ-безопасностью на аутсорсинг. Специалисты компании-подрядчика установят необходимое ПО, а в случае заражения помогут провести расследование и восстановить данные. Кроме того, они проведут диагностику и помогут оценить, насколько хорошо обеспечивается защита ИТ-инфраструктуры организации,
• Использовать специализированные решения, разработанные для небольших предприятий. В данном случае услуги безопасности будут предоставляться в виде сервиса, спомощью которого компания сможет полностью удовлетворить свои потребности в надежной защите без дополнительных затрат на ИТ-ресурсы или замену ПО.

Не следует забывать о постоянном обучении сотрудников. В среднем каждый третий случай в небольшой компании, связанный с существенной потерей данный, происходит из-забеспечности или недостаточной информированности персонала.

«Лаборатория Касперского» помогает пользователям защититься от таких зловредов с помощью инициативы No More Ransom, реализованной совместно с Европолом, полицией Нидерландов и Intel Security. Проект представляет собой веб-портал www.nomoreransom.org, где можно получить бесплатные инструменты для восстановления данных, «обработанных» наиболее распространенными видами программ-шифровальщиков, а также больше узнать о них и исходящих от них угрозах.

Комментарии могут оставлять только зарегистрированные пользователи