Сигурност

Последните вируси изнудвачи дефинират новата епоха при зловдрения софтуер

Александър Главчев

Вирусите изнудвачи (наричани още криптовируси) препятстват достъпа до информация на жертвата, искайки за нея откуп. Такива програми съществуват от години, като първият е от 1991 г. В началото на настоящото десетилетие започнаха да се появяват вируси, които шифроваха потребителските данни и се възползваха от начините за анонимно изпращане на финансови, а по-късно престъпниците преминаха към използване на криптовалути. През 2018-та изглеждаше, че пикът на тези атаки е достигнат. През последвалите две години обаче се видяха промени в използваните от хакерите тактики, които доведоха до нов подем в тази област.

Една от по-новите тенденции е т.нар. "криптоджакинг" (cryptojacking - криптоотвличане). При него, вместо да шифроват потребителска информация, хакерите се опитват да си набавят средства по друг начин - използвайки хардуерните ресурси на компютъра. Криптоджакингът следва сценария, използван при разпращането на спам и реализирането на DDoS атаки чрез тайно установяване на контрол върху отдалечени компютри. Техните хардуерни ресурси се използват за таен добив на криптовалути. Ако активността на крпиптовирусите намаля през 2018 г., то при криптоджакинга в началото на миналата година бе отчетен ръст от 450 на сто.


Какви са криптовирусите днес


Напоследък обаче се забелязва ново раздвижване при вирусите-изнудвачи. Мунир Хахад, ръководител на Juniper Threat Labs, вижда два зад тази тенденция две основни причини. Първата е свързана с динамиката на цените на криптовалутите. В много случаи заразените компютри се ползват за добив валутата Monero. С падането нейната стойност "в един момент участниците в заплахата ще разберат, че добивът на криптовалута няма да бъде толкова възнаграждаващ колкото искането на откупи", споделя Хахад. И понеже нападателите вече са компрометирали машините на жертвите си с троянци, е лесно върху тях да се извърши и друга атака - чрез класическо изнудване. "Искрено се надявах, че тази перспектива ще се реализира две до три години, казва Хахад, но обратният завой се случи за между една година и 18 месеца."

Друга тенденция през изминалите две години е, че повече атаки бяха насочени към сървъри, които съхраняват критични за бизнесите данни. "Ако се сдобиете с произволен лаптоп, то организацията надали ще се заинтригува много, казва Хахад. Но ако стигнете до сървърите, които задвижват ежедневния ѝ бизнес, това е много по-сериозно."

Подобни атаки изискват повече усъвършенстване - не непременно по отношение на самия код, а по-скоро в уменията, необходими на нападателите да проникнат в защитени системи за инсталирането на зловредния софтуер. "Тактиката на масово разпространяване не носи особено голяма възвръщаемост, обяснява още Хахад. За целта пресъпниците се нуждаят от повече целенасочени атаки с добри възможности за странично движение, което в повечето случаи не е автоматично. Става въпрос за първоначален пробив и след някой ръчно да влиза и да души из мрежата, премествайки файлове, увеличавайки привилегиите за достъп и получаване на идентификационни данни от някой администратор, чрез може да да бъде получен достъп до друга машина от разстояние."

По-долу са изброени пет от най-лошите представители на описаната нова епоха на вирусите-изнудвачи.


5 семейства криптовируси - цели и методи:

1. SamSam


Атаките, използващи софтуер, известен като SamSam, започнаха да се появяват в края на 2015-та, но сериозното им разпространение се случи през следващите няколко години, като сред техните жертви е Департаментът по транспорт в град Атланта, САЩ, и много здравни заведения. SamSam е перфектният пример за това че организационните способности на нападателите са толкова важни, колкото и техните умения при писането на код. Софтуерът не търси безразборно някаква специфична уязвимост, както правят някои други изнудвачи, а по-скоро оперира под формата на услуга, чиито управляващи внимателно проучват предварително избрани цели за слабости. Веднъж влезли в системата, нападателите работят за увеличаване на привилегиите си за достъп, така че да гарантират, че когато започнат да криптират файлове атаката ще особено болезнена.

В началото изследователите по сигурност смятаха, че SamSam има източноевропейски произход, но в по-голямата част случаите атаките са насочени към институции в Съединените щати. В края на 2018 г. тамошното Министерство на правосъдието повдигна обвинения на двама иранци, за които се твърди, че стоят зад атаките. В обвинението се казва, че те са довели до загуби от над 30 млн. долара. Не е ясно каква част от тази цифра представлява действително евентуално платен откуп. Официални лица от Атланта предоставиха на местни медии скрийншоти със съобщения за искания откуп, които включваха информация за това как да се комуникира с атакуващите, което ги накара да закрият този канал, което може да е попречило на евентуалното плащане на откуп.


2. Ryuk


Ryuk е друг целенасочен изнудвач, който доведе до сериозни загуби през 2018 и 2019 г. За жертви се подбират организации с малък толеранс при престой. Сред тях са медии и водоснабдителна компания в Северна Каролина, която е затруднено положение след урагана Флорънс. Лос Анджелис Таймс написа доста подробен разказ за случилото се, когато собствените им системи са били заразени. Интересна функция в Ryuk е възможността да деактивира System Restore опцията в Windows на заразените компютри, което прави още по-трудно въсзтановяването на криптираните данни, без плащане на откуп. Междувременно исканите суми бяха особено високи - съответстващи на жертвите. Вълна от атаки по време на празниците показа, че нападателите не се страхуват да съсипят Коледа, за да постигнат целите си.

Анализаторите смятат, че изходният код на Ryuk до голяма степен произлиза от Hermes, който е продукт на Lazarus Group от Северна Корея. Това обаче не означава, че самите атаки на са били управлявани от там. Споре McAfee Ryuk е създаден върху код, закупен от рускоезичен доставчик, отчасти защото софтуерът за откупуване не се активира на компютри, на които системният език е руски, беларуски или украински. Не е ясно как този руски източник се е сдобил кода от Северна Корея.


3. PureLocker


PureLocker е нов вирус-изнудвач, който бе обект на съвместно изследване на IBM и Intezer през ноември 2019 г. Той работейки на Windows и Linux машини и е добър пример за новата вълна от подобни инструменти. Вместо да прониква чрез фишинг атаки с широк обхват, изглежда той има общо с more_eggs, злонамерен софтуер, който е свързан с няколко добре известни кибер-престъпни банди. С други думи, PureLocker се инсталира на вече компрометирани машини и криптира данните след като извърши редица проверки.

IBM и Intezer не разкриха колко разпространени са PureLocker инфекциите, но съобщиха че повечето се случват на корпоративни продукционни сървъри, които очевидно са цели с висока стойност. Поради нуждата от висококвалифициран контрол изследователят по сигурност на Intezer Майкъл Каджилоти вярва, че PureLocker се предлага като услуга само на много платежоспособни престъпни банди.


4. Zeppelin


Zeppelin е еволюционен потомък на фамилията, известна като Vega или VegaLocker, криптовирус като услуга, който предизвика хаос в счетоводни фирми в Източна Европа и Русия. Той идва с някои нови технически трикове, особено що се отнася до конфигурируемостта, но това, което го отличава от споменатото семейство, е неговата насоченост. Докато Vega се разпространяваше донякъде безразборно и най-вече в рускоезичния свят, Zeppelin е специално проектиран да не се изпълнява на компютри, работещи в Русия, Украйна, Беларус или Казахстан. Изнудвачът може да бъде разгърнат по много начини, включително като EXE, DLL или PowerShell лоудър, като по всичко личи, че някои от неговите атаки са дошли чрез компрометирани управлявани услуги за сигурност.

Zeppelin дебютира през ноември 2019 г. и, като доказателство за разликите си с Vega, целите му бяха внимателно подбрани. Те са най-вече от сферите на здравеопазването и технологиите в Северна Америка и Европа, а някои от посланията за откуп са написани специално за конкретната целева организация. Експертите по сигурността смятат, че промяната в поведението на Vega е резултат от използването на кодовата база от нов и по-амбициозен организатор, вероятно от Русия. Макар броят на инфекциите да не е толкова голям, някои смятат, че това, което сме видели досега показва голям потенциал.


5. REvil/Sodinokibi


Sodinokibi, известен също като REvil, за пръв път се появява през април 2019 г. Подобно на Zeppelin, той изглежда е потомък на друго семейство злонамерен софтуер, наречен GandCrab. В него също има код, който му попречи да бъде изпълняван в Русия и няколко съседни страни, както и в Сирия, което показва, че произходът му е от този регион. Той има няколко метода за разпространение, включително експлоатация на слабости в Oracle WebLogic или VPN Pulse Connect Secure.

Разпространението на Sodinokibi също показа наличие на амбициозен екип зад него и вероятно се предлага под формата на услуга. Той е отговорен за проблеми в повече от 20 малки градове в щата Тексас, САЩ, през септември, но славата му дойде в самия край на 2019 г., когато прекъсна работата британската услуга за обмяна на валута Travelex, принуждавайки офиси по летищата да прибягват до химикалки и хартия и остави много клиенти в недоумение. Нападателите поискаха зашеметяващ откуп от 6 млн. долара, за който компанията отказва да коментира дали е платила.

Според Мунир Хахад, от Juniper Threat Labs, нещото нещо, което прави Sodinokibi по-специален е че групата зад нефо е възприела нов подход и не само да казва на хората:" Няма да си върнете данните, ако не платите откупа ", но също: "Ще публикуваме тези поверителни данни в мрежата или ще ги продадем." Това е огромно отклонение от обичайния модел на криптоизнудвачите. "Новата ера на насочени, специално пригодени изнудвачи достига нови и опасни дълбочини, подчертава той."

Източник; Изображение: Pixabay

X