Ransomware-вирус CryptoLocker

В 1989 году хакер Джозеф Попп написал первый ransomware-вирус. Он назывался AIDS - с английского языка это слово можно перевести как «СПИД» или как «сбор». Вирус прятал файлы на жестком диске компьютера и шифровал их названия. На экране отображалась надпись о том, что время действия лицензии истекло и пользователю нужно заплатить $189, чтобы вернуть доступ к файлам.

Стоит отдать должное Поппу - после оплаты доступ к файлам действительно возвращался, в случае с ransomware такое происходит далеко не всегда. Через несколько лет создателя вируса нашли правоохранительные органы США, однако Попп был признан умственно нестабильным, чтобы отбывать срок в тюрьме. Позже хакер пообещал пожертвовать все доходы от вируса в фонд исследования СПИДа.

Большой популярности ransomware-вирусы достигли в 2010 году, одновременно с биткоинами. Подход программ-вымогателей практически идентичный. Они загружаются на компьютер через браузер или внешние накопители и либо шифруют файлы в системе, либо блокируют работу программ, например, браузера. Пользователю высвечивается сообщение с требованием выплатить деньги (чаще всего, в биткоинах) и после этого злоумышленники присылают пароль для разблокировки компьютера.

В 2013 году экспертам по кибербезопасности стало ясно, что ransomware - это огромная проблема не только для частных пользователей, но и для корпоративного сектора. Издание ZDNet проанализировало вирус CryptoLocker - один из самых известных ransomware, требовавший оплату в биткоинах. ZDNet использовали открытую информацию о биткоин-транзакциях и подсчитали, что в период с 15 октября по 18 декабря 2013 года на кошельки хакеров, создавших CryptoLocker, пришло около $27 млн.

В корпоративном секторе хакеры атакуют всех без разбора. В феврале 2016 года была произведена атака на госпиталь в Лос-Анджелесе. Тогда из-за вируса врачи лишились доступа к карточкам больных на неделю. Хакеры запросили $17 тысяч в биткоинах за возврат доступа к базе данных.

Медицинский центр Hollywood Presbyterian Medical Center вместе с ФБР в течение недели работал над поиском хакеров, однако в конечном итоге все же заплатил выкуп. «Самый простой и эффективный способ вернуть работоспособность центра - заплатить выкуп, что мы и сделали», - сказал в открытом письме президент центра Аллен Стефанек.

Не боятся хакеры и полиции. С 2013 по 2015 год они заблокировали доступ к компьютерам в нескольких полицейских участках Теннесси, Массачусетса и Нью-Хемпшира. Во всех случаях полиция заплатила хакерам выкуп - от $300 до $750.

В 2014 году оказалась заблокированной вся база данных города Детройт. Хакеры потребовали выкуп в размере 2 тысяч биткоинов - $800 тысяч по курсу 2014 года. Правительство города отказалось идти на поводу у хакеров, мотивировав это тем, что база уже устарела и не использовалась в течение нескольких лет. «Но это был хороший знак. Когда я пришел на пост мэра, я увидел, что в мэрии пользуются Microsoft Office 1993 и я даже не смог синхронизировать календарь компьютера со смартфоном», - сказал мэр Детройта Майк Дугган.

Часто хакеры запугивают жертв, обвиняя их в нарушении авторских прав или скачивании детской порнографии

Чаще всего, хакеры выбирают в качестве жертв тех, для кого очень важна информация на компьютере: медицинские центры, полицейские участки, корпоративный сектор. Некоторые взламывают компьютеры обычных людей - за счет больших объёмов это тоже выгодно и гораздо более безопасно.

Но действительно крупные деньги хакеры получают за счет атак на компании. Согласно отчету ФБР, за первые три месяца 2016 года американские компании потерпели убытки в размере $209 млн за счет хакерских атак. Эта цифра впечатляет еще больше, если сравнить её с убытками годом ранее - тогда компании потеряли на $2 млн меньше за весь год.

Однако статистика ФБР включает в себя только те случаи, когда жертвы обращались в бюро за помощью. В сентябре Datto - компания, оказывающая услуги по кибербезопасности - подготовила отчет, в котором оценила убытки от ransomware-вирусов в $75 млрд ежегодно.

Компания опросила 1 100 ИТ-специалистов и обнаружила, что 92% из них сталкивались с ransomware-атаками в прошлом году и 40% из них сталкивались с атаками не менее шести раз. В отчете сказано, что лишь в одном случае из четырех жертвы обращаются за помощью в ФБР или другие правоохранительные органы.

Разница в оценке ущерба у ФБР и Datto огромна - по оценке Datto убытки больше в 309 раз. Их статистика основывается на исследовании консалтинговой компании Aberdeen Group. Компания анализировала не только сумму выкупа, но и простой. Они обнаружили, что один час простоя стоит небольшой компании, в среднем, $8 581. В исследовании Datto сказано, что за прошлый год компании заплатили хакерам $375 млн, что делает потерянную продуктивность гораздо большей проблемой.

В небольшой компании ransomware-атака может заблокировать всю работу, в корпорации - работу целого отдела или подразделения. Президент сервисной компании GCS Technologies Джо Глэйнсер считает , что в некоторых индустриях атаки хакеров наиболее опасны.

В сфере здравоохранения атака хакера означает, что пациенты остаются без должного лечения. Если у вас нет доступа к медицинской карте пациента, вы даже не знаете, какие лекарства ему прописать.

Кампания, атаковавшая Королевскую почту, то есть пользователей английской почты, с поддельной почтой, достигла 10 миллионов британцев и произвела 250 000 жертв. Он возник бы в России. Хотя трудно количественно оценить явление, мы имеем частичные оценки, которые составляют размер рынка.

Кроме того, найти эти группы по принципу верховенства права в пострадавших странах, особенно в Северной Америке и Западной Европе, непросто. «Истоки этих кампаний в России и Восточной Европе, - сказал Сантьяго Понтироли, главный научный сотрудник отдела безопасности Касперского, - и очень сложно найти авторов для осложнений или судебных ям». Также многие из этих банд стараются не слишком беспокоиться о странах, в которых они находятся. Технологии, продаваемые на российских площадках и на рынках, как правило, не затрагивают пользователей, проживающих в соседних с этими странами странах, - говорит Лука Аллоди, исследователь из Университета Тренто, который изучал такие экосистемы. Например, российские вредоносные программы, как правило, не попадают в государства бывшего советского блока.

- Джо Глэйнсер

Эксперты по кибербезопасности считают, что самым эффективным способом борьбы с ransomware является резервное копирование данных. В случае атаки всю информацию можно восстановить с небольшой задержкой и потерями. Второй по эффективности способ - заплатить выкуп. ФБР не поддерживает эту практику, однако в большинстве стран она законна.

«Платить или не платить выкуп - это тяжелая дилемма. Всё-таки вы имеете дело с преступниками», - говорит Глэйнсер. В опросе компании Datto 7% ИТ-специалистов сказали, что даже после оплаты выкупа, хакеры не вернули доступ к заблокированной информации.

Но даже если компания и хочет заплатить, сделать это не всегда просто. Большая часть хакеров требуют выкуп в биткоинах, которые довольно редко бывают в наличии у компании. «Если у вас нет биткоинов, то велика вероятность, что вы не успеете их получить до того времени, как истечет таймер», - говорит Глэйнсер.

Дело в том, что хакеры устанавливают таймер обратного отчета, чаще всего, на 24 или 48 часов. По истечении этого срока информация автоматически удаляется - так хакеры заставляют жертв действовать оперативно. Иногда по истечении срока стоимость выкупа возрастает в несколько раз. В некоторых случаях, после выплаты выкупа компания сразу подвергается второй атаке.

Нередко хакеры предлагают заплатить выкуп через карты MoneyPak. Их можно купить в любом розничном магазине США за наличные, после чего кассир перечисляет номинал карты в указанный аккаунт платёжной системы MoneyPak. Вирус CryptoLocker даже показывает своим жертвам карту с местоположением ближайших розничных точек.

Оплата с помощью MoneyPak

Эксперты по кибербезопасности полагают, что многие создатели ransomware-вирусов находятся в России. «Власти России не заинтересованы в поиске киберпреступников», - пишет издание The Economist. И пусть злоумышленники и находятся в России, но их жертвы - повсюду. Австралийская комиссия по преступности оценила, что в 2015 году только в Австралии было совершено порядка 16 тысяч ransomware-атак, а жертвы выплатили в общей сумме $7 млн.

От ransomware-атак сложно защититься антивирусами. Сообщество хакеров выкладывает код для создания вируса в сеть и любой энтузиаст может модифицировать код, чтобы антивирусная программа его не заметила. И даже когда команды создают программы, которые борются с ransomware, хакеры мгновенно выпускают заплатки.

В 2015 году команда энтузиастов под эгидой ФБР создала бесплатный сервис DeCryptoLocker, который взламывал один из самых популярных вирусов CryptoLocker и позволял не платить злоумышленникам выкуп. Однако хакеры быстро создали CryptoWall - версию вируса, у которой был иммунитет к DeCryptoLocker. В сентябре 2015 года финская ИТ-компания Nixu Corporation нашла способ бороться с другим ransomware-вирусом TorrentLocker. Но спустя несколько недель создатели вируса закрыли уязвимость, которую нашли финны.

По словам маркетолога Грега Хуша, хакеры анализируют и платежеспособность своих жертв. Большинство вирусов требуют сумму в районе $600 - жертва, чаще всего, готова заплатить такой выкуп, чтобы вернуть доступ к информации.

Эксперты сходятся во мнении, что обезопасить себя от ransomware довольно просто, если быть осторожным. Вирусы попадают на компьютер через почту, файлы с интернета и торренты. Практически всегда пользователь сам запускает зараженную программу. The Economist советует регулярно делать резервные копии файлов, использовать антивирусные программы и файрволлы, а также избегать подозрительных сайтов и файлов.

Так как интернет всё больше входит в жизнь человека, под угрозой находятся все устройства, которыми человек пользуется повседневно: компьютеры, смартфоны, телевизоры и автомобили. В отчете о ransomware-вирусах компания Symantec написала : «Еще никогда в истории люди не подвергались таким масштабам вымогательства». И учитывая тот факт, что интернет-вымогателем может стать практически любой человек, ситуация пока движется лишь в худшую сторону.

Известное изречение о том, что «тот, кто владеет информацией, тот управляет миром», в XXI веке является как никогда актуальным. IT-cпециалисты сегодня правят бал - мы читаем, прежде всего, ту информацию, которую они продвигают в поисковых системах; прежде чем совершить покупку, смотрим о ней информацию в интернете. Фильмы, книги, программы - сегодня мало кто ходит за ними в магазин, предпочитая скачивать все это с многочисленных интернет-сайтов. Зависимость от информационных технологий сегодня такова, что закрытие сайта, распространявшего пиратский контент, стало главной новостью прошлой недели.

Увы, одновременно с развитием интернета появились и компьютерные преступники. На примере «ex.ua» можно оценить их возможности: почти неделю были блокированы сайты госорганов. «Сегодня» узнала, опасно ли такое могущество для украинцев в случае злого умысла.

ХАКЕРЫ ПРОТИВ ПРАВООХРАНИТЕЛЕЙ

Если к обычным злоумышленникам правоохранительные органы способны применить те или иные методы воздействия (задержать, арестовать, изъять оборудование), то против кибермафии привычные методы работы силовиков, как правило, бессильны.

Например, весной прошлого года украинская милиция гордо объявила о том, что закрыла крупнейший сайт, распространявший порнографическую продукцию. И даже по телевизору показали оперативную съемку изъятия серверов, на которых и была размещена порнуха. Более того, милиция даже пригрозила пользователям, что теперь у них появилась возможность отследить тех, кто пользовался этим сайтом, и завести против таких пользователей уголовные дела за распространение порнографической продукции. Наверняка руководитель подразделения по борьбе с киберпреступностью даже рассчитывал получить за такую работу награду - все-таки крупнейший в рунете трекер. Между прочим очень важную роль в формировании конечной зарплаты играет и стоимость письменного перевода , которая колеблется от нескольких гривен до десятков гривен, в зависимости от сложности, текста и задач.

Однако прошло всего лишь несколько дней, и этот сайт возобновил свою работу. А на серверах, изъятых милицией, оказались не файлы с порнухой, а лишь торренты - файлы с информацией для обмена порнофильмами. Фактически порносервер получил бесплатную широкомасштабную рекламу на всю Украину.

Нынешняя ситуация с сайтом «ex» в чем-то схожа. Ценность для владельцев представляло лишь доменное имя, а изъятыми серверами (ориентировочная цена дата-центра из 200 серверов, по оценке опрошенных нами специалистов, составляет порядка миллиона долларов) они были готовы пожертвовать. Сайт и без них возобновил свою работу. Вначале большая часть файлов была недоступна, но с каждым днем восстанавливается все больше и больше информации.

То есть, как и в случае с порносайтом, цель правоохранителей была не достигнута: сайт лишь получил бесплатную рекламу. А пиратский контент как распространялся, так и продолжает распространяться. А милиция и правительство понесли имиджевые потери.

БЕСПЛАТНЫЙ ОБМЕН?

Опрошенные «Сегодня» IT-специалисты говорят, что обмен пиратским контентом - целый сектор теневой экономики. И полагать, что для пользователей программы и фильмы являются бесплатными во всех смыслах этого слова, наивно. «Люди, которые распространяют пиратские программы, делают это вовсе не из любви к человечеству, они зарабатывают на этом», - говорит Дмитрий Шимкив, гендиректор «Майкрософт Украина». По его словам, очень часто злоумышленники «доукомплектовывают» пиратские версии программным обеспечением, которое превращает компьютер установившего пиратский софт пользователя в «зомби» для использования в бот-сетях (для атаки серверов).

С ним согласен и директор отдела сетевых технологий IT-компании «Айкьюжн» Денис Теребий. «Когда пользователь не хочет платить за товар, он часто сам становится товаром», - говорит эксперт.

Владельцы файлообменного сервиса в лучшем случае зарабатывают на рекламе либо на увеличении скорости скачивания файлов, в худшем - заражают компьютеры пользователей вредоносными программами, которые дают возможность хакеру получать данные с компьютера пользователя либо отправлять с него спам. Нередко происходит и то, и другое одновременно.

Сегодня киберпреступники - это уже не отдельно взятые любители. Они организованы в структуры, которые имеют финансирование и определенные цели. К созданию и распространению вредоносных программ привлекаются высококвалифицированные программисты, у которых есть необходимые ресурсы и достаточное время для разработки программ.

Информация стала для хакеров практически золотой жилой. Интерес для них представляют не только сведения финансового характера, но и общая информация о пользователях. Обладание такими данными очень выгодно для хакеров - ведь это позволяет им вести атаки и спам-кампании более целенаправленно. Например, на 500 тыс. электронных адресов рассылается предложение купить продукцию. Даже если откликается всего один из тысячи, это уже 500 новых заказов. А теперь представьте, что в базе спамера не 500 тыс., а, скажем, 70 миллионов адресов…

Специалисты по информбезопасности приводят пример ботнет «Rustock». Сеть рассылала ежедневно по 14 миллиардов (!) спам-сообщений, пока не была обезврежена весной 2011-го полицией США.

ШПИОНЫ: КАК РАБОТАЕТ БОТ-СЕТЬ

Владелец бот-сети. Получает прибыль от использования чужих ПК

Боты - программы, имитирующие человека при работе в сети передачи данных. Первые такие программы были созданы еще в 1980-х и были довольно безобидными. Однако уже в конце 1990-х злоумышленники начали подселять такого рода софт на компьютеры пользователей с конкретными корыстными целями: сбор конфиденциальной информации, имитация работы человека, поиск информационных уязвимостей в корпоративной сети компании.

МЕХАНИЗМ ЗАРАЖЕНИЯ. Как правило, пользователь ПК загружает вредоносную программу на свой компьютер сам - либо в составе некой бесплатной или скачанной с файлообменника взломанной программы. Второй вариант - заражение браузера компьютера либо невнимательность пользователя, который загружает себе на компьютер программу, случайно или неосознанно щелкнув на предложенную ему в соцсети или интернет-пейджере (например, ICQ) ссылку.

ВНЕШНИЕ ПРИЗНАКИ. Программа маскируется под системный процесс и никак себя не проявляет. До тех пор, пока владелец бот-сети не подаст команду, к примеру, атаковать какой-то конкретный сайт. Нередко в этом случае компьютер начинает сильно «тормозить», интернет становится медленным. Либо начинает себя странно вести, например, самопроизвольно перезагружаться. Причем такого рода программы замаскированы настолько хорошо, что антивирус их не видит - былую скорость работы возвращает лишь переустановка операционной системы.

Но часто боты практически ничем себя не проявляют, поэтому пользователи зараженных ПК убеждены, что их компьютеры свободны от вредоносного ПО. До тех пор, пока не выяснится, что из его аккаунта в соцсети и электронной почте не начали приходить друзьям странные сообщения. А провайдер интернета не прислал космический счет за превышение трафика либо не заблокировал доступ к интернету по той причине, что с компьютера начало внезапно поступать слишком много информации.

ЦЕЛИ БОТ-НЕТА. Еще года два назад компьютеры украинских пользователей использовались в основном для организации DDOS-атак и рассылки спама. Сегодня же, с развитием электронных покупок, боты шпионят для того, чтобы получить данные о платежной карте.

КАКИЕ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ ИНТЕРЕСУЮТ ХАКЕРОВ

Киберпреступники ищут личную информацию, аккаунты в соцсетях и номера кредиток.

1. Аккаунты в соцсетях. Если хакер получает доступ, то сразу же меняет пароли. Из аккаунта извлекается максимум личной информации для дальнейшей атаки на финансы пользователя. Кроме того, аккаунты используют для флуда в комментариях под статьями в Интернет-СМИ.

2. Электронная почта. Часто пользователь использует свой емэйл для связи с банком, либо пароль такой же самый, как и для доступа к кредитной карточке. Также с электронной почты можно рассылать спам и заражать максимальное число компьютеров друзей этого пользователя. Потом эти компьютеры используются для Ddos-атак.

3. Номер мобильного. Сам по себе ценности не представляет, но в сочетании с остальной собранной информацией помогает получить доступ к финансам на кредитной карточке. Сегодня технически несложно сделать клон мобильного телефона и сим-карточки, а большинство программ идентификации пользователей в платежных системах основаны на подтверждении платежа через смс.

4. Паспортные данные/идентификационный код/фото. В случае сговора с сотрудником банка, имея такие данные, можно оформить на человека левый кредит либо другие обязательства.

5. Личная переписка/фотографии/видео. В мире известны случаи, когда пользователей шантажировали распространением дискредитирующей информации через интернет.

6. Данные платежных карт. Изготавливают их клоны, которыми потом расплачиваются за покупки за границей. Счет приходит владельцу карты, которую взломали.

Данные: Эксперты «Сегодня», Microsoft, журнал «Хакер»

АТАКА НА ГОССАЙТЫ

Сайт МВД. Пострадал от атаки зараженных компьютеров бот-сети

На прошлой неделе некоторые сайты государственных органов власти Украины были недоступны после продолжительных DDOS-атак (сокр. от англ. Distributed Denial of Service - отказ на обслуживание). Как удалось выяснить «Сегодня», сервер МВД был перегружен неимоверным количеством запросов (140 тыс. в секунду), которые были сгенерированы крупной международной бот-сетью (большая часть зараженных компьютеров, атаковавших государственные сайты, находится за границей).

Помимо этого, некоторые украинские пользователи сознательно применяли специализированное программное обеспечение, чтобы «завалить» серверы МВД, Кабмина и Администрации президента. В частности, для атаки использовалась программа LOIC (Low Orbit Ion Cannon) и ее аналоги. Принцип работы такого ПО заключается в том, что оно превращает компьютер пользователя в источник ложных запросов, направленных на атакуемый сайт. А сама программа даже не требует установки на компьютер - в интернете доступна ее онлайн-версия.

Защитить сервер от такой атаки возможно, однако для этого нужно покупать специализированное оборудование, которое стоит очень дорого (для защиты одного дата-центра нужно потратить порядка $100 тыс.). Очевидно, государство не видело смысла в том, чтобы защищать сайты для пользователей от них же самих. При этом сами государственные сайты не были взломаны - пострадали только пользователи, которые не получали доступа к размещенной на этом сайте информации. Например, о графике приема чиновников, телефонах приемных и адресах, законодательных актах.

Соответственно, побудительные мотивы тех украинцев, которые «заряжали» программное обеспечение для атаки на госсайты, понять сложно. Особенно в свете того, что они же сами при этом предоставили вредоносному ПО доступ к своему компьютеру. Каким образом его в дальнейшем используют злоумышленники, сейчас сказать нельзя. Но потенциальный риск налицо.

ЦЕНА DDOS: $2 ТЫС./ЧАС

Хакеры. Хорошо зарабатывают на блокировании работы сайтов

«Завалю сайт конкурента с гарантией. От $25 за час». Такого рода объявлений на специализированных форумах программистов довольно много. Для интереса мы попробовали «заказать» сайт Кабмина и отправили на указанный в объявлении имейл запрос.

В ответном письме было сказано, что указанные $25 подходят лишь для того, чтобы «завалить» слабый сервер. А вот для атаки сервера такого уровня, как кабминовский, нужно потратить не менее $2 тыс. в час, а задействованы при этом несколько тысяч зараженных компьютеров. Оплата - банковский перевод на счет, который указывает хакер - владелец бот-сети. Причем, поскольку речь идет о крупной сумме, хакер предложил перечислять деньги небольшими частями каждые 10 минут, во время которых заказанный сервер недоступен.

С учетом того, что госсайты подвергались атаке почти неделю, на то, чтобы их завалить, было потрачено порядка $700 тыс. «Скорее всего, злоумышленники использовали собственную бот-сеть», - объяснили «Сегодня» в киевской IT-компании «Софтлайн» (разработчик сайтов госорганов). Неужели владельцы файлообменника владеют и ботами?

Чтобы себя обезопасить, нужно следовать нескольким простым советам.

Как мы уже говорили, рекомендуется устанавливать исключительно лицензионную операционную систему - сегодня это стоит порядка 800 грн. Кроме того, лицензионная ОС Windows часто идет в комплекте с новым компьютером (установлена на него). Конечно, пиратскую копию можно скачать бесплатно, но это небезопасно.

НАСТРОЙКА ПК. Первое действие, которое необходимо сделать пользователю после установки ОС - инсталляция антивируса. Необходимости качать пиратский нет - для домашних пользователей сегодня разработчики антивирусов предлагают бесплатную ознакомительную версию на год и больше (например, такая политика у Avast, Comodo и многих других).

Современные антивирусы работают таким образом, что позволяют блокировать программы, которые несанкционированно заходят в интернет. Кроме того, при попытке какой-либо программы внести изменения в систему, антивирус отправляет об этом уведомление - если вы не знаете такой программы, лучше запретить ей какие-либо непонятные действия.

БЕЗОПАСНОСТЬ В СЕТИ. При установке бесплатных программ (например, торрент-клиента), они спрашивают, устанавливать ли дополнительные надстройки к браузеру - лучше этого не делать. А самому браузеру нужно запретить передавать сайтам данные пользователя.

Будьте осторожны с заходом на подозрительные сайты, особенно когда ссылку на них дают незнакомцы, например, в ICQ.

Оставляйте минимум правдивой информации о себе при регистрации на различных сайтах. И не используйте при этом один и тот же пароль.

Самая большая опасность - соцсети. Ни в коем случае нельзя сообщать степень связи с друзьями, оставлять реальные контакты и так далее. Например, известен случай взлома платежной карты, владелец которой в качестве секретного вопроса выбрал девичью фамилию матери и указал ее же в соцсети.

Осторожно нужно быть и с фото: на всеобщее обозрение лучше выставить аватар либо фото, где сложно разобрать лицо. А другие фото лучше либо не ставить, либо настроить сеть так, чтобы их видел только ограниченный круг друзей.

Всего учесть невозможно. Но этим вы снизите риск в разы.