Добрый день, меня зовут Лидия Виткова, я начальник аналитического центра кибербезопасности компании «Газинформсервис» (а еще немного product owner платформы расширенной аналитики Ankey ASAP). В 2023 году мы в рамках НИОКР, а потом уже и при разработке платформы расширенной аналитики изучали шифровальщиков и разрабатывали модели обнаружения паттернов поведения атак шифровальщиков. Путь был длинным, результатов много, по итогам проекта на Хабре будут две статьи. В этом материале расскажу, что это за волшебные твари – шифровальщики и какие у них в общем и целом манеры. Также предлагаю посмотреть на их эволюцию, так как в историческом контексте становится понятнее, как меняется вредонос и его «поведение».
Во второй статье я хочу поговорить уже про подходы к обнаружению атаки шифровальщиков, которые мы в итоге выбрали для внедрения в Ankey ASAP.
Почему нас вообще заинтересовали шифровальщики. Тему мы выбирали примерно в начале лета 2021 года, то есть задолго до того, как Россию захлестнула волна кибератак с использованием шифровальщиков. Но уже тогда их атаки были одними из самых заметных в кибербезе.
В отчете компании F_A_C_C_T «Программы-вымогатели 2021-2022» достаточно хорошо было показано, что шифровальщики еще в 2021 году стали угрозой № 1 в мире. В отчете от Verizon DBIR в 2021 году в разделе про шифровальщиков авторы пишут:
«В этом году мы с сожалением сообщаем, что стали свидетелями очередного увеличения числа случаев использования программ-вымогателей, которое продолжает расти с 2016 года и в настоящее время составляет 5% от общего числа наших инцидентов. Новым фактом является то, что 10% всех взломов в настоящее время связаны с программами-вымогателями. Это связано с тем, что злоумышленники применили новую тактику кражи данных и публикации их вместо простого шифрования…»
Итак, многие эксперты по информационной безопасности били тревогу, а у нас была сформирована сильная команда разработчиков в Ankey ASAP, специалисты Data Science жаждали новых сверхзадач, и было понимание, что пора браться за дело.
В ходе исследования мы узнали много нового и интересного. Прежде всего мы оценили эволюцию данного вида кибератак.
Поведение шифровальщиков
Как показывают примеры из новостей и отчетов, приведенных выше, шифровальщик – это вредоносное программное обеспечение, с которым сталкиваются многие, сражаются зачастую не на равных и проигрывают. Что же это за зверь?
Если коротко, то это компьютерный вирус. Зародился как вирус-вымогатель и проявлялся в двух видах: локер (блокирует доступ к системе) и шифровальщик (все, что есть на компьютере, превращается в набор символов – по сути, тем самым вся информация уничтожается). А за возврат данных злоумышленники требовали выкуп. В зарубежной литературе, научных статьях и отчетах чаще всего для его обозначения используется термин ransomware.
Так как это мировая проблема, то есть общепринятая классификация программ-вымогателей, и в ней шифровальщиков по принципу работы делят на:
– шифрующие файлы в системе;
– препятствующие работе с ПК (или другими сетевыми активами);
– препятствующие работе с браузерами.
А еще существуют и псевдо вымогатели, полностью и безвозвратно уничтожающее данные, — так называемые wiper-ы.
Сами шифровальщики могут быть троянскими программами, сетевыми червями, гибридами трояна и червя, а также набором из различных вредоносных программ (и хакерских инструментов). Когда объектом атаки является домашний компьютер, тогда программа обычно распространяется массово, и от нее защищает антивирус. А вот если целью становится крупная организация, тогда в ход идут изощренные методы доставки: программа маскируется под легальное ПО и бодро уклоняется от любого сигнатурного метода обнаружения. Тут как раз и помогает расширенная аналитика, поэтому мы и взялись за разработку своих анализаторов в Ankey ASAP.
Об особенностях этого вредоноса поговорили, переходим к исторической справке.
Эволюция шифровальщиков
Эволюцию шифровальщиков исследователи условно делят на три ключевых периода: до 2014 года, с 2015 по 2017 год, после 2017 года (рисунок 1). Я же предлагаю добавить и период с 2022 года.
Все, что было до 2014 года, можно отнести к тому времени, когда атаки шифровальщиков и локеров были широко распространены, жертвами чаще всего становились обычные пользователи и атаки носили случайный характер. В тот период выкуп, который требовали вымогатели, был маленьким.
После 2015 года злоумышленники начали внедрять в свои решения ПО для выкупа, именно тогда и появился устойчивый термин ransomware (ransom – выкуп и software – программное обеспечение). Это сократило количество жертв, зато привело к росту числа целенаправленных атак и увеличению требований о выкупе. На рисунке показан маленький диапазон 2015-2017 годов, когда шифровальщики плавно переходили из класса кибероружия массового поражения в класс дорогих и целенаправленных атак.
А вот после 2017 года в мире угроз, связанных с шифровальщиками, появились программы-вымогатели как услуга (RaaS), и мир начал привыкать к новому термину: охота на крупную дичь (BGH).
И теперь мы можем смело добавлять в историю четвертый, ключевой период, начавшийся в феврале-марте 2022-го, когда к киберпреступникам присоединились хактивисты, которым неинтересен выкуп. Так появился подвид шифровальщиков, которые просто уничтожают все данные безвозвратно. Возможно, в будущем шифровальщики вернутся к классу кибероружия массового поражения, но уже от хактивистов. Посмотрим, что готовит нам будущее, но антивирусами надо запастись и быть бдительными.
4) Вайперы - не являются вымогателями!
В комментариях к статье 25.07.2024 эксперт по информационной безопасности DarkAvengerBit подчеркивает, что вайперы не являются вымогателями, тут стоит согласиться с комментатором. Это с одной стороны не противоречит утверждению в статье: "...просто уничтожают все данные безвозвратно...", с другой стороны такой механизм действия отличает от ransomware любой вайпер. В энциклопедии Лаборатории Касперского дано такое определение: "Вайпер (стиратель) - Вид вредоносного ПО, цель которого — уничтожить данные на диске компьютера-жертвы." Также на сайте Лаборатории Касперского есть интересная статья "Вайперы: уничтожить все!", в которой как раз предложена хорошая классификация.
Далее я опишу просто несколько кейсов по диаграмме (рис 1), чтобы показать примеры эволюции. Они не демонстрируют все множество случаев, но показательны для анализа изменений: за многими «инновациями» стоят преступные группировки.
Кейсы из эволюции методов и технологий шифровальщиков
Кейс. Начало
Первым человеком, запустившим массовую атаку шифровальщика, стал американец, исследователь СПИДа Джозеф Попп. В 1989 году он разослал участникам конференции ВОЗ 20 000 дискет. Чтобы обмануть жертв, он утверждал в сопроводительных документах, что на дискетах содержится анкета для определения риска заражения. Диск содержал AIDS Trojan, и программа шифровала файлы, при этом использовался простой симметричный шифр. С жертв Джозеф Попп требовал 189 долларов.
Промежуточные перемены
Развитие продолжалось, но я предлагаю перейти сразу к 2000-м. В 2004 году появилась первая современная программа-вымогатель GPCode. Она заражала системы через фишинговые письма. GPCode использовала симметричное шифрование, была массовой и выкуп составлял 20 баксов. В 2006 году появилась Archievus, в которой впервые применялся RSA-шифр, однако ключ был 1024-битный.
Локеры
Перешагнем еще через шесть лет. Злоумышленники применили новую технологию, и в 2012 году появилась Reveton. Она была уже локером. Вирус блокировал компьютер и требовал выкуп с жертв от имени правоохранительных органов, обвиняя их в совершении преступления.
В 2013 году появился штамм вымогательского ПО CryptoLocker, в котором использовалось стойкое шифрование 2048 RSA. Был еще интересный TeslaCrypt в 2015 году, он атаковал геймеров и требовал 500 долларов, а если жертва не укладывалась в сроки, выкуп удваивался.
Известные массовые шифровальщики
В 2016 году пользователи столкнулись с вирусом Petya (рис 2). Он атаковал загрузочный сектор, то есть ОС даже не успевала запуститься, и жертвы лишались жесткого диска быстрее, чем успевали увидеть картинку с требованием.
В 2017-м вирус WannaCry потряс мир и поразил сотни тысяч компьютеров более чем в 150 странах. Эксплойт использовал для распространения уязвимость Eternal Blue, утечка о которой произошла из Агентства национальной безопасности США. Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. В общем-то, и для распространения шифровальщика Petya эта уязвимость часто использовалась киберпреступниками.
Охота на крупную дичь
В 2018 году появился Ryuk – сложный шифровальщик, который использовался уже для целенаправленных атак. Выкуп требовался в биткоинах, и на то время он составлял от 100 000 до 500 000 долларов.
В 2019 году появился Maze, в нем уже использовалась тактика двойного вымогательства, при которой данные удаляются при развертывании. А в 2020 году после распада группировки Maze был создан сервис Egregor Raas.
Еще 2020 год запомнится появлением Conti и Darkside. Эти киберперступники были ответственны за самые крупные киберинциденты по всему миру.
В те же годы Lockbit обновлялся до 2.0 и 3.0 в 2021 и 2022 году соответственно. Из интересного: записка с требованием выкупа для Lockbit 3.0 отличалась от многих. Во-первых, она была реально длиннее – это было письмо с обращением к жертве, в котором атакующие шантажировали пострадавшего угрозой, что они сольют данные в Интернет и тем самым жертва нарушит Общий регламент по защите данных (GDPR) – закон Европейского союза о защите данных. В записке сообщалось, что в случае утечки пострадавшие могут быть подвергнуты юридическим штрафам со стороны регуляторов.
Появление хактивизма
В 2022 году мы узнали, что такое хактивизм.
В отчете за 2023 год специалисты компании F.A.C.C.T. описали 14 APT-групп, действующих на территории России и стран СНГ. Чаще всего киберпреступников интересовали госучреждения, оборонка, объекты критической инфраструктуры. Однако, как показала весна 2024-го, сферами ретейла, доставки, финансов они тоже не пренебрегают.
На 2024 год пока в дальнейших прогнозах у экспертов – рост активности со стороны APT-групп, хактивистов и шифровальщиков.
В общем, не зря мы в 2022-м создавали модели обнаружения шифровальщиков. Но о жизненном цикле шифровальщика, признаках, подходах я расскажу во втором материале.
А пока предлагаю задуматься о будущем. Присоединяйтесь в комментариях к прогнозам!
Будущее шифровальщиков:
1) через год;
2) через два года;
3) через три года.
Мои варианты:
1 год
Хактивисты из идейных перейдут в группу киберпреступников, стремящихся к обогащению, и увеличат со своей стороны количество атак. Внутренний нарушитель зазвучит более громко в ИБ.
2 года
APT-группировки разработают метод атаки крупных транснациональных компаний и появятся первые новости про масштабную блокировку автомобилей, смартфонов от одного производителя с требованием выкупа к корпорации.
3 года
Атаки шифровальщиков начнутся на ИИ-приложения, новыми целями атак станут модели машинного обучения и нейросети.
Предлагайте ваши варианты, а потом сравним.
[1] Warikoo A. Perspective Chapter: Ransomware //Malware-Detection and Defense. – IntechOpen, 2023.