Изощренные умы: кто стоит за знаковыми вирусами-вымогателями
Этот материал входит в раздел «Технологии», в котором мы каждую неделю разбираем актуальные технологические тренды и публикуем прогнозы и рекомендации бизнесменов, IT-евангелистов и футурологов. Вы также найдете экспертные материалы о том, как стать продуктивнее, вывести бизнес на новый уровень и улучшить качество жизни с помощью технологий.
РБК Pro публикует отрывок из книги Олега Скулкина «Шифровальщики. Как реагировать на атаки с использование программ-вымогателей». Книга вышла в издательстве «Альпина Pro».
Тщательная разведка уязвимостей IТ-инфраструктур и их подготовка к развертыванию программ-вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте.
Существует много ярких примеров штаммов программ-вымогателей, используемых в атаках. Мы сосредоточимся на самых важных с исторической точки зрения примерах, включая угрозу, наиболее характерную для современного IТ-ландшафта, — программы-вымогатели как услуга.
Все эти программы существовали еще задолго до известных вспышек распространения WannaCry и NotPetya.
2016 год — SamSam
Операторы SamSam появились в начале 2016 года и коренным образом изменили картину угроз, связанную с программами-вымогателями. Их целью были не обычные пользователи и отдельные устройства — они атаковали различные компании, продвигаясь по сети и шифруя как можно больше устройств, в том числе тех, которые содержали наиболее важные данные. Эти программы управлялись вручную.
Атакам подверглись самые разные цели, включая предприятия сферы здравоохранения и образования — и даже целые города. Ярким примером стал город Атланта (штат Джорджия), который пострадал в марте 2018 года. Восстановление инфраструктуры, поврежденной в результате атаки, обошлось городу примерно в $2,7 млн.
Как правило, злоумышленники эксплуатировали уязвимости в общедоступных приложениях, например системах JBOSS, или просто подбирали пароли к RDP-серверам, чтобы установить первоначальный доступ к целевой сети. Для получения расширенных прав доступа они использовали ряд распространенных хакерских инструментов, в том числе пресловутый Mimikatz, позволяющий завладеть учетными данными администратора домена.
После этого операторы SamSam просто сканировали сеть, чтобы добыть информацию о доступных хостах, на каждый из которых они копировали программу-вымогатель и запускали ее с помощью другого широко распространенного инструмента двойного назначения — PsExec.
Злоумышленники пользовались платежным сайтом в даркнете. Жертва получала сообщение с требованием выкупа и информацией о расшифровке файлов, сгенерированное программой-вымогателем. По данным Sophos, в 2016–2018 годах злоумышленники заработали около $6 млн.