Материал раздела Технологии

Изощренные умы: кто стоит за знаковыми вирусами-вымогателями

Атаки с использованием программ-вымогателей стали второй после COVID-19 пандемией 2020 года — и она развивается. Одних преступников ловят, их место занимают другие. Сколько зарабатывают на атаках, рассказывает Олег Скулкин (Group-IB)
Фото: Midjorney
Фото: Midjorney

Этот материал входит в раздел «Технологии», в котором мы каждую неделю разбираем актуальные технологические тренды и публикуем прогнозы и рекомендации бизнесменов, IT-евангелистов и футурологов. Вы также найдете экспертные материалы о том, как стать продуктивнее, вывести бизнес на новый уровень и улучшить качество жизни с помощью технологий.

РБК Pro публикует отрывок из книги Олега Скулкина «Шифровальщики. Как реагировать на атаки с использование программ-вымогателей». Книга вышла в издательстве «Альпина Pro».

Тщательная разведка уязвимостей IТ-инфраструктур и их подготовка к развертыванию программ-вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте.

Существует много ярких примеров штаммов программ-вымогателей, используемых в атаках. Мы сосредоточимся на самых важных с исторической точки зрения примерах, включая угрозу, наиболее характерную для современного IТ-ландшафта, — программы-вымогатели как услуга.

Все эти программы существовали еще задолго до известных вспышек распространения WannaCry и NotPetya.

2016 год — SamSam

Операторы SamSam появились в начале 2016 года и коренным образом изменили картину угроз, связанную с программами-вымогателями. Их целью были не обычные пользователи и отдельные устройства — они атаковали различные компании, продвигаясь по сети и шифруя как можно больше устройств, в том числе тех, которые содержали наиболее важные данные. Эти программы управлялись вручную.

Атакам подверглись самые разные цели, включая предприятия сферы здравоохранения и образования — и даже целые города. Ярким примером стал город Атланта (штат Джорджия), который пострадал в марте 2018 года. Восстановление инфраструктуры, поврежденной в результате атаки, обошлось городу примерно в $2,7 млн.

Как правило, злоумышленники эксплуатировали уязвимости в общедоступных приложениях, например системах JBOSS, или просто подбирали пароли к RDP-серверам, чтобы установить первоначальный доступ к целевой сети. Для получения расширенных прав доступа они использовали ряд распространенных хакерских инструментов, в том числе пресловутый Mimikatz, позволяющий завладеть учетными данными администратора домена.

После этого операторы SamSam просто сканировали сеть, чтобы добыть информацию о доступных хостах, на каждый из которых они копировали программу-вымогатель и запускали ее с помощью другого широко распространенного инструмента двойного назначения — PsExec.

Злоумышленники пользовались платежным сайтом в даркнете. Жертва получала сообщение с требованием выкупа и информацией о расшифровке файлов, сгенерированное программой-вымогателем. По данным Sophos, в 2016–2018 годах злоумышленники заработали около $6 млн.

Личная эффективность: как управлять своим временем
Интенсивы 7 дней

Кто стоит за программой-вымогателем SamSam?