Программы-вымогатели: как ransomware-софт стал работать по модели сервиса и что с этим делать
В 2015 году появилась модель Ransomware-as-a-service (RaaS), которая позволяет любому пользователю «заказать» кибератаку, предполагающую требование выкупа. Как бизнесу адаптироваться к киберугрозам? Объяснять подробно, в чем смысл программы-вымогателя, наверное, уже никому не надо: это ПО, которое, внедряясь в систему, шифрует данные, тем самым блокирует их и для возобновления работы требует у жертвы деньги.
Не так давно мировые СМИ писали об истории, которая случилась в техасском городке Кокрелл Хилл 2016 году — из-за кибератаки местное полицейское управление лишилось всех данных за последние восемь лет. Началось все с обычного спамерского электронного письма, которое открыл один из полицейских. Так в систему проникла вредоносная программа-вымогатель Osiris — новая реинкарнация троянской программы Locky.
Это один из множества примеров довольно распространенной в наши дни проблемы. Ransomware — вредоносное программное обеспечение, нацеленное на вымогание денег. Именно такая программа и «похоронила» данные полиции в Техасе. И это киберопасность совершенно нового поколения — с 2015 года специалисты считают ransomware самой серьезной киберугрозой.
Объяснять подробно, в чем смысл программы-вымогателя, наверное, уже никому не надо: это ПО, которое, внедряясь в систему, шифрует данные, тем самым блокирует их и для возобновления работы требует у жертвы деньги.
Проследим историю развития таких вредоносных ПО. Самый первый случай был зафиксирован в 1989 году. Это была AIDS Trojan, которая распространялась на дискетах на медицинской конференции. Потом долгое время столь резонансных случаев, связанных с кибервымогательством, не было. Но само явление, естественно, никуда не исчезло, и вот в 2006 году оно вновь о себе заявило в полный рост: появился Archievus.
Это была уже программа совершенно нового уровня. Ключевое ее отличие состояло в том, что она, во-первых, шифровала все содержимое папки My documents, чего раньше не было. И, во-вторых, для восстановления файлов зараженному необходимо было обратиться к специальному веб-сайту для получения инструкций по расшифровке. И, наконец, впервые использовался алгоритм асимметричного шифрования. С того момента именно эти параметры стали основным и непреодолимым преимуществом вредоносного ПО. До настоящего времени оно позволяет таким программам обходить все новейшие системы защиты.
Постепенно появлялось все больше громких атак программ-вымогателей, которые становились все более устрашающе изобретательными. В 2011 году создатели ransomware обратили свой взгляд на ту аудиторию, которая вряд ли будет обращаться в полицию — пользователей пиратского контента. Вредоносное ПО распространялось под видом программы-активатора для MS Windows. В 2012 году преступники стали искать новые способы оплаты, используя ваучеры. А в сентябре 2013 году появилась такая программа, как Cryptolocker.
В мире киберпреступности это стало отдельным событием. Cryptolocker распространялся как через скомпрометированные сайты, так и по электронной почте, маскируясь под жалобы клиентов (похожим способом было атаковано техасское полицейское управление). Тогда же для распространения вредоносного ПО впервые стали использоваться ботнет-сети. В работе программы применялись криптостойкие алгоритмы AES-256, а серверы управления находились в небезызвестной сети Tor. Положение жертв ухудшалось требованием оплатить в течение 3 дней после заражения, о чем авторы, конечно же, знали.
А в 2015 году появилась модель Ransomware-as-a-service (RaaS). С ее помощью любой — даже абсолютно обычный пользователь — может заказать услугу заражения очень продвинутого уровня. Ему нет необходимости разрабатывать вредоносное ПО самостоятельно, тратить на это время и деньги — сегодня это уже обычный сервис — подписка, с помощью которой продвинутыми инструментами можно пользоваться довольно дешево.
В прошлом году было зафиксировано несколько десятков новых разновидностей ransomware. Например, семейство Locky получило целых семь новых поколений развития. Разнообразные примеры программ-вымогателей можно приводить долго. Впрочем, реальные цифры тут скажут больше любых слов. По оценкам ФБР, только в первом квартале 2016 года авторы ransomware получили $209 млн, а общие потери от их проникновений в прошлом году составили $1 млрд.
Как можно заметить, авторы вредоносных ПО очень изобретательны и технологически подкованы, ransomware-сервисы активно развиваются. И все чаще обращают свое внимание на бизнес. Теперь они несут огромную опасность для компаний любого размера, особенно в свете развития технологий, полезных и уже остро необходимых для нормальной работы организаций. Взять хотя бы программы обеспечения непрерывности бизнеса, которые уже заняли и продолжают занимать лидирующую роль в головах и бюджетах руководителей средних и крупных компаний.
Так, по данным аналитических агентств, это рынок растёт на 50% в год и уже через 4 года достигнет размера $11 млрд. Однако вместе с ним растет и «черный рынок» криптолокеров. Причем даже опережающими темпами — по оценке McAfee, на 80%, к 2021 году он будет оцениваться в $6 млрд. Как уже было сказано, киберпреступники изощрены, разработчики криптолокеров точно также, как и нормальный бизнес, переходят к модели «as-a-service».
Все это тотально увеличивает число новых атак шифровальщиками. Теперь достаточно обладать минимальными компьютерными знаниями для совершения такого преступления, используя продвинутые криптолокеры, предоставляемые как сервис. Услуга обхода средств антивирусной защиты имеет свой уровень SLA (Service Level Agreement, соглашение об уровне предоставления услуги — Forbes) и технической поддержки. Все как в легальном бизнесе, да и суммы, как мы видим, похожи.
На этом месте можно задать себе, казалось бы, логичный вопрос: существует множество сильных программ-антивирусов, есть отличные бэкап-программы — так почему же вредоносные ПО стали такой проблемой? Однако здесь все не так просто, и нам надо вернуться назад и посмотреть на их технические характеристики. Антивирусы и бэкап хороши каждый в своем деле, но из-за специфичности они в полной мере не способны защитить систему от вредоносного ПО.
Проблема в том, что обычно они не взаимодействуют друг с другом. Говоря совсем упрощенным языком, обновления антивирусов могут приходить на ваш компьютер сколь угодно часто, но в одно из «окон» все равно может проникнуть новое вредоносное ПО. О таких резонансных случаях мы обычно и узнаем из прессы. Потери впечатляют — так, в одном из отчетов исследовательской компании LogRhythm приводится случай медицинского центра, который в результате кибератаки каждый день терял более $100 000.
То же самое с «окном» в бэкапах — системы резервного копирования смогут защитить ваши данные, сохранив их в облаке, но и здесь злоумышеленники могут воспользоваться временными слотами. В эти моменты вредоносное ПО может проникнуть в систему, запуститься и удалить резервные копии. Можно, конечно, просто постоянно копировать и сохранять измененные версии файлов, но это означает, что придется хранить очень много данных. И если в случае с частным пользователем это еще как-то можно представить (хотя это и страшно неудобно), то для бизнеса такие решения попросту невозможны. К слову, в среднем время от проникновения ransomware до реального нанесения вреда пользователю составляет всего лишь 15 минут.
Мы сами столкнулись с одной из самых продвинутых вредоносных ПО — Osiris. Нам пришлось констатировать, что он легко обходит сигнатурную защиту Windows Defender и других антивирусных продуктов, останавливает встроенный в Windows сервис резервного копирования и удаляет резервные копии, активно противодействует отладке с помощью виртуальных машин (используемой всеми «безопасниками»), а также не имеет ни одного исполняемого файла, работая через скрипты, динамические библиотеки и макросы Microsoft Word и Excel. За счёт модели as-a-service атака может быть осуществлена хоть из Зимбабве, хоть из Антарктиды. Благодаря таким продуманным вредоносным ПО, как Osiris, под серьёзной угрозой — впервые — находятся все облачные сервисы, на которые в мире активно переходит бизнес — не секрет, что «облака» один из самых активных и многообещающих технологических трендов современности.
Одна из новейших схем распространения включает распространение через границы организации через системы управления отношениями с клиентами (CRM), которые сегодня есть у подавляющего большинства крупных и средних компаний. Инфицированный пользователь из какой-либо организации может послать письмо на адрес CRM; её внутренний парсер проанализирует входящее письмо и прикрепит заражённое вложение к автоматически сгенерированной заявке (тикету). Инженер клиентской поддержки откроет заявку, затем вложение в Excel и заразит всю сеть. И снова только представьте возможные последствия этого. Мы считаем, что самим производителям облачных решений стоит беспокоиться, что они передают, так как доверенный канал передачи данных может быть использован для доставки вредоносного ПО.
Неудивительно, что в последнее время вредоносные программы стали огромной головной болью во всем мире. Даже беглое изучение последних пары месяцев дает множество резонансных и разнообразных примеров таких кибератак. Так, $73 000 потребовал киберпреступник в ноябре 2016 года, парализовав работу компьютерной системы Muni, транзитной компании из Сан-Франциско. В том же месяце в результате атаки вредоносного ПО были заблокированы компьютеры Карлтонского Университета. В январе 2017 года медицинский центр Emory Brain лишился доступа к более чем 90 000 своих записей из-за атаки ransomware. Список можно продолжать.
В какой-то момент, чувствуя, что проблема ransomware становится все более и более актуальной, мы занялись разработкой нового решения, которое устраняло бы исторически слабые места антивирусов и бэкапа и позволяло бороться с такими мощными ПО вроде Osiris. Не углубляясь в технические детали: пришлось добавить технологии проактивной защиты данных и мгновенного восстановления зашифрованных данных из различных источников (из локального кеша, из «облака»), что приводит к тому, что вредоносное ПО, пытаясь проникнуть в систему, не запускается, и тем самым инфраструктура пользователя остается в безопасности.
Кибератаки нового поколения могут быть действительно разрушительными для бизнеса. По оценкам LogRhythm, 72% атакованных ransomware компаний лишаются какого-либо доступа ко всем своим данным не меньше чем на два дня, а еще 32% — не меньше чем на пять дней. Просто представим, что это, например, крупный банк. 23 января 2017 года болезненной кибератаке подверглись библиотеки американского города Сент-Луис. За разблокировку системы – а в итоге было парализовано 700 компьютеров у 16 библиотек — автор ransomware вымогал у них $35 000. Поиск технического решения, по оценкам специалистов, занял несколько недель.
«Плохие парни» выпускают новые вариации очень часто и за счет этого нередко обходят разработчиков антивирусов. Поэтому вопрос проактивного обнаружения очень важен. Мы считаем, что это технология, предлагающая решить проблему совершенно новым способом, позволит защитить множество как обычных пользователей, так и организаций по всему миру. Это, кстати, не означает, что больше нет необходимости в традиционном защитном ПО: антивирусы уберегают от других серьезных типов угроз – шпионажа, использования компьютерных мощностей в ботнетах, кражи учетных данных и др. Это общая работа, в которой как важна синергия.
Более того, антивирусные решения, например, имеют очень важный функционал — лечение системы пользователя после заражения. Но важно обеспечить доступность и сохранность данных. Очевидно, что преступники будут продолжать свою вредоносную деятельность и дальше, изобретая все новые методы атак, и, как результат, новые методы получения выгоды. Рынку защиты вновь придется отвечать на вызов. И на самом деле этот процесс уже начался: появляются новые средства защиты так называемых endpoint-ов, которые полностью проактивны, но зависят от облачного детектирования (то есть им не нужен доступ в интернет, чтобы быть эффективными) и сконцентрированы на анализе, машинном обучении, искусственном интеллекте и подобные методах.
Автор: Николай Гребенников, Forbes Contributor, Forbes
Tweet