spot_img
21 ноября, 2024
ДомойSoftwareКибербезопасностьАнтология зловредов: как программы-вымогатели захватывали мир

Антология зловредов: как программы-вымогатели захватывали мир

В сегодняшнем изощренном ландшафте киберугроз программы-вымогатели можно найти повсюду: они поражают как компьютеры отдельных лиц, так и целые организации и государственные структуры. Но как такие вредоносы появились в том виде, в каком мы их знаем сегодня? В этом материале мы подробно рассмотрим историю развития программ-вымогателей, начиная с 1989 года, и объясним, почему эти зловреды все еще популярны.

История программ-вымогателей

Программы-вымогатели – это тип вредоносного ПО, предназначенного для шифрования файлов на компьютере жертвы до уплаты выкупа. Он проникает на устройства и сети через зараженные электронные письма, веб-сайты или программы. Иногда такие вредоносы угрожают не просто шифрованием данных, но раскрытием чувствительной конфиденциальной информации, если жертва откажется от уплаты выкупа.

С годами количество программ-вымогателей выросло, и теперь они вносят свой вклад в быстро развивающийся бизнес киберпреступности. Сегодня злоумышленники все чаще целятся в крупные сектора экономики: здравоохранение, юридический сектор, образование, финансы и производственную сферу. Согласно отчету Fortinet Global Threat Landscape Report за второе полугодие 2020 года, к концу 2020 года каждый день регистрировалось около 17 200 устройств, зараженных программами-вымогателями. Кроме того, согласно отчету Chainanalysis, выручка от программ-вымогателей в 2020 году выросла на 311% по сравнению с 2019 годом и составила около 350 миллионов долларов.

Первая атака с использование программы-вымогателя: 1989 AIDS Trojan

Самая первая атака программ-вымогателей была нацелена на отрасль здравоохранения в 1989 году. Исследователь СПИДа раздал 20 000 зараженных дискет тем, кто присутствовал на конференции Всемирной организации здравоохранения по СПИДу. Эта атака была названа AIDS Trojan, но также была известна как вирус PC Cyborg, названный в честь вымышленного названия компании, требующей оплаты: PC Cyborg Corporation.

Дискеты содержали программу для анализа риска заражения человека СПИДом, а также вредоносные программы, которые активировались после 90-го включения зараженного компьютера. Спустя 90-й раз вредоносная программа скрывала каталоги и зашифровывала имена всех файлов на диске C, отображая при этом сообщение с требованием оплаты.

В последующие годы появились аналогичные атаки, и развитие Интернета открыло новые возможности для киберпреступности, но программы-вымогатели оставались относительно незначительной угрозой до начала века.

Начало эпохи Интернета: трояны GPCode и Archiveus

Это было в начале 2000-х годов, когда проникновение Интернета в развитом мире только превысило 50%. Примерно к 2005 году коммутируемый доступ в Интернет отошел на второй план, поскольку широкополосное подключение стало нормой. Когда так много людей стали использовать быстрый и надежный доступ в Интернет, почва для развития новых программ-вымогателей стала еще более благодатной.

В 2006 году был выпущен троян Archiveus – первая программа-вымогатель, использовавшая шифрование RSA. Этот троян шифровал все в каталоге «Мои Документы» и требовал, чтобы жертвы покупали товары в интернет-аптеке, чтобы получить 30-значный ключевой код, который разблокировал бы их файлы.

В том же году программа-вымогатель GPcode заразила компьютеры с помощью целевых фишинговых атак в виде вложений электронной почты, которые выглядели как заявления о приеме на работу. Подобно Archiveus, GPcode использовал 660-битный открытый ключ RSA для шифрования файлов в компьютерном каталоге «Мои Документы», и жертвам приходилось платить за этот ключ. С тех пор программы-вымогатели стали набирать обороты все быстрее и быстрее.

Масштабирование программ-вымогателей: троян WinLock

В 2008 году был изобретен биткойн, децентрализованная цифровая валюта, позволяющая совершать одноранговые транзакции. Эта валюта впервые была введена в употребление в 2009 году и с тех пор пользуется все большей популярностью. Именно децентрализованный характер этой валюты позволяет использовать ее в Dark Web и для незаконной деятельности. Теперь, когда злоумышленники-вымогатели могли требовать оплату, путь которой невозможно отследить, они сильно активизировались.

В каждом из первых двух кварталов 2011 года было обнаружено около 30 000 новых образцов программ-вымогателей. В третьем квартале это число увеличилось вдвое и продолжало расти. В то время среди основных игроков на рынке программ-вымогателей был Trojan.WinLock, новизна которого состояла в том, что он блокировал систему целиком, а не отдельные файлы. WinLock нацеливался на операционные системы Windows, блокируя пользователей до тех пор, пока они не купят ключ.

К концу 2012 года вымогатели стоили на черном рынке 5 миллионов долларов и становились все более и более инновационными. Примерно в это же время начали появляться мошенничества с программами-вымогателями от лица правоохранительных органов. В этих сценариях вредоносное ПО прикреплялось к электронным письмам от субъектов, выдававших себя за различные правоохранительные органы, что пугало многих людей и вынуждало открывать такие вложения не раздумывая.

Появление программ-вымогателей как услуги (RansomwareasaService)

В течение последнего десятилетия продолжающемуся росту этой категории вредоносов способствовало появление нового рыночного предложения, известного как Ransomware-as-a-Service (RaaS), которое позволяло злоумышленникам приобретать готовые инструменты. Это означало, что им не нужно было глубоко погружаться в технические составляющие, чтобы заниматься киберпреступностью.

Zeus, вредоносный пакет троянов, впервые обнаруженный в 2007 году, произвел наибольший фурор, когда его использовали для установки вымогателя CryptoLocker. Атака программы-вымогателя CryptoLocker произошла в период с 2013 по 2014 год и распространялась через зараженные вложения электронной почты и через ботнет Gameover Zeus.

Вскоре после этого появились и другие крупномасштабные атаки, в том числе CryptoWall и Locky. Многие из этих угроз теперь подпадают под категорию расширенных постоянных угроз (APT), что означает, что они их сложно обнаружить и что они весьма живучи, что делает их особенно трудными для обнаружения и удаления.

Выход на глобальный уровень: Wannacry и Petya в 2017 году

К 2017 году атаки программ-вымогателей становились все более масштабными, атакуя компьютеры по всему миру одновременно. Одним из таких эксплойтов, ставших крупнейшим и самым известным в истории, была атака программы-вымогателя Wannacry в мае 2017 года: она была нацелена на операционные системы Windows, шифровала данные и требовала оплаты биткойнами. Хотя экстренные патчи смягчили атаку в течение нескольких дней, она заразила более 200 000 компьютеров в 150 странах, причинив ущерб, исчисляемый миллиардами долларов.

Примерно в то же время на месте происшествия появилось семейство шифровальщиков под названием Petya. В июне 2017 года новый вариант Petya под названием NotPetya привел к масштабной глобальной кибератаке: инфекции были зарегистрированы в России, Украине, Франции, Германии, Италии, Польше, Великобритании и США. Больше всего пострадала Украина: нападениям подверглись более 1500 физических и юридических лиц, в том числе финансовые учреждения.

Охота на крупную дичь и современные бизнес-модели киберпреступности

Все вышеперечисленное подводит нас к современной эпохе и к ландшафту киберпреступности, в котором многие злоумышленники теперь действуют как крупные распределенные предприятия с центрами обработки вызовов для работы с платежами. Многие такие организации теперь нацелены на крупные корпорации и отрасли или на высокопоставленных лиц, чтобы получить максимальные выплаты – стратегия, известная как «охота на крупную дичь» (BGH).

Одним из примеров крупной и прибыльной киберпреступной организации является группа, известная как Sodinokibi (также известная как REvil), которая использует бизнес-модель RaaS и вербует партнеров для распространения своих программ-вымогателей. Их подвиги включают кражу почти терабайта данных из крупной юридической фирмы и требование выкупа за отказ от публикации.

Недавно киберпреступники, известные как DarkSide, получили доступ к сети US Colonial Pipeline в результате атаки программы-вымогателя. Это показывает, что ставки продолжают расти, а критичность атак высока.

Заключительные мысли об истории программ-вымогателей

В современном мире ландшафт киберугроз продолжает становиться все более сложным и изощренным. Попытки атак и утечки данных неизбежны, и ни одна организация не хочет, чтобы ей приходилось выбирать между уплатой выкупа или потерей важных данных. Помня об этом, организации должны подходить к кибербезопасности и защите от угроз с помощью новейших технологий, чтобы быть на шаг впереди злоумышленников.

 

Михаил Родионов, региональный директор Fortinet в России и странах СНГ

НОВОСТИ ПО ТЕМЕ

СОЦИАЛЬНЫЕ СЕТИ

11,991ФанатыМне нравится
1,015ЧитателиЧитать
3,086ЧитателиЧитать
715ПодписчикиПодписаться
- Реклама -