Практика криптовалютных расследований с шифровальщиками и криптовымогателями
Вирусы-вымогатели — это вредоносные программы, которые через различные уязвимости блокируют или шифруют доступ пользователей к данным на ПК, мобильных устройствах или в сетевых хранилищах NAS. Чтобы пользователь смог разблокировать зараженный файл, ему необходимо заплатить вымогателям. При этом обратный путь до злоумышленников, как правило, сложно отследить — выкуп нужно перевести на криптокошелек.
О том, как работают криптовалютные вымогатели и вирусы-шифровальщики, какой наносят ущерб и как от них защититься, рассказал Григорий Осипов, директор по расследованиям АО «ШАРД».
Проблема вирусов-вымогателей
Вирусы-вымогатели — как скам-проекты, дарксторы и хакерские атаки — составляют большую часть преступлений, основанных на операциях с криптовалютами. По оценкам экспертов, в 2023 году вирусы-вымогатели нанесли ущерб в один миллиард долларов, тогда как в 2022-м году ущерб составлял 500 миллионов долларов. Чаще всего жертвами вымогателей становятся компании, которые относятся к среднему и крупному бизнесу, а также государственные организации. Впрочем, иногда достается и частным лицам.
За 2023 год крупнейшими инцидентами, связанными с атаками вирусов-вымогателей стали:
- взлом внутренней системы авиаперевозчика Air Canada — злоумышленники скомпрометировали личную информацию неизвестного числа сотрудников компании;
- атака на ИТ-инфраструктуру Simpson Manufacturing — крупнейшего в США производителя строительных и конструкционных материалов;
- взлом сайта суда Флориды — на несколько дней правительственная структура была вынуждена приостановить судебные заседания.
В целом, атаки вирусов-вымогателей происходят по схожему сценарию. Вредоносная программа блокирует компьютерную сеть, шифрует важные данные и прерывает бизнес-операции. Владельцы сетей вынуждены платить выкуп, что приводит к еще большим убыткам.
Поэтапно взлом систем происходит так:
- Вирус проникает на устройство.
- Создает ключ автозагрузки в реестре.
- Удаляет VSS-файлы (теневые копии файлов, необходимые для запуска системы с момента определенного действия) и точки восстановления ОС — это делает невозможным «откатить» систему и вернуть ее к состоянию до атаки.
- Находит и шифрует данные на системных дисках.
- Отправляет жертве уведомление о шифровании файлов и требует выкуп за расшифровку.
Осенью 2023 года 50 стран объединились в Международную инициативу по борьбе с программами-вымогателями. Ключевая цель организации — создание и развитие инструментов для противодействия киберпреступникам, а также разработка программ наставничества и тактической подготовки для наращивания киберпотенциала.
Как криптовымогатели проникают в информационные системы
Криптовымогатели попадают в информационные сети так же, как и большинство вредоносных программ. Основными точками доступа становятся:
- электронные письма;
- подозрительные ссылки на сайтах, в приложениях и соцсетях;
- флеш-карты, внешние и HDD-диски;
- незащищенные протоколы облачных и сетевых дисков;
- уязвимости в сетях Wi-Fi.
Часто криптовымогатели действуют совместно с хакерами. Последние предоставляют базы данных о предприятиях и частных лицах, после чего вымогатели внедряют в данные вирусы со ссылками для фишинга. «Сотрудничество» киберпреступников может приобретать и другие формы.
Например, хакерские группировки, вроде Shadow Wolf или Battle Wolf, атакуют российские предприятия с помощью вирусов Babuk или LockBit. При этом хакеры часто сами дописывают вредоносное ПО, чтобы его было сложнее обнаружить и дешифровать.
При наличии подобных инцидентов организации, связанные с расследованием случаев кибершантажа, должны решить три ключевых блока задач:
- Выявить источник и пути заражения.
- Определить данные, которые были изъяты.
- Выяснить цель шифрования — это может быть как взлом с целью выкупа, так и более многоходовая операция, например, чтобы скрыть более глубинную и критическую атаку.
Виды вирусов-вымогателей
Программы-криптовымогатели принято делить на две большие группы:
Вирусы-шифровальщики, или крипторы
Когда криптор попадает в устройство пользователя, он шифрует данные на жестких дисках. Под удар попадают документы, тексты, фотографии, видеофайлы. Далее вирус требует от пользователя определенную сумму за расшифровку. При этом выплату необходимо перевести в криптовалюте, чтобы злоумышленника было сложнее отследить.
Например, криптор Deadbolt атакует таким образом системные хранилища NAS. Как правило, этот вирус нацеливается на компании малого и среднего бизнеса, учебные заведения и частных лиц.
Основная сложность в противодействии крипторам связана с тем, что код таких программ редко удается расшифровать в короткие сроки. Поэтому жертвам киберпреступников зачастую бывает проще перевести выкуп, чем дождаться помощи от компаний, которые отвечают за кибербезопасность.
Некоторые крипторы, вроде Prometei или CryptoLocker, действуют более незаметно. Они проникают на устройства пользователей и запускают незаметный и непрерывный криптомайнинг. В этом случае вирус не трогает данные, но избыточно перегружает вычислительные мощности.
Вирусы-блокировщики
Как следует из названия, такое вредоносное ПО блокирует доступ — причем не к отдельным файлам, а ко всему устройству. Блокировщики так же требуют выкуп. В противном случае программа угрожает стереть данные пользователей. Как правило, сумма выкупа в этом случае меньше, чем при атаке криптеров. Тем не менее нельзя быть уверенным в том, что после передачи криптовалюты взломщики снимут блокировку.
Еще одна распространенная категория хакеров — взломщики, которые угрожают выложить похищенные данные в открытый доступ. Например, такой атаке в 2023 году подвергся сайт Минстроя России (об этом — чуть ниже).
Бывают случаи, когда хакеры не взламывают сайт, но при этом вводят жертву в заблуждение с помощью заранее отрисованных скриншотов. Такие картинки должны убедить пользователя, что данные на его сайте заблокированы или в скором времени будут опубликованы в Сети.
Все подобные случаи объединяет один сценарий выкупа — сумма должна быть перечислена в криптовалюте. Размер выкупа зависит от целей взлома. Как правило, за дешифровку данных взломщики требуют от обычных пользователей около 0,05 BTC. Сильнее достается разработчикам ПО — у них хакеры вымогают криптовалюту в размере от 10 до 50 BTC.
Чтобы установить, как взломщики выводят полученный выкуп, платформы по оценке безопасности цифровых активов расследуют пути, по которым перемещается криптовалюта. Системы аналитики маркируют цифровые денежные средства, что препятствует их выводу.
Впрочем, криптомошенники находят средства противодействия. Например, используют криптомиксеры — системы, которые смешивают потоки криптовалюты. Кроме того, цифровые деньги прогоняют через децентрализованные биржи или обменники криптовалюты в Даркнете.
Взлом сайта Минстроя РФ: процедура и масштабы
2 января 2023 года киберпреступники заявили о взломе баз данных Минстроя России. Злоумышленники выдвинули требование — в течение трех дней правительственная структура должна была выплатить 0,7 BTC. В противном случае хакеры грозили выложить в Сеть личные данные граждан.
Выкуп был уплачен. Однако хакеры не выполнили «условия соглашения». Персональные данные «утекли» в Интернет. В том числе оказались на теневых сайтах, которые перепродают базы данных.
Аналитические системы изучили перемещение криптовалюты. Выяснилось, что хакеры выводили выкуп в декретную валюту (то есть обналичивали в денежные средства, обеспеченные государством) через обменные ресурсы, вроде BitZlato и 4PayBank.
Как защититься от криптовымогателей
Для того чтобы защитить свои данные от программ-вымогателей, следует выполнять простые рекомендации:
- Установите надежный антивирус на устройство.
- Настройте автоматическое обновление ОС, браузеров и антивируса.
- Создавайте резервные копии ценных файлов — хранить их лучше сразу на нескольких носителях, например, на облачном и внешнем диске.
- Настройте в вашем e-mail-агенте фильтры от спама — это защитит ваш почтовый аккаунт от вредоносного ПО в фишинговых письмах.
Что же делать, если ваши данные все же подверглись атаке вирусов-вымогателей? В этом случае мы категорически не рекомендуем платить выкуп — это только стимулирует развитие киберпреступности. Обратитесь в надежную компанию, которая занимается информационной безопасностью. Возможно, для вашей угрозы уже создана программа для дешифровки.
Опубликовано 27.03.2024