Rambler's Top100
Все новости Новости отрасли

Кибервымогатели набирают популярность

27 ноября 2013

Эксперты по безопасности отмечают, что в последнее время участились случаи заражения систем компаний вредоносным ПО класса ransomware (кибервымогатель).

Группа аналитиков Check Point провела исследование активности вредоносного ПО Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Cryptolocker: активное развитие кибервымогательства (ransomware)

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов: 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были «взяты в заложники», и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать «умные сигнатуры» для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов.

Использование ловушек для слежения за Cryptolocker

Чтобы измерить масштаб и динамику распространения Cryptolocker в реальности, исследователи Check Point создали отдельный сервер в интернете и зарегистрировали несколько предварительно рассчитанных доменных имен, которые, как ожидалось, будут использоваться вредоносным ПО. Такой сервер-ловушка был использован для оценки масштабов заражения, и занялся подсчетом количества уникальных IP-адресов, подключавшихся к нему.

За два дня с 1 ноября и до конца 3 ноября с 3 021 уникального IP-адреса были посланы запросы к созданному Check Point серверу. За 24 часа в пятницу, 2 ноября, 2 300 уникальных адресов делали попытки обратиться к серверу-ловушке. Эта статистика демонстрирует значительный рост по сравнению с 2 700 заражениями, обнаруженными за двухдневный период с 15 по 17 октября аналитиками Лаборатории Касперского.

В диаграмме, приведенной ниже, продемонстрирован профиль распределения угроз по странам, к которым принадлежали IP-адреса, обращавшиеся к серверу-ловушке.

Диаграмма показывает, что вредоносное ПО главным образом распространяется в США, на которые приходится 76% уникальных инфекций. На втором месте по числу заражений Cryptolocker находится Великобритания, показавшая значительно меньше инфекций - 5%. Эти результаты во многом соответствуют данным из предыдущих отчетов, но также свидетельствуют о растущей скорости распространения угрозы.

Взгляд вперед

Cryptolocker – развивающаяся угроза, продемонстрировавшая значительный рост количества инфекций за последние несколько недель. Вредоносное ПО атакует индивидуальных пользователей, а также представителей бизнеса и крупные организации, в основном ориентируясь на компании в США и Великобритании.

Как защититься от подобных атак

Обучите пользователей внимательно относиться к необычным вложениям и подозрительным ссылкам. Вредоносное ПО очень часто распространяется через фишинговые кампании, когда адресат получает электронное сообщение, опасный файл или ссылку на страницу, использующую эксплойты браузеров.

Убедитесь, что все обновления для операционных систем и приложений были установлены, так как Cryptolocker и многие другие вредоносные программы устанавливают себя самостоятельно, используя известные уязвимости в операционных системах и популярных приложениях, таких как Microsoft Word или Adobe Reader.

Регулярно создавайте резервные копии всех критически важных данных и храните их автономно, чтобы не позволить злоумышленникам обнаружить и также заразить внешние диски.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.