История и еволюция на рансъмуер атаките

29.03.2023 556 1

Не пренебрегвайте постоянната кибер заплаха, наречена рансъмуер атаки (ransomware attacks)!

Те съществуват от известно време и са еволюирали и станали още по-опасни. И това не е всичко- честотата им е потресаваща!

За да си го представите по-добре, през 2021 г. в целия свят са били извършени 623,3 милиона атаки с рансъмуер. През първите шест месеца на 2022 г. е имало 236,1 милиона рансъмуер атаки по света. През 2023 г. в САЩ, само през януари, вече са били публично разкрити 33 големи рансъмуер атаки. Образователните институции претърпяват 11 атаки, следвани от здравеопазването и държавния сектор. През февруари броят на публично докладваните рансъмуер атаки се увеличава до 40. Този път държавните институции са били най-засегнати. Но честно казано, всеки би могъл да бъде мишена.

Въз основа на изследване в Тъмната мрежа (Dark Web) от Марсело Риверо, специалист по рансъмуер от malwarebytes.com, тъмните статистики (публикувани от престъпници в Тъмната мрежа) са по-високи. Повечето рансъмуер атаки (RaaS), извършени през февруари 2023 г., идват от Lockbit (126 изпълнени рансъмуер атаки), ALPHV (32), Medusa (19), Royal (16), BianLian (13) и PLAY (11). А списъкът с криминалните организации е за съжаление по-дълъг.

Имайки предвид числата от предишни години и факта, че 2023 е само в началото си, можем да предположим, че най-лошото тепърва предстои! Несъмнено познаването на врага е от решаващо значение за защитата на вашата организация или бизнес. Затова нека се потопим по-дълбоко в историята и еволюцията на рансъмуер атаките!

За да научите повече за това какво е рансъмуер (ransomware), можете да прочетете „Какво е рансъмуер и как да се предпазим“.

Коя е била първата рансъмуер атака?

Първата рансъмуер атака е била троянския кон AIDS (1989). Името му идва от конференцията за СПИН (AIDS на англиийски) на Световната здравна организация през 1989 г. По време на това събитие Джоузеф Поп (биолог) раздава 20 хиляди заразени дискети сред присъстващите. След като всеки потребител го стартира 90 пъти, имената на всички негови файлове са се криптирали. След това се е показвало съобщение за откуп с искане за 189 щатски долара, които да бъдат изпратени до пощенска кутия в Панама. В случая тонът на съобщението не е бил заплашителен или агресивен. Изглеждало е като напомняне за плащане на лизинг за софтуера. Така е било, за да изглежда убедително за потребителите. Експерти казват, че този рансъмуер е можело да бъде премахнат чрез лесно достъпни онлайн инструменти за дешифриране.

Следващият рансъмуер ход: модерно криптиране

През 2005 г. рансъмуер атаките изненадват нови жертви чрез използването на асиметрично криптиране. Това със сигурност прави ситуацията по-трудна за разрешаване от потребителите. Троянският кон „Archiveus“ е бил първият рансъмуер, използващ Rivest-Shamir-Adleman или RSA крипто система с публичен ключ за криптиране на всички потребителски файлове в конкретната папка, наречена Моите Документи (My Documents). За да ги дешифрира, потребителят изисква 30-цифрена парола, която се доставя от престъпника, след като откупът бъде платен. Паролата на „Архивеус“ е била разбита през 2006 г.

„Gpcode“ е била друга ранна заплаха за операционните системи Windows. Първо използва симетрично криптиране, но през 2010 г. преминава към по-сложен вариант (RSA-1024), за да криптира документи със специфични файлови разширения.

През 2009 г. се появява ново главоболие- „Vundo“. Вирус, използван за криптиране на компютри и получаване на пари чрез продажба на дешифраторите на жертвите. Когато потребителите кликвали върху злонамерени прикачени файлове в имейли, „Vundo“ се е изтеглял. Той също така използва уязвимости в добавките на браузъра (Java). Вече инсталиран в компютрите на потребителите, той атакува анти-зловредния софтуер.

През 2010 г. троянският кон „WinLock“ също излиза на сцената. Руска група за рансъмуер от десет престъпници са получили 16 милиона щатски долара с помощта на „WinLock“. След като заключвали компютрите на жертвите, на тях се показвало порнография като допълнителен начин да накарат жертвите да платят откупа (еквивалента в руски рубли на 10 щатски долара). Престъпниците са били заловени, но да кажем, че от техническа гледна точка, измамата им наистина проработва.

„WinLock“ е бил „подобрен“ (2011), за да измами потребителите по-лесно. Измамва ги, докато симулира, активиране на продукта на Microsoft за Windows. Той поисква „необходима“ преинсталация и след като потребителя се съгласи, изнудването започва.

През 2012 г. се появява и нов злодей: „Reveton“. Тонът на заплахата ескалира. Агресивни съобщения, за които се твърди, че са от правоприлагащите органи на САЩ и информират, че потребителят е хванат да консумира незаконна порнография, така че само плащането (откуп) може да го освободи от съдебно преследване.

Крипто валутите като катализатори на рансъмуер атаките

Паралелно събитие засилва рансъмуер атаките: създаването на крипто валути, като Bitcoin (2010 г.). За рансъмуер престъпниците, това означава, атрактивен метод на плащане (незабавен и анонимен), който не оставя следи. Увеличаването на рансъмуер атаките е било ясно, въпреки че все още е имало недостатък. Много жертви изобщо не са запознати с такива виртуални валути и начина, по който работят. Но е било само въпрос на време крипто валутите да станат по-популярни и престъпниците да направят този злонамерен бизнес много доходоносен.

В този контекст, „CryptoLocker“ атакува (2013). Той се възползва от крипто транзакциите, но също така CryptoLocker е и първият рансъмуер, разпространяван от ботнет. Той внедри по-усъвършенствано криптиране, 2048-битова RSA ключ (публичен и частен), създаден от сървър и изпратена на жертвите за криптиране на техните файлове. За да получат ключа, от потребителите са били изисквани 300 щатски долара.

Безславният успех на „CryptoLocker“ приканва много скоро да се появят още подобни варианти, като „CryptoWall“ (2014). Фишингът (имейли) е бил начинът за разпространението му и числата показват, че четири години по-късно (2018 г.) щетите, причинени от използването му, се оценяват на 325 милиона щатски долара.

Доходоносният успех на рансъмуер атаките довежда до възхода на RaaS или рансъмуер като услуга (2016-2018). Хакерите са търсели уязвимости и са писали рансъмуер код, за да работи ефективно. Те дори включват потребителско табло, ръководства и техническа поддръжка за използването му. За съжаление печалбите, получени от престъпниците, са издигнали неприятния им бизнес на следващото ниво, по-организирано. „Shark“ и „Ransom32“ са следващите популярни примери за ранен RaaS.

„Petya“ се появи през 2016 г. и неговият по-силен вариант „notPetya“ (2017) са се разпространявали глобално чрез уязвимост на Windows, EternalBlue. Белият дом обвини „notPetya“ за щети от 10 милиарда долара. През същата 2017 г. WannaCry също се появява, използвайки тази уязвимост. Скоро той заразява около 230 000 компютъра в 150 различни държави, като цената на щетите възлиза на 4 милиарда щатски долара.

Катастрофално сливане

Рансъмуер атаките вече са стрували милиарди, когато през 2018 г. рансъмуерът се слива със зловреден софтуер тип malware. Това е произходът на заплахи като „GrandCrab“, комбинация от зловреден софтуер за кражба на информация и рансъмуер за заключване на файлове. Той става най-използваният RaaS от 2018 до 2019 г.

Престъпната група Team Snatch и партньор на „GrandCrab“, добавя към изнудването и заплахата от публикуване на откраднатите данни на жертвата, ако той или тя откаже да плати откупа. Преди, наличието на подходящо резервно копие е можело да бъде достатъчно, за да се избегне плащането на откупа. Но тази нова заплаха означава да се изложат публично чувствителни данни на жертвите. Така рансъмуер атаките получават повече възможности за изнудване.

Това създаде основите за рансъмуерът „Maze“ и уеб сайтове за изтичане на информация. „Maze“ е създаден от група, но скоро различни нападатели започват да го използват за изнудване. Той копира и криптира данни. Варианти и сайтове за течове на данни започват да никнат като гъби. През 2020 г. само групата за рансъмуер „NetWalker“ получава приблизително 25 милиона щатски долара.

Сега създаването на рансъмуер атаките се ръководят от организации, а не само от случайни лица.

Бандата за рансъмуер „REvil“ е създадена през 2019 г. Тя изнудва хиляди лица и всякакви видове и размери организации по целия свят, включително Доналд Тръмп, който е президент на САЩ по това време (2020 г.). От него са били поискани 42 милиона долара като откуп. Освен това “REvil” (софтуер) се предлага на повече престъпници на база абонамент. Това говори много за това докъде са стигнали престъпниците, управлявайки този измамен бизнес. Те дори диверсифицират източниците на доходи, за да осигурят печалба.

„REvil“ представлява 37% от рансъмуер атаките извършени през 2021 г., а официалният брой сочи общо 623,3 милиона атаки. „REvil“ също атакува Apple (2021) и поисква 50 милиона като откуп. Неплащането е означавало, че групата „REvil“ ще публикува данни и схеми на предстоящи продукти на Apple. Злонамерените връзки, прикачени към имейлите, са били основният метод за разпространение на рансъмуера „REvil“. Когато жертвите кликнат върху тях, те са били подмамени да активират QakBot, злонамерен софтуер със задни вратички, банков троянски кон за кражба на натиснати клавиши, информация за браузъра, идентификационни данни и финансови данни на жертвите. След като QakBot е бил активиран, престъпниците поемат контрола.

Друга опасна група, която изглежда е разпусната наскоро (2022 г.), е „Conti“, рансъмуер групировка базирана в Русия, за която се твърди, че е свързана с руските институции за сигурност и правоприлагащите органи. През май 2022 г. правителството на САЩ предлага награда от 15 милиона щатски долара за лидерите на „Conti“.

Все още има следи от дейността на „Conti“. Когато такива групи спрат да работят заедно, други престъпници могат да използват злонамерения софтуер. Не забравяйте, че използването на софтуера от други също е източник на доходи за престъпниците. Може би членовете на предишната организация „Conti“ все още са активни някъде. Те могат да се появят отново с друга марка. А това означава, че не можем да намалим бдителността си по отношение на сигурността!

Заключение

Тази история и еволюция на рансъмуер атаките показва ключови моменти и технологии, които засилват тези престъпления. Малко повече от три десетилетия след първата рансъмуер атака са достатъчни, за да се развият и да се превърнат в постоянна и вредна заплаха. От дълго време мак компютрите (прочетете за вирусите за мак компютрите) и мобилните телефони също са техни цели.

Сега правителството и институциите за сигурност са по-бдителни, но престъпниците не спират. Ясно е, че всеки трябва да има силна и постоянна стратегия за сигурност в случай на рансъмуер атака. Твърде много е заложено на карта! Много чувствителни данни (интелектуална собственост, финансова и лична информация), вашата инфраструктура, репутация и др.

Сега познавате врага и триковете зад неговата престъпна операция, така че укрепете защитите на вашия бизнес! Как можете да го защитите? Е, трябва да прочетете „Какво е рансъмуер и как да се предпазим“.

И не забравяйте да включите Бекъп като услуга (B-a-a-S) във вашата стратегия за сигурност.

Един отговор на “История и еволюция на рансъмуер атаките”

white berry strain for sale online

… [Trackback]

[…] Read More on on that Topic: blog.neterra.cloud/bg/история-и-еволюция-на-рансъмуер-атаки/ […]

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.