Началась новая эпидемия вирусов-шифровальщиков в России и Украине

«Лаборатория Касперского» обнаружила новый вирус-шифровальщик Sodin

Эксперты «Лаборатории Касперского» обнаружили вирус-шифровальщик, получивший название Sodin, который требует выкуп в биткоинах, эквивалентный сумме 2500 долларов США.

Sodin использует уязвимость нулевого дня в Windows для повышения привилегий в зараженной ОС, а также использует для маскировки архитектурные особенности процессора, что нечасто встречается в вирусах подобного типа.

Sodin предположительно распространяется на черном рынке как RAAS (вымогательство-как-услуга, от англ. Ransomware-as-a-Service). Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Однако создатели Sodin оставили для себя лазейку, благодаря которой они имеют возможность расшифровывать файлы втайне от распространителей.

Кроме того, злоумышленники использовали редкую для программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-битный код на 32-битных процессорах. Такое решение затрудняет анализ вредоносного кода программами-отладчиками и усложняет обнаружение этого шифровальщика защитными решениями.

Эксперты «Лаборатории Касперского» предполагают, что в большинстве случаев методы распространения вируса не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники вычисляют серверы со слабой защитой и уязвимым программным обеспечением и незаметно для жертвы устанавливают вирус-шифровальщик в систему.

«Вирусы-вымогатели до сих пор остаются довольно распространенной угрозой. Однако данный экземпляр довольно сложная и редкая разновидность. Его уникальность заключается в использовании необычной техники — запуск 64-битного кода на 32-битных процессорах, а это сильно усложняет анализ вредоносного кода, а также его обнаружение защитными решениями. По нашим оценкам, в создание такого вируса было вложено немало ресурсов, а это означает, что его авторы, скорее всего, захотят окупить затраченные усилия. Следовательно, стоит ожидать всплеск числа атак Sodin», — рассказал старший антивирусный эксперт «Лаборатории Касперского» Фёдор Синицын.

Решения «Лаборатории Касперского» определяют этот вирус как Trojan-Ransom.Win32.Sodin и блокируют его активность. Уязвимость CVE-2018-8453, которую эксплуатирует Sodin, ранее использовала кибергруппировка FruityArmor. Патч для этой уязвимости был создан 10 сентября 2020 года.

Для того, чтобы избежать заражения шифровальщиком Sodin, эксперты «Лаборатории Касперского» рекомендуют:

  • следить за тем, чтобы используемое ПО регулярно обновлялось до самых новых версий,
  • не открывать подозрительные почтовые вложения и не переходить по сомнительным ссылкам, даже если их присылают знакомые,
  • использовать надёжные защитные решения,
  • регулярно делать резервные копии важных данных, которые желательно хранить отдельно (внешние носители, облачные хранилища и т.д.).

Против новой версии шифровальщика GandCrab бесполезен инструмент для дешифровки данных

Рекомендуем почитать:

Xakep #255. Атаки на Windows

  • Содержание выпуска
  • Подписка на «Хакер»

На прошлой неделе специалисты компании Bitdefender выпустили бесплатный инструмент для расшифровки файлов, пострадавших от атак практически любых версий шифровальщика GandCrab. Однако авторы малвари не сидят сложа руки, они уже создали обновленную версию вымогателя, для которой дешифровщик не работает.

Напомню, что GandCrab был обнаружен в январе 2020 года. Шифровальщик не только стал первой малварью, принимающей выкупы в криптовалюте DASH, он также отличался способом распространения, — для этих целей малаварь использовала не только спам, но и наборы эксплоитов RIG и GrandSoft.

Еще одной интересной особенностью шифровальщика, которая дополнительно защищала операторов GandCrab от бдительного ока властей, стало использование доменов в зоне .bit, то есть Namecoin. На нескольких доменах .bit располагались управляющие серверы вредоноса, причем домены, словно в качестве издевки, были названы «в честь» различных известных ИБ-компаний и ресурсов.

По данным компании Европола и компании Microsoft, семейство GandCrab является одним из наиболее «популярных» и агрессивных шифровальщиков в 2020 году, наряду известным вымогателем Spora.

Хотя ранее представители Европола, румынской полиции и DIICOT (Следственного управления по борьбе с организованной преступностью и терроризмом) заявляли, что произвели серию арестов в связи с расследованием активность GandCrab, очевидно, самих вирусописателей пока задержать не удалось. 5 марта 2020 года специалист MalwareHunterTeam обнаружил новую версию шифровальщика, отличную от оригинала.

GandCrab2 («version=1.0.0r») sample: https://t.co/et7XM5DuzK If someone didn’t understand the previous thread (https://t.co/8iuXk9Phwa), these are from [emailprotected] @demonslay335 cc @MarceloRivero

— MalwareHunterTeam (@malwrhunterteam) March 5, 2018

ИБ-специалист и основатель Bleeping Computer Лоренс Абрамс (Lawrence Abrams) рассказывает, что основным отличием GandCrab v2 являются новые имена хостов управляющих серверов. Теперь злоумышленники используют politiaromana[.]bit, «в честь» румынской полиции, помогавшей в создании дешифровщика для первой версии, malwarehunterteam[.]bit, «в честь» MalwareHunterTeam, а также gdcb[.]bit.

Кроме того, теперь шифровальщик добавляет пострадавшим файлам расширение .CRAB, а своем послании для жертв злоумышленники предлагают связываться с ними через мессенджинговый сервис Tox.

Как уже было сказано выше, вышедший ранее инструмент для дешифровки файлов не работает для новой версии GandCrab. Пострадавшим пользователям рекомендуют обращаться в соответствующую тему на форуме Bleeping Computer и запасаться терпением.

Вирусы-шифровальщики входят в моду

В прошлом году мир пережил три атаки, в будущем их количество будет расти

Вирусы-шифровальщики, прежде известные в основном профессионалам, в 2020 г. обрели всемирную известность. Их идея незамысловата: проникнуть в компьютер жертвы, зашифровать его содержимое и потребовать деньги за возврат доступа к устройству.

В этом году мир пережил три атаки – WannaCry, NotPetya и BadRabbit. Все вирусы требовали выкупа в биткойнах: первые два требовали перевести криптовалюту на сумму $300 за зараженное устройство, а последний – 0,05 биткойна, что на момент атаки составляло $283. Несмотря на то что как коммерческий проект эти атаки не сложились, собрав суммарный выкуп всего на несколько сотен тысяч долларов, они нанесли ущерб на несопоставимо большую сумму. Например, недополученная выручка от кибератаки NotPetya обошлась датскому логистическому гиганту Moller-Maersk в $200–300 млн.

Опрошенные «Ведомостями» эксперты отмечают, что у злоумышленников появилась новая мода – атаковать цель не напрямую, а сперва пробравшись в инфраструктуру ее партнера или подрядчика. Он может быть гораздо хуже защищен. Таким механизмом пользовался вирус NotPetya. В качестве средства доставки он выбрал софт украинского разработчика систем документооборота M.E.Doc. У этого программного обеспечения есть встроенная функция обновления, и заражения начались через легитимные обновления M.E.Doc. M.E.Doc распространяла вирус только по Украине. Но поскольку в этой стране расположены офисы глобальных компаний, заражение распространилось от них по сетям в другие страны.

Это называется «атака на цепь поставок», рассказывает техдиректор российского офиса антивирусной компании Eset Виталий Земских. По его мнению, это логичный шаг, поскольку крупный бизнес может себе позволить значительные инвестиции в IT-защиту и обученный персонал, а вот маленькие и средние компании зачастую не выполняют даже базовых требований безопасности. Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев уверен, что в 2020 г. увеличится количество атак на разработчиков софта: организовать такую атаку просто, а обнаружить – очень трудно. По мнению ведущего аналитика отдела развития антивирусной компании Dr.Web Вячеслава Медведева такие атаки возможны из-за развития аутсорсинга – это именно тот случай, когда выгоды бизнеса перевешивают доводы безопасности.

Атаки WannaCry, NotPetya и Bad Rabbit показали, что технологические сети могут быть даже более уязвимыми, чем корпоративные, считает Гостев. Он уверен, что в будущем году промышленные системы станут привлекательными мишенями для атак вымогателей. Ущерб можно нанести больший, чем в случае атаки на корпоративные сети, а действия персонала промышленных предприятий часто неэффективны, добавляет Гостев.

Земских сомневается, что в будущем году случится экспоненциальный рост числа программ-шифраторов. Весьма вероятно, что работать они будут эффективнее за счет качества написания кода и криптографической стойкости алгоритмов шифрования. Но средний ущерб от атак, наоборот, уменьшится благодаря тому, что пользователи пересмотрели отношение к базовым мерам защиты и средствам резервного копирования, прогнозирует Земских.

Сейчас антивирусные базы ежедневно пополняются в среднем 20 шифровальщиками, но злоумышленникам несложно нарастить количество образцов, которые не распознаются средствами защиты многих компаний, рассказывает Медведев. Впрочем, пока усложнять атаки бессмысленно – в очень многих организациях пользователи наделены правами, позволяющими запускать шифровальщики, указывает он. Сейчас шифровальщики авторства ведущих преступных группировок стали достаточно совершенными, рассказывает Медведев. Но многие вирусы содержат ошибки в коде, поэтому он прогнозирует развитие не самих шифровальщиков, а структур их обслуживания – заказной разработки, вывода денег и прочих сервисов.

Вам письмо с «трояном»: как новый вирус-шифровальщик может попасть на ваш компьютер

Эксперты по кибербезопасности сообщили о вспышке нового вируса Troldesh. Зараженные письма приходят жертвам от лица известных компаний. “Троян” блокирует доступ к личным данным, а потом требует выкуп. С подробностями – корреспондент “Вестей FM” Андрей Хохлов.

В тексте присланного сообщения на почту хакеры представляются сотрудником крупного автодилера или авиаперевозчика и просят открыть прикреплённый файл. Якобы там находятся подробности заказа. Получатель его открывает и тем самым впускает вирус в свой компьютер. Тот ограничивает доступ к личной информации и требует выкуп, чтобы ее разблокировать.

Имя вируса-шифровальщика – Troldesh. По оценкам специалистов, в нынешнем году среди хакеров по популярности он чуть ли не на первом месте. Только в июне эксперты по кибербезопасности обнаружили более 1000 зараженных писем. Всего же во втором квартале 2020 их количество превысило 6000. А это в 2,5 раза больше, чем за весь 2018 год.

Вирус постоянно модифицируется и способен обходить антивирусы. Избавится от него невозможно, говорит эксперт по кибербезопасности Андрей Масалович.

МАСАЛОВИЧ: Ни ваш админ, ни даже фирма, которая занимается расшифровкой, скорее всего, ничего сделать не могут. Придётся все “снести” – систему переустановить, скачать файлы из резервного хранилища и начать жизнь с чистого листа.

Так, в марте этого года жертвами такой же рассылки стали около 50 крупных российских компаний. Тогда, как и сейчас, злоумышленники рассылали письма с “трояном” от имени крупных брендов – например, “Ашана” или “Магнита”. И также требовали выкуп за избавление от вируса. Но его платить не стоит, говорит эксперт по кибербезопасности. Все равно доступ к данным хакеры не откроют.

МАСАЛОВИЧ: Ни в коем случае выкуп платить не надо, потому что шансы на то, что откроют ваши данные, не выше 50%. Смиритесь. Если вы потеряли данные – это хороший урок.

Нужно быть внимательным при просмотре почты. Открыть письмо – это еще не значит заразиться, а вот предложение установить или разархивировать прикреплённый файл, так называемый attach, – должно насторожить.

И на всякий случай нужно придумать, где еще, кроме жесткого диска вашего компьютера, можно сберечь важную информацию, советует Андрей Масалович.

МАСАЛОВИЧ: Надо думать: а что будет, если шифровальщик на ваш компьютер все-таки забрел? То есть все данные надо хранить в резервном хранилище. Очень выручает “древний” способ – CD-R, компакт-диск. Важные данные просто храните на таких дисках. Не ведитесь на то, что текст или отправитель вам знаком и письмо – важное. Если в письме есть attach, то это уже повод заволноваться.

Исследования последней версии этого вируса показали: помимо того что он блокирует данные на вашем ПК, он способен от вашего имени рассылать спам и заходить на сайты рекламодателей. Тем самым искусственно повышать их посещаемость.

Татарстан — на острие кибербезопасности

В 2020 году в Иннополисе открылся новый . С самого начала он был полностью посвящен индустриальной кибербезопасности как в самой республике, так и на территории соседних регионов, отметил наш собеседник.

«В Татарстане мы присутствуем уже очень давно, у нас был большой список клиентов в сфере корпоративной безопасности. Там были как республиканские банки, так и крупные промышленные холдинги, такие как „ТАИФ“ и „Татнефть“. То есть определенный плацдарм уже был», — объяснил Шебулдаев выбор Татарстана в качестве пилотной площадки.

В 2020 году мы начали активное продвижение нового проекта в области промышленной инфраструктуры, когда речь идет о защите непосредственно производственной части завода — тех компьютеров, которые стоят в цехах на нефтеперерабатывающих заводах, электростанциях и т.д. Инициативы компании были приняты в Татарстане на высоком уровне, и стороны определили направления совместной работы с Министерством информатизации и связи РТ, подчеркнул наш собеседник.

«Поэтому логичным шагом стало локальное присутствие нас как разработчика в регионе, где планируется начинать новую деятельность. А киберзащита промышленной инфраструктуры — это до сих пор новая тема для нашей страны. И все звезды сошлись в Иннополисе — IT-центре республики. Там мы открыли обособленное подразделение, целью которого является техническая компетенция в промышленной кибербезопасности», — пояснил эксперт.

Он добавил, что в ближайшие годы целью работы компании в Иннополисе будет популяризация темы промышленной кибербезопасности, разработка обучающих программ и самое главное — повышение осведомленности среди промышленного персонала (инженеров, метрологов) о новых рисках, которым теперь подвержена их инфраструктура. Кроме того, в тесном контакте с предприятиями РТ специалисты «Лаборатории Касперского» отрабатывают в Иннополисе новые технологии, которые только через несколько лет дойдут до массового потребителя.

За это время лаборатория запустила на территории Татарстана больше десятка пилотных проектов, которые сами специалисты сравнивают с опытной эксплуатацией, в дальнейшем дающей результаты для коммерческого внедрения.

«С нами сотрудничают более десятка республиканских компаний. Наши целевые отрасли в РТ — это энергетика, нефтегаз, а также химия и нефтехимия. Речь идет о таких предприятиях, как „Казаньоргсинтез“, „НКНХ“, „Татнефть“ с новейшим НПЗ „Танеко“, и ряде других. В энергетике это „Сетевая компания“, „Генерирующая компания“ и другие партнеры. Поэтому для нас Татарстан был и продолжает быть площадкой, где тестируется много нового», — подчеркнул Георгий Шебулдаев.

Он отметил, что количество кибератак, в том числе и целевых, ежегодно только растет. В качестве примера он привел прошлогоднюю «эпидемию» вируса-шифровальщика WanaCry, который поразил сотни тысяч компьютеров в России и по всему миру. Тогда многие компании даже заказывали у «Лаборатории Касперского» специальную услугу реагирования на киберинциденты. Такие случаи были и в Татарстане, заметил эксперт.

«Сейчас мы видим высокий фоновый уровень случайных заражений, когда вредоносные программы не были созданы специально для промышленности. Они попадают в производственный контур предприятия через флешки, подрядчиков и каналы удаленного доступа. Однако Татарстан в этом плане не уникален — такие случаи происходят по всей стране. В России почти половина компьютеров АСУ ТП, защищенных нашими продуктами, подвергалась таким атакам за последний год», — поделился Шебулдаев.


Понравилась статья? Поделиться с друзьями:
Добавить комментарий