Кибератака – это преднамеренная и злонамеренная попытка получить несанкционированный доступ к компьютерной системе или сети через существующие уязвимости. Это может быть сделано с целью кражи конфиденциальной информации и нарушения нормальной работы. В последнее время выкупное ПО стало основным инструментом кибератак среди злоумышленников. Ransomware обычно распространяется с помощью фишинговых писем, загрузок с диска, пиратского программного обеспечения, протокола удаленного рабочего стола и т. д. Если компьютер заражен программой ransomware, она шифрует важные файлы на компьютере. Затем хакеры требуют выкуп за восстановление зашифрованных данных. Кибератаки могут поставить под угрозу национальную безопасность страны, нарушить работу ключевых секторов экономики, нанести огромный ущерб и привести к серьезным финансовым потерям. Именно так произошло с кибератакой WannaCry ransomware.
12 мая 2017 года программа-вымогатель под названием WannaCry, предположительно пришедшая из Северной Кореи, распространилась по всему миру и менее чем за два дня заразила более 200 000 компьютерных систем в более чем 150 странах. WannaCry атаковала компьютерные системы под управлением операционной системы Windows. Она использовала уязвимость в протоколе блокировки серверных сообщений операционной системы. Одной из самых крупных жертв атаки стала Национальная служба здравоохранения Великобритании (NHS). Более 70 000 их устройств, включая компьютеры, кинотеатры, диагностическое оборудование и МРТ-сканеры, были заражены. Врачи не могли получить доступ к своим системам и записям пациентов, что было необходимо для оказания помощи больным. Эта атака обошлась NHS почти в 100 миллионов долларов. Вот как все может быть плохо. Однако все может стать гораздо хуже, особенно с появлением новых и более опасных Ransomware, таких как BlackCat, которые оставляют за собой путь, полный жертв.
BlackCat Ransomware
BlackCat ransomware, называемая разработчиками ALPHV, – это вредоносное программное обеспечение, которое при заражении системы осуществляет эксфильтрацию и шифрование данных в пораженной системе. Эксфильтрация подразумевает копирование и перенос данных, хранящихся в системе. После того, как BlackCat зашифрует критически важные данные, будет выдвинуто требование о выкупе в криптовалюте. Жертвы BlackCat должны заплатить требуемый выкуп, чтобы восстановить доступ к своим данным. BlackCat – это не обычная программа-вымогатель. BlackCat стал первой успешной программой-вымогателем, написанной на языке Rust, в отличие от других программ-вымогателей, которые обычно пишутся на C, C++, C#, Java или Python. Кроме того, BlackCat стал первым семейством вымогателей, у которого появился сайт в открытом доступе, куда они сливают украденную в результате атак информацию. Еще одно ключевое отличие от других Ransomware заключается в том, что BlackCat работает как Ransomware as a service (RaaS). RaaS – это бизнес-модель киберпреступности, при которой создатели ransomware сдают в аренду или продают свои ransomware в качестве услуги другим лицам или группам. В этой модели создатели ransomware предоставляют все необходимые инструменты и инфраструктуру для распространения и осуществления атак ransomware. Это происходит в обмен на долю прибыли, получаемой от платежей за выкуп. Это объясняет, почему BlackCat в основном нацелен на организации и предприятия, поскольку они обычно охотнее платят выкуп, чем частные лица. Организации и предприятия также платят больший выкуп по сравнению с частными лицами. Люди, направляющие и принимающие решения в кибератаках, известны как субъекты киберугроз (CTA). Чтобы заставить жертв заплатить выкуп, BlackCat использует “тройную технику вымогательства”. Она включает в себя копирование и перенос данных жертв, а также шифрование данных на их системах. Затем жертвам предлагается заплатить выкуп, чтобы получить доступ к зашифрованным данным. В противном случае происходит утечка данных в открытый доступ и/или атаки типа “отказ в обслуживании” (DOS) на их системы. Наконец, с теми, кто пострадает от утечки данных, связываются и сообщают, что их данные будут утечены. Обычно это клиенты, сотрудники и другие аффилированные лица компании. Это делается для того, чтобы заставить организации-жертвы заплатить выкуп, чтобы избежать потери репутации и судебных исков в результате утечки данных.
Как работает BlackCat Ransomware
Согласно экстренному предупреждению, выпущенному ФБР, программа-вымогатель BlackCat использует ранее скомпрометированные учетные данные пользователей для получения доступа к системам. После успешного проникновения в систему BlackCat использует полученный доступ для взлома учетных записей пользователей и администраторов, хранящихся в активном каталоге. Это позволяет ему использовать планировщик задач Windows для настройки вредоносных объектов групповой политики (GPO), которые позволяют BlackCat развернуть свою программу-вымогатель для шифрования файлов в системе. Во время атаки BlackCat сценарии PowerShell используются вместе с Cobalt Strike для отключения средств защиты в сети жертвы. Затем BlackCat похищает данные жертвы из мест их хранения, в том числе у облачных провайдеров. После этого киберугроза, направляющая атаку, запускает программу BlackCat ransomware для шифрования данных в системе жертвы. Затем жертвы получают письмо с выкупом, в котором сообщается, что их системы подверглись атаке и важные файлы зашифрованы. В записке также содержатся инструкции о том, как заплатить выкуп.
Почему BlackCat опаснее, чем обычные программы-рандомы?
BlackCat опасен по сравнению с обычными программами-вымогателями по ряду причин:
Он написан на языке Rust
Rust – это быстрый и безопасный язык программирования, обеспечивающий повышенную производительность и эффективное управление памятью. Используя Rust, BlackCat получает все эти преимущества, что делает его очень сложной и эффективной программой-вымогателем с быстрым шифрованием. Кроме того, BlackCat трудно поддается обратной разработке. Rust – кроссплатформенный язык, который позволяет угрозам легко адаптировать BlackCat для различных операционных систем, таких как Windows и Linux, что увеличивает круг их потенциальных жертв.
Она использует бизнес-модель RaaS.
Использование BlackCat модели ransomware as a service позволяет многим угрожающим субъектам развертывать сложные программы-вымогатели без необходимости знать, как их создавать. BlackCat делает всю тяжелую работу за угрожающих субъектов, которым нужно только внедрить его в уязвимую систему. Это делает сложные атаки с использованием выкупного ПО простыми для угроз, заинтересованных в эксплуатации уязвимых систем.
Она предлагает большие выплаты аффилированным лицам
Поскольку BlackCat использует модель Raas, его создатели зарабатывают деньги, получая долю от выкупа, выплачиваемого угрожающим субъектам, которые его внедряют. В отличие от других семейств Raas, которые берут до 30 % от суммы выкупа, выплачиваемого угрожающим субъектам, BlackCat позволяет угрожающим субъектам оставлять себе 80-90 % от суммы выкупа, которую они получают. Это повышает привлекательность BlackCat для угрожающих субъектов, позволяя BlackCat получить большее количество филиалов, готовых использовать его в кибератаках.
У него есть публичный сайт утечек в чистом Интернете.
В отличие от других программ-вымогателей, которые сливают украденную информацию в темную паутину, BlackCat сливает ее на сайт, доступный в открытом доступе. Благодаря утечке похищенных данных в открытом доступе к ним могут получить доступ больше людей, что увеличивает последствия кибератаки и вынуждает жертв платить выкуп. Язык программирования Rust сделал BlackCat очень эффективной атакой. Используя модель Raas и предлагая огромные выплаты, BlackCat привлекает все больше участников угроз, которые с большей вероятностью будут использовать его в атаках.
Цепочка заражения BlackCat Ransomware
BlackCat получает первоначальный доступ к системе, используя скомпрометированные учетные данные или уязвимости Microsoft Exchange Server. Получив доступ к системе, злоумышленники уничтожают средства защиты системы, собирают информацию о сети жертвы и повышают свои привилегии. Затем BlackCat ransomware перемещается по сети, получая доступ к максимальному количеству систем. Это пригодится во время требования выкупа. Чем больше систем подвергается атаке, тем больше вероятность того, что жертва заплатит выкуп. Вредоносные субъекты выкачивают из системы данные, которые затем используются для вымогательства. После утечки критически важных данных создаются условия для доставки полезной нагрузки BlackCat. Вредоносные субъекты поставляют BlackCat с помощью Rust. Сначала BlackCat останавливает работу таких служб, как резервное копирование, антивирусные приложения, интернет-сервисы Windows и виртуальные машины. После этого BlackCat шифрует файлы в системе и повреждает фоновое изображение системы, заменяя его на записку с выкупом.
Защита от BlackCat Ransomware
Несмотря на то, что BlackCat оказался более опасным, чем другие вымогательские программы, встречавшиеся ранее, организации могут защитить себя от него несколькими способами:
Шифрование важных данных
Часть стратегии вымогательства Blackhat заключается в угрозе утечки данных жертвы. Шифруя критически важные данные, организация создает дополнительный уровень защиты для своих данных, что препятствует использованию методов вымогательства, применяемых участниками угроз BlackHat. Даже если утечка произойдет, она не будет иметь человекочитаемого формата.
Регулярно обновляйте системы
В ходе исследования, проведенного Microsoft, выяснилось, что в некоторых случаях BlackCat использовал непропатченные серверы exchange для получения доступа к системам организации. Компании-производители программного обеспечения регулярно выпускают обновления для устранения уязвимостей и проблем безопасности, которые могли быть обнаружены в их системах. Чтобы обезопасить себя, устанавливайте исправления сразу же после их появления.
Резервное копирование данных в безопасном месте
Организации должны уделять первостепенное внимание регулярному резервному копированию данных и их хранению в отдельном безопасном автономном месте. Это необходимо для того, чтобы даже в случае шифрования критически важных данных их можно было восстановить из имеющихся резервных копий.
Внедрите многофакторную аутентификацию
Помимо использования надежных паролей в системе, внедрите многофакторную аутентификацию, которая требует ввода нескольких учетных данных перед предоставлением доступа к системе. Это можно сделать, настроив систему на генерирование одноразового пароля, отправляемого на привязанный номер телефона или электронную почту, который необходим для доступа к системе.
Мониторинг активности в сети и файлов в системе
Организации должны постоянно отслеживать активность в своих сетях, чтобы как можно быстрее обнаруживать подозрительные действия и реагировать на них. Деятельность в сети также должна регистрироваться и анализироваться экспертами по безопасности для выявления потенциальных угроз. Наконец, необходимо создать системы, отслеживающие, как происходит доступ к файлам в системе, кто к ним обращается и как они используются. Шифрование критически важных данных, обеспечение актуальности систем, регулярное резервное копирование данных, внедрение многофакторной аутентификации и мониторинг активности в системе. Организации могут быть на шаг впереди и предотвратить атаки BlackCat.
Атаки робота-вымогателя Blackcat
Blackcat получил доступ к системам Reddit в феврале 2023 года и, как сообщается, похитил 80 Гб данных, состоящих из внутренних документов, кода и т.д. Все началось с целенаправленной атаки, известной как spear phishing, на нескольких сотрудников Reddit. Похоже, это сработало против одного сотрудника, который попал в ловушку, предоставив учетные данные для входа во внутреннюю сеть компании. Группа вымогателей потребовала 80 миллионов долларов США за удаление украденных данных и попросила Reddit отменить повышение цен на API. Однако Reddit быстро опроверг все заявления об утечке конфиденциальных данных. На данный момент ALPHV не удалось заставить компанию социальных сетей заплатить выкуп.
MGM Resorts
В сентябре 2023 года компания MGM Resorts, специализирующаяся на гостиничном бизнесе и казино, подверглась атаке вымогательского ПО Blackcat. Как утверждается, все началось с хорошо известной техники фишинга, известной как голосовой фишинг или вишинг. Здесь один из киберзлоумышленников выдавал себя за сотрудника MGM и убеждал службу технической поддержки сбросить пароль, что подготовило почву для следующей атаки. Как и в подобных атаках, преступники зашифровали часть сети MGM и вывели конфиденциальные данные. Они пригрозили MGM заплатить выкуп или подвергнуться новым атакам. Известно, что в результате этой печальной серии инцидентов компания MGM потеряла в качестве выкупа около 100 миллионов долларов США.
Окружной суд Флориды
В похожем инциденте, который произошел в октябре 2023 года, банда Blackcat, распространяющая выкупное ПО, атаковала суды северо-западной Флориды, утверждая, что похитила личные данные, такие как номера социального страхования сотрудников окружного суда. Кроме того, в распоряжении ALPHV оказалась сетевая карта компьютерной системы суда, а также служебные учетные данные. На данный момент неясно, были ли удовлетворены требования о выкупе и очистил ли окружной суд Флориды свои системы от вредоносного ПО и/или возможных бэкдоров.
Учебные ресурсы: Ransomware
Чтобы узнать больше о кибератаках и о том, как защитить себя от атак программ-вымогателей, таких как BlackCat, мы рекомендуем пройти один из этих курсов или прочитать книги, предложенные ниже:
Обучение по повышению осведомленности о безопасности
Это замечательный курс для всех, кто заинтересован в безопасности в Интернете. Курс предлагает доктор Майкл Биокки, сертифицированный специалист по безопасности информационных систем (CISSP). В курсе рассказывается о фишинге, социальной инженерии, утечке данных, паролях, безопасном браузинге, персональных устройствах и даются общие советы по безопасности в Интернете. Курс регулярно обновляется, и каждый, кто пользуется Интернетом, может извлечь из него пользу.
Обучение основам безопасности, безопасность в Интернете для сотрудников
Этот курс предназначен для обычных пользователей Интернета и призван рассказать им об угрозах безопасности, о которых люди часто не знают, и о том, как защитить себя от этих угроз. Курс, предлагаемый Роем Дэвисом, сертифицированным экспертом по информационной безопасности CISSP, охватывает вопросы ответственности пользователей и устройств, фишинга и других вредоносных писем, социальной инженерии, работы с данными, паролей и вопросов безопасности, безопасного просмотра веб-страниц, мобильных устройств и Ransomware. По окончании курса вы получите сертификат об окончании, которого достаточно для того, чтобы соответствовать политике регулирования данных на большинстве рабочих мест.
Кибербезопасность: Ознакомительный курс для абсолютных новичков
Этот курс на Udemy предлагает Усман Ашраф из Logix Academy, компании, занимающейся обучением и сертификацией. Усман имеет сертификат CISSP, докторскую степень в области компьютерных сетей и большой опыт работы в индустрии и преподавания. В этом курсе слушатели узнают о социальной инженерии, паролях, безопасной утилизации данных, виртуальных частных сетях (VPN), вредоносном ПО, программах-вымогателях, советах по безопасному просмотру веб-страниц, а также о том, как файлы cookie используются для отслеживания людей. Курс не является техническим.
Ransomware Revealed
Это книга Нихада А. Хассана, независимого консультанта по информационной безопасности, эксперта в области кибербезопасности и цифровой криминалистики. В книге рассказывается о том, как смягчить последствия атак ransomware и справиться с ними, а также подробно рассматриваются различные типы ransomware, стратегии их распространения и методы восстановления. В книге также описаны действия, которые необходимо предпринять в случае заражения выкупным ПО. В том числе о том, как платить выкуп, как выполнять резервное копирование и восстанавливать пострадавшие файлы, а также как искать в Интернете инструменты для расшифровки зараженных файлов. В книге также рассказывается о том, как организации могут разработать план реагирования на инциденты с вымогательством, чтобы минимизировать ущерб от вымогательства и быстро восстановить нормальную работу.
Ransomware: Понять. Предотвратить. Восстановление
В этой книге Аллан Лиска, старший архитектор по безопасности и специалист по вымогательству в компании Recorded Future, отвечает на все сложные вопросы, связанные с Ransomware. В книге рассказывается о причинах распространения ransomware в последние годы, о том, как остановить атаки ransomware, об уязвимостях, на которые нацелены злоумышленники, использующие ransomware, и о том, как пережить атаку ransomware с минимальным ущербом. Кроме того, книга отвечает на важный вопрос: стоит ли платить выкуп? Эта книга предлагает увлекательное исследование выкупного ПО.
Игровая книга по защите от рансомных программ
Любой человек или организация, желающие защититься от программ-вымогателей, должны прочитать эту книгу. В этой книге Роджер А. Граймс, эксперт в области компьютерной безопасности и проникновения, предлагает свой богатый опыт и знания в этой области, чтобы помочь людям и организациям защитить себя от ransomware. Книга предлагает практический план действий для организаций, стремящихся разработать надежную защиту от программ-вымогателей. Она также учит, как обнаружить атаку, быстро ограничить ущерб и решить, платить выкуп или нет. Кроме того, в книге предлагается план действий, который поможет организациям ограничить репутационный и финансовый ущерб, наносимый серьезными нарушениями безопасности. Наконец, в ней рассказывается о том, как создать надежную основу для страхования кибербезопасности и юридической защиты, чтобы смягчить последствия сбоев в бизнесе и повседневной жизни.
Примечание автора
BlackCat – это революционная программа-вымогатель, которая изменит статус-кво в области кибербезопасности. По состоянию на март 2022 года BlackCat успешно атаковал более 60 организаций и сумел привлечь внимание ФБР. BlackCat – это серьезная угроза, и ни одна организация не может позволить себе игнорировать ее. Используя современный язык программирования и нетрадиционные методы атаки, шифрования и вымогательства выкупа, BlackCat заставил экспертов по безопасности играть в догонялки. Однако война с этой программой-вымогателем еще не проиграна. Реализовав стратегии, описанные в этой статье, и сведя к минимуму возможность человеческой ошибки, которая может привести к заражению компьютерных систем, организации смогут быть на шаг впереди и предотвратить катастрофическую атаку BlackCat ransomware.
