Як еволюція програм-вимагачів змінила ландшафт загроз. Від WannaCry до Conti: 5-річна перспектива

П’ять років тому, у травні 2017 р., світ став жертвою масштабної атаки програми-вимагача, відомої як WannaCry. Атака мала безпрецедентний масштаб і поширилася по всьому світу, як лісова пожежа, і лише за кілька днів постраждали понад 200 тис. комп’ютерів Windows у 150 країнах. Збитки від атаки становили мільярди доларів.

Приблизно за місяць до атаки WannaCry хакерська група під назвою Shadow Brokers публічно розповіла про експлойт, розроблений «Агентством національної безпеки» (АНБ). Цей експлойт, який отримав назву EternalBlue, був заснований на вразливості в Windows SMB і дозволяв виконувати код на віддаленій машині. Хоча виправлення вразливості було випущено компанією Microsoft до витоку інформації про Shadow Brokers, багато комп’ютерів у всьому світі залишалися без апдейту і, отже, вразливими, що дозволило EternalBlue стати ключем до прикрого успіху WannaCry. Оснащені надзвичайними можливостями поперечного переміщення на основі витоку коду АНБ, прості зловмисні програми-вимагачі були модернізовані в одну з найпомітніших глобальних кібератак, які спостерігалися.

Однією з топових жертв WannaCry була «Національна служба охорони здоров’я Великобританії» (NHS), яка працювала з великою кількістю вразливих машин, і тому постраждала особливо сильно – третина лікарень NHS була блокована атакою. Серед інших серйозних жертв глобальної пандемії були іспанська телекомунікаційна служба Telefonica, а також телекомунікаційні провайдери, банки. Спалах було зупинено, коли дослідники ввімкнули «перемикач знищення», жорстко закодований у шкідливому програмному забезпеченні – хоча це не допомогло вже зашифрованим системам, але ж різко сповільнило поширення інфекції.

18 грудня 2017 р. уряд США офіційно оголосив, що публічно вважає Північну Корею головним винуватцем атаки WannaCry, такі висновки також підтримали Канада, Нова Зеландія, Японія та Велика Британія. Пізніше, у вересні 2018 р., «Міністерство юстиції США» оголосило перші офіційні звинувачення проти громадянина Північної Кореї Пак Джін Хьока (Park Jin-Hyok). «Міністерство юстиції» стверджувало, що Парк був північнокорейським хакером, який працював у складі спонсорованої урядом хакерської групи, відомої як Lazarus Group, а також брав участь в атаці WannaCry, серед інших видів діяльності.

Досі широко обговорюється, що було основною метою WannaCry. Традиційно, шкідливе програмне забезпечення націлене на вимагання грошей у жертв, і на цей раз це теж було присутньо, оскільки фінанси для режиму Північної Кореї конче потрібні. Але ж все вказує на те, що окрім грошового аспекту нападники з Lazarus Group у першу чергу шукали хаосу, паніки та руйнування.

Атака WannaCry змінила гру у сегменті кібербезпеки. Як перша багатовекторна кібератака глобального масштабу, реалізована спонсорованими державою акторами, вона ознаменувала поворотний момент у середовищі кібербезпеки, надихаючи акторів у всьому світі та впливаючи на весь ландшафт загроз протягом наступних п’яти років дотепер.

Спалах WannaCry, бувши політично заохочуваним із самого початку, підштовхнув до ідеї використовувати програму-вимагач для конкретних інтересів держави. Влітку 2017 р., через місяць після атаки WannaCry, Україна зазнала катастрофічної кібератаки NotPetya, яка серйозно вплинула на банки, громадський транспорт, енергокомпанії та державний сектор. Атака була здійснена Sandworm, групою хакерів російської військової розвідки, і була призначена як кульмінаційний удар по Україні у багаторічній кібервійні, яку росія здійснювала проти нашої країни. Однак з України атака швидко поширилася по всьому світу: ймовірно, натхненний невдалим успіхом WannaCry, NotPetya також використовував EternalBlue для поширення між комп’ютерами, максимізуючи охоплення і, отже, шкоду. Цього разу він, безперечно, був розроблений не для того, щоб заробляти гроші, а щоб швидко поширюватися та завдавати шкоди, з правдоподібно заперечуваним прикриттям «вимагача», не даючи жертвам спосіб отримати їх дані та надовго пошкодити операції. Кілька великих державних компаній розкрили в заявках про цінні папери, що атака коштувала їм сотні мільйонів доларів у зв’язку з втратою бізнесу та відновленням. Серед них були глобальна транспортна компанія Maersk, фармацевтичний гігант Merck та ряд лікарень у США.

У 2020 р. підтримані іранською національною державою зловмисники також почали додавати варіанти програм-вимагачів у свої атаки. Операції з програмами-вимагачами показали себе як потужний інструмент для зриву або дискредитації його жертв. У період з 2020 по 2021 рр. було виявлено щонайменше шість іранських груп загроз, включаючи MosesStaff, Pay2Key, Black Shadow і APT35, які розгортали варіанти програм-вимагачів, спрямовані насамперед на головних ворогів іранського режиму – Ізраїль та США.

Нарешті у 2022 р., з початком агресії росії, було виявлено численні передові кібератаки на українські цілі. Одна з цих кампаній використовувала шкідливе програмне забезпечення wiper під назвою HermeticWiper у поєднанні з вимагачем під назвою HermeticRansom. Код і робочий процес цього ПЗ на основі GoLang є відносно простими й, схоже, були створені поспішно, що вказує на те, що вони використовувалися як приманка для запобігання доступу жертв до своїх даних, водночас покращуючи ефективність інших короткочасних кібератак. HermeticRansom було розгорнуто одночасно з HermeticWiper, спрямованим на фінансові та державні структури з України, Латвії та Литви.

З огляду на успіх усіх цих операцій – де увага громадськості та масове знищення мереж є визначенням успіху – можна однозначно говорити про те, що спадщина WannaCry все ще жива, надихаючи на використання програм-вимагачів такими країнами, як Північна Корея, Іран та росія. Програми-вимагачі все ще залишаються цілеспрямованим інструментом у досягненні їх політичного порядку денного, незалежно від того, чи завдає воно реальної шкоди, чи фактично вимагає вимоги викупу за криптовалюту, яка є надійним інструментом для ухилення від санкцій.

В епоху WannaCry 2017 р. вимагачі широко розповсюджувалися у великих масштабах за допомогою масових спам-кампаній електронної пошти та завантажень на машині, яким сприяли набори Exploit Kit: кожен і будь-хто міг стати ціллю. Атаки Drive-by дозволили заражати жертв, які несвідомо відвідали зламаний вебсайт, без будь-яких додаткових дій, значною мірою покладаючись на невиправлені браузери та плагіни, такі як Internet Explorer та Adobe Flash, для успішної експлуатації. Спам-кампанії spray and pray з розповсюдження програм-вимагачів покладалися на техніку соціальної інженерії, щоб змусити жертву запустити програму-вимагач, і зазвичай розповсюджувалися через спам-ботнети. Одним з найуспішніших прикладів використання обох методів доставлення spray and pray було ПЗ GandCrab, чиї оператори та філії зібрали загалом приблизно 2 млрд дол. у вигляді викупу в рамках своїх численних кампаній.

З розвитком антивірусного захисту та падінням комплектів експлойтів розповсюдження спаму програм-вимагачів застаріло, і кіберзлочинці дізналися, що одна успішна корпоративна жертва може приносити такий же дохід, як сотні рядових користувачів, і зусиль потребується менше. У 2018 р. розповсюдження програм-вимагачів перейшло від гри з цифрами до більш цілеспрямованого підходу big game hunting, коли кіберзлочинці знаходять – або навіть купують – свій шлях до корпоративних організацій. В результаті ті, хто стояв за основними сімействами шкідливих програм, які починалися як банківські трояни, такі як Emotet, Trickbot, Dridex, Qbot та інші, змінили фокус своїх операцій з ботнетами на пошук відповідних цілей.

Після того, як початкове зараження в корпоративному середовищі досягнуто, суб’єкти загрози проводять широку розвідку, спрямовану на виявлення найбільш прибуткових цілей. Зловмисники проводять дні, а іноді й тижні, досліджуючи зламані мережі, щоб знайти цінні активи та видалити всі можливі резервні копії, максимізуючи таким чином шкоду. Перевірка та складність таких цільових операцій проти підприємств з часом перетворили операції з вимагачами у бізнес зо всіма притаманними рисами. Сьогодні такі групи проводять не тільки складну технічну операцію, включаючи розробку інструментів та допоміжної інфраструктури, але й підтримують бізнес-операцію, пов’язану з отриманням початкового доступу до прибуткових цілей, оцінкою платоспроможності компанії, збором інформації про жертв – все для того, щоб максимізувати свій прибуток.

У наступні кілька років суб’єкти впровадження загроз почали розробляти інноваційні способи збільшення своїх доходів. Спочатку шляхом переходу на корпоративні цілі, а згодом і шляхом додаткового тиску на них, щоб вони платили. У 2020 р. з’явилася стратегія подвійного вимагання, і до сьогодні вона вважається звичайною практикою у світі програм-вимагачів. Це багатоетапна атака, яка поєднує традиційне шифрування файлів жертви та ексфільтрацію їхніх даних за межі компанії на сервери, які контролюються зловмисниками. Потім до жертви доводиться, що є доступ до її конфіденційних даних, і погрожують оприлюднити зламані дані, якщо викуп не буде сплачений у визначений термін. Це створює додатковий тиск на жертв, щоб вони задовольнили вимоги зловмисників, а також наражає жертву на потенційні санкції з боку регуляторів із захисту даних. Щоб посилити подвійне вимагання, більшість груп злочинців створили блоги сорому, де вони публікують імена, а в деяких випадках і дані жертв, які не бажають платити викуп.

Ще гірше те, що в кінці 2020 р. був знайдений додатковий варіант ще більшого тиску на жертв. Він називається «потрійним вимаганням» і включає вимоги, засновані на загрозі додаткового пошкодження інфраструктури, наприклад, DDoS-атаки на ресурси жертв, поки вони не сплатять, або вимагання з використанням погроз третім особам. Наприклад, у жовтні 2020 р. клініка Вастаамо у Фінляндії оголосила, що стала жертвою спланованої атаки, яка завершилася масштабною крадіжкою даних пацієнтів. На додаток до викупу, який вимагали від самого постачальника медичних послуг, зловмисники надсилали окремим пацієнтам менші вимоги викупу, погрожуючи опублікувати їхні конфіденційні нотатки сеансу терапевта. Ідея потрійного вимагання була швидко сприйнята іншими зловмисниками: наприклад, одна із найвідоміших груп, банда REvil, надавала своїм філіям зашифровані голосові дзвінки VoIP журналістам та колегам, використовуючи треті сторони, щоб посилити тиск на жертв.

Еволюція операцій з вимагачами завжди була спрямована на збільшення платежів. З роками банди вимагачів дізналися, що резонансні цілі можуть приносити їм більше доходу. У 2018-2019 рр., хоча більшість урядових організацій не були готові до зростаючої загрози програм-вимагачів, афілійовані групи помітили, що державний сектор, особливо на державному та муніципальному рівнях, був легкою мішенню. Деяким з них, наприклад в американському місту Балтімор, навіть довелося двічі боротися з атаками програм-вимагачів.

Зростання ставок і збільшення популярності цілей досягли свого піка в травні 2021 р. після атаки програм-вимагачів на Colonial Pipeline, яка перекрила основний газопровід і газопровід для реактивного палива на великих ділянках південного та східного узбережжя і призвела до дефіциту палива. Цей інцидент, коли критична національна інфраструктура стала заручником вимагачів, змусив уряд США та багатьох інших після цього змінити свою позицію щодо таких атак. Вони перейшли від превентивних і реактивних заходів до проактивних наступальних операцій, спрямованих на самих операторів програм-вимагачів, а також на їх фінансування та допоміжну інфраструктуру.

Після цього в США «Міністерство юстиції» (DoJ) визначило ПЗ-вимагач як загрозу національній безпеці, поставивши його на той же рівень пріоритету, що й тероризм. Управління з контролю за іноземними активами (OFAC) запровадило свої перші санкції проти російської біржі віртуальної валюти SUEX, яка бере участь у виплаті злочинцям-вимагачам. Кілька місяців по тому Європейський Союз і ще 31 країна оголосили, що приєднаються до зусиль, щоб зруйнувати додаткові канали криптовалюти, намагаючись пошкодити процес відмивання грошей, який часто супроводжується операціями з вимаганням. Того ж місяця уряд Австралії оприлюднив «План дій щодо програм-вимагачів», який включає формування нової спеціальної групи та суворіші покарання для зловмисників-вимагачів.

Ці заходи дозволили збільшити бюджети на боротьбу з кіберзлочинністю та посилити спільну співпрацю між різними урядовими та правоохоронними органами через кордони. Після нової позиції правоохоронних органів у різних країнах було затримано кілька операторів програм-вимагачів і їх філії. Серед найбільш значущих була міжнародна спільна операція Інтерполу під назвою «Операція «Циклон» у листопаді 2021 р. Це призвело до захоплення інфраструктури та арештів філій з відмивання грошей Cl0p, групи, відповідальної за порушення Accellion, що спричинило численні подвійні та потрійні вимагання протягом 2021 р. Крім того, «Міністерство юстиції США» та інші федеральні агентства продовжували заходи проти REvil.

Серед них були арешти учасників, арешт 6 млн дол. у вигляді викупу, конфіскація пристроїв і програма винагород на суму 10 млн дол. У січні 2022 р. влада росії повідомила, що ліквідувала злочинну групу REvil і висунула звинувачення кільком її членам.

Протягом останніх п’яти років операції з програм-вимагачів пройшли довгий шлях від випадкового розсилання електронних листів до багатомільйонних кампаній, з цілеспрямованими та керованими атаками, що впливають на організації майже в будь-якому місці на Землі та в будь-якій галузі. Хоча західні країни після всіх цих років почали дуже серйозно ставитися до проблеми, економіка програм-вимагачів все ще процвітає в основному завдяки тому, що місцеві правоохоронні органи закривають очі на банди, які базуються переважно у Східній Європі. Тіньова економіка програм-вимагачів повністю заснована на криптовалютах, і поки розгортається війна, санкції, запроваджені США проти крипто-злочинів, продовжують швидко розширюватися. Лише у квітні 2022 р. OFAC санкціонував Garantex, біржу віртуальних валют, а також найбільший і найвідоміший у світі ринок даркнету, Hydra Market, у скоординованих міжнародних зусиллях, щоб зупинити поширення зловмисних послуг кіберзлочинності, небезпечних наркотиків та інших незаконних пропозицій.

Однак приклад підтримуваного Північною Кореєю WannaCry знову нагадає нам, що країни, які керують своєю економікою під жорсткими санкціями, мають тенденцію проводити та використовувати кібероперації для власних цілей. Отже, враховуючи поточну ситуацію, не можна очікувати, що «Золота ера» програм-вимагачів завершиться найближчим часом.

Щоб відзначити 5-ту річницю атаки WannaCry, Check Point створив центр Ransomware зі звітами, блогами, вебінарами, подкастами, відео та статистикою в реальному часі про атаки програм-вимагачів та їх вплив.

Стратегія охолодження ЦОД для епохи AI