WastedLocker: сложный вариант программы-вымогателя, нацеленный на крупные корпорации
Программы-вымогатели – это разновидность вредоносного программного обеспечения, предназначенного для блокировки файлов на компьютере или в системе до уплаты выкупа. Одним из первых когда-либо задокументированных программ-вымогателей был компьютер Cyborg 1989 года – он потребовал выкуп в размере 189 долларов для расшифровки заблокированных файлов.
Компьютерные технологии прошли долгий путь с 1989 года, и вместе с ними развивались программы-вымогатели, что привело к появлению сложных и мощных вариантов, таких как WastedLocker. Так как же работает WastedLocker? На кого это повлияло? А как можно защитить свои устройства?
Что такое WastedLocker и как он работает?
WastedLocker, впервые обнаруженный в начале 2020 года, управляется печально известной хакерской группировкой Evil Corp , также известной как INDRIK SPIDER или банда Dridex, и, скорее всего, имеет связи с российскими спецслужбами.
Управление по контролю за иностранными активами Министерства финансов США ввело санкции против Evil Corp. в 2019 году, а Министерство юстиции предъявило обвинение своему предполагаемому лидеру Максиму Якубцу, что вынудило группу изменить тактику.
Атаки WastedLocker обычно начинаются с SocGholish, трояна удаленного доступа (RAT), который выдает себя за обновления браузера и Flash, чтобы обманом заставить цель загрузить вредоносные файлы.
Как только цель загружает фальшивое обновление, WastedLocker эффективно шифрует все файлы на своем компьютере и добавляет их со словом «потрачено впустую», что, похоже, является намеком на интернет-мемы, вдохновленные серией видеоигр Grand Theft Auto.
Так, например, файл с исходным именем «muo.docx» будет отображаться как «muo.docx.wasted» на скомпрометированной машине.
Для блокировки файлов WastedLocker использует комбинацию алгоритмов шифрования Advanced Encryption Standard (AES) и Rivest-Shamir-Adleman (RSA), что делает дешифрование практически невозможным без закрытого ключа Evil Corp.
Алгоритм шифрования AES используется финансовыми учреждениями и правительствами – например, Агентство национальной безопасности (АНБ) использует его для защиты совершенно секретной информации.
Алгоритм шифрования RSA, названный в честь трех ученых Массачусетского технологического института (MIT), впервые публично описавших его в 1970-х годах, значительно медленнее, чем AES, и в основном используется для шифрования небольших объемов данных.
WastedLocker оставляет записку о выкупе за каждый файл, который он зашифровывает, и указывает жертве связаться с злоумышленниками. Сообщение обычно содержит адрес электронной почты Protonmail, Eclipso или Tutanota.
Примечания о выкупе обычно настраиваются, в них упоминается целевая организация по имени и предостерегается от обращения в органы власти или передачи контактных электронных писем третьим лицам.
Эта вредоносная программа предназначена для крупных компаний и обычно требует выкупа в размере до 10 миллионов долларов.
Широко распространенные атаки WastedLocker
В июне 2020 года Symantec раскрыла 31 атаку WastedLocker на американские компании. Подавляющее большинство целевых организаций были крупными семейными именами, а 11 компаний входили в список Fortune 500.
Программа-вымогатель была нацелена на компании в различных секторах, включая производство, информационные технологии, средства массовой информации и телекоммуникации.
Evil Corp взломала сети целевых компаний, но Symantec удалось помешать хакерам развернуть WastedLocker и хранить данные для выкупа.
Реальное общее количество атак может быть намного выше, поскольку программа-вымогатель была развернута через десятки популярных легитимных новостных сайтов.
Излишне говорить, что компании стоимостью в миллиарды долларов имеют первоклассную защиту, что красноречиво говорит о том, насколько опасен WastedLocker.
Тем же летом Evil Corp развернула WastedLocker против американской компании Garmin, занимающейся GPS и фитнес-трекерами, годовой доход которой оценивается в 4 миллиарда долларов.
Как тогда отметила израильская компания по кибербезопасности Votiro , атака нанесла вред компании Garmin. Это нарушило работу многих служб компании и даже повлияло на центры обработки вызовов и некоторые производственные линии в Азии.
Сообщается, что компания Garmin заплатила выкуп в размере 10 миллионов долларов за восстановление доступа к своим системам. Компании потребовалось несколько дней, чтобы наладить работу своих сервисов, что, по-видимому, привело к огромным финансовым потерям.
Хотя компания Garmin, по-видимому, считала уплату выкупа лучшим и наиболее эффективным способом разрешения ситуации, важно отметить, что киберпреступникам никогда не следует доверять – иногда у них нет стимула предоставлять ключ дешифрования после получения выкупа.
Как правило, лучший способ действий в случае кибератаки – немедленно связаться с властями.
Кроме того, правительства по всему миру вводят санкции против хакерских групп, и иногда эти санкции также применяются к лицам, которые отправляют или содействуют выплате выкупа, поэтому также существуют правовые риски, которые следует учитывать.
Что такое программа-вымогатель Hades Variant?
В декабре 2020 года исследователи безопасности обнаружили новый вариант программы-вымогателя, получивший название Hades (не путать с Hades Locker 2016 года, который обычно развертывается по электронной почте в виде вложения MS Word).
Анализ CrowdStrike показал, что Hades по сути является 64-битным скомпилированным вариантом WastedLocker, но выявил несколько ключевых различий между этими двумя вредоносными программами.
Например, в отличие от WastedLocker, Hades не оставляет записку о выкупе для каждого зашифрованного файла – он создает единственную записку о выкупе. И он хранит ключевую информацию в зашифрованных файлах, а не в записке о выкупе.
Вариант Hades не оставляет контактной информации; вместо этого он направляет жертв на сайт Tor, который настраивается для каждой цели. Сайт Tor позволяет жертве бесплатно расшифровать один файл, что, очевидно, является способом для Evil Corp продемонстрировать, что ее инструменты дешифрования действительно работают.
Hades в первую очередь нацелился на крупные организации, базирующиеся в США, с годовым доходом, превышающим 1 миллиард долларов, и его развертывание ознаменовало еще одну творческую попытку Evil Corp провести ребрендинг и избежать санкций.
Как защититься от WastedLocker
В связи с ростом числа кибератак вложения в средства защиты от программ-вымогателей абсолютно необходимы. Также крайне важно обновлять программное обеспечение на всех устройствах, чтобы не дать киберпреступникам воспользоваться известными уязвимостями.
Сложные варианты программ-вымогателей, такие как WastedLocker и Hades, могут перемещаться в боковом направлении, что означает, что они могут получить доступ ко всем данным в сети, включая облачное хранилище. Вот почему резервное копирование в автономном режиме – лучший способ защитить важные данные от злоумышленников.
Поскольку сотрудники являются наиболее частой причиной нарушений, организациям следует вкладывать время и ресурсы в обучение персонала основным методам обеспечения безопасности.
В конечном счете, реализация модели безопасности Zero Trust, возможно, является лучшим способом обеспечить защиту организации от кибератак, в том числе со стороны Evil Corp и других хакерских групп, спонсируемых государством.