Рейтинг инвестиционных инструментов – Все инвестиции в одном рейтинге   
Воскресенье, 19 ноября
Медиа партнеры и спонсоры
           

Кибервымогательство

Кибервымогательство

8 августа, 2017«BIS Journal» № 3(26)/2017. Ransomware («ransom» – выкуп + «software» – программное обеспечение) – вирус-вымогатель, вредоносное программное обеспечение, требующее выкуп за возврат доступа к данным жертвы, – похоже, имеет все шансы поработить компьютерных пользователей

Майская массированная атака червя WannaCry, поразившая сотни частных и государственных компаний, привлекла внимание мировых масс-медиа к ransomware-вредоносам. Тема в тренде и интересна теперь не только специалистам ИБ. Как известно, червь WannaCry за неполные две недели поразил более 300 тысяч компьютеров по всему миру. Суммарный ущерб в мировом масштабе оценивается в 1 млрд. долларов. Для распространения была использована закрытая еще в марте уязвимость EternalBlue и бэкдор DoublePulsar.

Стабильный рост в данном криминальном сегменте наблюдался давно, как минимум на протяжении последних двух лет. Последняя массовая атака, выполненная на весьма качественном уровне, означает, что рост продолжится и дальше.

Основой для роста ransomware-сектора киберпреступности стали два фактора – развитие анонимных систем онлайн-платежей (в особенности bitcoin) и новая ступень организации киберпреступности – децентрализация и предоставление вредоносного ПО как сервиса (RaaS).

Основная цель преступников остается прежней – максимальная нажива, схема же, в сравнении с привычными «Локерами», слегка меняется.

Вредоносная программа получает доступ к данным своей жертвы, а затем шифрует их. Далее с помощью этой же программы или другим способом злоумышленник предлагает владельцу данных приобрести инструмент для расшифрования за плату, которую необходимо перевести по указанному адресу. Шифрование без возможности восстановления при этом равноценно потере данных.

Принципиальный экономический момент состоит в том, что инструмент восстановления зашифрованных данных для владельца дешевле, чем стоимость потери этих данных.

Экономика преступления


Большинством хакеров движет именно жадность, стремление обогатиться, а вовсе не злоба или идеологические мотивы. По всей видимости, при массовом употреблении этот вид преступлений экономически гораздо более привлекателен, чем продажа украденной у кого-то информации.

Зачем сбывать краденую информацию по сниженным ценам в условиях конкуренции между хакерами? Вымогательство проще и, похоже, надежнее.

Каждая конкретная жертва имеет свою личную границу цены, которую она готова заплатить за восстановление своих данных и нормальное продолжение своей деятельности. Хакеру, в свою очередь, надо угадать эту цену.

Попробуем встать на место хакера. Предположим, что у него есть средства обхода защиты средств безопасности жертвы. Получив доступ, он может украсть критическую для жертвы информацию и постараться потом ее кому-то продать. Эта операция обладает сравнительно низкой доходностью в силу высокой конкуренции между хакерами. Кроме того, хакер может безвозвратно уничтожить эту информацию.

Альтернативный подход состоит в следующем: зашифровать эти данные и потребовать выкуп. Моральная ответственность хакера при таком преступлении невелика. Никто не умрет, никто не потеряет свои сбережения. И даже информация не крадется и не разглашается. Как только осуществляется перевод денег из рук в руки, жертва восстанавливает свои данные. Очень рациональная стратегия: «заплатите, получите ключ для восстановления и работайте дальше».

Ключевым вопросом является цена, при которой жертва соглашается заплатить и не сообщать в правоохранительные органы. Для определения стоимости выкупа могут быть использованы предположения о роде деятельности жертвы, либо конкретная информация о жертве, собранная вредоносной программой. Например, при проведении целевой атаки по списку адресов, хакер может заранее предположить потенциальную важность данных. Список адресатов может быть сформирован по закрытой (утекшие базы, взломанные сайты и т.д.) либо открытой информации (социальные сети, сайты поиска работы).

По данным отчета Symantec “Ransomware and Business 2016”, в 2016 году было обнаружено более 100 новых семейств ransomware-программ, при этом средний размер выкупа, запрашиваемого программами, составил 679$ по сравнению с 294$ в 2015 году.

Кнут и пряник. «приведи друга!»


Кроме цены для жертвы также немаловажным может быть риск разглашения информации. Итак, «кнут» – это угроза удаления и/или разглашения информации.

Может существовать и своеобразный «пряник». Например, ransomware-программа Popcorn Time в своем требовании выкупа объясняет действия хакера тяжелым положением «сирийских студентов», вынужденных таким способом собирать пожертвования.

Чтобы пользователь был посговорчивей, используются и классические средства вирусописателей: удаление части данных по таймеру, сообщения о якобы незаконных действиях (со ссылками на статьи УК) и иные трюки. Например, упомянутая выше ransomware-программа Popcorn Time в числе прочего предлагает пользователю вместо платежа разослать специально подготовленные ссылки своим друзьям. В случае, если хотя бы двое из них заплатят, пользователь получит ключ расшифрования бесплатно.

Если же пользователь оказался несговорчивым и предпочел понести потери информации вместо потери денег, то у хакера может иметься инструмент анализа результативности кампании, позволяющий скорректировать работу ПО. Так, по данным отчета McAfee Labs “Understanding Ransomware and Strategies to Defeat it”, некоторые ransomware-программы, предоставляемые в качестве сервиса, и, таким образом, доступные даже новичкам, имеют в комплекте инструменты оценки доходности.

Пример из жизни


Несмотря на некоторую сложность системного вредоносного ПО, практическая его реализация не представляет особых проблем для программиста средней руки или даже студента.

Например, не так давно один наш коллега после открытия "левого" письма в электронной почте столкнулся с вымогателем Ransom: Win32/Simlosap.A (другие названия: Trojan.Encoder.567; Win32/Filecoder.CQ). Анализ кода зловреда показал, что распространение трояна происходит в упакованном виде. Использовался самодельный упаковщик, написанный на Visual Basic. Сам ransomware-вымогатель был разработан с использованием компилятора Delphi 6.0-7.0. Для реализации основной задачи – шифрования троян применяет трехступенчатое шифрование RSA (768 бит), которое также было реализовано на Delphi. Для функционала работы с многоразрядной арифметикой привлекались сторонние библиотеки.

Шифрование файла устроено следующим образом. Первые 30 000 байт содержимого шифруются сложением по модулю 256 с гаммой, для генерации которой используется алгоритм хеширования MD5. Если длина содержимого больше 30 000 байт, в нем на случайных позициях находятся три блока длиной 1024 байт, которые шифруются алгоритмом RSA на сгенерированном в начале работы открытом ключе. Формируется определенная служебная информация, которая записывается в конец зашифрованного файла.

 Выводы и перспективы


Как известно, даже идеально построенная система ИБ предприятия, к сожалению, не гарантирует 100% безопасности. Что уж говорить о рядовых пользователях, которые в большинстве случаев не имеют даже актуального антивирусного софта.

Если шифрование в коде ransomware-программы организовано правильно, то дешифрование данных оказывается крайне сложным и требует анализа кода и вскрытия алгоритма. Единственным надежным средством обезопасить данные от работы ransomware-вирусов остается грамотно построенное резервное копирование.

Можно прогнозировать бурный рост преступлений с использованием Ransomware, поскольку это и в самом деле весьма удобный и доходный способ криминального обогащения.

Мельников Сергей

заместитель генерального директора, кандидат физико-математических наук (ООО «Лингвистические и информационные технологии»)

Пальцев Александр

IT Security Manager at Savoy Development Ltd (The Republic of Seychelles)

 


Ссылка на источник  

Самые популярные инвест инструменты 2017 годаСамые популярные инвест инструменты 2017 года
Топ 10 инвестиций
CEO Forex Awards 2017: Мы должны двигаться «в ногу» с рынкомCEO Forex Awards 2017: Мы должны двигаться «в ногу» с рынком
Инвестиционный взгляд эксперта
З причины, по которым NEM может обойти биткоинЗ причины, по которым NEM может обойти биткоин
Финансовые прогнозы и аналитика
Рынок криптовалют растет на зыбкой почвеРынок криптовалют растет на зыбкой почве
Инвестиционный взгляд эксперта
Самые перспективные акции на 2018 год Самые перспективные акции на 2018 год
Финансовые прогнозы и аналитика
«Криптовалюты выживут, потому что нельзя убить идеи»«Криптовалюты выживут, потому что нельзя убить идеи»
Инвестиционный взгляд эксперта
Раскол биткоина: инструкция к SegWit2XРаскол биткоина: инструкция к SegWit2X
Финансовые прогнозы и аналитика
ТОП 10 инвестиций октября 2017ТОП 10 инвестиций октября 2017
Топ 10 инвестиций
Обзор инвестиционных идей октября 2017 г.Обзор инвестиционных идей октября 2017 г.
Топ 10 инвестиций
Как инвестировать в блокчейнКак инвестировать в блокчейн
Финансовые статьи

Новости инвестиций
Форекс
Биткоин
Акции
Наличные деньги
Банковские депозиты
Драгоценные металлы
Облигации
Недвижимость
ПАММ счета
Венчурные инвестиции
Накопительные программы
ПИФы
Структурные ноты
Бинарные опционы
Ставки на спорт
Доверительное управление
Искусство, антиквариат
Индивидуальный инвестиционный счет (ИИС)
Хедж-фонды
Деривативы
Нефть, газ, сырье
Автомобили, яхты, самолеты
Драгоценные камни
Металлы
Фьючерсы на индексы
Сельхоз продукция
Образование
Шоу бизнес
Здоровье
Необычные инвестиции


Поделиться материалом: