VNDirect зазнав атаки: наскільки небезпечна програма-вимагач?

Справа VNDirect та що робить програму-вимагач небезпечною?

24 березня 2024 року компанія VNDirect Securities у В'єтнамі стала черговою гарячою точкою на карті міжнародних атак програм-вимагачів. Ця атака не є поодиноким випадком.

Програми-вимагачі, тип шкідливого програмного забезпечення, призначеного для шифрування даних у системі жертви та вимоги викупу за їх розшифрування, стали однією з найпоширеніших та найнебезпечніших кіберзагроз у світі сьогодні. Зростаюча залежність від цифрових даних та інформаційних технологій у всіх сферах соціального життя робить організації та окремих осіб вразливими до цих атак.

Небезпека програм-вимагачів полягає не лише в їхній здатності шифрувати дані, але й у способі їх поширення та вимоги викупу, створюючи канал фінансових транзакцій, через який хакери можуть отримувати незаконний прибуток. Витонченість та непередбачуваність атак програм-вимагачів роблять їх однією з найбільших проблем, з якими стикається кібербезпека сьогодні.

Атака VNDirect є яскравим нагадуванням про важливість розуміння та запобігання програмам-вимагачам. Тільки розуміючи, як працює програма-вимагач і яку загрозу вона становить, ми можемо запровадити ефективні заходи захисту, від навчання користувачів, застосування технічних рішень до розробки комплексної стратегії запобігання для захисту критично важливих даних та інформаційних систем.

Як працює програма-вимагач

Програми-вимагачі, жахлива загроза у світі кібербезпеки, діють складно та багатогранно, спричиняючи серйозні наслідки для жертв. Щоб краще зрозуміти, як працюють програми-вимагачі, нам потрібно заглибитися в кожен етап процесу атаки.

Інфекція

Атака починається, коли програма-вимагач заражає систему. Існує кілька поширених способів потрапляння програми-вимагача в систему жертви, зокрема:

Фішингові електронні листи: підроблені електронні листи зі шкідливими вкладеннями або посиланнями на веб-сайти, що містять шкідливий код; використання вразливостей безпеки: використання вразливостей у неоновленому програмному забезпеченні для автоматичного встановлення програм-вимагачів без взаємодії з користувачем; шкідлива реклама: використання інтернет-реклами для розповсюдження шкідливого програмного забезпечення; завантаження зі шкідливих веб-сайтів: користувачі завантажують програмне забезпечення або контент з ненадійних веб-сайтів.

Шифрування

Після зараження програма-вимагач починає процес шифрування даних у системі жертви. Шифрування – це процес перетворення даних у формат, який неможливо прочитати без ключа розшифрування. Програма-вимагач часто використовує надійні алгоритми шифрування, що гарантує, що зашифровані дані неможливо відновити без спеціального ключа.

Вимога викупу

Після шифрування даних програма-вимагач відображає на екрані жертви повідомлення з вимогою викупу за розшифрування даних. Це повідомлення зазвичай містить інструкції щодо оплати (зазвичай через біткойн або інші криптовалюти, щоб приховати особу злочинця), а також термін оплати. Деякі версії програм-вимагачів також погрожують видалити дані або опублікувати їх, якщо викуп не буде сплачено.

Транзакції та розшифрування (чи ні)

Тоді жертва стикається зі складним рішенням: сплатити викуп і сподіватися повернути свої дані, або відмовитися та втратити їх назавжди. Однак оплата не гарантує, що дані будуть розшифровані. Насправді, вона може спонукати злочинців продовжувати свої дії.

Спосіб роботи програм-вимагачів демонструє не лише технічну складність, але й сумну реальність: готовність використовувати довірливість та невігластво користувачів. Це підкреслює важливість підвищення обізнаності та знань у сфері кібербезпеки, від розпізнавання фішингових електронних листів до підтримки сучасного програмного забезпечення безпеки. З огляду на постійно мінливу загрозу, таку як програми-вимагачі, навчання та профілактика важливіші, ніж будь-коли.

Поширені варіанти програм-вимагачів

У світі загроз програм-вимагачів, що постійно змінюються, деякі варіанти вирізняються своєю витонченістю, здатністю поширюватися та серйозним впливом, який вони мають на організації по всьому світу. Ось описи семи популярних варіантів та принципів їхньої роботи.

REvil (також відомий як Содінокібі)

Особливості: REvil — це варіант Ransomware-as-a-Service (RaaS), що дозволяє кіберзлочинцям «орендувати» його для здійснення власних атак. Це значно збільшує здатність програми-вимагача до поширення та кількість жертв.

Методи поширення: Розповсюдження через вразливості безпеки, фішингові електронні листи та інструменти віддалених атак. REvil також використовує методи атаки для автоматичного шифрування або крадіжки даних.

Рюк

Особливості: Ryuk в першу чергу націлений на великі організації, щоб максимізувати виплати викупу. Він має можливість налаштовуватися для кожної атаки, що ускладнює його виявлення та видалення.

Спосіб поширення: через фішингові електронні листи та мережі, заражені іншими шкідливими програмами, такими як Trickbot та Emotet, Ryuk поширює та шифрує мережеві дані.

Робінґуд

Особливості: Robinhood відомий своєю здатністю атакувати урядові системи та великі організації, використовуючи складну тактику шифрування для блокування файлів та вимоги великих викупів.

Спосіб поширення: Поширення через фішингові кампанії, а також використання вразливостей безпеки в програмному забезпеченні.

ДоппельПеймер

Особливості: DoppelPaymer — це окремий варіант програми-вимагача, здатний завдавати серйозної шкоди, шифруючи дані та погрожуючи розголошенням інформації, якщо викуп не буде сплачено.

Спосіб поширення: Поширюється за допомогою інструментів віддаленої атаки та фішингових електронних листів, особливо спрямований на вразливості в непатченому програмному забезпеченні.

ЗМІЯ (також відома як ЕКАНС)

Особливості: SNAKE розроблений для атаки на промислові системи керування (ІКС). Він не лише шифрує дані, але й може порушувати промислові процеси.

Спосіб поширення: через фішингові та експлойт-кампанії, з акцентом на таргетуванні конкретних промислових систем.

Фобос

Особливості: Phobos має багато спільного з Dharma, ще одним варіантом програми-вимагача, і часто використовується для атак на малий бізнес через RDP (протокол віддаленого робочого столу).

Спосіб поширення: переважно через відкритий або вразливий RDP, що дозволяє зловмисникам отримувати віддалений доступ та розгортати програму-вимагач.

LockBit

LockBit – це ще один популярний варіант програми-вимагача, який працює за моделлю Ransomware-as-a-Service (RaaS) і відомий своїми атаками на підприємства та урядові організації. LockBit здійснює свої атаки у три основні етапи: використання вразливостей, глибоке проникнення в систему та розгортання корисного навантаження шифрування.

Фаза 1 – Експлуатація: LockBit використовує вразливості в мережі за допомогою таких методів, як соціальна інженерія, наприклад, фішингові електронні листи або атаки методом перебору на інтрамережеві сервери та мережеві системи.

Фаза 2 – Інфільтрація: Після інфільтрації LockBit використовує інструмент «пост-експлуатації», щоб підвищити рівень доступу та підготувати систему до атаки шифрування.

Фаза 3 – Розгортання: LockBit розгортає зашифроване корисне навантаження на кожному доступному пристрої в мережі, шифруючи всі системні файли та залишаючи записку з вимогою викупу.

LockBit також використовує низку безкоштовних інструментів з відкритим кодом у процесі вторгнення, від мережевих сканерів до програмного забезпечення для віддаленого керування, для виконання мережевої розвідки, віддаленого доступу, крадіжки облікових даних та вилучення даних. У деяких випадках LockBit навіть погрожує розкрити особисті дані жертви, якщо вимоги викупу не будуть виконані.

Завдяки своїй складності та здатності до широкого поширення, LockBit являє собою одну з найбільших загроз у сучасному світі програм-вимагачів. Організаціям необхідно вжити комплексних заходів безпеки, щоб захистити себе від цієї програми-вимагача та її варіантів.

Дао Чунг Тхань

Урок 2: Від атаки VNDirect до стратегії боротьби з програмами-вимагачами