Вирусная война proafery.ru

Вирусная война

29.01.2018 19:48 252 0 Интернет

Развитие информационных технологий породило новый вид мошенничества – кибермошенничество. Кибермошенничество имеет разные проявления – хищение данных, распространение вирусов, взлом компьютерных систем. 

Для реализации злоумышленных намерений создаются все новые и новые вредоносные программы. Независимые хакеры чаще всего атакуют кредитно-финансовые учреждения, намереваясь достать там деньги. 

Вирус требует деньги 

В 2017 году наибольший резонанс вызвали вирусы-вымогатели (вирусы-шифровальщики). Такие зловреды кодируют данные на жестком диске и требуют деньги (300–600 долларов, часто в биткоинах) за их декодировку.

Особая опасность вирусов-вымогателей связана с тем, что один зараженный компьютер инфицирует все машины, которые подключены к сети, и происходит это очень быстро. Компьютеры не только теряют работоспособность, их функции не так просто восстановить. Специалисты «Лаборатории Касперского» подсчитали, что в 2016 г. атаки с использованием подобного рода ВПО охватили 1,4 млн пользователей в разных точках мира. 

В 2016 г. для противодействия зловредам-кодировщикам при участии «Лаборатории Касперского» был запущен проект No More Ransom. Его сайт информирует о вирусах, шифрующих данные, особенностях их действия, а также предоставляет свободный доступ к четырем ведущим деcкрипторам. 

Программы-шифровальщики WannaCry и Petya 

12 мая 2017 г. на арену вышла программа-шифровальщик WannaCry (Хочу плакать). Позже стало понятно, что мошенники воспользовались прорехами в системе Windows. 

В России под удар попали МВД, Минздрав, Сбербанк, ряд крупных компаний. В Германии был атакован железнодорожный оператор Deutsche Bahn, в Великобритании – больницы. WannaCry орудовал в 150 странах мира, атаку пережили больше полумиллиона компьютеров. 302 жертвы отдали требуемую сумму денег. Взломщикам досталось около 116,5 тыс. долларов. 

В конце июня 2017 г. по принципу «шифрование–выкуп» «свирепствовал» вирус Petya. Это модифицированный вирус с аналогичным названием, впервые запущенный в 2016 г. Свои услуги по восстановлению данных он оценил в 300 долларов в криптовалюте.

 Вирус Petya вымогает биткоины

Злоумышленники пробовали сорвать куш у Роснефти, Башнефти. Но единственное, что им удалось сделать – на короткий срок заблокировать сайты этих компаний. А вот в ряд банков зловред все же проник. В банке «Хоум Кредит» он повредил систему проводки операций. 

Petya запустил свои щупальца и в другие страны. В Украине атаке подвергся Ощадбанк и ряд коммерческих банков. Перестали функционировать компьютеры главных офисов «Укрэнерго», ДТЭК, Кабмина. Вирус повредил табло в аэропорту Борисполь, вышел из строя официальный сайт воздушной гавани. На сайте «Укрпочты» стало невозможным отслеживать движение корреспонденции. Киевский метрополитен потерял возможность принимать безналичную оплату. 

Программа-шифровальщик пыталась внедриться в компьютерную сеть фирм в Дании, Великобритании, онлайн-структуры ряда известных транснациональных компаний. 

Позже вирус Petya для атак на финансовые организации использовала группа Cobalt, полагая, что благодаря этой уловке окажется вне подозрений. 

Почта с загрузчиками вредоносного программного обеспечения 

Типичный пример вируса, содержащего ВПО – вирус Buhtrap. Атаковал российские банки с конца 2015 – начала 2016 г. Мошенники камуфлировали свою рассылку под почту Банка России. При открытии письма запускалась программа, которая искала в истории браузеров определенные ссылки и при их наличии загружала из интернета и закрепляла в системе кредитной организации вредоносный Buhtrap. В ходе 13 успешных киберопераций было похищено 1,8 млрд рублей.

Банковский вирус Buhtrap 

В 2017 г. на финучреждения РФ часто (каждые 2–3 дня) нападал вирус Cobalt Strike – разработка кибергруппировки Cobalt. Сотрудники банков получали письма, ничем не отличающиеся от служебной или личной почты. Кликнув на вложенный файл, они впускали в свой «компьютерный дом» программу, позволяющую злоумышленникам проникать в информационную систему учреждения. 

Хакеры заинтересовались криптовалютой 

В конце 2017 г. российские эксперты по кибербезопасности заметили, что хакеры стали покушаться не на традиционные деньги, а на криптовалюты. 

Подобного рода переориентация легко объяснима. Криптоденьги без проблем меняются на настоящие деньги и обратно. В России эту работу обеспечивают больше тысячи обменных пунктов. Анонимность криптовалют удобна для взаиморасчетов между группировками разной специализации. Одни создают вирусы, другие их распространяют и т. п. Не последнюю роль играет отсутствие законодательного урегулирования в области цифровых валют. Что бы кто ни делал, ничто не противоречит закону.

 Мошенничество с криптовалютами

В 2017 г. хакеры, нападая на ICO – площадки, через которые привлекаются инвестиции, похитили 300 млн долларов из 3,5 млрд имеющихся. Превалировал метод социальной инженерии, в частности, фишинг (2 тысячи случаев). Уязвимость в сети Ethereum позволила украсть 30 млн долларов. Декабрьский взлом криптобиржи NiceHash принес злоумышленникам биткоинов на 68 млн рублей. На днях жертвой хакерской атаки стала одна из крупнейших японских бирж Coincheck. Ее участники потеряли токены криптовалюты NEM в размере 533 млн рублей. На другие виды криптовалют они не покушались. 

Наибольший интерес для взломщиков представляют личные кошельки и аккаунты на криптовалютных биржах. Замечены фейковые криптовалюты. 

В то же время у специалистов есть понимание, что у хакеров не пропадет интерес к финансам, размещенным в банках. Криптофантики для них – это дополнительные средства, привлекательные легким и быстрым способом добычи. 

Шапка-невидимка для вирусов 

В 2018 году, по прогнозам одного из топ-менеджеров Сбербанка Станислава Кузнецова (фото ниже), озвученным в ходе Давосского форума, финансовым организациям, в первую очередь - банкам, наибольших неприятностей следует ожидать от вирусов нового поколения. К таковым, в частности, принадлежат «спящие» вирусы. 

Специфика данных вредоносных программ состоит в том, что после внедрения в компьютерную сеть они переводятся в состояние анабиоза, а посему невидимы для собственников системы. Создатели либо распространители ВПО в то же время имеют возможность его дистанционно активировать. 

Хакеры, получив возможность управлять операционными системами учреждений, проводят повторную или отсроченную атаку в любой подходящий момент. Скрытость зловредов существенно повышает вероятность реализации преступного замысла, ибо никто не предпринимает никаких защитных мер.

 Сбербанк предупреждает о росте вирусной угрозы

Спящий режим, в частности, позволяет решить организационные вопросы, связанные непосредственно с кражей денег. Взломщикам, например, необходимо затаиться на то время, пока их подельники подойдут к банкоматам. 

За использованием подобного алгоритма работы в 2014 г. была замечена кибергруппировка Carbanak. В 2016 г. аналогичные техники применила Lazarus, в 2017 г. – Silence. Метод также популярен среди взломщиков, которых финансируют государственные структуры. 

Анабиотическое состояние вирусов может быть вынужденным. Хакерам, например, удалось проникнуть в локальную сеть, но они еще не осведомлены или слабо осведомлены в инфраструктуре банка. Чтобы разобраться с этим вопросом нужно время. Среди взломщиков могут отсутствовать специалисты, разбирающиеся в конкретной системе, или владеющие языком страны, на территории которой они орудуют. 

В марте 2016 г. группа Lazarus, внедрив вредоносное ПО в электронную инфраструктуру Центробанка Бангладеш, отложила его ограбление на время поисков человека, владеющего бенгальским языком. 

Перспективы «спящих» вирусов 

Высказанные Кузнецовым опасения разделяют ведущие специалисты Group–IB Сергей Никитин и «Лаборатории Касперского» Сергей Голованов. 

Обозначенные угрозы ориентируют финансовые учреждения на проведение соответствующих профилактических работ. Своевременное обновление софта должно сочетаться с постоянным мониторингом и регулярной проверкой безопасности. В противном случае велик риск того, что придется расстаться со своими финансовыми ресурсами. 

На территории РФ «спящие» вирусы уже попадались специалистам по киберзащите. Сбербанк даже разработал «противовирусные средства». Созданные им утилиты распространены среди других кредитных учреждений, их получил Центробанк. 

Артем Сычев, высокий представитель Банка России, ожидал массовой активации «спящих» вирусов в конце 2017 года, когда осуществляется самое большое количество платежей, вследствие чего другие виды работ отходят на второй план. Его предположения не сбылись, возможно, как раз из-за этого предупреждения. 

Для борьбы с вредоносным ПО 25 января сего года открыт Глобальный центр, действующий под патронатом Давосского Всемирного экономического форума. Эта площадка предоставляет возможности для анализа ситуации в сфере киберзащиты и обмена информацией. 

Дресс-код для Андрюши 

Буквально только что в лентах информационных агентств появилось сенсационное сообщение, распространённое неким анонимным хакером. По его словам, почти 850 тысяч смартфонов на операционной системе Android заражены спящим вирусом под названием Dress Code. Коварство этого троянца заключается в том, что он:

  1. Способен проникать на устройства под видом разных приложений, на первый взгляд не имеющих между собой ничего общего.
  2. С одинаковым успехом подбирает пароли к системам интернет-банкинга и различным веб-кошелькам (Paypal, Webmoney, Qiwi и т.д).
  3. Предполагает делегирование администраторских полномочий – разработчик ПО может передать (за плату или безвозмездно) программу другому лицу, которое пользуется вредоносным софтом для получения преступных доходов или распространяет его по цепочке. У каждого нового злоумышленника появляется персональная версия вируса, защищённая от использования посторонними. Подобного «лицензионного» интернет-мошенничества в мире, пожалуй, ещё не встречалось.

Вирус dress code заразил 850 тысяч смартфонов

Вирус Dress-code ввиду его многоликости крайне трудно выявить и нейтрализовать стандартными средствами защиты. В большинстве случаев приходится форматировать диск устройства, теряя всю информацию. Попытка скопировать данные чревата копированием самого вируса. В спящем состоянии он никак себя не проявляет, возможно лишь незначительное снижение быстродействия устройства.

В 2016 году специалисты Google (через закачки на Google Play заражается львиная доля смартфонов и планшетов) заявили, что они нашли метод борьбы с троянским конём, однако, как мы видим, преступники сделали этим конём новый неожиданный ход. По мнению ряда экспертов, высказанному сегодня в ходе обсуждения проблемы, число устройств, заражённых «Дресс-кодом», может достигать 4 миллионов, просто у большинства пользователей инфекция пока никак себя не проявляет.

Информационно-аналитический портал Proafery Ru внимательно следит за состоянием дел в сфере цифрового мошенничества и борьбы с ним.

Обсуждение
Гость

Ваш комментарий

Защита от автоматических сообщений