Cryptowall 3.0: поворот эволюции

Некоторое время назад мы опубликовали пару статей о спаме и опасностях, которые он может представлять. В этой посте мы собираемся выделить одну конкретную угрозу, приходящую с и из лавин спама. Тема:

Некоторое время назад мы опубликовали пару статей о спаме и опасностях, которые он может представлять. В этой посте мы собираемся выделить одну конкретную угрозу, приходящую с и из лавин спама. Тема: Cryptowall 3.0.

Опять «крипто» что-то, тот самый вид угрозы, которая никуда не денется в ближайшее время просто потому, что программное вымогательство работает. В этом же кроется причина постоянного совершенствования программ-вымогателей и схем их распространения.

Зловолюция

Регулярные отчёты «Лаборатории Касперского» о динамике угроз и их тенденциях называются «эволюцией ИТ-угроз» не ради красного словца. ИТ-угрозы развиваются в соответствии с законами эволюции, то есть в процессе «естественного отбора». При этом кое-какой «разумный замысел» всё-таки кроется за всеми этими вредоносными штуками, с которыми приходится иметь дело вендорам и пользователям решений безопасности.

В самой эволюции есть один основной закон: выживает наиболее приспособленный. В любой момент условия окружающей среды могут меняться, и то, что способно адаптироваться, остаётся, а все прочие исчезают.

Однако «самый приспособленный» не означает «лучший» и, конечно же, не значит «очень сложный». У некоторые форм жизни целые органы атрофировались или даже полностью «исчезали», потому что без них эти организмы становились лучше — приспособленнее.

Нечто подобное происходит и с киберугрозами, хотя они не развиваются сами по себе, за их появление всегда ответственен человеческий разум.

Вышеупомянутый Cryptowall 3.0, появившийся некоторое время назад, недавно был обнаружен уже без некоторых функций, присутствовавших в прошлых версиях. Согласно отчёту Threatpost в начале июня, у него больше нет никаких встроенных эксплойтов. Любопытно, что он также лишился функции «проверки виртуализации». Возможность переключения между 32- и 64-разрядным процессом также, по-видимому, утрачена. Авторы первого отчёта — команда Cisco Talos — к своему удивлению обнаружили мёртвый код и «бесполезные» обращения к API в том образце, который угодил к ним в ловушку.

В остальном всё так же вреден

В других отношениях Cryptowall 3.0 — достойный и опасный отпрыск семейства вымогателей-шифраторов, столь же коварный и гнусный, как и все остальные.

Он держит связь при помощи анонимных сетей — в данном случае через сеть I2P, для того чтобы обеспечивать тайную коммуникацию между зараженными компьютерами и командными серверами. Расшифровка методом грубой силы – тоже не вариант: как давно уже принято у всех прочих *локеров, ключи слишком длинные.

А ответ на логичный вопрос «почему Cryptowall лишился эксплойтов» прост: он теперь полагается на большие наборы эксплойтов, такие как Angler.

«Такие комплекты, как Angler, Nuclear и в последнее время Hanjuan, активно вбирали в себя эксплойты Flash, с большим успехом и ещё большей выгодой избавляясь от признаков мошеннических вредоносных программ и шифраторов-вымогателей», — сообщает Threatpost и цитирует Cisco, которая заявила: «Отсутствие каких-либо эксплойтов в дроппере, по-видимому, указывает на то, что авторы вредоносных программ больше ориентируются на использовании наборов эксплойтов для вектора атаки, так как функциональность набора эксплойтов можно использовать для получения привилегий в системе». Без таких атак эскалации все попытки проникновения, скорее всего, были бы безуспешны — они необходимы для отключения функций безопасности в системе-мишени.

Похоже на разделение труда, правда? Одни выстроили криминальную сеть распространения для поставки вредоносных программ и эксплойтов, другие сосредоточились на разработке ещё более сложных видов вредоносов, просто взяв средства распространения в лизинг для рассылки своих творений. Взаимовыгодный бизнес…

#ГониБабки

Деньги – это, ради чего существует большинство нынешних киберугроз. С программами-вымогателями преступники действительно попали в точку. Люди часто готовы на всё, лишь бы восстановить утраченный доступ к своим драгоценным файлам, и осознание того, что данные не уничтожены, вынуждает многих жертв криптолокеров идти навстречу стремлениям преступников к сладкой жизни.

Но это необязательно. На самом деле единственный верный способ не стать жертвой вымогателей – хранить надлежащие «холодные» резервные копии всех важных файлов. Нынешнее поколение преступников-вымогателей использует зашифрованные коммуникации, и с их помощью они сделали практически невозможным своё обнаружение и идентификацию. Как было сказано ранее, в большинстве случаев расшифровка невозможна, хотя случаются и ошибки.

В то же время, начальный вектор заражения является наиболее уязвимой частью всего «процесса». Вы можете снизить риски, предотвратив возможность запуска эксплойтов при помощи соответствующих технических средств и держа под контролем популярные и уязвимые программы. Важно также обучать своих сотрудников, рассказывать им о фишинге и других угрозах. Всё это позволит не пропустить в вашу инфраструктуру вымогателей любого сорта.

Вышеупомянутые наборы могут быть нашпигованы новыми и едва известными эксплойтами (даже нулевого дня), но при верном подходе к безопасности неотразимых нападений не бывает.

Прямое включение из «Черного ящика»: каково расследовать киберпреступления в ИНТЕРПОЛе

Виталий Камлюк родился 31 год назад в Беларуси. Около трети своей жизни – более чем 10 лет – Виталий работает специалистом по киберугрозам в «Лаборатории Касперского». С конца 2014 года

Советы
Подпишитесь на нашу еженедельную рассылку
  • For all other countries