Когда читаешь новости из мира невидимой войны интернет-вымогателей с владельцами материальных ценностей, удивляешься прогрессу первых и традиционной волатильности вторых, колеблющихся в своих настроениях от полной апатии до вежливого безразличия к собственной безопасности. Сама схема вымогания сводится к трем простым способам. Первый способ нам неинтересен, так как он заключается в мольбах от условно раненого/больного/похищенного (и т.д.), направленных к пользователю интернета. Между двумя людьми происходит точно такой же процесс, как на улице или около станции метро (давно не видел, но, может, где-то и осталось), т.е. мошенник давит на жалость и получает «милостыню». Другие два способа нам особенно интересны, так как напрямую связаны с ПО наших любимых смартфонов, планшетов, ноутбуков и настольных компьютеров. Например, вы опрометчиво храните на персональном устройстве номер своего банковского счета и пароль для мобильного банка. Для получения ваших денежных средств мошеннику необходимо заразить ваше устройство вирусом того или иного рода, дающим доступ к файловой системе и права для отсылки полученной информации по сети Интернет в бандитское логово. Для внедрения вируса используются разные методы.
В одном случае заражение устройства происходит через пиратское ПО (тот же «Фотошоп» или новая игра, скачанные с торрент-трекеров), в другом на вашу электронную почту приходит письмо от «доверенного источника» (например, от банка, в котором говорится о том, что вы что-нибудь выиграли), очень похожее на настоящее. Такие письма обязательно содержат вложения в виде документов, архивов, страничек якобы PDF и тому подобного. Важно запомнить главное – не открывать вложения, а лучше вообще сразу удалять подозрительное письмо целиком. Третий способ, пожалуй, самый рискованный для мошенника, хотя и самый примитивный. Речь идет о вымогательстве после того, как вирус заблокировал рабочий стол ноутбука, командную строку или даже перенес все данные с устройства на воровской сервер, удалив первоисточники. Этот способ и получил в последние годы максимальное развитие, которое имело в своей основе главный стимулятор роста – появление криптовалюты, перемещение которой очень сложно отследить и которая не затрагивается бдительным оком банковских служб безопасности. Далее по порядку представлена моя версия эволюции вымогателей, с которой вы можете быть не согласны, но на то и существует обсуждение ниже.
Первые эксплойты
Первые баннеры-вымогатели появились в конце 1990-х, во времена, когда интернет был еще предметом роскоши и продавался «по талонам» (DSL-подключение происходило на фиксированное время, распространение реализовали в виде продаж пластиковых карт с кодом), а счастливые его владельцы гордились скоростями около 64-128 Кбит/с. Отсутствие интернета не мешало мошенникам. В качестве орудий преступления использовались мобильная связь (SMS) и артистизм. Потенциальным жертвам бесплатно раздавали вирус на дискетах под видом «Информации о СПИДе» от имени выдуманной международной организации, в ходе «рекламной кампании» какой-нибудь парфюмерии и так далее. Разносчики программного вируса встречались на питерской «Юноне», на московской «Горбушке», в электричках и метро. Умные люди брали дискеты с удовольствием и, не читая, форматировали их, это была ценная вещь в те времена. Неопытные пользователи вставляли дискету в дисковод, открывали содержимое и видели некую программу под названием «Узнай о СПИДе все», «Скидки на помаду» или «Худей вместе с нами», после установки которой и первой перезагрузки ПК появлялся баннер-вымогатель.
В чем-то мошенники были правы, похудение вполне могло последовать, ведь в конце 90-х на 500 рублей можно было прожить неделю. Тем не менее, это были самые первые эксплойты в истории, поставленные на пользу криминалитету.
Trojan.Winlock и Co
Первые вирусы-блокираторы операционной системы породили множество клонов, каждый из которых развивался по своему пути, все дальше отходя от родителей. Неизменным осталось только одно – стремление заблокировать систему и сообщить пользователю, куда и сколько ему платить для «разблокировки». Вирусы стали распространяться при помощи сети Интернет, а массовое их скопление встречалось на сайтах «для взрослых», видимо, из психологических соображений. Жертву проще убедить заплатить, если она сама чувствует себя виноватой. Механизм внедрения вируса не изменился, пользователь по-прежнему должен был сам скачать и установить некую программу, а вот заманивали совсем уж топорно, от «Вы 100500-й посетитель сайта, нажмите сюда, скачайте и запустите программу с паролем» до «Бесплатной премиальной подписки на месяц». Опытные пользователи вносили сайт в черный список браузера и шли себе дальше, неопытные в итоге получали все тот же баннер.
Эволюции подвергся не только код вируса, но и психология мошенников. Добавился еще один психологический прием, с помощью которого мошенники убеждали жертву в том, что вирус – это совсем не вирус. Что поделать, в первую очередь страдают самые наивные.
Действительно массовой угрозой трояны и их родственники стали зимой 2009-2010 года, когда буквально нельзя было зайти в Интернет и не «проинформироваться» или чего-нибудь не «выиграть». Переводить деньги мошенники предлагали революционным и относительно верифицированным для того времени методом – через SMS, отправленное на короткий номер. Наверняка вы помните тот бардак, когда практически все мобильные операторы сдавали в аренду короткие номера всем подряд, создавая благодатную почву для роста криминала. Говоря про экономику интернет-шаек, можно заметить один любопытный факт – аппетиты последних падали год от года. Причины этого явления очень просты и заключаются в росте поголовья, простите, количества пользователей интернета. Вымогатели, похоже, решили брать меньше, но чаще, чем реже, но больше. Сумма откупных варьировалась от 20 до 300 рублей. Более того, самые первые версии трояна самоликвидировались с устройства, если пользователь был неактивен несколько дней. Из-за опаски преступников быть пойманными, конечно же. В современных версиях трояна механизма самоликвидации нет, он пропал из-за появления безопасного для мошенников канала перевода средств в виде транзакций криптовалюты.
Ярким примером современного вредоносного ПО является небезызвестный троян Petya, в распространении которого Госдеп США пытался обвинить РФ (всю). «Петя» предпочитает биткоины, что бесконечно усложняет его поимку. Другие действия трояна также невольно заслуживают уважения, «Петя» переписывал и шифровал данные MBR (загрузочный сектор), шифровал все файлы на устройстве. Последняя версия Petya от 2017 года (с названием NotPetya), делает то же самое, но жестче, даже после выкупа троян удаляет все файлы с компьютера. Так что лучше заранее приготовить загрузочную флешку с операционной системой и ПО для восстановления данных либо хранить важную информацию на внешнем HDD/SSD. Друзья, напишите в комментариях, что должно было произойти с человеком, чтобы он так возненавидел всех остальных? Может быть, его изнасиловали некрасивые женщины? Или у него наступила последняя стадия маниакально-депрессивного психоза?
Деятельность вирусов-вымогателей на ПК и смартфонах принципиально различается только одним – в смартфоне есть сим-карта, с помощью которой вирус может пополнять чужие кошельки более быстро и эффективно, часто даже незаметно для владельца. Большинство мошеннических схем реализуются в два этапа, если исключить вариант с нажиманием на ссылки в теле ненадежного сайта. На первом этапе скачивается и запускается приложение (обычно это подделка под популярное приложение, например, игру), которое убеждает вас пройти по ссылке:
На втором этапе скачивается и запускается сам вирус. Изображение выше взято из отличного гайда российского подразделения Samsung, с которым рекомендую ознакомиться всем интересующимся.
Как бы то ни было, эпоха троянов подходит к своему завершению, благодаря совместным усилиям поисковых систем и авторов операционных систем, но на горизонте появилась новая угроза.
RaaS
До различного рода вымогателей наконец-то дошла одна простая мысль, которая заключается в несложном уравнении. С одной стороны этого уравнения стоит вымогатель (он же автор вредоносного кода), а с другой стороны – от 2 лет лишения свободы до пожизненного заключения за какие-нибудь жалкие украденные по сети 2 рубля (в зависимости от местной юрисдикции). У этого уравнения две «проблемы»: низкие доходы и риск для самого хакера быть пойманным. «Проблему» низких доходов криминалитет решил переходом от автоматической рассылки вирусов (в письмах и ПО) к атаке на конкретное физическое или юридическое лицо. «Проблема» безопасности авторов кода была решена абсолютно дичайшим способом, заставляющим вспомнить истории об альтернативном будущем человечества в стиле киберпанк. Программы-вымогатели стали предлагать в своего рода аренду всем желающим, а в исключительных случаях с потенциально большим барышом – только мошенникам с положительной историей в преступном мире и обязательной технической подготовкой. Вы не очитались, начиная с 2020 года новый тип преступной деятельности, который можно назвать «взлом по подписке» или «взлом за процент», приносит аффилированным лицам все больший доход.
Так, только в 2022 году ущерб от целевых атак на компании составил десятки миллионов долларов. В эту статистику не вошла прибыль от выплат отступных, которые производились частными лицами с действительно грязными наклонностями, наверное, эту сумму следует удвоить или утроить. Это действительно сложно вообразить, но в Даркнете появились сайты, играющие роль «центральных офисов», в которых может зарегистрироваться любой желающий стать хакером, потом открыть свой дочерний офис и перепродавать инструменты взлома (официальное название в базе данных Интерпола — «RaaS kits») дальше, заканчивая исполнителями. Вопрос безопасности «центрального офиса» обеспечивается хранением всей контактной информации «младшего офиса», включая персональные данные «директора» этого «младшего офиса». Если киберполицейский попробует размотать этот клубок, то натолкнется на полное нежелание делиться информацией младшего звена, которое предпочтет сесть в тюрьму на 10 лет, но не допустить получения полицией от «центрального офиса» всего досье на свои грешки и сесть уже на 20 лет, а то и пожизненно. Да, сейчас, чтобы стать членом мафии, не обязательно на камеру убивать невинного из ржавого револьвера, но сути это не меняет, круговая порука действует и здесь.
Мир в очередной раз изменился, и криминальным «хакером» может стать почти любой негодяй независимо от навыков и образования. Это пугает.
Заключение
Некоторые имена крупных RaaS-банд (они же «центральные офисы» с общим числом «сотрудников» от 100 человек и выше) уже известны, например, LockBit, BlackBasta и AvosLocker, но это не помогает их поймать и посадить. И, похоже, никто не понимает, как это можно сделать. В этой истории радует немногое – целью преступления вряд ли станет отдельно взятая среднестатистическая семья, а компании могут застраховаться, если они ведут честный бизнес.
Преступное сообщество в Интернете эволюционирует вслед за социальной эволюцией остального общества. Оголтелое вымогательство превращается в своего рода бизнес, получающий идеологию и виды отношений «смежников», принятые во внешнем мире. Дойдет ли когда-нибудь до того, что один мошенник будет давать другому на подпись «акт о проделанных работах» или расширенную гарантию? Право, доктору Мориарти было бы интересно жить в наше время, осталось только воспитать достаточное количество Грегов Лестрейдов. А до тех пор остается уповать на здравый смысл и программы-антивирусы, которые априори начинают бороться с новым вирусом только после того, как тот заразил количество устройств, достаточное для некоего «общественного резонанса».
>>> "А до тех пор остается уповать на здравый смысл и программы-антивирусы, которые априори начинают бороться с новым вирусом только после того, как тот заразил количество устройств, достаточное для некоего «общественного резонанса»." Есть способ лучше — не пользоваться дырявыми Виндой и Андроидом. Но такие советы здесь не любят и минусуют, хотя, вероятно, это просто автоматически действуют вирусы-минусаторы с зараженных устройств. То есть это такая трехступенчатая схема, сначала, заминусовывая правдивые сообщения о нормальной технике Эппл в комментах, заставляют жертву купить смартфон на Андроиде или комп на Винде, потом фейковое приложение, потом вирус, как описано выше.
Если RaaS работает так как вы описали, то раскрыть полную информацию просто. От работы сотрудника под прикрытием, до сделки со следственными органами. Когда раскрывший полную информацию не только не получит 20 вместо 10, а и вовсе отделается всего парой лет.Значит клубок не настолько просто запутан. Тогда в чем суть их неуязвимости?
GrishaTav_SE, в случае тех же шифровальщиков ОС вообще второстепенный фактор. Если пользователь имеет доступ к файлам (очевидно, что домашний юзер имеет доступ к своим же файлам, иначе нахрена б ему они? А для корпоративных сетей работник имеет доступ еще и к каким-то общим файлам, в рамках своих должностных обязанностей), то любая программа, запущенная от него, тоже имеет доступ к этим самым файлам.
И этой программой может быть код на условном php. В целом, создатели jscript, php и прочих отлично понимают, что это уязвимость, но косяки в их защите кода бывают
Иван Петров, Ну то есть на Маке надо этот вирус самому скачать и запустить с админским паролем?
GrishaTav_SE, вы чтобы файл открыть на компьюетре, запускаете условный ворд с админским паролем? нет
юзер УЖЕ имеет доступ к файлам. И, соответственно, все, что он запустит, доступ к этим файлам имеет
Иван Петров, Ну то есть на Маке уже предварительно загружен рассадник для макровирусов — Ворд и Эксель от печально известной Майкрософт? А зачем?
GrishaTav_SE, ворд можете использовать как вирус вы (например, открыть документ, нажать "выделить все", "вырезать", "сохранить")
только легитимный ворд отличается тем, что он делает только то, что вы попросили. Вы попросили открыть один файл — он открыл. Вы захотели его необратимо испортить — он испортил. Другая программа, созданная недобрыми людьми, могла бы вместо это открыть все доступные файлы. И программа эта не должна называться Ворд. Для этого достаточно обычного скрипта. А среда для запуска таких скриптов — браузер
опять же, возвращаясь к легитимным приложениям — онлайн-офисы (гуглдокс и т.д.) — это пример приложений, которые правят ваши файлы
Я писал тут уже как-то… Видеографы-параноики имеют отдельный комп с ломанными программами (мы же их уже не осуждаем, да?) не подключенный даже к интернету. Так же с телефонами: есть смартфон для ломаного софта со всякой фигнёй и интересными подписками в телеге, и есть чистенький для оплаты и предъявления сотрудникам полиции или пограничной службы. Тащемта для всякого нехорошего: андроид и виндовс, а для честных дел: айфон с макбуком. Почему-то это всега так )))
Иван Петров, Надо будет дома проверить настройки безопасности, но, думаю, не такие же они дураки, как Майкрософты, чтобы по умолчанию разрешать доступ к локальным файлам из браузера.
GrishaTav_SE, дык я ж пишу: создатели php, js и прочих — не дураки, но уязвимости бывают. флеш вот похоронили по той причине (проще было закопать, чем законопатить дырки)
справделивости ради, оно бывает и в обратную сторону (получить с сервера содержимое того же /etc/passwd)
в общем, обновления безопасности — не хрен собачий 🙂 ставить таки надо
Иван Петров, Как раз создатели php и js — дураки, думающие о безопасности в последнюю очередь. А уж те, кто на этих языках пишут — вообще конечные с точки зрения понимания безопасности. И с флешом боролась именно Apple, а Майкрософт, наоборот, старательно создавал питательную среду для всех этих вирусов.
GrishaTav_SE, О, свидетель Apple активизировался! То, что "яблочная" среда контролируется только самой Apple не делает её абсолютно безопасной. Это как со съёмным жилъём: вы ничего не можете поменять в нём, но владелец может хоть всю мебель вынести без вашего участия.
"Например, в 2012 году около 600 000 компьютеров Mac были заражены троянским вирусом. Это произошло из-за недосмотра в программном обеспечении Java, которое было доступно для компьютеров Apple в то время, что привело к уязвимости, которая сделала возможным кибератаку на Mac. Этот инцидент застал многих, кто ранее считал, что Mac невосприимчивы к вирусам, врасплох и заставил переосмыслить свое отношение к технике Apple."
"В Apple придают исключительное значение коду блокировки экрана. Зная только и исключительно код блокировки, с устройством и данными пользователя можно проделать решительно всё: подключить к новому компьютеру, сбросить пароль от резервной копии, сбросить и изменить пароль от учетной записи Apple ID, сменить средства двухфакторной аутентификации, отвязать телефон от сервиса Find My iPhone и снять блокировку iCloud. В данном случае в Apple сложили все до единого яйца в одну корзину; в качестве единственной защиты выступает код блокировки, только код блокировки и ничего, кроме кода блокировки экрана."
izzzgoy, Посвежее данных нет, а то уже десять лет прошло, многие забыли? А вот насчет Винды сомнений нет, и в 2012, и в 1992, и в 2222 году минимум 600000 компьютеров были заражены, заражены сейчас и будут заражены всеми возможными вирусами.
RaaS — неплохо бы расшифровать
Филипп Мастяев, Первая строчка в гугле — Ransomware-as-a-Service
"DSL-подключение происходило на фиксированное время" — что это за (пардон) ебанина?
Constantin Baranoff
Constantin Baranoff, Вебплас карты были от одного часа интернета. Могли бы и повежливее.
Alevandr.Noskov, Уважаемый автор, погуглите, пожалуйста, отличие DSL от диалапа.
GrishaTav_SE, На фоне страшной подружки все красавицы.