Привет, это команда «Шард». На сегодняшний день существует огромное количество вирусов-шифровальщиков, работающих по всему миру. В статье разберем наиболее известные из них.
Распространенность вирусов-шифровальщиков
По оценкам ряда аналитических компаний, в 2022 году общий ущерб от деятельности вирусов-вымогателей составил $457 млн. При этом общий ущерб от атак операторов-вирусов вымогателей в 2023 году сильно вырос и, по данным Chainalysis, составил $1,8 млрд.
Программы-вымогатели уже много лет являются большой угрозой для крупнейших компаний мира и отдельных пользователей. На сегодняшний день существует огромное количество вирусов-шифровальщиков, работающих по всему миру. Разберем наиболее известные из них.
Топ-10 вирусов-шифровальщиков
LockBit
Он был создан в 2019 году. В июне 2022 года группа разработчиков выпустила LockBit 3.0 (он же LockBit Black). Именно это вирус некоторые эксперты сейчас подозревают в организации атаки на китайский банк ICBC.
Этот вирус распространяется путем фишинговых сайтов, вложений электронной почты, смс-сообщений. После того как злоумышленник вручную заражает один хост, он может обнаружить другие доступные, подключить их к зараженному и с помощью скрипта распространить вирус. Далее действия совершаются и повторяются без какого-либо вмешательства человека. Вирус отключает защиту ПК, а также другие элементы инфраструктуры способные восстановить доступ к системе.
Только за третий квартал 2023 года известно о 252 атаках с помощью вируса LockBit. В среднем требуемая сумма выкупа составляет примерно 230 тыс. долларов.
Изучение одного из адресов сбора средств, используемых вирусом-вымогателем LockBit, позволило установить, что средства выводились в том числе на централизованные биржи, обменные сервисы, дарк-маркет Hydra, а также пропускались через миксеры. Со схемой связей можно ознакомиться по ссылке.
BlackCat/ALPHV
Этот вирус-шифровальщик был создан в 2021 году. BlackCat шифрует данные бизнес-пользователей и корпоративных сетей с помощью комбинации алгоритмов AES-128 и RSA-2048. Иногда BlackCat используют тактику множественного вымогательства, включая распределенные атаки типа DDoS.
В случаях, когда жертва отказывается выполнять требования о выкупе и связанные с ними угрозы, BlackCat публикует данные, украденные во время взлома, на своем сайте утечки данных.
Clop
Впервые этот вирус-шифровальщик был замечен в феврале 2019 года. Clop group фокусирует свои усилия в основном на крупных организациях.
Clop может распространяться с помощью вложений нежелательной почты, троянов, URL-адресов, взломов, незащищенных подключений по протоколу удаленного рабочего стола (RDP) и других методов. Для шифрования данных вирус использует уязвимости CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104, CVE-2022-31199 в устройстве передачи файлов Accellion (FTA).
Средняя сумма выкупа за расшифровку данных составляет около $1.7 млн. В общей сложности Clop получила более $500 млн выкупов в криптовалюте.
Black Basta
Этот вирус впервые появился в феврале 2022 года. Он существует в двух версиях, для Windows и Linux. Причем последняя нацелена, в первую очередь, на шифрование образов виртуальных машин ESXi. Black Basta использует тактику двойного вымогательства — не только шифрует файлы жертвы и требует выкуп за расшифровку, но также похищает данные и угрожает опубликовать их, если выкуп не будет уплачен.
Как только программа-вымогатель заражает систему, обои дисплея меняются на сообщение, в котором говорится, что сеть зашифрована группой Black Basta, а дальнейшие инструкции содержатся в файле readme.txt. Black Basta перезапускает систему в безопасном режиме с подключением к сети, и вскоре все файлы в системе шифруются и переименовываются с расширением «.basta».
Злоумышленники в среднем требуют со своих жертв выкуп порядка $2 млн, в том числе и в биткоинах.
Karakurt
Вирус создан в 2021 году. В отличие от традиционных атак программ-вымогателей, которые шифруют файлы и требуют плату за расшифровку, Karakurt использует другой подход, схожий с Black Basta. Вместо шифрования данных они извлекают конфиденциальную информацию у своих жертв и используют ее в качестве рычага для вымогательства.
При первоначальном взломе Karakurt использует украденные учетные данные, в частности, уязвимости в сервисах протокола удаленного рабочего стола (RDP) или виртуальной частной сети (VPN). Чтобы установить постоянное присутствие в сети жертвы и установить контроль над ее системами, Karakurt использует инструмент под названием Cobalt Strike. Чтобы облегчить разведку сети и идентификацию потенциальных целей, Karakurt использует Angry IP Scanner, который позволяет им сканировать сеть, выявлять уязвимые узлы и собирать информацию о потенциальных точках входа для дальнейшего использования.
После кражи данных злоумышленники требуют выкуп в размере от $25 тыс. до $13 млн в биткоинах.
WannaCry
Этот вирус был создан в мае 2017 года и стал одним из самых известных кибератак последних лет.
После заражения компьютера, вирус начинал шифровать файлы и добавлять к ним расширение .WCRY. Затем он показывал пользователю сообщение с требованием выкупа в размере $300 в биткоинах за расшифровку данных.
Изучение путей вывода средств позволило установить, что средства выводились на централизованные биржи Changelly и Poloniex. С графом связей можно ознакомиться здесь.
Через какое-то время злоумышленники подняли ценник за расшифровку уже до $600 в биткоинах. Если в течение трех дней денег не поступало, жертва получала сообщение о том, что ее файлы будут безвозвратно удалены.
Ущерб от WannaCry оценивается в миллиарды долларов. Вирус атаковал компьютерные системы более чем в 150 странах мира, затронув около 230 тысяч компьютеров.
Petya
Вирус известен также под названиями Trojan.Ransom.Petya, Petya Ransomware, PetrWrap, NotPetya, ExPetr. Впервые этот вирус был обнаружен в марте 2016 года. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»).
Petya шифрует Master File Table, или главную таблицу файлов. Эта таблица является еще одной скрытой частью жесткого диска компьютера: она содержит данные о том, как расположены все файлы и папки пользователя.
Изучение путей вывода средств указанных адресов позволило установить, что в большинстве случаев средства выводились через биржу BTC-E и HTX.
Хакеры требовали выкуп за расшифровку файлов около $300-400 в биткоинах, но даже после оплаты выкупа жертвы не получали свои данные обратно.
Ryuk
Вирус был создан в 2018 году. Когда Ryuk заражает компьютер, он начинает сканировать жесткий диск в поисках файлов, которые можно зашифровать. Затем он использует алгоритм шифрования AES-256 и добавляет расширение ".ryk" к каждому файлу.
После того, как все файлы на компьютере жертвы были зашифрованы, Ryuk создает файл с требованиями выкупа, который содержит инструкции о том, как связаться с злоумышленниками и оплатить выкуп. Чаще всего, требования выкупа составляют несколько тысяч долларов в биткоинах. Общий ущерб оценивается более чем в $640 тыс. Здесь можно увидеть один из адресов хакеров-владельцев вируса.
Если жертва отказывается платить выкуп, то злоумышленники могут начать удалять зашифрованные файлы или угрожать опубликовать конфиденциальную информацию.
GandCrab
Этот вирус был впервые обнаружен в январе 2018 года. Он работает как Ransomware-As-A-Service, позволяя любому желающему использовать эту программу, купив доступ к панели управления.
Его принцип действия заключается в следующем: жертва открывает зараженный файл, полученный через вредоносные веб-сайты, вложения в электронных письмах и уязвимости в удаленном доступе к компьютерам. Далее GandCrab собирает данные о пользователе, наличии антивирусных драйверов и останавливает все процессы, в которых задействованы файлы, которые он хочет зашифровать. После завершения шифрования GandCrab создает файлы с расширением «.GDCB» или «.CRAB» и добавляет их к зашифрованным файлам.
Жертвами этого вируса-шифровальщика стали более 50 000 пользователей по всему миру. По оценкам экспертов, за период с начала своей деятельности в январе 2018 года до момента своего закрытия в июне 2019 года, GandCrab заработал примерно $2 миллиарда на выкупах.
Bad Rabbit
Этот вирус-шифровальщик был обнаружен в 2017 году. Одной из особенностей Bad Rabbit является то, что он не использовал эксплойты. Распространение происходило через фальшивые обновления Adobe Flash. Когда пользователь пытается установить поддельный Flash Player, он вместо него получает вирус-вымогатель. Фальшивые обновления были подписаны сертификатами, имитирующими сертификаты Symantec.
Bad Rabbit начинает шифровать файлы на компьютере пользователя, используя алгоритмы AES-128-CBC и RSA-2048. За расшифровку файлов хакеры требовали заплатить 0,05 биткойна. На выкуп хакеры давали 48 часов — после истечения этого срока сумма увеличивалась.
Последние 5 упомянутых вирусов уже не осуществляют свою деятельность, однако на их место приходят все новые и новые вредоносные программы. LockBit, BlackCat, Clop, Black Basta, Karakurt и многие другие зловреды все еще заражают устройства по всему миру и зарабатывают на этом огромные суммы.
* * *
Если вы столкнулись с подозрительными адресами, то можете сообщить об этом на нашем сайте, чтобы уберечь других пользователей от рисков взаимодействия с ними и их владельцами.