Что такое программа-вымогатель Blackcat и как от нее защититься?
Опубликовано: 2022-12-27Кибератака — это преднамеренная и злонамеренная попытка получить несанкционированный доступ к компьютерной системе или сети через существующие уязвимости. Это может быть сделано для кражи конфиденциальной информации и нарушения нормальной работы.
В последнее время программы-вымогатели стали основным инструментом кибератак среди киберпреступников. Программы-вымогатели обычно распространяются, среди прочего, через фишинговые электронные письма, загрузки с диска, пиратское программное обеспечение и протокол удаленного рабочего стола.
Как только компьютер заражен программой-вымогателем, программа-вымогатель шифрует важные файлы на компьютере. Затем хакеры требуют выкуп за восстановление зашифрованных данных.
Кибератаки могут поставить под угрозу национальную безопасность страны, парализовать работу ключевых секторов экономики и нанести огромный ущерб и серьезные финансовые потери. Именно это произошло с кибератакой программы-вымогателя WannaCry.
12 мая 2017 года программа-вымогатель под названием WannaCry, предположительно зародившаяся в Северной Корее, распространилась по всему миру и менее чем за два дня заразила более 200 000 компьютерных систем в более чем 150 странах. WannaCry нацелен на компьютерные системы, работающие под управлением операционной системы Windows. Он использовал уязвимость в протоколе блока сообщений сервера операционной системы.
Одной из крупнейших жертв атаки стала Национальная служба здравоохранения Соединенного Королевства (NHS). Было заражено более 70 000 их устройств, включая компьютеры, кинотеатры, диагностическое оборудование и томографы. Врачи не могли получить доступ к своим системам или записям пациентов, необходимым для обслуживания пациентов. Эта атака обошлась NHS почти в 100 миллионов долларов.
Вот как плохо может быть. Однако все может стать намного хуже, особенно с новыми и более опасными программами-вымогателями, такими как BlackCat, которые оставляют после себя путь, полный жертв.
Программа-вымогатель BlackCat
Программа-вымогатель BlackCat, которую разработчики называют ALPHV, представляет собой вредоносное программное обеспечение, которое при заражении системы извлекает и шифрует данные в уязвимой системе. Эксфильтрация включает в себя копирование и передачу данных, хранящихся в системе. Как только BlackCat эксфильтрует и зашифровывает важные данные, предъявляется требование о выкупе, подлежащем уплате в криптовалюте. Жертвы BlackCat должны заплатить требуемый выкуп, чтобы восстановить доступ к своим данным.
BlackCat — это не обычная программа-вымогатель. BlackCat была первой успешной программой-вымогателем, написанной на Rust, в отличие от других программ-вымогателей, которые обычно пишутся на C, C++, C#, Java или Python. Кроме того, BlackCat также была первым семейством программ-вымогателей, у которого был веб-сайт в чистой сети, где они сливают украденную информацию в результате своих атак.
Еще одно ключевое отличие от других программ-вымогателей заключается в том, что BlackCat работает как программа-вымогатель как услуга (RaaS). Raas — это бизнес-модель киберпреступности, при которой создатели программ-вымогателей арендуют или продают свои программы-вымогатели в качестве услуги другим лицам или группам.
В этой модели создатели программ-вымогателей предоставляют другим все необходимые инструменты и инфраструктуру для распространения и выполнения атак программ-вымогателей. Это в обмен на долю их прибыли, полученной от платежей программ-вымогателей.
Это объясняет, почему BlackCat в основном нацелен на организации и предприятия, поскольку они обычно более охотно платят выкуп, чем частные лица. Организации и предприятия также платят больший выкуп по сравнению с физическими лицами. Человеческое руководство и принятие решений в кибератаках известны как субъекты киберугроз (CTA).
Чтобы заставить жертв заплатить выкуп, BlackCat использует «метод тройного вымогательства». Это включает в себя копирование и передачу данных жертв и шифрование данных в их системах. Затем жертв просят заплатить выкуп за доступ к их зашифрованным данным. Невыполнение этого требования приводит к утечке их данных и/или к атакам типа «отказ в обслуживании» (DOS), запускаемым в их системах.
Наконец, с теми, кого затронет утечка данных, связываются и сообщают, что их данные будут раскрыты. Обычно это клиенты, сотрудники и другие аффилированные лица компании. Это делается для того, чтобы заставить организации-жертвы заплатить выкуп, чтобы избежать репутационных потерь и судебных исков в результате утечки данных.
Как работает программа-вымогатель BlackCat
Согласно экстренному предупреждению, опубликованному ФБР, программа-вымогатель BlackCat использует ранее скомпрометированные учетные данные пользователя для получения доступа к системам.
После успешного входа в систему BlackCat использует доступ, который у него есть, для компрометации учетных записей пользователей и администраторов, хранящихся в активном каталоге. Это позволяет ему использовать планировщик заданий Windows для настройки вредоносных объектов групповой политики (GPO), которые позволяют BlackCat развертывать свою программу-вымогатель для шифрования файлов в системе.
Во время атаки BlackCat сценарии PowerShell используются вместе с Cobalt Strike для отключения функций безопасности в сети жертвы. Затем BlackCat крадет данные жертв оттуда, где они хранятся, в том числе у облачных провайдеров. Как только это будет сделано, субъект киберугроз, направляющий атаку, развертывает программу-вымогатель BlackCat для шифрования данных в системе жертвы.
Затем жертвы получают записку с требованием выкупа, в которой сообщается, что их системы подверглись атаке, а важные файлы зашифрованы. Выкуп также содержит инструкции о том, как заплатить выкуп.
Почему BlackCat опаснее обычных программ-вымогателей?
BlackCat опаснее обычных программ-вымогателей по ряду причин:
На Русте написано
Rust — это быстрый, безопасный язык программирования, предлагающий повышенную производительность и эффективное управление памятью. Используя Rust, BlackCat получает все эти преимущества, что делает его очень сложной и эффективной программой-вымогателем с быстрым шифрованием. Это также затрудняет обратный инжиниринг BlackCat. Rust — это кроссплатформенный язык, который позволяет злоумышленникам легко настраивать BlackCat для работы с различными операционными системами, такими как Windows и Linux, расширяя круг потенциальных жертв.
Он использует бизнес-модель RaaS.
Использование BlackCat программ-вымогателей в качестве сервисной модели позволяет многим злоумышленникам развертывать сложные программы-вымогатели, не зная, как их создавать. BlackCat делает всю тяжелую работу для злоумышленников, которым просто нужно развернуть его в уязвимой системе. Это упрощает сложные атаки программ-вымогателей для злоумышленников, заинтересованных в использовании уязвимых систем.
Он предлагает огромные выплаты партнерам
Благодаря тому, что BlackCat использует модель Raas, создатели зарабатывают деньги, получая часть выкупа, выплачиваемого злоумышленникам, которые ее внедряют. В отличие от других семей Raas, которые берут до 30% выкупа злоумышленника, BlackCat позволяет злоумышленникам удерживать от 80% до 90% выкупа, который они делают. Это повышает привлекательность BlackCat для субъектов угроз, позволяя BlackCat получить больше партнеров, желающих использовать его в кибератаках.
У него есть общедоступный сайт утечки в чистой сети.
В отличие от других программ-вымогателей, которые сливают украденную информацию в темную сеть, BlackCat передает украденную информацию на веб-сайт, доступный в открытой сети. Путем открытой утечки украденных данных больше людей могут получить к ним доступ, что увеличивает последствия кибератаки и оказывает большее давление на жертв, чтобы они заплатили выкуп.
Язык программирования Rust сделал BlackCat очень эффективным средством атаки. Используя модель Raas и предлагая огромные выплаты, BlackCat обращается к большему количеству участников угроз, которые с большей вероятностью используют ее в атаках.
Цепочка заражения программами-вымогателями BlackCat
BlackCat получает первоначальный доступ к системе, используя скомпрометированные учетные данные или используя уязвимости Microsoft Exchange Server. Получив доступ к системе, злоумышленники отключают средства защиты системы, собирают информацию о сети жертвы и повышают свои привилегии.
Затем программа-вымогатель BlackCat перемещается по сети, получая доступ к как можно большему количеству систем. Это пригодится во время требования выкупа. Чем больше атакованных систем, тем больше вероятность того, что жертва заплатит выкуп.
Затем злоумышленники извлекают из системы данные, которые должны использоваться для вымогательства. После эксфильтрации важных данных начинается доставка полезной нагрузки BlackCat.
Злоумышленники доставляют BlackCat с помощью Rust. BlackCat сначала останавливает такие службы, как резервное копирование, антивирусные приложения, интернет-службы Windows и виртуальные машины. Как только это будет сделано, BlackCat шифрует файлы в системе и искажает фоновое изображение системы, заменяя его запиской о выкупе.
Защита от программ-вымогателей BlackCat
Хотя BlackCat оказался более опасным, чем другие известные ранее программы-вымогатели, организации могут защитить себя от программ-вымогателей несколькими способами:
Шифровать важные данные
Часть стратегии вымогательства Blackhat включает в себя угрозы утечки данных жертвы. Шифруя критически важные данные, организация добавляет к своим данным дополнительный уровень защиты, тем самым нанося вред методам вымогательства, используемым злоумышленниками BlackHat. Даже если он просочится, он не будет в удобочитаемом формате.
Регулярно обновлять системы
В ходе исследования, проведенного Microsoft, выяснилось, что в некоторых случаях BlackCat использовал непропатченные серверы обмена для получения доступа к системам организации. Компании-разработчики программного обеспечения регулярно выпускают обновления программного обеспечения для устранения уязвимостей и проблем безопасности, которые могли быть обнаружены в их системах. Чтобы быть в безопасности, устанавливайте исправления программного обеспечения, как только они станут доступны.
Резервное копирование данных в безопасное место
Организации должны уделять первоочередное внимание регулярному резервному копированию данных и хранению данных в отдельном и безопасном автономном месте. Это делается для того, чтобы даже в случае шифрования критически важных данных их можно было восстановить из существующих резервных копий.
Реализовать многофакторную аутентификацию
В дополнение к использованию надежных паролей в системе реализуйте многофакторную аутентификацию, которая требует нескольких учетных данных, прежде чем будет предоставлен доступ к системе. Это можно сделать, настроив систему на создание одноразового пароля, отправляемого на связанный номер телефона или адрес электронной почты, который требуется для доступа к системе.
Мониторинг активности в сети и файлов в системе
Организации должны постоянно отслеживать активность в своих сетях, чтобы как можно быстрее обнаруживать подозрительные действия в своих сетях и реагировать на них. Действия в сети также должны регистрироваться и проверяться экспертами по безопасности для выявления потенциальных угроз. Наконец, должны быть созданы системы для отслеживания того, как осуществляется доступ к файлам в системе, кто получает к ним доступ и как они используются.
Путем шифрования важных данных обеспечивается актуальность систем, регулярное резервное копирование данных, реализация многофакторной аутентификации и мониторинг активности в системе. Организации могут быть на шаг впереди и предотвращать атаки BlackCat.
Учебные ресурсы: программы-вымогатели
Чтобы узнать больше о кибератаках и о том, как защитить себя от атак таких программ-вымогателей, как BlackCat, мы рекомендуем пройти любой из этих курсов или прочитать книги, предложенные ниже:
№1. Обучение по вопросам безопасности
Это замечательный курс для всех, кто интересуется безопасностью в Интернете. Курс предлагает доктор Майкл Биокки, сертифицированный специалист по безопасности информационных систем (CISSP).
Курс охватывает фишинг, социальную инженерию, утечку данных, пароли, безопасный просмотр и персональные устройства, а также предлагает общие советы о том, как обеспечить безопасность в Интернете. Курс регулярно обновляется, и каждый, кто пользуется Интернетом, может извлечь из этого пользу.
№ 2. Обучение по вопросам безопасности, Интернет-безопасность для сотрудников
Этот курс предназначен для обычных пользователей Интернета и направлен на то, чтобы рассказать им об угрозах безопасности, о которых люди часто не подозревают, и о том, как защитить себя от угроз.
Курс, предлагаемый Роем Дэвисом, экспертом по информационной безопасности, сертифицированным CISSP, охватывает учет пользователей и устройств, фишинговые и другие вредоносные электронные письма, социальную инженерию, обработку данных, пароли и контрольные вопросы, безопасный просмотр, мобильные устройства и программы-вымогатели. По окончании курса вы получаете сертификат об окончании, которого достаточно для соблюдения политики регулирования данных на большинстве рабочих мест.
№3. Кибербезопасность: обучающий курс для начинающих
Это курс Udemy, предлагаемый Усманом Ашрафом из Logix Academy, стартапа по обучению и сертификации. Усман сертифицирован CISSP и имеет докторскую степень. в компьютерных сетях и большой промышленный и преподавательский опыт.
Этот курс предлагает учащимся глубокое погружение в социальную инженерию, пароли, безопасное удаление данных, виртуальные частные сети (VPN), вредоносные программы, программы-вымогатели и советы по безопасному просмотру, а также объясняет, как файлы cookie используются для отслеживания людей. Курс не технический.
№ 4. Выявление программы-вымогателя
Это книга Нихада А. Хассана, независимого консультанта по информационной безопасности и эксперта в области кибербезопасности и цифровой криминалистики. В книге рассказывается, как смягчить и справляться с атаками программ-вымогателей, а также подробно рассказывается о различных типах существующих программ-вымогателей, стратегиях их распространения и методах восстановления.
| Предварительный просмотр | Товар | Рейтинг | Цена | |
|---|---|---|---|---|
 | Выявление программ-вымогателей: руководство для начинающих по защите и восстановлению после атак программ-вымогателей | 23,74 доллара США | Купить на Амазоне |
В книге также описаны шаги, которые необходимо предпринять в случае заражения программами-вымогателями. Это включает в себя то, как платить выкуп, как выполнять резервное копирование и восстанавливать поврежденные файлы, а также как искать в Интернете инструменты дешифрования для расшифровки зараженных файлов. В нем также рассказывается, как организации могут разработать план реагирования на инциденты с программами-вымогателями, чтобы свести к минимуму ущерб от программ-вымогателей и быстро восстановить нормальную работу.
№ 5. Программы-вымогатели: понятно. Предотвращать. Восстанавливаться
В этой книге Аллан Лиска, старший архитектор безопасности и специалист по программам-вымогателям в Recorded Future, отвечает на все сложные вопросы, касающиеся программ-вымогателей.
| Предварительный просмотр | Товар | Рейтинг | Цена | |
|---|---|---|---|---|
 | Программы-вымогатели: понятно. Предотвращать. Восстанавливаться. | $17,99 | Купить на Амазоне |
Книга дает исторический контекст того, почему программы-вымогатели стали преобладать в последние годы, как остановить атаки программ-вымогателей, уязвимости, на которые злоумышленники нацелены с помощью программ-вымогателей, а также руководство по выживанию атаки программ-вымогателей с минимальным ущербом. Кроме того, книга отвечает на важнейший вопрос: должны ли вы платить выкуп? Эта книга предлагает захватывающее исследование программ-вымогателей.
№ 6. Справочник по защите от программ-вымогателей
Любому человеку или организации, желающим вооружиться против программ-вымогателей, эта книга обязательна к прочтению. В этой книге Роджер А. Граймс, эксперт в области компьютерной безопасности и проникновения, предлагает свой обширный опыт и знания в этой области, чтобы помочь людям и организациям защитить себя от программ-вымогателей.
| Предварительный просмотр | Товар | Рейтинг | Цена | |
|---|---|---|---|---|
 | Справочник по защите от программ-вымогателей | $17.00 | Купить на Амазоне |
Книга предлагает действенный план для организаций, стремящихся сформулировать надежную защиту от программ-вымогателей. Он также учит, как обнаруживать атаку, быстро ограничивать ущерб и определять, платить выкуп или нет. Он также предлагает план действий, который поможет организациям ограничить репутационный и финансовый ущерб, вызванный серьезными нарушениями безопасности.
Наконец, он учит, как придумать надежную основу для страхования кибербезопасности и правовой защиты, чтобы смягчить сбои в бизнесе и повседневной жизни.
Примечание автора
BlackCat — это революционная программа-вымогатель, которая должна изменить статус-кво, когда речь идет о кибербезопасности. По состоянию на март 2022 года BlackCat успешно атаковал более 60 организаций и сумел привлечь внимание ФБР. BlackCat представляет собой серьезную угрозу, и ни одна организация не может позволить себе ее игнорировать.
Используя современный язык программирования и нетрадиционные методы атаки, шифрования и вымогательства выкупа, BlackCat заставил экспертов по безопасности играть в догонялки. Однако война с этим вымогателем не проиграна.
Внедряя стратегии, описанные в этой статье, и сводя к минимуму вероятность того, что человеческая ошибка раскроет компьютерные системы, организации могут оставаться на шаг впереди и предотвращать катастрофические атаки программ-вымогателей BlackCat.