Програми-вимагачі зливають статки на криптовалютні рахунки кіберзлочинців. Але куди потрапляє все вугілля? Життя в лоні розкоші? Дослідження Sophos показують, що в подальші атаки вкладаються великі гроші. Той, хто платить, також фінансує наступну атаку на себе.
Куди насправді йдуть мільйони біткойнів і інші, які жертви атак програм-вимагачів платять своїм шантажистам, припускаючи, що вони повернуть свої конфісковані дані? Принаймні одного разу було передчуття: під час арешту в Україні підозрюваних, пов’язаних із групою програм-вимагачів Clop, була зібрана вражаюча колекція автомобільних бирок як докази, а численні розкішні автомобілі, знайдені на евакуаторах, були завантажені та конфісковані.
Реінвестуйте для подальших атак
Але, як і будь-який хороший бізнес, кіберзлочинці також інвестують відсоток прибутку назад у «операції». Розширення кіберзлочинності в цілому також є популярною бізнес-моделлю використання зароблених доларів. Тож не дивно, що минулого року група REvil пожертвувала біткоїни на суму XNUMX мільйон доларів на форум кіберзлочинців як передоплату за надані послуги. Однак ця акція була радше для того, щоб довести учасникам форуму, що запропоновані гроші — це не просто обіцянка: це вже обов’язкова інвестиція, яку потрібно витратити на успішних «претендентів».
RAT, LPE, RCE - кіберзлочинний жаргон під лупою
Пропозиції на цьому ринку кіберзлочинності звучать загадково: від безфайлового програмного забезпечення для Windows 10 до 150.000 XNUMX доларів США за оригінальне рішення, експлойтів нульового дня, включаючи RCE з багатомільйонним бюджетом, до пропозицій на кшталт «Я куплю найбільш чисті RAT». .” Список технічних термінів на форумах про кіберзлочинність довгий, найважливіші з них коротко описані нижче:
RAT = Троян віддаленого доступу
Також відомий як боти або зомбі. RATs відкривають лазівки для несанкціонованого доступу, які дозволяють шахраям отримати контроль над ПК. Деякі RAT надають чіткі команди віддаленого доступу, які вмикають клавіатурний журнал, роблять знімки екрана, записують аудіо та відео або копіюють конфіденційні файли.
Але майже всі RATS також мають функції, які можуть автоматично оновлювати самі RATs, завантажувати чи встановлювати додаткове або випадкове шкідливе програмне забезпечення або негайно закривати оригінальний RAT і видаляти всі докази. Величезна здатність RAT перетворюватися на зовсім інший тип зловмисного програмного забезпечення свідчить про те, що ризики, пов’язані з невиявленим RAT, майже безмежні.
Безфайловий софт «живе» в реєстрі
Технічно програмне забезпечення, яке «живе» в реєстрі (у Windows це місце, де зберігається конфігурація операційної системи), насправді не є безфайловим, оскільки сам реєстр знаходиться у файлі на жорсткому диску. Але більшість програмного забезпечення, яке Windows автоматично запускає під час запуску, зазначено в реєстрі як ім’я файлу, що містить програму, яку потрібно запустити. Отже, якщо програма шкідлива або небажана, звичайне сканування жорсткого диска може виявити та видалити зловмисне програмне забезпечення. Це нормальний курс. Проте деякі записи реєстру можуть містити фактичний сценарій або програму, яку Windows має запускати, закодовану прямо в даних реєстру. Загрози, які зберігаються таким чином, не займають власний файл на диску, тому їх важче знайти.
LPE = локальне підвищення привілеїв
Шахраї не можуть проникнути на комп'ютер в LPE. Але: якщо вони вже в системі, вони можуть використовувати вразливість LPE, щоб просунути себе зі звичайного облікового запису користувача до облікового запису з більшими правами. Фаворитом хакера є адмін домену, практично нарівні з системним адміністратором.
RCE = Віддалене виконання коду
Робить саме те, що написано: зловмисники проникають у комп’ютер і запускають програму на свій вибір без імені користувача та пароля.
Подвиги нульового дня
Уразливості, для яких ще немає патчів
Нульова атака
Атаки, які не потребують дії користувача. Технологія працює, навіть коли комп’ютер заблоковано або ніхто не ввійшов у систему, як це часто буває на серверах.
Вирішальне питання після атаки програм-вимагачів: платити чи ні
Враховувати чи не враховувати – ось питання після успішної хакерської атаки програмами-вимагачами. На жаль, незважаючи на те, що викуп ніколи не повинен бути сплачений, немає універсальної відповіді, оскільки це може бути єдиним шансом жертви запобігти бізнес-катастрофі. Однак, як чітко зазначено у звіті Sophos про стан програм-вимагачів за 2021 рік, сплата викупу не є гарантією повного відновлення даних. Лише 8% тих, хто заплатив викуп, отримали назад усі свої дані. «Кожен, хто сказав собі, що сплата викупу, щоб заощадити час і зусилля на відновлення, не може завдати великої шкоди іншим, має знати краще», — сказав Пол Даклін, старший технолог Sophos. «Ведення бізнесу з кіберзлочинцями — це гра з вогнем, і в той же час кожен повинен усвідомлювати, що гроші від здирництва витрачаються не лише на приватні предмети розкоші, але й на нові атаки та технології, що сприяє зростанню кіберзлочинного бізнесу. ціле».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.