У вирусов-вымогателей долгая история, которая началась еще в конце 1980-х годов. В прошлом году они принесли 811 миллионов долларов в виде выплат преступным группировкам, стоящим за ними. Жертвы несут расходы на восстановление, даже если платят выкуп.
Учитывая финансовую выгоду для злоумышленников, неудивительно, что банды вымогателей и соответствующее вредоносное ПО размножились. Число субъектов, создающих угрозы вымогателей — тех, кто способен разрабатывать и поставлять код — вероятно, исчисляется сотнями. Это не считая так называемых «аффилированных лиц», которые покупают предложения вымогателей как услуга (RaaS) у некоторых из этих субъектов.
Ниже приведен исторический список основных вредоносных программ-вымогателей и преступных групп, некоторые из которых все еще активны и сегодня. Они были выбраны для включения в этот список на основе их влияния или инновационных функций. Это не исчерпывающий список, и хотя большинство из них больше не активны, это не гарантия того, что они не появятся снова, еще больше и хуже, как это часто бывает.
Оглавление
Cerber
История: Cerber — это RaaS-платформа, впервые появившаяся в 2016 году и принесшая злоумышленникам 200 000 долларов в июле того же года.
Как это работает: Cerber воспользовался уязвимостью Microsoft для заражения сетей. Он функционирует аналогично другим программам-вымогателям. Он шифрует файлы с помощью алгоритма AES-256 и нацелен на десятки типов файлов, включая документы, изображения, аудиофайлы, видео, архивы и резервные копии. Он также может сканировать и шифровать доступные сетевые ресурсы, даже если они не сопоставлены с буквой диска на компьютере. Затем Cerber сбрасывает на рабочий стол жертвы три файла, которые содержат требование выкупа и инструкции о том, как его заплатить.
Целевые жертвы: Как платформа RaaS, Cerber представляет угрозу для всех.
Источник: Создатели Cerber продают платформу на закрытом русскоязычном форуме.
Текущий статус: Сообщается, что Cerber продолжает действовать по сей день.
Conti
История: Впервые появившись в мае 2020 года, платформа Conti RaaS считается преемницей вируса-вымогателя Ryuk. По состоянию на январь 2021 года считается, что Conti заразила более 150 организаций и заработала миллионы долларов для своих разработчиков и их аффилированных лиц. С момента ее создания было обнаружено не менее трех новых версий.
Как это работает: Conti использует стратегию двойного вымогательства, когда злоумышленники одновременно угрожают заблокировать зашифрованные файлы и опубликовать украденные данные, если жертва не заплатит выкуп. Фактически, она управляет веб-сайтом Conti News, где она перечисляет своих жертв и публикует украденные данные. После того, как вредоносная программа заражает систему, она тратит время на горизонтальное перемещение, чтобы получить доступ к более конфиденциальным системам. Conti известен тем, что быстро шифрует файлы с помощью использования многопоточности.
Целевые жертвы: Conti представляет угрозу для всех, хотя серия заражений в январе 2021 года, по-видимому, была нацелена на правительственные организации. Считается, что группа Wizard Spider использовала Conti в своей атаке на национальную службу здравоохранения Ирландии и по меньшей мере 16 сетей здравоохранения и экстренной помощи в США.
Атрибуция: Conti — дело рук одной банды, члены которой остаются неопознанными.
Текущий статус: Сообщается, что Conti распалась в мае 2022 года, однако различные ее филиалы по-прежнему могут использовать и распространять вирус-вымогатель.
CryptoLocker
История: Впервые обнаруженный в 2013 году, CryptoLocker положил начало современной эпохе программ-вымогателей и заразил до 500 000 машин Windows на пике своего развития. Он также известен как TorrentLocker. В июле 2014 года Министерство юстиции США заявило, что нейтрализовало CryptoLocker.
Как это работает: CryptoLocker — это троян, который ищет на зараженных компьютерах файлы для шифрования, включая любые внутренние или подключенные к сети устройства хранения данных. Обычно он распространяется через фишинговые письма с прикрепленными файлами, содержащими вредоносные ссылки. После открытия файла активируется загрузчик, заражающий компьютер.
Целевые жертвы: CryptoLocker, по всей видимости, не был нацелен на какую-либо конкретную организацию.
Источник: CryptoLocker был создан членами преступной группировки, разработавшей банковский троян Gameover Zeus.
Текущий статус: CryptoLocker был фактически закрыт в мае 2014 года в ходе операции Tovar, в ходе которой был ликвидирован ботнет Gameover ZeuS, использовавшийся для распространения вредоносного ПО.
CryptoWall
История: CryptoWall, также известный как CryptoBit или CryptoDefense, впервые появился в 2014 году и стал популярным после закрытия CryptoLocker. Он претерпел несколько изменений.
Как это работает: CryptoWall распространяется через спам или наборы эксплойтов. Его разработчики, похоже, избегают изощренности в пользу простого, но эффективного классического подхода к вымогательству. За первые шесть месяцев работы он заразил 625 000 компьютеров.
Целевые жертвы: эта программа-вымогатель атаковала десятки тысяч организаций всех типов по всему миру, но избегает русскоязычных стран.
Атрибуция: Разработчик CryptoWall, вероятно, является преступной группировкой, действующей из русскоязычной страны. CryptoWall 3.0 определяет, запущен ли он на компьютере в Беларуси, Украине, России, Казахстане, Армении или Сербии, а затем удаляет себя.
Текущий статус: CryptoWall, являвшийся серьезной угрозой вируса-вымогателя в период с 2014 по 2018 год, сегодня, по всей видимости, неактивен.
CTB-Locker
История: Впервые сообщено в 2014 году. CTB-Locker — еще одно предложение RaaS, известное высоким уровнем заражения. В 2016 году новая версия CTB-Locker была нацелена на веб-серверы.
Как это работает: Партнеры платят ежемесячную плату разработчикам CTB-Locker за доступ к коду программы-вымогателя. Программа-вымогатель использует криптографию на основе эллиптических кривых для шифрования данных. Она также известна своими многоязычными возможностями, что увеличивает глобальный пул потенциальных жертв.
Целевые жертвы: Учитывая модель RaaS, CTB-Locker представляет угрозу для любой организации, но чаще всего жертвами становятся компании первого эшелона в Западной Европе, Северной Америке и Австралии, особенно если известно, что в прошлом они платили выкупы.
Текущий статус: CTB-Locker был особенно активен в период с 2014 по 2015 год, но сегодня он, по-видимому, неактивен.
DarkSide
История: DarkSide действует по крайней мере с августа 2020 года. В мае 2021 года она оказалась в центре внимания общественности из-за атаки с использованием вируса-вымогателя, которая парализовала работу Colonial Pipeline.
Как это работает: DarkSide работает по модели RaaS через партнерскую программу. Она использует стратегию двойного вымогательства, когда злоумышленники одновременно угрожают заблокировать зашифрованные файлы и опубликовать украденные данные, если жертва не заплатит выкуп. Обычно она развертывается с использованием ручных методов взлома. Операторы DarkSide кажутся подкованными в медиа-бизнесе. Они управляют веб-сайтом, на котором репортеры могут зарегистрироваться, чтобы получать предварительную информацию об утечках и закрытую информацию, и обещают быстрые ответы на любые вопросы СМИ.
Целевые жертвы: Группа, стоящая за DarkSide, утверждает, что не атакует медицинские учреждения, компании по исследованию и распространению вакцины от COVID, похоронные службы, некоммерческие организации, образовательные учреждения или государственные организации. После атаки на Colonial Pipeline группа опубликовала заявление, в котором говорилось, что она рассмотрит потенциальных жертв своих аффилированных лиц, прежде чем они начнут атаки.
Источник: Предполагается, что группа DarkSide действует из России и, вероятно, является бывшими филиалами группы REvil.
Текущий статус: Некоторые эксперты полагают, что DarkSide переименована в банду вирусов-вымогателей BlackCat (ALPHV), которая, как сообщается, прекратила свое существование в марте 2024 года после атаки на Change Healthcare.
DoppelPaymer
История: DoppelPaymer впервые появился в июне 2019 года и до сих пор активен и опасен. Киберподразделение ФБР США выпустило предупреждение о нем в декабре 2020 года. В сентябре 2020 года он был использован в первой программе-вымогателе, которая привела к смерти, когда пострадавшая немецкая больница была вынуждена отправить пациента в другое учреждение.
Как это работает: Банда, стоящая за DoppelPaymer, использует необычную тактику звонков жертвам, используя поддельные американские телефонные номера, чтобы потребовать выкуп, который обычно составляет около 50 биткойнов или около 600 000 долларов США. Они утверждали, что они из Северной Кореи, и использовали угрозу продажи украденных данных. В некоторых случаях они пошли еще дальше, угрожая сотрудникам пострадавших компаний причинением вреда.
DoppelPaymer, по-видимому, основан на программе-вымогателе BitPaymer, хотя у него есть некоторые ключевые отличия, такие как использование потокового шифрования файлов для увеличения скорости шифрования. Также в отличие от BitPaymer, DoppelPaymer использует инструмент под названием Process Hacker для прекращения работы служб безопасности, сервера электронной почты, резервного копирования и баз данных, чтобы ослабить защиту и избежать прерывания процесса шифрования.
Целевые жертвы: DoppelPaymer нацелен на критически важные отрасли в здравоохранении, экстренных службах и образовании.
Атрибуция: Некоторые отчеты предполагают, что ответвление группы, стоящей за трояном Dridex, известное как TA505, несет ответственность за DoppelPaymer.
Текущий статус: DoppelPaymer был ликвидирован немецкой и украинской полицией в феврале 2023 года. До его ликвидации активность DoppelPaymer значительно снизилась примерно с мая 2021 года, и некоторые эксперты пришли к выводу, что основные игроки, стоящие за угрозой, переименовали свое ПО-вымогательство в Grief, и эта группа продолжает действовать.
Egregor
История: Egregor появился в сентябре 2020 года и стремительно растёт. Его название пришло из оккультного мира и определяется как «коллективная энергия группы людей, особенно когда они объединены общей целью». 9 февраля 2021 года совместная операция властей США, Украины и Франции арестовала ряд членов группы Egregor и связанных с ней лиц, а также отключила их веб-сайт.
Как это работает: Egregor следует тенденции «двойного вымогательства», одновременно шифруя данные и угрожая утечкой конфиденциальной информации, если выкуп не будет выплачен. Его кодовая база относительно сложна и способна избегать обнаружения с помощью методов обфускации и антианализа.
Целевые жертвы: по состоянию на конец ноября жертвами Egregor стали не менее 71 организации из 19 отраслей по всему миру.
Атрибуция: Подъем Egregor совпал с прекращением деятельности банды Maze ransomware. Похоже, что филиалы группы Maze перешли на Egregor. Это вариант семейства Sekhmet ransomware, связанный с вредоносным ПО Qakbot.
Текущий статус: Egregor появился вскоре после того, как группа Maze, занимающаяся вымогательством, объявила о своем закрытии. Программа-вымогатель была наиболее активна в период с сентября 2020 года по начало 2021 года, после чего была обезврежена ФБР и украинскими властями.
FONIX
История: FONIX — это предложение RaaS, впервые обнаруженное в июле 2020 года. Оно быстро претерпело ряд изменений кода, но внезапно закрылось в январе 2021 года. Затем банда FONIX опубликовала свой главный ключ дешифрования.
Как это работает: Банда FONIX рекламировала свои услуги на форумах киберпреступности и в даркнете. Покупатели FONIX отправляли банде адрес электронной почты и пароль. Затем банда отправляла покупателю персонализированную полезную нагрузку вымогателя. Банда FONIX забирает себе 25% от любых выплаченных выкупов.
Целевые жертвы: Поскольку FONIX является RAAS, жертвой может стать кто угодно.
Источник: Неизвестная киберпреступная группировка.
Текущий статус: FONIX так и не достигнув высот крупного игрока, прекратил свое существование в 2021 году.
GandCrab
История: GandCrab может быть самым прибыльным RaaS из когда-либо существовавших. Его разработчики заявляют о выплатах жертвами более 2 миллиардов долларов по состоянию на июль 2019 года. GandCrab был впервые обнаружен в январе 2018 года.
Как это работает: GandCrab — это партнерская программа-вымогатель для киберпреступников, которые платят ее разработчикам часть собранных ими выкупов. Вредоносное ПО обычно распространяется через вредоносные документы Microsoft Office, отправляемые через фишинговые письма. Разновидности GandCrab эксплуатируют уязвимости в программном обеспечении, таком как Confluence от Atlassian. В этом случае злоумышленники используют уязвимость для внедрения мошеннического шаблона, который позволяет удаленно выполнять код.
Целевые жертвы: GandCrab заразил системы по всему миру в различных отраслях, хотя он разработан так, чтобы избегать систем в русскоязычных регионах.
Атрибуция: GandCrab был связан с гражданином России Игорем Прокопенко.
Текущий статус: GandCrab был доминирующей угрозой вымогателя с января 2018 года по май 2019 года. Исследователи подозревают, что группа, стоящая за ним, переключила свое внимание на разработку штамма вымогателя под названием REvil или Sodinokibi. Sodinokibi/Revil остается активным.
GoldenEye
История: Появившийся в 2016 году GoldenEye, по-видимому, основан на вирусе-вымогателе Petya .
Как это работает: GoldenEye изначально распространялся через кампанию, нацеленную на отделы кадров с помощью поддельных сопроводительных писем и резюме. После заражения компьютера его полезная нагрузка выполняет макрос, который шифрует файлы на компьютере, добавляя случайное расширение из 8 символов в конец каждого файла. Затем вирус-вымогатель изменяет главную загрузочную запись жесткого диска компьютера с помощью специального загрузчика.
Целевые жертвы: GoldenEye сначала рассылал фишинговые письма немецкоговорящим пользователям.
Атрибуция: Неизвестно.
Текущий статус: GoldenEye вновь появился в июне 2017 года в связи с атаками на Украине, но, похоже, сегодня неактивен.
Grief
История: Программа-вымогатель Grief, также известная как «Pay or Grief», считается преемником DoppelPaymer и появилась в мае 2021 года. В период с мая по октябрь группа заявила, что взломала 41 компанию и другие организации, большинство из которых находятся в Европе и Великобритании. По оценкам, за этот период группа заработала более 11 миллионов долларов. В конце октября группа заявила, что взломала Национальную стрелковую ассоциацию США (NRA) и похитила данные, которые она хранила, с целью получения выкупа.
Как это работает: Grief — это RaaS-платформа, работающая с аффилированными лицами, которые осуществляют вторжения и установку программы-вымогателя в обмен на комиссию от выкупа. Группа занимается двойным вымогательством, воруя данные из скомпрометированных организаций и угрожая опубликовать их, если жертва не заплатит. Grief поддерживает сайт утечки, где публикует информацию о жертвах, и в последнее время она начала предупреждать жертв, что если они обратятся в правоохранительные органы, к переговорщикам по программе-вымогателю или специалистам по восстановлению данных, они сотрут данные систем, к которым у них есть доступ, в результате чего жертвы не смогут восстановить свои файлы, даже если они готовы заплатить за ключ дешифрования.
Различия в коде DoppelPaymer и Grief незначительны. Встроенные двоичные файлы ProcessHacker, которые DoppelPaymer использовал для завершения различных процессов, были удалены, а ключ RC4, используемый в процедуре шифрования, был увеличен с 40 до 48 байт. В остальном алгоритмы шифрования остались прежними: 2048-битный RSA и 256-битный AES.
Целевые жертвы: Grief скомпрометировал различных производителей, аптеки, поставщиков услуг общественного питания и отелей, учебные заведения, а также муниципалитеты и по крайней мере один правительственный округ. Группа не опубликовала личности всех жертв, о которых она заявляет на своем сайте утечки.
Источник: Предполагается, что вирус-вымогатель Grief эксплуатируется Evil Corp, киберпреступной группировкой, ранее известной по управлению ботнетом Dridex, а также операциями с вирусами-вымогателями WastedLocker и DoppelPaymer. Evil Corp является одной из киберпреступных групп, включенных в санкционный список Министерства финансов США, а два связанных с ней лица находятся в списке самых разыскиваемых ФБР.
Текущее состояние: Grief остается активным по сей день.
Jigsaw
История: Jigsaw впервые появился в 2016 году, но вскоре после его открытия исследователи выпустили инструмент для расшифровки.
Как это работает: Наиболее примечательным аспектом Jigsaw является то, что он шифрует некоторые файлы, требует выкуп, а затем постепенно удаляет файлы, пока выкуп не будет заплачен. Он удаляет один файл в час в течение 72 часов. В этот момент он удаляет все оставшиеся файлы.
Целевые жертвы: Jigsaw, по-видимому, не нацелена ни на какую группу жертв.
Атрибуция: Неизвестно.
Текущий статус: Jigsaw больше не активен в своей первоначальной форме, но его исходный код находится в открытом доступе, что позволяет злоумышленникам модифицировать и адаптировать вредоносную программу.
KeRanger
История: KeRanger, обнаруженный в 2016 году, считается первым вирусом-вымогателем, предназначенным для атак на приложения Mac OS X.
Как это работает: KeRanger распространялся через легитимный, но скомпрометированный клиент BitTorrent, который мог обойти обнаружение, поскольку имел действительный сертификат.
Целевые жертвы: пользователи Mac.
Атрибуция: Неизвестно.
Текущий статус: KeRanger больше не считается активным.
Leatherlocker
История: Leatherlocker впервые был обнаружен в 2017 году в двух приложениях Android: Booster & Cleaner и Wallpaper Blur HD. Google удалил приложения из своего магазина вскоре после обнаружения.
Как это работает: Жертвы скачивают то, что кажется легитимным приложением. Затем приложение запрашивает разрешения, которые предоставляют вредоносному ПО доступ, необходимый для выполнения. Вместо того, чтобы шифровать файлы, оно блокирует домашний экран устройства, чтобы предотвратить доступ к данным.
Целевые жертвы: пользователи Android, устанавливающие зараженные приложения.
Источник: неизвестная киберпреступная группировка.
Текущий статус: Leatherlocker, похоже, больше не активен.
LockerGoga
История: LockerGoga появился в 2019 году в атаке, нацеленной на промышленные компании. Хотя злоумышленники просили выкуп, LockerGoga, похоже, был намеренно разработан, чтобы затруднить выплату выкупа. Это заставило некоторых исследователей предположить, что его целью было нарушение работы, а не финансовая выгода.
Как это работает: LockerGoga использовала фишинговую кампанию с вредоносными вложениями документов для заражения систем. Полезная нагрузка была подписана действительными сертификатами, что позволило им обойти защиту.
Целевые жертвы: LockerGoga атаковал европейские производственные компании, в частности Norsk Hydro, где он вызвал глобальное закрытие ИТ-систем.
Атрибуция: Некоторые исследователи полагают, что LockerGoga, скорее всего, был делом рук какого-то государства.
Текущее состояние: LockerGoga нанесла серьезный ущерб и привела к финансовым потерям для промышленных компаний, включая атаку на Norsk Hydro в марте 2019 года. Арест Европолом подозреваемых, стоящих за атаками с использованием программ-вымогателей LockerGoga, MegaCortex и Dharma, позволил уменьшить данную угрозу.
Locky
История: Locky впервые начал распространяться в 2016 году и использовал режим атаки, похожий на банковский вредоносный код Dridex. Locky вдохновил ряд вариантов, включая Osiris и Diablo6.
Как это работает: жертвам обычно отправляется электронное письмо с документом Microsoft Word, который якобы является счетом-фактурой. Этот счет-фактура содержит вредоносный макрос. Microsoft отключает макросы по умолчанию из-за угроз безопасности. Если макросы включены, документ запускает макрос, который загружает Locky. Dridex использует ту же технику для кражи учетных данных.
Целевые жертвы: первые атаки Locky были направлены на больницы, но последующие кампании были широкомасштабными и нецелевыми.
Источник: Есть подозрение, что киберпреступная группировка, стоящая за Locky, связана с одной из тех, кто стоит за Dridex, из-за сходства между ними.
Текущий статус: Locky представлял серьезную угрозу в период с 2016 по 2017 год, но больше не активен.
Maze
История: Maze — относительно новая группа вымогателей, обнаруженная в мае 2019 года. Она известна тем, что публикует украденные данные, если жертва не платит за их расшифровку. В сентябре 2020 года группа Maze объявила о завершении своей деятельности.
Как это работает: Злоумышленники Maze обычно получают доступ к сетям удаленно, используя действительные учетные данные, которые можно угадать, использовать по умолчанию или получить с помощью фишинговых кампаний. Затем вредоносная программа сканирует сеть с помощью инструментов с открытым исходным кодом, чтобы обнаружить уязвимости. Затем она перемещается по сети в горизонтальном направлении в поисках дополнительных учетных данных, которые можно использовать для повышения привилегий. Как только она находит учетные данные администратора домена, она может получить доступ и зашифровать все в сети.
Целевые жертвы: Maze действует в глобальном масштабе и во всех отраслях.
Источник: Предполагается, что за Maze стоят несколько преступных группировок, имеющих общую специализацию, а не одна банда.
Текущее состояние: Maze прекратил свою деятельность в 2020 году.
Mespinoza (также известная как PYSA)
История: Впервые выявленная в 2019 году, группа Mespinoza имеет репутацию дерзкой и чудаковатой. Согласно отчету подразделения 42 компании Palo Alto Software, банда называет своих жертв «партнерами» и дает советы, чтобы убедить руководство заплатить выкуп. Mespinoza использует собственные инструменты с такими названиями, как MagicSocks и HappyEnd.bat.
Как это работает: Несмотря на свои странности, Mespinoza довольно дисциплинирован в своем подходе, согласно Unit 42. Банда выполняет свою домашнюю работу по потенциальным жертвам, чтобы нацелиться на тех, у кого самые ценные активы. Затем они ищут в документах ключевые слова, такие как SSN, водительские права или паспорт, чтобы определить самые конфиденциальные файлы. Атака использует RDP для получения доступа к сети, а затем использует открытые и встроенные системные инструменты для горизонтального перемещения и сбора учетных данных. Он устанавливает вредоносное ПО под названием Gasket для создания бэкдора. У Gasket есть функция под названием MagicSocks, которая создает туннели для удаленного доступа. Банда использует подход двойного вымогательства, который включает угрозу раскрытия конфиденциальных данных, если выкуп не будет выплачен.
Целевые жертвы: Mespinoza действует в глобальном масштабе и нацелена на крупные предприятия во многих отраслях. Недавно она атаковала школы K-12, университеты и семинарии в США и Великобритании.
Атрибуция: Неизвестно.
Текущее состояние: Mespinoza, по-видимому, все еще активна, но уровень ее активности значительно снизился по сравнению с пиком 2020–2021 годов.
Netwalker
История: Netwalker, действующий с 2019 года, — это еще одна операция по вымогательству, которая использует двойную угрозу: утаивание ключей дешифрования и продажу или утечку украденных данных. Однако в конце января 2021 года Министерство юстиции США объявило о глобальных мерах , которые сорвали операцию Netwalker.
Как это работает: С технической точки зрения Netwalker — относительно обычный вирус-вымогатель. Он закрепляется с помощью фишинговых писем, шифрует и изымает данные и отправляет требование выкупа. Вторая угроза раскрытия конфиденциальных данных делает его более опасным. Известно, что он выложил украденные данные, поместив их в защищенный паролем раздел в даркнете, а затем выложив ключ в открытый доступ.
Целевые жертвы: Netwalker нацелен в первую очередь на учреждения здравоохранения и образования.
Атрибуция: Считается, что Netwalker был создан бандой Circus Spider.
Текущий статус: Netwalker приобрел известность во время пандемии COVID-19 после атак на здравоохранение, образование и государственные организации. Операция правоохранительных органов в январе 2021 года нарушила инфраструктуру Netwalker, что привело к арестам и изъятию криптовалюты. Новый вариант программы-вымогателя под названием Alpha, демонстрирующий заметное техническое сходство с Netwalker, появился в феврале 2023 года.
NotPetya
История: Впервые появившись в 2016 году, NotPetya на самом деле представляет собой вредоносную программу для уничтожения данных, называемую «вайпером», которая маскируется под программу-вымогатель.
Как это работает: Вирус NotPetya внешне напоминает Petya, поскольку он шифрует файлы и требует выкуп в биткоинах. Petya требует, чтобы жертва скачала его из спам-письма, запустила его и дала ему права администратора. NotPetya может распространяться без вмешательства человека. Первоначальный вектор заражения, по-видимому, был через бэкдор, внедренный в MEDoc , пакет бухгалтерского программного обеспечения, который используется почти каждой компанией Украины. Заразив компьютеры с серверов Medoc, NotPetya использовал различные методы для распространения на другие компьютеры, включая EternalBlue и EternalRomance. Он также может использовать Mimikatz для поиска учетных данных сетевого администратора в памяти зараженной машины, а затем использовать инструменты Windows PsExec и WMIC для удаленного доступа и заражения других компьютеров в локальной сети.
Целевые жертвы: Атака была направлена в первую очередь на Украину.
Источник: Считается, что за NotPetya несет ответственность группа Sandworm из российского ГРУ.
Текущий статус: После запуска самой разрушительной на сегодняшний день кибератаки NotPetya, по всей видимости, больше не активен.
Petya
История: Название происходит от спутника, который был частью зловещего заговора в фильме о Джеймсе Бонде 1995 года «Золотой глаз». Аккаунт в Twitter, предположительно принадлежащий автору вредоносной программы, использовал в качестве аватара фотографию актера Алана Камминга, сыгравшего злодея. Первоначальная версия вредоносной программы Petya начала распространяться в марте 2016 года.
Как это работает: Petya попадает на компьютер жертвы в виде вложения к электронному письму, которое якобы является резюме соискателя работы. Это пакет с двумя файлами: стандартным изображением молодого человека и исполняемым файлом, часто с «PDF» где-то в имени файла. Когда жертва нажимает на этот файл, предупреждение Windows User Access Control сообщает ей, что исполняемый файл внесет изменения на ваш компьютер. Вредоносная программа загружается, как только жертва принимает изменение, а затем отказывает в доступе, атакуя низкоуровневые структуры на носителе.
Целевые жертвы: любая система Windows является потенциальной целью, но сильнее всего от атаки пострадала Украина.
Атрибуция: Неизвестно.
Текущий статус: Petya, наиболее примечателен своим сходством с гораздо более разрушительным вирусом NotPetya. На сегодняшний день больше не активен.
Purelocker
История: Платформа PureLocker RaaS, открытая в 2019 году, нацелена на корпоративные производственные серверы под управлением Linux или Windows. Она написана на языке PureBasic, отсюда и ее название.
Как это работает: PureLocker использует вредоносное ПО-бэкдор more_eggs для получения доступа. Злоумышленники выбирают машины, которые уже были скомпрометированы. Затем PureLocker анализирует машины и выборочно шифрует данные.
Целевые жертвы: Исследователи полагают, что лишь немногие преступные группировки могут позволить себе заплатить за PureLocker, поскольку его использование ограничено особо ценными целями.
Атрибуция: Поставщик вредоносного ПО как услуги (MaaS), стоящий за бэкдором more_eggs, вероятно, несет ответственность за PureLocker.
Текущий статус: За последние пять лет не было ни одного случая атак, связанных с Purelocker.
RobbinHood
История: RobbinHood — еще один вариант вируса-вымогателя, использующий EternalBlue. Он поставил на колени город Балтимор, штат Мэриленд, в 2019 году.
Как это работает: Самая уникальная функция RobbinHood заключается в том, как его полезная нагрузка обходит защиту конечной точки. Он состоит из пяти частей: исполняемый файл, который убивает процессы и файлы продуктов безопасности, код для развертывания подписанного стороннего драйвера и вредоносного неподписанного драйвера ядра, устаревший драйвер с подписью Authenticode, который имеет уязвимость, вредоносный драйвер для уничтожения процессов и удаления файлов из пространства ядра и текстовый файл со списком приложений для уничтожения и удаления.
Устаревший подписанный драйвер содержит известную ошибку, которую вредоносная программа использует, чтобы избежать обнаружения, а затем установить свой собственный неподписанный драйвер в Windows 7, Windows 8 и Windows 10.
Целевые жертвы: Местные органы власти городов Балтимор и Гринвилл, Северная Каролина, по всей видимости, больше всего пострадали от RobbinHood.
Атрибуция: Неустановленная преступная группа.
Текущий статус: RobbinHood приобрел известность в 2019 году, но в последние годы об этой вредоносной программе было мало что известно.
Ryuk
История: Ryuk впервые появился в августе 2018 года, но основан на старой программе-вымогателе под названием Hermes, которая продавалась на подпольных форумах киберпреступности в 2017 году.
Как это работает: Часто используется в сочетании с другими вредоносными программами, такими как TrickBot. Банда Ryuk известна тем, что использует ручные методы взлома и инструменты с открытым исходным кодом для горизонтального перемещения через частные сети и получения административного доступа к как можно большему количеству систем, прежде чем инициировать шифрование файлов.
Злоумышленники Ryuk требуют от своих жертв большой выкуп, обычно от 15 до 50 биткоинов (примерно от 100 000 до 500 000 долларов США), хотя, как сообщается, выплачивались и более крупные суммы.
Целевые жертвы: предприятия, больницы и государственные организации, которые зачастую являются уязвимыми, являются наиболее частыми жертвами Ryuk.
Атрибуция: Сначала приписывали северокорейской Lazarus Group, которая использовала Hermes в атаке на тайваньский Far Eastern International Bank (FEIB) в октябре 2017 года, теперь Ryuk считается творением русскоязычной киберпреступной группировки, которая получила доступ к Hermes. Банда Ryuk, иногда называемая Wizard Spider или Grim Spider, также управляет TrickBot. Некоторые исследователи полагают, что Ryuk может быть творением оригинального автора или авторов Hermes, работающих под псевдонимом CryptoTech.
Текущий статус: Ryuk — это сложный вирус-вымогатель, который по состоянию на февраль 2025 года оставался активным.
SamSam
История: SamSam существует с 2015 года и был ориентирован в первую очередь на организации здравоохранения. В последующие годы он значительно расширил свою деятельность.
Как это работает: SamSam — это RaaS-платформа, контроллеры которой проверяют заранее выбранные цели на наличие слабых мест. Она эксплуатирует ряд уязвимостей во всем, от IIS до FTP и RDP. Оказавшись внутри системы, злоумышленники повышают привилегии, чтобы гарантировать, что когда они начнут шифровать файлы, атака будет особенно разрушительной.
Целевые жертвы: Больше всего пострадали организации здравоохранения и правительства США, включая Департамент транспорта штата Колорадо и город Атланта.
Источник: Первоначально некоторые считали, что SamSam имеет восточноевропейское происхождение, но в основном был нацелен на американские учреждения. В конце 2018 года Министерство юстиции США предъявило обвинения двум иранцам, которые, по их словам, стояли за атаками.
Текущий статус: SamSam впервые появился в декабре 2015 года и остается активным по состоянию на февраль 2025 года.
SimpleLocker
История: SimpleLocker, обнаруженный в 2014 году, был первой широкомасштабной атакой с использованием программ-вымогателей, ориентированной на мобильные устройства, в частности устройства Android.
Как это работает: SimpleLocker заражает устройства, когда жертва загружает вредоносное приложение. Затем вредоносная программа сканирует SD-карту устройства на наличие определенных типов файлов и шифрует их. Затем она отображает экран с требованием выкупа и инструкциями о том, как его заплатить.
Целевые жертвы: Поскольку записка с требованием выкупа написана на русском языке и требует оплаты в украинской валюте, предполагается, что изначально целью злоумышленников был именно этот регион.
Источник: Предполагается, что SimpleLocker был написан теми же хакерами, которые разработали другие российские вредоносные программы, такие как SlemBunk и GM Bot.
Текущий статус: SimpleLocker в настоящее время, по-видимому, не активен.
Sodinokibi/REvil
История: Sodinokibi, также известная как REvil, — еще одна платформа RaaS, впервые появившаяся в апреле 2019 года. По-видимому, связанная с GandCrab, она также имеет код, который не позволяет ей выполняться в России и нескольких соседних странах, а также в Сирии. Она была ответственна за закрытие более 22 небольших городов Техаса, а в канун Нового года 2019 года она вывела из строя британский сервис обмена валют Travelex. Совсем недавно программа-вымогатель REvil использовалась при атаке на мясоперерабатывающую компанию JBS, что временно нарушило поставки мяса в США. Она также была ответственна за атаку на Kaseya, которая поставляет программное обеспечение MSP. Пострадали тысячи клиентов MSP. Вскоре после атаки Kaseya веб-сайты REvil исчезли из интернета.
Как это работает: Sodinokibi распространяется несколькими способами, включая использование дыр в серверах Oracle WebLogic или Pulse Connect Secure VPN. Он нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Затем жертвы получают двойную угрозу, если они не заплатят выкуп: они не получат свои данные обратно, а их конфиденциальные данные будут проданы или опубликованы на подпольных форумах.
Целевые жертвы: Sodinokibi заразил множество различных организаций по всему миру за пределами исключенных им регионов.
Attribution: Sodinokibi приобрел известность после закрытия GandCrab. Предполагаемый член группы, использующий псевдоним Unknown, подтвердил, что вирус-вымогатель был создан поверх старой кодовой базы, которую приобрела группа.
Текущий статус: Sodinokibi/Revil остаётся активным и сегодня.
TeslaCrypt
История: TeslaCrypt — это троян-вымогатель Windows, впервые обнаруженный в 2015 году, нацеленный на игроков в компьютерные игры. Несколько новых версий появились один за другим, но разработчики прекратили работу в мае 2016 года и опубликовали главный ключ дешифрования.
Как это работает: После заражения компьютера, обычно после того, как жертва посещает взломанный веб-сайт, на котором запущен набор эксплойтов, TeslaCrypt ищет и шифрует игровые файлы, такие как сохранения игр, записанные повторы и профили пользователей. Затем он требует плату в размере 500 долларов в биткоинах за расшифровку файлов.
Целевые жертвы: компьютерные геймеры.
Атрибуция: Неизвестно.
Текущий статус: Неактивен по состоянию на май 2016 г.
Thanos
История: Thanos RaaS — относительно новый вредоносный код, обнаруженный в конце 2019 года. Он первым использует технологию RIPlace, которая позволяет обойти большинство методов защиты от программ-вымогателей.
Как это работает: Thanos, рекламируемый на подпольных форумах и других закрытых каналах, представляет собой настраиваемый инструмент, который его аффилированные лица используют для создания вредоносных программ-вымогателей. Многие из предлагаемых им функций разработаны для избежания обнаружения. Разработчики Thanos выпустили несколько версий, добавив такие возможности, как отключение резервного копирования, удаление файлов сигнатур Windows Defender и функции, затрудняющие криминалистику для групп реагирования.
Целевые жертвы: как платформа RaaS, Танос может сделать жертвой любую организацию.
Атрибуция: Неизвестно.
Текущий статус: Thanos RaaS продолжает действовать и сегодня.
Wannacry
История: Червь WannaCry быстро распространился по компьютерным сетям в мае 2017 года благодаря эксплойту EternalBlue, разработанному Агентством национальной безопасности США (АНБ) и затем украденному хакерами. Он быстро заразил миллионы компьютеров Windows.
Как это работает: WannaCry состоит из нескольких компонентов. Он попадает на зараженный компьютер в виде дроппера, автономной программы, которая извлекает другие компоненты приложения, встроенные в нее, включая:
- Приложение, которое шифрует и расшифровывает данные
- Файлы, содержащие ключи шифрования
- Копия Tor
После запуска WannaCry пытается получить доступ к жестко закодированному URL. Если это не удается, он приступает к поиску и шифрованию файлов в важных форматах, от файлов Microsoft Office до MP3 и MKV. Затем он отображает уведомление о выкупе, требуя Bitcoin для расшифровки файлов.
Целевые жертвы: Атака WannaCry затронула компании по всему миру, но особенно сильно пострадали крупные предприятия в сфере здравоохранения, энергетики, транспорта и связи.
Источник: Предполагается, что за WannaCry стоит северокорейская Lazarus Group.
Текущий статус: Распространение WannaCry было остановлено, когда исследователь безопасности Маркус Хатчинс случайно активировал аварийный выключатель, зарегистрировав домен, связанный с вредоносным ПО.
WastedLocker
История: Один из последних вирусов-вымогателей WastedLocker начал атаковать организации в мае 2020 года. Это один из наиболее сложных примеров вирусов-вымогателей, и его создатели известны тем, что просят высокие выкупы.
Как это работает: вредоносная программа использует основанный на JavaScript фреймворк атаки под названием SocGholish, который распространяется в виде ZIP-файла через поддельное обновление браузера, которое появляется на легитимных, но скомпрометированных веб-сайтах. После активации WastedLocker загружает и выполняет скрипты PowerShell и бэкдор под названием Cobalt Strike. Затем вредоносная программа исследует сеть и развертывает инструменты для кражи учетных данных и получения доступа к высокоценным системам. Затем она шифрует данные, используя комбинацию криптографии AES и RSA.
Целевые жертвы: WastedLocker фокусируется на ценных целях, которые с наибольшей вероятностью заплатят высокий выкуп, в основном в Северной Америке и Западной Европе.
Атрибуция: Известная преступная группировка Evil Corp несет ответственность за WastedLocker. Группа также известна эксплуатацией вредоносного ПО Dridex и ботнета.
Текущий статус: WastedLocker остаётся активным по состоянию на февраль 2025 года.
WYSIWYE
История: WYSIWYE (что видишь, то и шифруешь) — это RaaS-платформа, созданная в 2017 году и ориентированная на системы Windows.
Как это работает: сканирует Интернет на предмет открытых серверов Remote Desktop Protocol (RDP). Затем он выполняет попытки входа с использованием учетных данных по умолчанию или слабых учетных данных для доступа к системам и распространения по сети. Преступники, которые покупают услуги WYSIWYE, могут выбирать, какие типы файлов шифровать и следует ли удалять исходные файлы после шифрования.
Целевые жертвы: атаки WYSIWYE впервые появились в Германии, Бельгии, Швеции и Испании.
Атрибуция: Неизвестно.
Текущий статус: WYSIWYE, по всей видимости, не функционирует.
Zeppelin
История: Zeppelin впервые появился в ноябре 2019 года и является потомком предложения RaaS Vega или VegasLocker, жертвами которого стали бухгалтерские фирмы в России и Восточной Европе.
Как это работает: Zeppelin имеет больше возможностей, чем его предшественники, особенно когда дело касается конфигурируемости. Zeppelin может быть развернут несколькими способами, включая EXE, DLL или загрузчик PowerShell, но некоторые из его атак происходили через скомпрометированных поставщиков управляемых служб безопасности.
Целевые жертвы: Zeppelin гораздо более целенаправленный, чем Vega, который распространялся неизбирательно и в основном действовал в русскоязычном мире. Zeppelin разработан так, чтобы не запускаться на компьютерах, работающих в России, Украине, Беларуси или Казахстане. Большинство его жертв были компаниями здравоохранения и технологий в Северной Америке и Европе.
Источник: Эксперты по безопасности полагают, что новая группа злоумышленников, вероятно, из России, использует кодовую базу Vega для разработки Zeppelin.
Атрибуция: Неизвестно.
Текущий статус: Zeppelin продолжает действовать по состоянию на февраль 2025 года.
Примечание редактора: эта статья, первоначально опубликованная 16 февраля 2021 года, была обновлена и теперь включает более актуальную информацию о перечисленных группах, включая текущий статус.
Автор: CSO Staff
Источник: https://www.csoonline.com/article/570361/the-worst-and-most-notable-ransomware.html