Крипто-вымогатели научились обходиться без серверов

Сегодня среди всех вредоносных программ наибольший ущерб наносят программы-вымогатели, так называемые Ransomware (от англ. «ransom» - выкуп и «software» - программное обеспечение). Специалисты «Лаборатории Касперского», подводя итоги в области кибербезопасности за 2015 год, отметили, что рост распространения программ-вымогателей резко увеличился.

В последнее время, создатели блокировщиков решили повысить их эффективность за счёт использования технологии блокчейна. Суть программ-вымогателей заключается в шифровании данных и получении за это выкупа. Если раньше выкупаемый ключ для расшифровки данных размещался на нескольких взломанных сайтах, то теперь для доставки ключа жертве используется сам Биткойн. 

Впервые этот метод был замечен в недавно появившейся версии CTB-Locker (троян-шифровальщик, который парализует работу веб-сайтов). До этого для расшифровки данных PHP-вариация CTB-Locker использовала скрипт access.php. Он размещался на нескольких взломанных сайтах и служил способом доставки ключа после выплаты выкупа, что было не очень надежно: владельцы заражённых сайтов могли вычислить программу-вымогателя, восстановить работу сайта и усложнить задачу преступникам. Тогда злоумышленники придумали новый метод.

В отчёте экспертов Sucuri (калифорнийская компания, которая занимается разработкой и продажей сервисов для обеспечения безопасности сайтов) метод доставки ключа с помощью технологии блокчейна описывается следующим образом. В протоколе Биткойна (с 2014 года) есть поле OP_RETURN, содержащее небольшой произвольный текст, которым можно сопроводить транзакцию. При каждом случае заражения CTB-Locker генерирует новый уникальный номер индивидуального кошелька, на который жертва перечисляет выкуп. На тот же кошелёк преступники активизируют фиктивную транзакцию, включив ключ дешифровки в поле OP_RETURN. И даже если система не утверждает совершение транзакции, последняя некоторое время отображается в блокчейне, и ее можно проверить на сайтах, подобных blockexplorer.com или blockchain.info.

Затем, скрипт CTB-Locker задействует API blockexlorer.com для проверки истории транзакций в каждом кошельке и «вытаскивает» ключ дешифровки. Таким образом, киберпреступники решили максимально оградить свои вирусные кампании от влияния сторонних факторов, в том числе взлома сайтов. Эксперты компании Sucuri говорят, что анонимность Биткойна способствует этому. Так, его можно, хотя и крайне ограниченно, использовать для хранения вредоносного кода или команд.

Недавно был найден новый вирус Jigsaw («Пила») - программа-вымогатель, получившая название в честь героя фильма ужасов, несколько изменённый текст которого цитирует вирус:

«Файлы на твоем компьютере зашифрованы. <…> Но не волнуйся, я их не удалил… пока. У тебя есть 24 часа на то, чтобы заплатить $150 биткойнами, и тогда ты получишь ключ. Каждый час я буду удалять файлы, чем дальше — тем больше за раз. По истечении 72 часов все файлы будут удалены <…> Не делай глупостей: я предусмотрел необходимые меры на этот случай».

В отличие от своих предшественников, данный вирус не только зашифровывает файлы с целью выкупа - он действительно удаляет их, если пользователь вовремя не заплатит требуемую сумму в биткойнах. Кроме того, файлы автоматически удаляются при перезагрузке устройства — одновременно может исчезнуть тысяча файлов. Впервые зловредный вирус не ограничивается угрозами – он их выполняет, что является весьма эффективным мотиватором для жертвы, и она старается заплатить выкуп быстрее.

После того, как жертва внесла выкуп за зашифрованные файлы, ключ ей предоставляется с помощью блокчейна: создатели вируса вписывают ключ в область метаданных транзакции Биткойна. Так, благодаря блокчейну, злоумышленникам больше не нужно создавать и поддерживать веб-сайт и соответствующую инфраструктуру.

Последняя кибератака, осуществляемая на базе этой технологии, была запущена с новостных сайтов BBC, NewYorkTimes, AOL или NFL, читатели которых меньше всего ожидали подобной угрозы. Киберпреступники перехватили рекламные объявления, размещённые на новостных сайтах, и отправили посетителям новостных сайтов ссылки на вредоносные серверы, где и размещаются программы-вымогатели. Они находят уязвимые места в безопасности компьютера и отравляют вредоносный пакет с программой, требующей за расшифровку данных выкуп.

В использовании преимуществ технологии блокчейна - анонимности и прозрачности процесса -  заинтересованы не только легитимные органы, но и киберпреступники. Поэтому, есть большая вероятность увеличения количества кибератак с использованием данной технологии.