Обмен электронных валют по самому выгодному курсу!
 


Kurbetsoft
Доступно в Google PlayКриптопреступность 2022: вирусы-вымогатели и вредоносные программы

Большое исследование от Chainalysis об использовании криптовалют в незаконной деятельности. Продолжение.

  • Вирусы-вымогатели (шифровальщики)
    • Итоговые данные
    • Ребрендинг программ и группировок
    • Вирусы-вымогатели как геополитическое оружие
    • Как удалось отследить и изъять средства DarkSide
  • Вредоносные программы
    • Итоговые данные
    • Вредоносное ПО и отмывание денег
    • Исследование клиппера HackBoss
    • Пример: ботнет Glupteba
  • Навигация по постам серии

Вирусы-вымогатели (шифровальщики)

Объем платежей в адрес операторов программ-вымогателей продолжает расти, как и роль таких вирусов в геополитических конфликтах

В прошлогоднем отчете аналитики Chainalysis назвали 2020 «годом вирусов-вымогателей» из-за внушительного роста объема криптовалютных платежей от жертв в адрес операторов таких программ. На тот момент общая сумма таких выкупов за 2020 год по оценке Chainalysis составила около $350 млн. Однако, как и всегда, авторы отчета обращали внимание на то, что эта цифра, скорее всего, занижена и еще будет расти, поскольку, во-первых, не все жертвы публикуют информацию об атаках вирусами-вымогателями и уплачиваемых выкупах, и во-вторых, процесс идентификации адресов, принадлежащих операторам таких программ непрерывен, а значит, с обнаружением новых адресов, будут увеличиваться и суммы полученных платежей, в том числе за предыдущие периоды.

Конечно, с тех пор цифры несколько раз обновлялись с учетом новых платежей, не идентифицированных ранее. По состоянию на январь 2022 Chainalysis выявили платежей в адрес операторов вирусов-вымогателей за 2020 год на сумму чуть более $692 млн, почти вдвое больше первоначальной суммы из прошлогоднего отчета.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

По диаграмме видно также, что за 2021 год таких платежей на данный момент выявлено на сумму чуть более $602 млн. Однако, как и в случае с предыдущим годом, эта оценка занижена, и подлинная сумма выкупов, выплаченных за 2021 год операторам программ-вымогателей, вероятно, будет намного выше. В действительности некоторые неподтвержденные пока данные, плюс тот факт, что общая выручка программ-вымогателей в первой половине 2021 года превысила показатели первой половины 2020, позволяют предположить, что 2021 год окажется для операторов вирусов-вымогателей еще более успешным. Далее мы рассмотрим подробнее, какие вирусы этой категории были наиболее распространены в 2021 году, как их операторы отмывали полученные средства, а также примеры того, как правоохранительные органы и службы безопасности борются с вирусами-вымогателями.

Итоговые данные по вирусам-вымогателям за 2021 год

Conti был крупнейшим вирусом-вымогателем по объему полученных за 2021 год выкупов: не менее $180 млн.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

По неподтвержденным данным, группировка базируется в России и работает по модели «вирус-вымогатель как услуга» (Ransomware-as-a-Service, RaaS). То есть операторы Conti позволяют клиентам проводить атаки с использованием своей программы в обмен на вознаграждение.

Примечателен также DarkSide — как вторым местом по объему полученных за 2021 год выкупов из идентифицированных Chainalysis, так и своей ролью в атаке на нефтепровод Colonial Pipeline, одной из самых резонансных атак прошедшего года. Атака вызвала дефицит топлива в нескольких регионах, усугублявшийся волной панических покупок в результате распространения информации о последствиях атаки. История Colonial — это важный пример и напоминание о том, почему атаки вирусов-вымогателей настолько опасны: часто они бывают нацелены на критически важную инфраструктуру, необходимую для поддержания функционирования страны, — не только на энергетические предприятия, но и на поставщиков продуктов питания, учебные заведения, больницы и компании, предоставляющие финансовые услуги.

Однако атака на Colonial Pipeline обернулась также историей успешного противостояния вымогателям, поскольку Минюсту США удалось отследить и конфисковать $2,3 миллиона выкупа, уплаченного компанией операторам DarkSide. Ниже мы еще рассмотрим подробнее, как агентам удалось это сделать. Здесь же достаточно отметить, что растущая способность правоохранительных органов замораживать платежи после их совершения — это огромный шаг вперед в борьбе с вирусами-вымогателями. И это также еще одна причина, по которой жертвам стоит чаще сообщать об атаках, даже в случае выплаты выкупа, поскольку правоохранительные органы могут помочь им вернуть свои средства, полностью или частично. В целом, в 2021 году наблюдалось также больше активных «штаммов» вирусов-вымогателей, чем в любом другом году.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Выплаты от жертв за 2021 год получили по меньшей мере 140 вирусов, в сравнении со 119 в 2020 и 79 в 2019. Эти цифры отражают интенсивный рост программ-вымогателей, наблюдаемый нами в последние два года. Большинство вирусов-вымогателей появляются и исчезают волнами, оставаясь активными короткий промежуток времени, прежде чем перейти в состояние бездействия. Мы показываем это на приведенной ниже диаграмме, отражающей, как постепенно снижалась в течение года активность десяти крупнейших вирусов-вымогателей.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Conti был единственным вирусом, остававшимся стабильно активным в течение всего 2021 года. Фактически его доля в общем объеме доходов от программ-вымогателей в течение года росла. Однако в целом устойчивость и работоспособность Conti со временем становится всё большим отклонением от нормы.

Как мы еще будем говорить далее, растущее число активных вирусов и, как правило, короткая продолжительность жизни большинства из них являются также результатом активного ребрендинга. Все чаще мы видим, как операторы вирусов публично объявляют о «прекращении» деятельности, прежде чем перезапуститься под новым именем, как будто новая и самостоятельная киберпреступная группа. Часто при этом финансовый след переименованного вируса в блокчейне совпадает со следом исходного вируса, что может служить подсказкой о том, кто на самом деле стоит за новым вирусом.

Размер платежей от жертв операторам программ-вымогателей также продолжил расти; эта тенденция наблюдается каждый год с 2018.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

В 2021 году средний размер платежей в адрес вирусов-вымогателей составил $118 тыс., в сравнении с $88 тыс. в 2020 и $25 тыс. в 2019. Крупные платежи, такие как рекордные $40 млн, полученные Phoenix Cryptolocker, безусловно, способствовали росту среднего значения до нового исторического максимума. Одна из причин увеличения средней суммы выкупа заключается в целенаправленном проведении атак против крупных организаций. Отчасти эта стратегия «охоты на крупную дичь» поддерживается использованием злоумышленниками для повышения эффективности атак инструментов, предоставляемых сторонними поставщиками. Инструменты варьируются в диапазоне от незаконных средств взлома до легальных продуктов и включают:

  • арендованную для проведения атак инфраструктуру, включая абузоустойчивый веб-хостинг, службы регистрации доменов, ботнеты, прокси-сервисы и службы электронной почты;
  • инструменты взлома, такие как доступ к уже зараженным сетям, наборы эксплойтов, сканирующих сети жертв на наличие уязвимостей, и вредоносные программы, помогающие злоумышленникам эффективнее распространять программы-вымогатели;
  • украденные данные, такие как пароли, персональные данные и скомпрометированные учетные данные протокола удаленного рабочего стола (RDP), помогающие злоумышленникам проникать в компьютерные сети жертв.

Использование этих сервисов операторами программ-вымогателей в 2021 году взлетело до рекордно высокого уровня.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Из всех средств, отправленных с адресов, связанных с вирусами-вымогателями, 16% были потрачены на инструменты и сервисы, используемые для повышения эффективности атак, по сравнению с 6% в 2020 г. Хотя есть вероятность, что часть этих переводов обусловлена отмыванием денег, а не покупкой услуг, мы считаем, что рост использования этих сервисов является одной из причин увеличения эффективности атак вирусами-вымогателями в 2021 году, о чем свидетельствует рост среднего размера платежей жертв.

Еще одна важная тенденция в связи с активностью вирусов-вымогателей — это отмывание денег. На приведенном ниже графе показано, куда злоумышленники перемещают полученные от жертв криптовалюты.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

За последние несколько лет большинство операторов вирусов-вымогателей отмывали полученные от жертв средства, отправляя их на централизованные биржи. Некоторые из этих бирж относятся к категории высокого риска, что, как правило, подразумевает упрощенные процедуры комплаенса, но в основном это крупные биржи с более налаженными программами комплаенса. Мы также видим, что значительные средства направляются как на микшеры, так и на адреса, связанные с другими формами незаконной деятельности.

Тенденции отмывания денег выглядят еще интереснее, если перейти на уровень отдельных сервисов, получающих средства от операторов программ-вымогателей.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Удивительно, но 56% средств, отправленных с адресов, связанных с вирусами-вымогателями, с 2020 года, в конечном счете оказались в одном из шести криптовалютных бизнесов:

  • три крупных международных биржи;
  • одна биржа категории высокого риска, базирующаяся в России;
  • два сервиса по микшированию.

Как и активный ребрендинг вирусов, о котором мы упоминали выше, эти тенденции в отмывании денег показывают, насколько мала в действительности экосистема программ-вымогателей. Это хорошая новость, поскольку означает, что стратегия борьбы с распространением вирусов-вымогателей, скорее всего, проще, чем кажется на первый взгляд. Расправившись с небольшим количеством сервисов, способствующих отмыванию денег, правоохранительные органы могут значительно сократить возможности злоумышленников по обналичиванию средств, уменьшив тем самым финансовые стимулы для проведения атак с использованием «шифровальщиков», препятствующих работе организаций.

Активный ребрендинг вирусов в 2021 году показывает, что экосистема программ-вымогателей в действительности меньше, чем кажется

Как уже отмечалось выше, период активности большинства вирусов-вымогателей не очень продолжителен. Хотя в какой-то степени так было всегда, в 2021 году эта тенденция стала еще более заметной.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Два года назад средний срок активности вируса-вымогателя составлял около года. В 2021 году в среднем это не более двух месяцев. Почему средний срок жизни вирусов-вымогателей так быстро сокращается?

Одна из основных причин — это ребрендинг. В 2021 году исследователи кибербезопасности чаще, чем когда-либо, фиксировали случаи, когда операторы программ-вымогателей публично заявляли о прекращении деятельности группы, только для того чтобы продолжить ее под другим именем. Обычными признаками такой преемственности являются сходство программного кода и разведданные, собранные на форумах киберпреступников, а также средствами блокчейн-анализа. Таким образом, хотя в 2021 году было активно по меньшей мере 140 программ-вымогателей, за многими из этих программ на самом деле стояли одни и те же криминальные группы.

Эти вирусы пытаются создать иллюзию принадлежности разным группам, создавая отдельные сайты для приема платежей жертв и разную инфраструктуру, но имеют общие черты в своем коде. Evil Corp, российская группировка, ответственная за несколько крупных атак программами-вымогателями в последние годы, за свою историю использовала несколько переименованных вирусов, включая:

  • Doppelpaymer
  • Bitpaymer
  • WastedLocker
  • Hades
  • Phoenix Cryptolocker. Этот вирус примечателен тем, что «отключился» после одной атаки, в результате которой злоумышленники получили выкуп в размере $40 млн — крупнейший в истории.
  • Grief. Grief обнаруживает сходство кода с шифровальщиком Doppelpaymer, включая явное использование вредоносного ПО Dridex. По состоянию на 2021 год Grief примечателен также тем, что требует выплат в криптовалюте Monero.
  • Macaw. Интересно, что в Macaw используется совершенно иной переговорный метод, чем в предыдущих вирусах Evil Corp. В частности поэтому Macaw можно было бы описать не столько как «ребрендинг» старого вируса, а скорее как уникальный штамм, запущенный существующей киберпреступной группой.
  • PayloadBIN. Многие аналитики в области кибербезопасности сообщали, что запуск группой Evil Corp вируса PayloadBIN призван выглядеть как ребрендинг старого вируса, использованного другой киберпреступной группой. То есть это своего рода двойной ребрендинг.

Свидетельства общей принадлежности некоторых из этих вирусов можно увидеть и по истории связанных с ними криптовалютных транзакций. Взгляните на граф транзакций из Chainalysis Reactor:

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Этот граф отражает процесс отмывания денег для пяти вирусов-вымогателей от Evil Corp, упоминавшихся выше. Хотя все они, по-видимому, управляются отдельными организациями, большинство отправляют полученные в ходе атак средства в одну и ту же группу кошельков-посредников, а оттуда переводят средства на множество тех же депозитных адресов на биржах категории высокого риска.

Но почему Evil Corp так часто проводит ребрендинг своих вирусов? Большинство аналитиков сходятся в том, что это попытка обхода наложенных санкций. Evil Corp, лидеры которой подозреваются в связях с российским правительством, с декабря 2019 года находится под санкциями Соединенных Штатов. В октябре 2020 Управление по контролю над иностранными активами (OFAC) Минфина США подтвердило, что жертвы программ-вымогателей, выплачивающие выкуп организациям, находящимся под санкциями США, могут понести наказание. Это поставило Evil Corp в невыгодное положение, поскольку означало, что многие жертвы и их представители, с большой вероятностью будут воздерживаться от уплаты выкупа из-за дополнительных санкционных рисков. Проводя ребрендинг, Evil Corp, вероятно, рассчитывают ввести жертв в заблуждение, чтобы те заплатили выкуп, прежде чем исследователи обнаружат потенциальные санкционные риски.

К сожалению, в случае Evil Corp ребрендинг, похоже, выполнил свою задачу, поскольку жертвы заплатили операторам связанных с этой организацией вирусов-вымогателей не менее $85 млн выкупа.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Конечно, Evil Corp — не единственная организация, проводящая ребрендинг своих программ-вымогателей. В июле 2021 группа, стоящая за вирусом DarkSide, начала проводить атаки с очень похожим шифровальщиком под названием BlackMatter. Это произошло после атаки DarkSide на Colonial Pipeline и последующей конфискации ФБР большей части этого выкупа, и мы полагаем, что ребрендинг произошел в ответ на давление со стороны правоохранительных органов. Одним из подтверждений этому можно считать заявленное нежелание BlackMatter атаковать нефтяные и газовые компании. Это имело бы смысл для ребрендинга DarkSide, поскольку атака на Colonial закончилась для группы плохо.

Всплеск ребрендинга шифровальщиков является важным напоминанием о том, что экосистема вирусов-вымогателей меньше, чем кажется на первый взгляд. Хотя новые «штаммы» появляются постоянно, многие из них в конечном счете управляются или развертываются теми же группами и лицами, все из которых, вероятно, испытывают давление со стороны правоохранительных органов, наращивающих усилия по предотвращению атак, конфискации вымогаемых средств и аресту ответственных лиц. Ребрендинг — один из способов, используемых для уклонения от этого преследования, и он предполагает, что следователям и специалистам по кибербезопасности, вероятно, стоит уделять больше внимания изучению операторов программ-вымогателей на организационном уровне и меньше — уникальным «штаммам».

Вирусы-вымогатели как геополитическое оружие

Большая часть атак программ-вымогателей, по-видимому, имеет финансовую мотивацию. Но есть и те, что кажутся мотивированными геополитическими целями и, похоже, больше ориентированы на обман, шпионаж, репутационный ущерб и подрыв деятельности правительств недружественных стран.

В тех случаях, когда вирус-вымогатель не содержит механизма для получения платежей или позволяет жертвам восстанавливать свои файлы, можно быть более уверенными в том, что деньги, по-видимому, не являются основной мотивацией злоумышленников. И именно эти признаки можно было наблюдать, например, в январской атаке на украинские правительственные учреждения хакерами, предположительно связанными с российским правительством.

Как описывает здесь Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), атака произошла в ночь на 13 января 2022 и нарушила работу нескольких государственных учреждений. Эта атака произошла на фоне растущей напряженности между двумя странами, когда Россия наращивала свои войска у границ с Украиной и многие уже высказывали опасения о неизбежном вторжении. Подобная атака на фоне растущей напряженности между странами произошла и в 2017 году. Тогда целью российского шифровальщика NotPetya, не содержавшего жизнеспособного платежного механизма, стали несколько украинских организаций, что было расценено широким экспертным сообществом как геополитически мотивированная кибератака со стороны России, а не попытка вытребовать выкуп.

Microsoft Security опубликовали собственный анализ январской атаки, где отметили, что рассматриваемый вирус-вымогатель, получивший название DEV-0586, но известный также как WhisperGate, вовсе не имеет механизма возврата пользователям доступа к своим файлам. Там же приводится сообщение, показывавшееся программой украинским жертвам:

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы
Источник: блог Microsoft Security

Адрес, связанный с DEV-0586, не имеет достаточно обширной истории транзакций, из которой мы могли бы извлечь ценную информацию. Но дальнейший анализ технических параметров программы-вымогателя добавляет аргументов версии об исключительно геополитической мотивации атакующих. Двадцать шестого января CERT-UA опубликовала отчет, в котором показала, что DEV-0586 содержит код, перепрофилированный из WhiteBlackCrypt, вируса-вымогателя, активного в 2021 году, который, как и DEV-0586, предназначен для уничтожения компьютерных систем жертвы, а не с целью вымогательства. Но вот интересная деталь: WhiteBlackCrypt нацелен на российские организации, а не на украинские. Аналитики по кибербезопасности полагают, что переиспользование в DEV-0586 кода из WhiteBlackCrypt, а также наличие других свойств, указывающих на связь между этими двумя вирусами, является уловкой российских хакеров, которые хотели придать программе признаки украинского, а не российского, происхождения — иными словами, атака под ложным флагом. Гамбит показывает, насколько далеко могут заходить акторы, использующие программы-вымогатели для атак на другие государства, чтобы замаскировать происхождение своих атак и сохранить возможность «правдоподобного отрицания». Мы продолжим отслеживать активность адреса, связанного c DEV-0586, и представим обновление, когда это будет возможно.

Злоумышленники, аффилированные с Россией, — не единственные, кто использует вирусы-вымогатели в геополитических целях. Аналитики по кибербезопасности из Crowdstrike и Microsoft пришли к заключению, что многие атаки вирусами-вымогателями, связанными с Ираном, в основном нацелены на организации в США, ЕС и Израиле и в большей мере направлены на то, чтобы вызвать сбои или послужить уловкой для прикрытия шпионской деятельности. Вообще говоря, Chainalysis в прошедшем году наблюдали значительный рост числа вирусов-вымогателей, приписываемых иранским киберпреступникам. Фактически на Иран приходится больше отдельных идентифицированных «штаммов», чем на любую другую страну.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Здесь нужно пояснить, что многие из этих иранских вирусов-вымогателей используются киберпреступниками для обычных финансово мотивированных атак. В Иране высокообразованное население, но ограниченные возможности трудоустройства, что, вероятно, способствует привлекательности такого рода киберпреступной деятельности. Однако другие вирусы ведут себя скорее как инструменты шпионажа, вымогая у жертв весьма незначительные суммы в криптовалютах. Другие аналитики ранее выявили случаи использования вирусов, связанных с Китаем, таких как ColdLock, в подобных геополитических атаках на тайваньские организации.

Вирус-вымогатель может служить полезным прикрытием для стратегического отрицания и введения в заблуждение недружественных государств, поскольку проведение таких атак может иметь невысокую стоимость и дает атакующей стороне возможность «правдоподобного отрицания»: всегда можно переложить ответственность за атаку на «простых киберпреступников» или даже другое государство. Но даже атаки с мотивацией, отличной от финансовой, оставляют след в блокчейне. Поэтому важно, чтобы агентства, занимающиеся вопросами национальной безопасности, понимали, как отслеживать движение средств средствами блокчейн-анализа, поскольку это ключ к идентификации лиц, причастных к атакам, инструментов, которые они используют, и способов отмывания средств, полученных от жертв.

Как ФБР отследило и изъяло средства, полученные DarkSide в результате атаки на Colonial Pipeline

Седьмого мая 2021 года Colonial Pipeline, нефтепроводная компания и важный поставщик для юго-восточной части Соединенных Штатов, стала жертвой атаки вымогателей, вынудившей ее временно приостановить свою деятельность. В течение нескольких часов после атаки компания заплатила выкуп в размере 75 BTC (около $4,4 млн на тот момент) на адрес DarkSide, российской киберпреступной группировки, ответственной за атаку. Шесть дней спустя Colonial смогла восстановить работу, но за этот период приостановка процессов в сочетании с паническими покупками на быстро распространяющихся новостях успела привести к нехватке топлива в нескольких регионах.

Месяц спустя появились хорошие новости: Министерство юстиции объявило о конфискации в результате расследования ФБР биткойнов на сумму $2,3 млн из тех, что были выплачены Colonial в качестве выкупа. Chainalysis с гордостью сообщают, что аналитические инструменты компании помогли ФБР в этом расследовании и теперь мы можем поделиться подробностями о том, как были отслежены эти средства.

Начнем непосредственно с выплаты выкупа и первоначального перемещения средств, используя для этого инструменты Chainalysis Reactor.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Первым слева показан первоначальный платеж в размере 75 BTC от Colonial, на адрес, предоставленный злоумышленниками. Вскоре этот адрес перевел средства на адрес, контролируемый администраторами DarkSide, которые затем отправили 85% средств — 63,7 BTC — партнеру, контролировавшему атаку. Это ключевой момент: DarkSide работает по модели «программа-вымогатель как сервис» (Ransomware as a Service, RaaS), что означает, что аффилированные акторы, осуществляющие атаку, платят за использование технологии DarkSide основной группе администраторов, создавшей и управляющей программой-вымогателем. Администраторы получают небольшую часть дохода от каждой успешной атаки, как видно из приведенного выше графа транзакций.

Интересно, что рассматриваемый аффилянт ранее получал платежи с адресов, связанных с NetWalker, еще одним вирусом-вымогателем, работающим по модели RaaS, деятельность которого была пресечена правоохранительными органами в январе 2021 года.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

В конце мая – начале июня 2020 года аффилянт получил от администратора NetWalker серию из четырех платежей на общую сумму 595,3 BTC, что позволяет предположить, что он проводил атаки с использованием и этого вируса тоже. Это было бы неудивительно, поскольку в прошлом Chainalysis отмечали и другие случаи совпадения аффилированных акторов между различными вирусами-вымогателями.

Проследив движение средств до адреса, контролируемого аффилянтом, 28 мая 2021 года следователи ФБР смогли их конфисковать.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Эта конфискация представляет собой огромный шаг вперед в борьбе с вирусами-вымогателями, особенно теми, что атакуют критическую инфраструктуру государств.

Каково будущее программ-вымогателей?

Вирусы-вымогатели не только очень опасны. Это также одна из самых динамичных и постоянно меняющихся форм преступности, связанной с криптовалютами. Постоянные ребрендинги и смены стратегий отмывания денег, а также геополитические влияния, затрудняют понимание того, что будет происходить дальше. Одна из тенденций, на которые следует обратить внимание, — это выкупы в Monero. Аналитики отмечают, что всё чаще злоумышленники требуют уплаты выкупов именно в Monero, по-видимому, из-за более высокого уровня конфиденциальности, предлагаемого этой криптовалютой. Хотя подавляющее большинство атак по-прежнему подразумевает выкуп в BTC, сотрудникам правоохранительных органов и специалистам по кибербезопасности следует обратить внимание на развитие этой тенденции, равно как и на использование для выкупов других конфиденциальных койнов, поскольку это повлияет на тактику расследований.

Такие события, как конфискация средств у DarkSide, показывают, что правоохранительные органы в сотрудничестве с компаниями по блокчейн-анализу достигли немалого прогресса в расследовании атак программами-вымогателями и эта борьба будет продолжена.

Вредоносные программы

Познакомьтесь с семействами вредоносных программ, помогающих хакерам красть и майнить криптовалюты на миллионы долларов

В отношении криптовалютных краж обозреватели отрасли обычно сосредотачивают внимание на атаках на крупные организации, а именно на взломах криптовалютных бирж или атаках на критическую инфраструктуру посредством вирусов-вымогателей. Но последние несколько лет Chainalysis наблюдали, как хакеры применяли вредоносное ПО и для кражи небольших объемов криптовалют у отдельных пользователей.

В использовании вредоносного ПО для кражи или вымогательства криптовалют нет ничего нового. На самом деле почти все вирусы-вымогатели изначально доставляются на устройства жертв с помощью вредоносных программ, и многие крупномасштабные взломы бирж тоже связаны именно с ними. Но эти атаки требуют тщательного планирования и навыков, поскольку обычно они нацелены на крупные профессиональные организации с глубокими карманами и в случае успеха требуют отмывания крупных сумм криптовалют. С другими типами вредоносных программ менее изощренные хакеры могут использовать более дешевый безадресный подход, рассылая спам миллионам потенциальных жертв и крадя меньшие суммы у каждого из тех, кого удалось обманом побудить установить вредоносное ПО. Многие из этих вредоносных программ доступны для покупки в даркнете, что еще больше облегчает их использование для менее искушенных хакеров.

В этом разделе мы исследуем тенденции использования хакерами вредоносных программ, ориентированных на криптовалюты, за последнее десятилетие и расскажем о двух реальных примерах, которые помогут читателю понять эту малообсуждаемую область криптопреступности.

Итоговые данные по вредоносным программам, ориентированным на криптовалюты

К категории вредоносного ПО относят программы, выполняющие вредоносные действия на устройстве(-ах) жертвы, как правило, без ее ведома. Преступления, совершаемые с помощью таких программ, могут быть простыми — как кража информации или денег, — но могут быть и гораздо более сложными и масштабными. Например, операторы вредоносных программ, которым удалось заразить достаточное количество устройств, могут использовать эти устройства в качестве ботнета, заставляя их работать совместно для выполнения распределенных атак типа «отказ в обслуживании» (DDoS), мошенничества с рекламой или отправки спама по электронной почте для дальнейшего распространения вредоносного ПО.

Все обсуждаемые здесь семейства вредоносного ПО используются для кражи криптовалют, но некоторые используются и для других целей. В таблице ниже представлены наиболее распространенные типы семейств вредоносных программ, ориентированных на криптовалюты.

Тип Описание Пример
Инфостилеры Собирают со скомпрометированных компьютеров сохраненные учетные данные, файлы, историю автозаполнения и криптовалютные кошельки. Redline
Клипперы Могут подменять в буфере обмена скопированный пользователем текст на новый. Хакеры могут использовать клипперы для подмены криптовалютных адресов, скопированных в буфер обмена, таким образом перенаправляя транзакцию жертву на собственный кошелек. HackBoss
Криптоджекеры Несанкционированно используют вычислительные мощности устройства жертвы для майнинга криптовалют. Glupteba
Трояны Вирус, выглядящий как обычная программа, но проникает в компьютер жертвы с целью нарушения его работы, кражи или нанесения иного ущерба. Банковский троян Mekotio

Многие из описанных выше семейств вредоносных программ можно приобрести на специализированных форумах за сравнительно небольшие деньги. Например, на скриншотах ниже показана реклама инфостилера Redline, размещенная на российском тематическом форуме.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Продавец предлагает киберпреступникам месяц доступа к Redline за $150 и пожизненный доступ за $800. Покупатели также получают доступ к Spectrum Crypt Service, инструменту на базе Telegram, позволяющему киберпреступникам шифровать Redline, затрудняя обнаружение стилера антивирусными программами жертвы после загрузки. Распространение дешевого доступа к семействам вредоносных программ, таким как Redline, означает, что использовать их для кражи криптовалют могут даже сравнительно низкоквалифицированные киберпреступники. Правоохранительным органам и отделам по контролю комплаенса нужно об этом помнить и понимать, что расследуемые ими атаки вредоносных программ не обязательно выполняются непосредственно администраторами семейства вредоносных программ: часто это небольшие группы, арендующие доступ к семейству программ, подобно аффилянтам вирусов-вымогателей.

На диаграмме ниже показано количество переводов от жертв на криптовалютные адреса, связанные с выборкой исследуемых Chainalysis семейств вредоносных программ в категориях инфостилеров и клипперов.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы
Примечание: диаграмма не отражает активности, связанной с криптоджекерами или программами-вымогателями.

В общей сложности за 2021 год семейства вредоносных программ из этой выборки получили 5574 перевода от жертв, по сравнению с 5447 переводами в 2020.

Какие семейства вредоносных программ были наиболее активны?

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы
Примечание: диаграмма не отражает активности, связанной с криптоджекерами или программами-вымогателями.

Cryptbot, инфостилер, крадущий криптокошельки жертвы и учетные данные жертв, был самым результативным семейством вредоносных программ в группе, принеся операторам почти полмиллиона долларов в украденных BTC. Еще одно высокорезультативное семейство — это QuilClipper, программа, крадущая данные из буфера обмена, или «клиппер», занимающая восьмое место на диаграмме выше. Клипперы можно использовать для подмены текста в «буфере обмена», содержащем текст, скопированный пользователем, обычно с намерением вставить его где-то еще. Обычно клипперы используют эту функциональность для определения того, когда пользователь скопировал криптовалютный адрес — вероятно, для отправки средств. В этом случае клиппер, по сути, перехватывает транзакцию, подменяя скопированный адрес в буфере обмена адресом злоумышленника, чтобы пользователь вставил его в окне кошелька и отправил платеж на подложный адрес.

Но ни одна из этих цифр и близко не может сравниться с наиболее результативным и прибыльным типом вредоносного ПО из ориентированных на криптовалюты: криптоджекерами.

Масштабы активности криптоджекеров не вполне определенны, но существенны

Криптоджекеры приносят прибыль своим операторам, используя вычислительные мощности жертв для майнинга криптовалют — обычно Monero, но мы встречали также реализации с Zcash и Ethereum. Поскольку средства при этом перемещаются непосредственно из мемпула на неизвестные нам майнинговые адреса, а не с кошелька жертвы на новый кошелек, это затрудняет пассивный сбор данных об активности криптоджекеров подобный тому, какой можно использовать для других форм связанной с криптовалютами преступности. Однако мы знаем, что это большая проблема. В 2020 году подразделение безопасности облачных решений Cisco сообщало, что с криптоджекерами сталкивались 69% их клиентов, что подразумевает невероятное количество украденных вычислительных мощностей и, следовательно, значительное количество незаконно намайненных криптовалют. В отчете Palo Alto Networks от 2018 года количество «добытых» криптоджекерами Monero оценивалось в 5% от находящихся в обращении токенов, что составило бы более $100 млн доходов, делая криптоджекеры самой прибыльной формой вредоносного ПО, ориентированного на криптовалюты.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Эти цифры для криптоджекинга, скорее всего, лишь верхушка айсберга. По мере идентификации новых семейств вредоносных программ, участвующих в этой деятельности, мы ожидаем получить еще большую долю этой категории в общем объеме доходов от вредоносного ПО.

Вредоносное ПО и отмывание денег

Подавляющее большинство операторов вредоносных программ получают первоначальные платежи от жертв на адреса частных кошельков, хотя некоторые используют для этого депозитные адреса крупных сервисов. Из этой меньшей группы, большинство используют депозитные адреса бирж, — в основном, категории высокого риска, со слабыми процедурами KYC либо вовсе их не имеющих.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

После получения криптовалют от жертв, большую часть средств операторы вредоносных программ отправляют на адреса централизованных бирж.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Однако перевес у этой большей части небольшой и со временем уменьшается. В 2021 году на биржи с адресов, ассоциируемых с вредоносными программами, было отправлено только 54% средств, по сравнению с 75% в 2020. Большую часть разницы между этими значениями в 2021 году составляли DeFi-протоколы, по сравнению с пренебрежимо малой долей входящих средств вредоносных программ в 2020. Незаконные сервисы, казалось бы, не связанные с вредоносными программами — в основном даркнет-маркеты, — тоже являются важным каналом отмывания денег для операторов таких программ, получив в 2021 году около 15% от общего объема входящего трансфера от этой категории адресов.

Кражи криптовалют с использованием вредоносных программ трудно расследовать, отчасти из-за большого числа менее изощренных киберпреступников, которые могут просто арендовать доступ к этим программам. Но изучение паттернов отмывания украденных криптовалют киберпреступниками может быть лучшим способом для следователей находить тех, кто причастен к этой активности. Средствами блокчейн-анализа следователи могут отслеживать движение средств, находить депозитные адреса, используемые киберпреступниками для обналичивания, и в судебном порядке истребовать у хостинговых сервисов идентификационные данные злоумышленников.

Исследование клиппера HackBoss

По данным Chainalysis, клиппер HackBoss за 2021 год украл криптовалют на сумму более $80 тыс. За период с 2012 г. HackBoss является самым прибыльным клиппером в мире, украв у пользователей в общей сложности более $560 тыс. в таких активах, как Bitcoin, Ethereum, Ripple и др.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Интересно, что HackBoss нацелен в первую очередь на других хакеров, а не на тех, кого обычно принято считать жертвами вредоносных программ. По данным интернет-ресурса Decoded от Avast.io, HackBoss распространяется через Telegram-канал, предназначенный для предоставления инструментов взлома, таких как программы-взломщики для социальных сетей. Однако, вместо этих инструментов, пользователи канала загружают клиппер HackBoss, который крадет у них криптовалюты, подменяя адреса в буфере обмена на собственные, когда жертвы копируют их для совершения криптовалютных транзакций.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

На графе выше показаны транзакции, в которых HackBoss получает криптовалюты от предполагаемых жертв (слева). После этого операторы переводят средства на депозитные адреса бирж категории высокого риска.

Если HackBoss нацелен на хакеров, ищущих инструменты для собственной киберпреступной деятельности, то большинство других клипперов нацелены на обычных пользователей криптовалют. Очень трудно определить, стал ли кто-то жертвой клиппера, пока транзакция не была перехвачена, учитывая длину и сложность криптовалютных адресов. Большинство пользователей не проверяют адрес получателя целиком перед отправкой транзакции. Однако это может быть необходимостью для тех, кто желает соблюсти все разумно возможные меры предосторожности. По меньшей мере пользователям криптовалют необходимо проявлять бдительность в отношении того, по каким ссылкам они переходят и какие программы из каких источников загружают, так как существует несколько активных «штаммов» вредоносных программ — не только клипперов, — предназначенных для кражи криптовалют.

Пример: ботнет Glupteba захватывает компьютеры для майнинга Monero и использует блокчейн Биткойна для обхода накладываемых ограничений

В жалобе, поданной Google в конце 2021 года, названо несколько российских граждан и юридических лиц, предположительно ответственных за работу ботнета Glupteba, скомпрометировавшего более 1 миллиона машин. Операторы Glupteba использовали эти машины для нескольких преступных схем, в том числе используя их вычислительные мощности для майнинга криптовалют — в данном случае Monero — в практике, известной как криптоджекинг.

Но самым примечательным аспектом Glupteba является использование поля Op_Return биткойн-транзакций для обхода блокировки доменных имен командного (C2) сервера. Google использовали программное обеспечение и исследовательские сервисы Chainalysis для анализа биткойн-адресов и транзакций, ответственных за отправку сервером обновленных инструкций. Далее мы расскажем о том, как ботнет Glupteba использует блокчейн Биткойна для поддержания своей работоспособности и что это означает для специалистов в области кибербезопасности и правоохранительных органов.

Что собой представляет ботнет Glupteba

Киберпреступники, стоящие за Glupteba, использовали ботнет для осуществления различных преступных схем. Помимо криптоджекинга, ботнет использовался для покупки и продажи информации об учетных записях Google, украденных с зараженных машин, мошенничества с цифровой рекламой и продажи украденных данных кредитных карт.

Google смог идентифицировать указанных в жалобе лиц, получив и изучив активность IP-адреса, используемого одним из командных серверов Glupteba. Все физические лица были также обозначены как владельцы или администраторы подставных компаний, связанных с преступлениями с использованием Glupteba; например, одна из них использовалась для продажи мошеннических показов цифровой рекламы, генерируемых ботнетом. Google удалось успешно отключить текущий командный сервер, однако, поскольку Glupteba доказал свою устойчивость к этим действиям благодаря использованию блокчейн-транзакций, это не является долгосрочным решением.

Как Glupteba использует блокчейн

В управлении ботнетами киберпреступники полагаются на командные (C2) серверы, позволяющие им отправлять команды на машины, зараженные вредоносными программами. Ботнеты ищут доменные адреса, контролируемые их командными серверами, чтобы получить инструкции с указаниями о том, где искать доменные адреса, закодированные в самой вредоносной программе.

В борьбе с ботнетами заинтересованные специалисты стремятся блокировать работу этих доменов, чтобы зараженные компьютеры больше не могли получать инструкции от командного сервера. Операторы ботнетов со своей стороны обычно создают несколько резервных доменов на случай, если активный домен будет отключен. Большинство вредоносных программ алгоритмически генерируют новые адреса доменов для сканирования ботнетами до тех пор, пока не найдут один из таких резервных доменов, который позволит им получать инструкции с командного сервера.

Однако Glupteba делает и кое-что новое. При выходе из строя его командного сервера, Glupteba запрограммирован на поиск в блокчейне Биткойна транзакций от трех адресов, контролируемых его операторами. Эти адреса отправляют транзакции с минимальной денежной стоимостью либо вовсе ее не имеющие, записывая зашифрованные данные в поле Op_Return, используемое для пометки транзакций как недействительных. Обнаружив такую транзакцию, Glupteba расшифровывает данные из поля Op_Return и получает доменный адрес нового командного сервера.

Другими словами, когда один из командных серверов Glupteba отключается, программа может просто просканировать блокчейн и найти новый доменный адрес, скрытый среди сотен тысяч ежедневных транзакций. Благодаря такой тактике, работу ботнета чрезвычайно трудно нарушить обычными средствами, направленными на отключение доменов командного сервера. Это первый известный случай использования ботнетом такого подхода.

Вот что известно о трех биткойн-адресах, используемых операторами Glupteba для поддержания работоспособности ботнета:

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

В общей сложности эти три адреса совершили переводов в BTC всего на несколько сотен долларов, но сообщения, закодированные в поле Op_Return некоторых из этих транзакций, помогали поддерживать работоспособность ботнета Glupteba. Давайте внимательнее рассмотрим, например, адрес 157d…

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

По графу транзакций видно, что адрес получил первоначальное финансирование с микширующего сервиса, прежде чем инициировать недействительные транзакции с заполненным полем Op_Return, которые видно в верхней части графа. Средства, связанные с этими недействительными транзакциями затем отправляются на кошельки для возврата справа и в конечном счете возвращаются на исходный адрес Glupteba. Два других адреса имеют аналогичный паттерн транзакций. Google идентифицировал три адреса Glupteba и передал их Chainalysis, после чего наши исследователи смогли расшифровать данные из поля Op_Return совершенных с них транзакций, что позволило нам обнаружить новые доменные адреса командного сервера, отправляемые ботнету.

Как и 15y7d…, адрес 1CgPC… первоначально финансировался выходами микширующих транзакций. Однако третий адрес, 1Cuha…, получил первоначальное финансирование с другого адреса частного кошелька, bc1qhjuvzwcv0pp68kn2sqvx3d2k3pqfllv3c4vywd.

Криптопреступность 2022: вирусы-вымогатели и вредоносные программы

Интересно, что другие транзакции, отправленные bc1qh…, были связаны с Башней «Федерация», элитным офисным зданием в Москве, в котором также размещалась штаб-квартира Suex, находящегося под санкциями внебиржевого криптовалютного брокера, вовлеченного в отмывание денег для нескольких видов киберпреступности, включая программы-вымогатели. Bloomberg и New York Times упоминают и другие криптовалютные компании со штаб-квартирой в башне «Федерация», включая EggChange, биржу, тоже связанную с киберпреступностью, основатель которой, Денис Дубников, был арестован властями США в ноябре 2021 года. Это вызывает дополнительные вопросы о взаимосвязях между российскими криптовалютными бизнесами, ассоциируемыми с атаками вредоносных программ и вирусов-вымогателей.

Пример Glupteba показывает, почему всем командам, специализирующимся в области кибербезопасности, важно понимать методы анализа криптовалют и блокчейнов

Метод Glupteba с использованием биткойн-транзакций для поддержания работоспособности ботнета представляет собой совершенно новый вектор угрозы для криптовалют. До сих пор методы блокчейн-анализа использовались главным образом частными криптовалютным компаниями и финансовыми учреждениями, подходившими к нему с точки зрения противодействия отмыванию средств и финансированию терроризма. Но этот случай показывает, что отделы кибербезопасности практически любых компаний, которые могут стать мишенью для киберпреступников — особенно тех, что имеют дело с большими объемами конфиденциальных пользовательских данных — должны хорошо разбираться в анализе криптовалют и блокчейнов, чтобы на шаг опережать киберпреступников.

 



БитНовости отказываются от ответственности за любые инвестиционные рекомендации, которые могут содержаться в данной статье. Все высказанные суждения выражают исключительно личное мнения автора и респондентов. Любые действия, связанные с инвестициями и торговлей на крипторынках, сопряжены с риском потери инвестируемых средств. На основании предоставленных данных, вы принимаете инвестиционные решения взвешенно, ответственно и на свой страх и риск.

Подписывайтесь на BitNovosti в Telegram!
Делитесь вашим мнением об этой статье в комментариях ниже.

На основе источника




[vkontakte] [facebook] [twitter] [odnoklassniki] [mail.ru] [livejournal]

Каталог сайтов