Рост киберкриминала
ФБР опубликовало статистику [1] по киберпреступлениям за 2016 г. Количество преступлений в сфере высоких технологий выросло до 29 728 (в 2015 г. их было 288 012 − рост всего 3%), а потери от них составили 1,45 млрд долл. (в 2015 г. – 1,07 млрд долл. − рост 35%). Таким образом, ущерб от инцидентов растет быстрее их количества. В отчете указывается, что наиболее частым и опасным преступлением оказался взлом электронной почты − таких случаев зафиксировано 12 005 с общим ущербом в 360 млн долл. Следующее по значимости − вымогательство (за исключением шифровальщиков − они выделены в отдельную категорию) − 17 146 с ущербом в 15 млн долл. Случаев мошенничества было зафиксировано 10 850 с общим ущербом в 7,8 млн долл. Далее идут шифровальщики с количеством инцидентов 2,673 и потерями в 2,4 млн долл. Впрочем, вполне возможно, что в 2017 г. расклад может измениться.
Вокруг WannaCry
В начале июня было опубликовано очень много материалов по исследованию вымогателя WannaCry, который с 12 мая попортил немало крови специалистам по информационной безопасности. Исследователи Kryptos Logic попытались заразить им Windows XP, однако обнаружилось [2], что эта операционка имеет к нему иммунитет. В результате эксперимента удалось установить, что Windows XP SP2 вообще не заражается, а Windows XP SP3 иногда падает в «синий экран». Причем эксплойт АНБ EternalBlue на Windows XP вполне работает, и если саму «полезную нагрузку» вредоноса запустить локально на Windows XP, она сделает свое черное дело. Забавно, что Microsoft, испугавшись эпидемии WannaCry, выпустила даже исправления для ошибки в SMBv1 для этой операционной системы, что, конечно, полезно, но для защиты от этого конкретного шифровальщика было совершенно не обязательно.
Впрочем, эксперты «Лаборатории Касперского» обнаружили и более забавные особенности WannaCry [3]. Оказалось, что этот вредонос не все файлы уничтожал надежно. Точнее, файлы из «важных» каталогов, таких как «Рабочий стол» и «Документы», уничтожались методом неоднократной перезаписи содержимого. Восстановить их становилось невозможно. Однако файлы из других каталогов системного диска вначале копировались во временную директорию, а затем уничтожались простым способом, что позволяет восстановить их с помощью специальной бесплатной утилиты. Файлы на других дисках уничтожались еще «надежнее» − они перемещались в специальный скрытый каталог и только потом удалялись, опять же, простой системной функцией, которая допускает восстановление файлов после удаления. Ну и файлы, доступные только для записи, также не удалялись, а на них просто устанавливался атрибут «скрытый файл». Таким образом, у жертвы шифровальщика есть возможность восстановить часть своих файлов. Главное, чтобы документы не хранились в «Документах», − это правило известно для безопасников еще со времен появления данного «ролевого» каталога.
То ли Петя, то ли нет
Конечно, центральным событием июня стала эпидемия другого шифровальщика, получившего имя Petya [4], хотя к первому вредоносу, названному таким именем и распространявшемуся в апреле 2016 г., он отношения не имеет. Новый Petya похож на старый только методом шифрования − весь диск целиком шифровался, и запуск операционной системы, естественно, блокировался. Однако применение того же эксплойта EternalBlue, который был в WannaCry, сделало Petya новой звездой. Особенностью новой эпидемии стало то, что червь-шифровальщик начал свое распространение с обновления приложения украинской компании M.E.Doc. Далее вредонос не без помощи разработанного в АНБ эксплойта разошелся по всему миру, используя для этого только локальные сети, т. е. по протоколу SMB. Фактически, эта атака демонстрирует, что уже нет отдельных периметров для корпоративных сетей − многие сети связаны крепче, чем кажется их владельцам и специалистам по информационной безопасности.
Немного о ЦРУ
Продолжается публикация на WikiLeaks информации о инструментах, которые ЦРУ использует в своей работе. В частности, в июне были опубликованы [5] сведения о проекте Cherry Blossom, который предполагает скрытую установку в домашние маршрутизаторы импланта, способного полностью контролировать проходящий через него трафик и пересылать его на контролируемые ЦРУ серверы. В документе указывается, что разработкой проекта занимается Stanford Research Institute. Еще одним инструментом разведки является проект Brutal Kangaroo [6], который предназначен для преодоления воздушного зазора. В него входит набор инструментов для дистанционного получения сведений с компьютеров, не подключенных к сети. Заражение происходит при помощи мобильного носителя, после чего информация накапливается в скрытом разделе диска и по мере подключения новых носителей передается в ЦРУ. Такой вот флопинет специального назначения.
Скромный Fireball
Впрочем, в пике WannaCry, по подтвержденным данным, заразил чуть более полумиллиона компьютеров. Эпидемия Petya была и того скромнее. А тем временем рекламная компания из Китая под названием Rafotech методично устанавливает по всему миру свой троянский модуль для браузера [7], который Check Point назвала Fireball. Такой модуль устанавливается как часть бесплатного ПО, и рекламные возможности его, скорее всего, указаны в лицензии. Однако кроме собственно перенаправления трафика на нужные рекламщику ресурсы модуль имеет возможность исполнять любой код на машине жертвы, воровать ценную информацию и устанавливать дополнительные вредоносные модули.
Check Point обнаружила, что этим модулем заражено 250 млн компьютеров по всему миру, из которых 20% корпоративных. В общем, WannaCry вместе с Petya нервно курят в сторонке. Впрочем, Microsoft заявила [8], что масштабы заражения Fireball сильно преувеличены. Компания следит за этим вредоносом уже с 2015 г. По ее оценкам, он заразил всего 11 млн компьютеров (что тоже значительно больше, чем от эпидемии шифровальщиков). При этом у рекламной конторы Rafotech по-прежнему отменная репутация, и ее не ищут с собаками, как разработчиков WannaCry. Она просто тихо делает свое черное дело.
[1] http://www.securityweek.com/fbi-145-billion-losses-internet-crime-reported-2016
[2] https://blog.kryptoslogic.com/malware/2017/05/29/two-weeks-later.html
[6] http://go.theregister.com/feed/www.theregister.co.uk/2017/06/22/wikileaks_cia_brutal_kangaroo/
[7] http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
[8] http://www.securityweek.com/microsoft-downplays-impact-fireball-malware
