Читать «Стеганография. История тайнописи» онлайн - страница 79

Хакеры рассылают «TeslaCrypt» с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий «JavaScript», обходящий большинство антивирусных программ и загружающий на компьютер жертвы «TeslaCrypt».

В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на «.VVV». На рабочем столе появится текстовый документ или страница «HTML» с требованием выкупа в биткоинах.

В 2017 году был обнаружен «Cerber» — крупнейшая франшиза сервиса «RaaS» (англ. Ransomware-as-a-service — вымогатель как услуга). «Ransomware» представляет собой вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку. «Cerber» позволяет любым пользователям, не владеющим технологиями, запускать собственные независимые вымогательские атаки.

На сегодняшний день «Cerber» запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний, например, в июле 2016 исследователи обнаружили около 150 тысяч жертв в 201 стране и регионе.

«Cerber» распространился по всему миру и достиг даже Украины. Основным путем заражения являются спам-письма, которые пользователь получает в рамках мошеннических рассылок. Как правило, вирус прикреплен к файлу, который приложен к письму. С помощью технологий социальной инженерии мошенники заинтересовывают потенциальную жертву и заставляют ее открыть вложенный документ. После чего происходит заражение.

При этом ПК ведет себя довольно необычно, и это может стать сигналом тревоги для пользователя. Дело в том, что троян инициирует перезагрузку компьютера. После чего проверяет свою локацию (в ранних версиях он не шифровал ПК в странах бывшего СНГ) и приступает к шифрованию данных.

Новый вариант программы-вымогателя «Cerber» теперь нацелился на пользователей приложения электронной почты «MS Office 365». Он использует уязвимость «0-day», отправляя фишинговые письма с прикрепленными вредоносными файлами.

Как и многие другие программы-вымогатели, «Cerber» шифрует файлы пользователя и требует заплатить 1,24 биткойна (более 800 долларов) за ключ дешифрования, позволяющий восстановить файлы. Однако «Cerber» также использует аудиосистему компьютера для воспроизведения своего уведомления о необходимости заплатить выкуп.

Большинство антивирусных решений на сегодняшний день не защищают от стеганографических атак или защищают слабо, между тем, нужно понимать, что каждый заполненный контейнер опасен. В нем могут быть скрыты данные, которые эксфильтруются шпионским ПО, или коммуникация вредоносного ПО с командным центром, или новые модули вредоносного ПО.

В 2017 году «Лаборатория Касперского» наблюдала использование стеганографии в следующих вредоносных программах и средствах кибершпионажа: