Только в начале января каждого года я чувствую, что работать ежемесячным колумнистом — это легко (не то чтобы я сильно уставал от своей антивирусной и музыкальной деятельности, но все-таки). Потому что самое тяжелое в нашей работе — придумать хорошую тему, а один раз в начале года это не представляет никакой сложности. Время подводить итоги!

Этот материал станет своего рода финальной чертой, которая подведет итог под облаком тегов «APT», «таргетированная атака», «вредоносное ПО», «инцидент» и «малварь». Мы рассмотрим события 2015 года, которые, на наш взгляд, сдвинули индустрию, а не просто создали информационный шум. Встречаем: самое вредоносное программное обеспечение 2015 года.

 

Carbanak

Начало 2015 года отметилось громким анонсом финансовой таргетированной атаки, в ходе которой по самым пессимистичным оценкам преступникам удалось украсть около миллиарда долларов у финансовых учреждений и банков. «Когда-нибудь про это снимут фильм»… Нас же мало интересует эмоциональная составляющая данного инцидента — сфокусируемся на технологической части ограбления.

Carbanak — это бэкдор, изначально написанный на основе кода Carberp. После того как злоумышленники получали доступ к какой-нибудь машине (термин «бэкдор» как бы обязывает), они проводили разведку сети на предмет дальнейшего распространения и заражения критически важных систем — процессинговых, бухгалтерских, а также банкоматов. Этот факт отлично характеризует слово persistent в аббревиатуре APT — разведку злодеи проводят в ручном режиме, пытаясь скомпрометировать нужные компьютеры и применяя инструменты, обеспечивающие дальнейшее заражение компьютеров в сети.

Перехватом клавиатурного ввода сегодня никого не удивишь (особенно создателей троянов-банкеров), а вот что инфицированные компьютеры использовались для записи видео, которое затем отправлялось на серверы злоумышленников, — это интересно.

В ходе расследования было выявлено несколько способов обналичивания. В некоторых, особо «эффектных» случаях банкоматы получали дистанционные команды на выдачу наличных, которые сразу же забирали дропы.

«Как украсть миллиард долларов» в картинках
«Как украсть миллиард долларов» в картинках

Киберпреступная группа, стоящая за этой таргетированной атакой, по-прежнему активна, так как в конце 2015 года выявлены новые версии вредоносного ПО Carbanak, а значит, вполне вероятно, что в 2016-м мы еще услышим о новых инцидентах и подробностях их расследования.

 

Cryptowall

Если кто-то попросит охарактеризовать 2015 год одним термином, то, не задумываясь, антивирусная индустрия дружно крикнет: «Ransomware!». Рансомвара повсюду: в средствах массовой информации, в почте в виде всевозможных вложений, на компьютерах и телефонах пользователей, даже на рабочих станциях государственных структур и организаций разных масштабов бизнеса. «ФБР рекомендует жертвам вымогательского ПО платить выкуп» — не желтый заголовок, а реальная рекомендация представителя государственной организации на Cyber Security Summit 2015. В некоторых особо тяжелых случаях, когда у жертвы нет резервных копий, а содержимое дисков зашифровано стойким к дешифрованию алгоритмом, вариантов выбора не так много.

Пожалуй, наиболее технологичным представителем троянов класса ransomware можно назвать Cryptowall, который принес своим создателям за последний год около 325 миллионов долларов и встречается в дикой природе как минимум в четырех реинкарнациях.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Используй, свободно! Как работает уязвимость use-after-free в почтовике Exim

В самом популярном на сегодняшний день почтовом сервере Exim был обнаружен опасный баг: ес…