Еще в конце октября 2016 года бразильский разработчик Ленон Лейте (Lenon Leite) опубликовал на GitHub proof-of-concept код шифровальщика Heimdall, но его репозиторий далеко не сразу привлек внимание экспертов. Вредонос, тем не менее, был обнародован в полностью рабочем состоянии и создан для атак на веб-серверы, с целью последующего шифрования данных.

heimdall-github

В описании малвари Лейте писал, что «данный проект является лишь доказательством концепции и был создан в образовательных целях». Разработчик посоветовал тестировать малварь в контролируемом окружении и предупредил, что использование Heimdall по прямому назначению, «в жизни», скорее всего, приведет только к уголовному преследованию. Но когда злоумышленников останавливали подобные предупреждения?

Опубликованный 26 октября 2016 года Heimdall представлял собой PHP-файл, содержащий 482 строки кода. Шифровальщик оснащался даже простеньким GUI. Если атакующие захотят взять опенсорсного вымогателя на вооружение, им придется вручную загружать Heimdall на скомпрометированный веб-сервер или снабдить его механизмом доставки.

heimdall

В интерфейсе малвари можно задать пароль, который будет использован для шифрования файлов с применением алгоритма AES-128-CBC. Вредонос шифрует данные в $_SERVER[‘DOCUMENT_ROOT’] и всех папках, которые находятся внутри. Во время шифрования за процессом можно наблюдать через GUI, где ведется лог зашифрованных файлов.

heimdall-encryption-log

Как только шифрование завершено (это может занять несколько минут или секунд, все зависит от числа файлов), ко всем файлам на сервере, вне зависимости от их расширения, в начало добавится маркер Heimdall— (см. иллюстрацию ниже).

heimdall-encrypted-file

Эксперты Bleeping Computer, тестировавшие Heimdall, пишут, что шифровальщик был опубликован полностью готовым к работе. По сути, вредонс можно использоваться прямо «из коробки», внеся минимальные изменения в базовый код. Автор вымогателя даже записал видео, демонстрирующее возможности Heimdall, и опубликовал его на YouTube. Ролик можно увидеть ниже.

Представители Bleeping Computer связались с разработчиком и поинтересовались, зачем он опубликовал на GitHub готовый инструмент для хакеров. Лейте ответил, что сделал это в исследовательских целях, ведь «исследование таких атак является важной темой для изучения». По словам Лейте «защищаться от того, чего не знаешь» невозможно. Впрочем, исследователь признался, что его больше интересовала демонстрация потенциала и возможностей PHP. По его мнению, специалисты должны уметь отличать плохой код от хорошего, чтобы в итоге обороняться эффективнее и создавать код лучше.

Также во время беседы Лейте сообщил, что представители ИБ-сообщества с критикой до него еще не добрались, и он получал разве что сообщения от хейтеров и вопросы о мощности созданного им инструмента.

Вскоре после публикации материала о Heimdall на страницах Bleeping Computer, Лейте сообщил специалистам, что он все-таки решил удалить исходные коды шифровщика с GitHub. Сам проект по-прежнему существует, однако теперь там нет ничего кроме сообщения: «проект в стадии анализа, может быть, мы вернемся или нет  =)».

И хотя исходники были удалены, а сам Лейте выражал сомнение в том, что много людей видели его проект, Heimdall наверняка был кем-нибудь скопирован, сохранен и еще неоднократно «всплывет» в сети. Остается надеяться лишь на то, что на сегодня вымогатели, заражающие веб-серверы, не пользуются большой популярностью у хакеров, да и их эффективность под большим вопросом. Все же многие администраторы регулярно делают резервные копии данных, в отличие от обычных «домашних» пользователей, так что атаковать их менее выгодно.

Стоит сказать, что Heimdall — это далеко не первый случай создания оперсорсной малвари вообще и шифровальщика в частности. Так, в прошлом году турецкий исследователь Ютку Сен (Utku Sen) опубликовал в открытом доступе исходные коды сразу двух вымогателей: Hidden Tear и EDA2. Хотя разработчик тоже утверждал, что его малварь была создана исключительно в образовательных целях, и даже попытался встроить в код «предохранитель», который должен был защитить Hidden Tear и EDA2 от использования настоящими хакерами, это не помогло.

В итоге Сен подвергся не только резкой критике со стороны мирового ИБ-сообщества, но и пострадал от шантажа со стороны black hat хакеров, которые потребовали, чтобы он удалил код шифровальщиков из открытого доступа. Дело в том, что вымогатели Сена практически сразу были взяты на вооружение настоящими преступниками, а им совсем не хотелось, чтобы у них появлялось все больше конкурентов. Так как «предохранители» в коде сработали лишь частично, и помешать злоумышленникам исследователь не мог, Сен вынужден был признать поражение, уступить и действительно изъял исходники из открытого доступа. В настоящий момент на базе малвари Сена работают десятки шифровальщиков. На коде Hidden Tear базируются 8lock8, Blocatto, Cryptear, Fakben, GhostCrypt, Globe, Hi Buddy!, Job Crypter, KryptoLocker, MireWare, PokemonGO и Sanction. На коде EDA2 построены razilian, DEDCryptor, Fantom, FSociety, Magic, MM Locker, SkidLocker, SNSLocker, Strictor и Surprise.

Также можно вспомнить опенсорсного Linux-вымогателя CryptoTrooper, который был написан Максимом Зайцевым. Вымогатель не получил такого широкого распространения как малварь Сена. К тому же, Зайцев быстро понял, что публикация исходного кода на GitHub, для всех и каждого, это не слишком хорошая мысль. Тогда исследователь предложил желающим получить код, сначала решить крипто-задачку. В настоящий момент в репозитории сказано, что даже этот способ более не актуален.

Фото: Depositphotos, Bleeping Computer 

Оставить мнение

Check Also

Хак-группа RTM атакует российские компании, использующие «1С:Предприятие 8»

Компания ESET подготовила отчет о деятельности хакерской группы RTM, чья основная цель — с…