Thursday, 19 November 2015

Как подготовиться к кибер-вымогательству

Письмо кибер-вымогателей может выглядеть так
Обратите внимание, в заголовке статьи я написал «как подготовиться к кибер-вымогательству», а не «как избежать кибер-вымогательства». Я не хочу сказать, что каждый из нас станет жертвой кибер-вымогательства (ransomware). Может быть будут счастливчики, которых минует эта проблема. Дело в том, что на сегодняшний день не существует 100%-гарантированного решения, которое бы позволило избежать кибер-вымогательства. Ну разве что полностью отключиться от Интернета! А ошибки, позволяющие программе-вымогателю проникнуть в компьютер, могут сделать и очень подготовленные пользователи.

Прежде, чем я напишу несколько слов об этом набирающем масштаб виде мошенничества, сразу попрошу всех читающих эту статью оторваться от нее на некоторое время и послать содержимое своих компьютеров на сохранение на внешних дисках или в «облаке». Подробности того, как это можно сделать – в моей статье «О резервном копировании и сохранении данных» здесь http://pomyslivden.blogspot.ca/2013/09/blog-post_17.html. Только таким способом можно подготовиться к атаке кибер-вымогателей.

***

Теперь, когда ваши файлы копируются для резервного сохранения, можно с облегчением выпить чашечку кофе и дочитать мою статью. Проблема кибер-вымогательства действительно настолько серьезна, что меры нужно принимать прямо сейчас. Серьезна она потому, что она очень эффективно работает. Кибер-вымогатели используют последние достижения в компьютерных технологиях, чтобы быстро и очень сильно зашифровать все файлы своих жертв, чтобы эффективно собрать с жертв достаточно большие суммы денег, и чтобы скрыться с этими деньгами в «неизвестном направлении».

На помощь им пришла технология Интернет-денег под названием «биткоины», которая позволяет мошенникам не оставлять следов при их получении. У вас нет биткоинов? Не беда, мошенники вышлют вам детальные и очень понятные инструкции, как их приобрести и что с ними сделать. Полиция и фискальные органы вам не помогут: мошенники находятся заграницей, биткоиновские счета позволяют им получать деньги анонимно. Если вы стали жертвой кибер-вымогательства приготовьтесь либо потерять все свои ценные данные, либо заплатить выкуп, обычно около $800 по сегодняшнему курсу. Сумма вроде бы не малая, но и не настолько большая, чтобы ее не могли выплатить отдельные люди, не говоря о средних бизнесах. Третьего пути нет, никто не поможет. Единственное, что может облегчить ситуацию – своевременное резервное копирование и сохранение данных, к которому я призываю выше.

Программы-вымогатели проникают в компьютеры несколькими путями: через фишинговые электронные письма, уязвимости веб-браузеров, операционной системы, скачивание вредоносного содержимого с зараженных веб-сайтов, через игровые серверы. Поэтому риск пасть жертвой вымогателей можно уменьшить распознавая и своевременно удаляя фишинговые послания без их просмотра и особенно без открывания прикрепленных к нему файлов. Помогает также наличие на компьютере антивирусного пакета со свежими базами, своевременное обновление операционной системы, отказ от посещения «сомнительных» Интернет-ресурсов (имеются в виду игровые сайты, торренты, порно и подобные ресурсы), от посещения рекламных ссылок.

Ну и последнее слово насчет выгоды этого кибер-мошенничества, которое является уголовным преступлением в цивилизованных странах и карается законом. Инструменты кибер-вымогательства открыто продаются в Интернете и стоят не так уж дорого. Этот бизнес теневой, его довольно сложно оценить со стороны. Поэтому недавно один исследователь решил поставить опыт по поводу выяснения выгоды этого преступления. Согласовав свои действия с полицией, он завел Интернет-счет в биткоинах, приобрел соответствующее программное обеспечение с полными и детальными инструкциями о том, как его применять и как уходить от ответственности. Через восемь дне после начала этих исследований на его счету уже собралось почти 110 тысяч долларов! И ему не надо было работать. Он просто должен был немножко потратиться на "инструментарий", а затем выполнить инструкции и ждать, занимаясь своими приятными делами. Не стоит думать, что в мире мало людей, которые побоятся переступить закон ради такого простого способа заработать очень быстрые и весьма большие деньги!

9 comments:

  1. Хорошее предостережение.
    Последние 7 дней я очень активно тренирую свой письменный английский.
    Началось все 27 ноября, когда я получил письмо от вполне нормального человека с Именем (Chris) и Фамилией (Bendele) и вполне приличным адресом электронной почты (chrisbendele1970@yahoo.com).
    Мужчина спрашивал, продаю ли все еще мой iPad на сайте usedvictoria.ca
    Я подтвердил, что продаю. Мы немного поговорили о цене и он предложил мне немного больше, чем я хотел бы (ЗВОНОК №1).
    Я предложил оплатить мне это через PayPal, но мой новый "друг" предложил Interac, сославшись на то, что это супер-безопасно.
    Ок. Буквально через 10 минут я получил письмо в папку "Junk" (ЗВОНОК №2). Письмо имело некоторые реквизиты (картинки) от Interac, но было бездарно сверстано.
    Но это было не очень важно, ведь я хотел просто попереписываться для удовольствия.
    Мой собеседник ловко ушел в СМС-сообщения и мы продолжили там. Я ему сообщил, что письмо получил, но деньги нет. Он сказал, что сперва мне надо отправить iPad на указанный адрес в Штатах и только потом он мне отправит код подтверждения для платежа (ЗВОНОК №3).
    Конечно же я тотчас же поехал на почту и отправил... Поломанный лаптоп, который продал день назад какому-то парню в Штатах.
    Моему милому скаммеру я отправил трекинг номер и сказал - "теперь ты отправь деньги".
    Но мой новый друг не сразу поверил мне!!! Он попросил фото почтового чека.
    Вам чек? Да запросто! Я сфотал чек, аккуратно закрыв пальцев ZIP code получателя и отправил жулику.
    Жулик как-то сразу пропал. Наверное на день. Но как только трэкинг стал показывать движение посылки, жулик активизировался и стал писать много чего разного. Кратко: "ой, я стал жертвой жуликов, отправив деньги через поддельную страницу", "ой, я очень занят", "ой, что же делать, не волнуйся". Так мы провели 3 или 4 дня по минут 30 в дунь. Надо отметить, что я довольно удачно наловчился вставлять COULD и SHOULD, с которыми ранее у меня была напряженка.
    Жулик успел открыть счет в PayPal, пообещать мне выслать чек, фото своей кредитки. Но по факту мы просто болтали. Он тянул время.
    Язык, конечно, хорошо, но и НЛП не надо забывать. Шаг за шагом стало понятно, что мой "друг" сидит в тюрьме в где-то в Алабаме. Режим не мягкий и он может писать только в определенное время. К электропочте доступ так вообще 1 раз в день рано утром. Мой "друг" достаточно необразован и пишет i маленькую и вообще часто делает ошибки в сложных словах.
    Он тянул время и все обещал и обещал, я оттачивал мастерство с Should and Could. Сегодня я ему написал, что прошло 7 дней, а денег все нет и нет. На что мой парень сказал, что вот-вот уже их отправит, только вот доделает дела и все будет ок.
    Мне надоело и, чтобы не проиграть в этой виртуальной битве я стал выходить из игры. Я написал, что очень расстроен и что я стал жертвой мошенника. Он злился и писал много раз, что вернет мне мой iPad как только его получит...
    В итоге я раскрылся и сказал, что мне было весело поболтать с ним и что если он кому-то пообещал айпед (а ему было очень важно, что товар в пути - наверное это было не пустое вымогательство, а после получения копии чека уже на мой iPad рассчитывали) то придется ему как-то самому быть iPad'ом для того, кому пообещал. Мой "друг" покрыл меня толстым слоем мата. На этом и расстались :-)
    Мораль! Скаммеров очень много. Это не первый жулик, тратящий массу времени на "окучивание" клиента.
    "Личная работа с каждым".
    Было весело!
    Будьте внимательны!

    ReplyDelete
    Replies
    1. Хорошо, что ты попрактиковал свой английский! То есть поломанный айпад ты ему и не послал, а предъявил документы с предыдущей сделки? Scamming the scammers - это высший пилотаж:-)

      Delete
  2. Да, со сделки, товар по которой отправлял в тот же день. I thought that it SHOULD work.

    ReplyDelete
  3. "They do make millions out of it. It's opportunistic... they just try it on everybody. You keep third parties out of it - the bank isn't involved."
    Recent research by Palo Alto Networks and industry partners suggested one family of ransomware known as Crypto Wall had generated about $325m (£215m) for the gang behind it.
    "In the volume cybercrime space, ransomware is one of the most prolific problems we face," Greg Day, chief security officer for Europe at Palo Alto Networks, told the BBC last month.
    "Credit card theft is getting to the point where the value of each card is very low. As a result, ransomware has stepped into that gap and gives a higher value for each victim."
    http://www.bbc.com/news/technology-35091714

    ReplyDelete
  4. Cryptowall Has Been a Cash Bonanza for Criminals, Failure for Cops
    http://www.scmagazine.com/cryptowall-has-been-a-cash-bonanza-for-criminals-failure-for-cops/article/473318/
    A lack of action on the part of law enforcement has helped Cryptowall [ransomware] to become the most financially successful piece of malware in history, according to a report. The study, published by Imperva, found that the cyber-criminal gang behind Cryptowall 3.0 managed to blackmail £227,205 in ransom from 670 victims around the world. The figures were derived from an analysis of Bitcoin wallets alleged to be connected to the criminals. The research showed that criminals demanded different amounts depending on their location in the world. Demands ranged from £480 in the US to £350 in Russia.
    The firm found that the malware went to great lengths to remain anonymous by using Google Drive to deliver the malware and TOR to hide Bitcoin transactions. One of the reasons that Cryptowall has become successful could be down to the lack of any action by police and other law enforcement agencies to close the gang and others down.
    “We have clearly demonstrated that peeling the layers behind the financial infrastructure of ransomware is achievable and such investigations could be a powerful tool if undertaken by the appropriate authorities. We believe one of the reasons ransomware is thriving is the lack of action from law enforcement agencies,” the report said. Mark James, a security specialist at ESET, told SC Magazine UK that Cryptowall or indeed any ransomware malware poses a very real threat to many computer users because of the potential damage to files that so many still fail to backup.

    ReplyDelete
  5. Popular Ransomware Earns $195,000 In a Month, Report Says
    http://motherboard.vice.com/read/cerber-ransomware-earns-195000
    There’s a very obvious reason why ransomware, a form of malware that locks a victim’s files until they pay a ransom in bitcoin, is extremely popular: its operators make ridiculous amounts of money even if very few of their victims shell out the digital cash. But how much money exactly? According to a new report, one of the world’s most popular ransomware campaigns at the moment made $195,000 in the span of one single month, thanks to 161 affiliate campaigns infecting 150,000 victims. The ransomware in question is called Cerber. Its author or authors set it up so that they would earn 40 percent of the total profits, with the rest given to the affiliates. Considering that, Cerber's creators made $78,000 last July, according to the security firm Check Point, which published the report on Tuesday.
    “Ransomware is no longer a highly profitable business reserved only for skilled attackers who can write sophisticated encryption schemes and establish a steady infrastructure,” Check Point researchers wrote in the report. “An unskilled actor who lacks the required technical knowledge can now easily reach out to one of many users in various closed forums. For a small payment, the would-be attackers can obtain an undetected ransomware variant and a designated set of C&C infrastructure servers, and easily manage their active campaigns using a basic web interface.” If every month is that successful, the author or authors could gross almost $1 million dollar per year. It's an enormous amount of money, especially if we consider that only 0.3 percent of victims paid the ransom, according to Check Point.

    ReplyDelete
  6. The Nasty Future of Ransomware: Four Ways the Nightmare is About to Get Even Worse
    http://www.zdnet.com/article/the-nasty-future-of-ransomware-four-ways-the-nightmare-is-about-to-get-even-worse/
    2017 has been the year of ransomware. While the file-encrypting malware has existed in one form or another for almost three decades, over the last few months it's developed from a cybersecurity concern to a public menace. The term even made it into the [Merriam Webster] dictionary in September. In particular, 2017 had its own summer of ransomware: while incidents throughout 2016 showed the potential damage - both operational and financial - ransomware can cause to organisations, it was in the space of six weeks during May and June this year that the impact of ransomware really became apparent.
    First WannaCry hit hundreds of thousands of systems around the globe, thanks to worm-like capabilities of a leaked NSA exploit being attached to the ransomware. The UK's National Health Service was particularly badly hit and thousands of appointments were cancelled. Weeks later came another global ransomware epidemic in the form of Petya, equipped with similar worm-like features, plus the ability to irrecoverably wipe data from infected machines. If making money from ransom was the end goal, neither campaign was successful. Those behind WannaCry - intelligence agencies suspect North Korea - eventually cashed out $140,000 from the Bitcoin wallets associated with the attack, something of a paltry sum considering the scale and impact of the campaign.
    But what both WannaCry and Petya outbreaks managed to do was make it clear just how much of a problem ransomware has become. And it hasn't gone away again either with the recent Bad Rabbit ransomware attacks in Russia and Ukraine showing that malware writers are still working on new versions.
    Ransomware as a diversion. We've already seen how ransomware can come with other malicious items in tow. For example, Petya included a wiper designed to irrecoverably destroy data on infected machines. It's a cunning tactic - while the ransomware presents itself as the immediate problem, the attack may also be doing something else in the background.

    ReplyDelete
  7. "Ransomware will be the public face of what's going on, scary and visible, but behind the scenes a whole range of other things can be happening: machine infiltration, scraping of data, transfer of funds, all while you have a really big diversion happening," says Perry Carpenter, strategy officer at security company KnowBe4. This could mean the ransomware infection could being the least of your problems. Trojan malware or stolen credentials could give attackers outright access to the network, even after the 'ransomware' infection has been dealt with, so organisations could potentially give in and pay a ransom to criminals who then remain able to exploit vulnerabilities in the network. Another potential development of ransomware is the emergence strains that not only encrypt your data but also steal it.
    Ransomware that blackmails you too. "How else might someone use access to a computer to make money? I think we might see more cases of ransomware which aren't just about data encryption and 'pay me and get it back' but more about doxxing - gathering sensitive information and threatening to release it if you don't pay up," says Mark Dufresne, director of threat research and adversary prevention at security company Endgame.
    This tactic has already been adopted by some families of ransomware. For instance, a form of Android ransomware has already used the threat of exposing private information to the victim's contacts as 'encouragement' for paying up. Meanwhile some forms of malware claim to be able to see the websites victims have been visiting, although it's unlikely the ransomware actually has this capability - yet. "You can't solve that with good backups. If you've got compromising emails in your inbox, or anything which might be secretive or problematic, you're going to be incentivised to pay in order to stop that getting out," says Dufresne.
    Enterprise ransomware. Another potential tactic could see criminals go after enterprise infrastructure. Locking users out of PCs is bad, but getting ransomware onto critical systems could be highly disruptive to businesses and highly lucrative for crooks. "We're going to see an increased focus on the concept of enterprise ransomware, where they're moving away from targeting one specific machine to trying to spread virally throughout the organisation and trying to get as many machines as possible," says Dmitri Alperovitch, co-founder and CTO of security company Crowdstrike. This would certainly take more effort than randomly distributing ransomware via email campaigns, but would lead to a bigger payoff.
    "For a few hundred thousand dollars, nobody would think twice. I've no doubts that if the ransom asked was $10m, it'd still be paid," says Alperovitch. "All considerations go out the window when your business is down and you're facing hundreds of millions of dollars in damages, if you can, you'll pay at that point and the boards and CEO will make that decision without any hesitation."

    ReplyDelete
  8. New network attacks. But not every cybercriminal operation is going to spend time and resources in order to go after specific targets - ransomware will continue to be randomly distributed in spam emails because that still works. And as demonstrated throughout 2017, the use of SMB exploits like EternalBlue or EternalRomance can aid that by helping ransomware easily spread itself across a network with minimal effort.
    Cybercriminals aren't going to just forget about these exploits. Bad Rabbit has once again demonstrated how so many organisation simply haven't applied critical patches issued over half a year ago , so attackers will capitalise on newly discovered exploits - and look to take advantage of lax patching by businesses and consumers. "The next thing I would say is the big risk from malicious software is the addition of more network propagation. They'll be doing what they've traditionally done - be it ransomware or malware - but adding more network propagation," says Holly Williams, penetration test team leader at ‎Sec-1 Ltd. Leaked NSA exploits have played a large role in aiding the spread of self-propagating malware: WannaCry took advantage of the EternalBlue SMB vulnerability, while BadRabbit exploited EternalRomance. But it won't take another NSA leak for ransomware writers to find a new means of attacking networks.
    "There are many more methods which malware can use to propagate across a network and NotPetya chose a handful of those - a published vulnerability and other features we've known about in pen testing for a long time. The ability to extract plain text credentials from a machine - like NotPetya had - has been around since 2012. The priority order of vulnerabilities changes," says Williams. While 2017 might be viewed by many as the year ransomware was recognised as a real menace, it could be that there is still worse to come. "Increasingly you'll see the criminals realise that's where the big money is. That's not a few thousand dollars but a few million dollars and that's a game changer," says Alperovitch.

    ReplyDelete