Check Point заблокировала кибервымогателя Cryptolocker

Check Point заблокировала кибервымогателя Cryptolocker

С помощью интеллектуальных сигнатур облачный сервис Check Point ThreatCloud детектировал и остановил распространение новой программы-вымогателя Cryptolocker более чем в 50 организациях по всему миру, сэкономив им до $500 000

Software Technologies Ltd. (Nasdaq: CHKP), компания в области обеспечения интернет-безопасности, сообщает о том, что группа аналитиков Check Point провела исследование активности вредоносного ПО Cryptolocker, случаи заражения которым в последнее время участились. В рамках анализа ученые создали специальную систему-ловушку (sinkhole), имитирующую работу центра управления (Command&Control Centre, C&C), чтобы изучить и оценить заражение в реальной среде. Анализ коммуникации инфицированных клиентов подтверждает, что количество жертв продолжает расти, причем большая часть пострадавших находится в США и Великобритании.

Исследование позволило создать интеллектуальные сигнатуры для программных блейдов Anti-Bot и Antivirus, которые затем были переданы в облачный сервис Check Point ThreatCloud. Эти сигнатуры блокируют коммуникации с серверами C&C, эффективно предотвращая умышленное шифрование данных хакерской программой. В результате за первые дни после создания сигнатур на этапе активного распространения зловредного ПО Check Point детектировала и остановила заражение Cryptolocker более чем в 50 организациях, сэкономив им до $500 000.

Подробности

Cryptolocker: активное развитие кибервымогательства (ransomware)

Cryptolocker представляет собой разновидность вредоносного ПО, известного как ransomware, или кибервымогательство. Его бурное распространение началось в сентябре 2013 года. Как и другие формы подобных программ-вымогателей, Cryptolocker устанавливается на компьютер жертвы и работает в фоновом режиме, шифруя разнообразные данные пользователя, при этом оставаясь незаметным для него. Известно, что Cryptolocker ищет и кодирует файлы следующих типов:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Завершив шифрование файлов, Cryptolocker сообщает пользователю, что его файлы были "взяты в заложники", и требует выкуп в пользу злоумышленников за ключ, который позволит их расшифровать. Размер выкупа обычно составляет от 300 Евро или $300 США, и увеличивается до 10 биткоинов (около $3 800), если пользователь не заплатит деньги сразу же. Далее в сообщении говорится, что в случае невыполнения пользователем требований срока оплаты (обычно не более 4 дней), ключ будет вовсе удален с серверов, и восстановление данных жертвы станет невозможным.

Следует отметить, что в настоящее время не существует альтернативного метода для восстановления доступа к зашифрованным файлам.

ThreatCloud блокирует C&C и помогает победить Cryptolocker

Важной особенностью Cryptolocker является необходимость вредоносного агента инициировать коммуникацию с центром управления (C&C) перед тем, как начать процесс шифрования файлов. Сразу после установления связи с C&C, сгенерированный сервером уникальный открытый ключ передается агенту для шифрования данных на компьютере пользователя.

Таким образом, самый эффективный способ борьбы с Cryptolocker – это обнаружение и блокировка изначальной коммуникации агента с сервером C&C, необходимой для запуска процесса шифрования. Cryptolocker использует алгоритм Domain Generation Algorithm (DGA) для поиска серверов C&C, с которыми можно настроить коммуникацию. В результате каждый день перебирается порядка 1 000 доменов, генерируемых и запрашиваемых образцами Cryptolocker.

Благодаря реверсивному алгоритму было возможно получить предварительно сгенерированные таблицы Cryptolocker DGA для каждого дня. В результате группа исследователей Check Point научилась предсказывать целевые ссылки URL серверов C&C, с которыми могут связываться агенты Cryptolocker. Это и позволило создать "умные сигнатуры" для блейдов Check Point Anti-Bot и Antivirus. Постоянно обновляясь для всех пользователей ThreatCloud, эта защита блокирует доступ к серверам C&C Cryptolocker и, таким образом, не позволяет запустить процедуру шифрования.

После появления такой защитной функции в ThreatCloud, статистика, собранная с различных шлюзов Check Point по всему миру, показала успешное блокирование сотен инцидентов с Cryptolocker в более чем 50 различных организациях, и все это без каких-либо обновлений или изменений со стороны администраторов.

Использование ловушек для слежения за Cryptolocker

Чтобы измерить масштаб и динамику распространения Cryptolocker в реальности, исследователи Check Point создали отдельный сервер в интернете и зарегистрировали несколько предварительно рассчитанных доменных имен, которые, как ожидалось, будут использоваться вредоносным ПО. Такой сервер-ловушка был использован для оценки масштабов заражения, и занялся подсчетом количества уникальных IP-адресов, подключавшихся к нему.

За два дня с 1 ноября и до конца 3 ноября с 3 021 уникального IP-адреса были посланы запросы к созданному Check Point серверу. За 24 часа в пятницу, 2 ноября, 2 300 уникальных адресов делали попытки обратиться к серверу-ловушке. Эта статистика демонстрирует значительный рост по сравнению с 2 700 заражениями, обнаруженными за двухдневный период с 15 по 17 октября аналитиками Лаборатории Касперского.

В диаграмме, приведенной ниже, продемонстрирован профиль распределения угроз по странам, к которым принадлежали IP-адреса, обращавшиеся к серверу-ловушке.

Диаграмма показывает, что вредоносное ПО главным образом распространяется в США, на которые приходится 76% уникальных инфекций. На втором месте по числу заражений Cryptolocker находится Великобритания, показавшая значительно меньше инфекций - 5%. Эти результаты во многом соответствуют данным из предыдущих отчетов, но также свидетельствуют о растущей скорости распространения угрозы.

Взгляд вперед

Cryptolocker – развивающаяся угроза, продемонстрировавшая значительный рост количества инфекций за последние несколько недель. Вредоносное ПО атакует индивидуальных пользователей, а также представителей бизнеса и крупные организации, в основном ориентируясь на компании в США и Великобритании. Check Point продолжит изучение данной угрозы, чтобы обеспечить возможность непрерывной защиты и будет публиковать дополнительные детали исследования по мере их поступления на специальном сайте Check Point ThreatCloud Central.

Как защититься от подобных атак

Для всех организаций

Обучите пользователей внимательно относиться к необычным вложениям и подозрительным ссылкам. Вредоносное ПО очень часто распространяется через фишинговые кампании, когда адресат получает электронное сообщение, опасный файл или ссылку на страницу, использующую эксплойты браузеров.

Убедитесь, что все обновления для операционных систем и приложений были установлены, так как Cryptolocker и многие другие вредоносные программы устанавливают себя самостоятельно, используя известные уязвимости в операционных системах и популярных приложениях, таких как Microsoft Word или Adobe Reader.

Регулярно создавайте резервные копии всех критически важных данных и храните их автономно, чтобы не позволить злоумышленникам обнаружить и также заразить внешние диски.

Заказчики Check Point

Заказчики, использующие блейды Anti-Bot и Antivirus на своих шлюзах Check Point, автоматически получат обновления для Cryptolocker через сервис ThreatCloud. Check Point рекомендует включить режим превентивной защиты для функций Anti-Bot и Antivirus в настройках политики предотвращения угроз на шлюзах.

Если вы не являетесь клиентом Check Point

Активируйте фильтрацию URL на шлюзах, чтобы не допустить доступа к доменам, которые использует агент Cryptolocker. Вы можете получить перечень определенных на данный момент URL от вашего поставщика шлюза или антивирусного ПО, а также запросить ежедневные обновления списка адресов, которые необходимо блокировать.

Приложение

Далее вы можете найти дополнительную информацию об анализе Cryptolocker специалистами Check Point:

1.Домены Cryptolocker, выявленные группой исследователей Check Point, включают в себя набор из 12-15 символов и размещаются в одной из доменных зон: {.biz,.ru,.org,.co.uk,.net,.info}. Ниже приведены примеры доменов, обнаруженных 1 ноября 2013 года: tahbdicgupnj.biz, wbtpwjlbtbjobr.ru, kooeaohklkyuao.org, psueyhxjnbwhuu.co.uk, olwxfgovoall.info, fjxfxydqiybxbd.com.

2.Согласно алгоритму Domain Generation Algorithm, который был исследован в Check Point, специалисты компании зарегистрировали несколько доменов, подключив их к ловушке, дабы узнать количество зараженных устройств и их территориальную принадлежность. За один день работы Check Point получил запросы класса C&C от 3 021 устройства из 43 стран:США- 2,292;Великобритания- 143;Филиппины- 65, Перу- 55, Индия- 47, Таиланд- 43,Канада- 41, Австралия- 38, Индонезия- 35, Иран- 33, Эквадор-17, Колумбия-16, Пакистан- 15, Казахстан- 12, Мексика-11, Турция - 11, Малайзия- 11, Монголия- 10, Венесуэла- 9,Израиль- 9, Бразилия- 8, Алжир- 7, Оман- 5,Вьетнам- 5, Франция- 5, Боливия- 5, Остальные страны (1-4 инфицированных устройства )- 73.

Последующие исследования будут публиковаться на сайте  Check Point ThreatCloud Central.

ITSec.Ru по материалам компании Check Point