Тема: Статьи и мануалы / подкасты от BlackMast
Показать сообщение отдельно

  #27  
Старый 20.07.2022, 13:05
BlackMAST
Участник форума
Регистрация: 05.12.2021
Сообщений: 262
С нами: 2337451

Репутация: 0
По умолчанию
Эпизод 25: Как работают вымогатели

Вступить в наш чат

Программы-вымогатели ужасны. Они заражают вашу машину и блокируют все данные, а чтобы разблокировать, вы должны заплатить. В этом эпизоде мы углубимся в эту тему.



Ведущий: Это история о парне по имени Зейн Кайзер. Это был 2011 год. Зейну было семнадцать лет, и он жил со своими родителями в Баркинге, что в Восточном Лондоне, Великобритания. В то время он изучал информатику в Городском университете, который находится прямо в центре Лондона. Большую часть времени он проводил за своим MacBook Pro. Городской университет был одним из первых в Великобритании, предложивших курсы компьютерных наук. Более того, у них один из самых высоких показателей трудоустройства выпускников. Те, кто заканчивает курсы, получают хорошую работу в информационной безопасности и делают успешную карьеру. Зейн не закончит свои курсы, не закончит учебу и не сделает блестящую карьеру. В темных частях Интернета существует целая секретная экономика вредоносных программ. Вы можете нанять хакера или купить эксплойты, вы можете заплатить за использование ботнета или вы можете покупать и продавать украденные у людей данные. Онлайн-преступники сегодня часто являются лишь одним звеном в цепочке поставок.

Один набор эксплойтов, найденный в даркнете, называется Angler. Некоторые очень умные хакеры сделали это. Мы думаем, что это, вероятно, было сделано в России. Вот как это работает: он начинает с того, что каким-то образом заставляет вас посетить вредоносный веб-сайт. Теперь веб-сайты, которые вы можете посетить, могут многое рассказать о вашем компьютере. Они могут проверить, какая у вас версия Flash или Java, и если вы зайдете на веб-сайт, на котором запущен Angler Exploit Kit, он сделает именно это. Он проверит, какие версии программного обеспечения вы используете. В основном он сканирует ваш компьютер на наличие устаревшего программного обеспечения. Он проверит вашу версию Adobe PDF Reader, затем версию Silverlight, затем версию Java, а затем версию Flash. Если он видит, что какой-либо из них устарел и имеет известную уязвимость, он переходит ко второму шагу. Он попытается воспользоваться этой уязвимостью и получить доступ к вашему компьютеру.

Давайте погрузимся в это на секунду. Одна из уязвимостей, которую будет использовать Angler Exploit Kit, называется уязвимостью Use After Free. Это где у программы были какие-то данные в памяти, но она покончила с ними и освободила их, но где-то в программе все еще есть ссылка на эту часть памяти. Хорошо, предположим, вы ели попкорн с другом и смотрели фильм. У вас на коленях чашка с попкорном, и вы делитесь ею с ними. Он берёт горсть, потом ты берешь горсть, потом он берёт горсть, потом ты берешь последнюю горсть. Попкорн закончился. Чашка пуста, но ваш друг не знает об этом. Он все еще думает, что в тарелке есть попкорн, поэтому вы играете с ним небольшую шутку и вместо этого кладете чашку спагетти себе на колени. Когда он идёт к чашке с попкорном, он засовывают руку в чашку со спагетти. Примерно так выглядят уязвимости Use After Free.

Ваш друг был запрограммирован лезть в чашку с попкорном, думая, что там что-то есть, но там ничего не было. В мире программного обеспечения вы можете поместить некоторые команды в эту чашу, чтобы, когда программа потянулась к ней, она выполнила те команды, которые вы ему сказали. Типа гениально, да? Ладно, хватит плохих аналогий. Angler — это набор эксплойтов, то есть он не просто содержит один эксплойт, а вместо этого ищет на вашем компьютере любой эксплойт, который он может использовать. У него могут быть десятки возможных эксплойтов, и если он их находит, то запускает на вашем компьютере команды, которые он не должен выполнять. На этом Англер как бы останавливается. Его задача на самом деле просто войти и выполнить полезную нагрузку. Однако полезной нагрузкой может быть что угодно; это может быть кража пользовательских данных или паролей, это может быть привязка вашего компьютера к ботнету, или это может быть просто удаление всего на компьютере.

Короче говоря, если на вашем компьютере установлено устаревшее программное обеспечение и вы посещаете веб-сайт с установленным набором эксплойтов Angler для уничтожения вашего компьютера, ваш компьютер будет заражен за считанные секунды и начнет удалять файлы. Страшные вещи. Однако семнадцатилетний Зейн Кайзер подумал, что это круто, и подумал, что это может принести ему немного денег. Проблема заключалась в том, что в то время программное обеспечение Angler было трудно достать. В начале 2012 года Зейн был очень активен в чатах и на форумах, используя свое имя пользователя K!NG, но с восклицательным знаком перед буквой «i». У него была идея, и он хочет воплотить свой план в жизнь. Зейн связывается с русскими создателями Angler и говорит им, что у него есть навыки и опыт, чтобы заработать им много денег. Вы предоставляете вредоносное ПО, сказал он, и я заражу им множество компьютеров.



ейн говорит им, что у него есть опыт в социальной инженерии и что он умеет манипулировать людьми, чтобы получить то, что он хочет, и у него нет проблем с этим. Он носитель английского языка и знает, как работает индустрия онлайн-рекламы. Зейн предложил разделить прибыль. Это была партнерская подача, и один из россиян был готов выслушать эту подачу. Соглашение было заключено. Зейн приступил к реализации своего плана. У него есть набор Angler Exploit Kit, который хорош для проникновения в компьютер жертвы, но это все, для чего он годен. Вам все еще нужна полезная нагрузка или действие после того, как машина эксплуатируется. Зейн решил вооружить Англера Реветоном. Reveton — мощная программа-вымогатель, которая шифрует весь жесткий диск пользователя с помощью пароля. Затем вы должны заплатить деньги, чтобы получить этот пароль для его расшифровки. Это идеально сработало для Зейна. Теперь у него есть набор эксплойтов для использования в качестве оружия, который установлен на веб-сайте и ждет, пока кто-нибудь посетит его, чтобы заразиться.Но как заставить кого-то зайти на ваш сайт, чтобы заразиться? Его идея заключалась в том, чтобы покупать онлайн-рекламу, которая указывала бы людям на его вредоносный веб-сайт. Где бы он купил эту рекламу? На порносайтах. Русские предоставили ему поддельные удостоверения личности, документы и учетные данные, чтобы он мог убедить законные рекламные агентства в том, что он обычный рекламщик. Это типичный пример вредоносной рекламы. Как только люди нажимают на эту ссылку, они перенаправляются на вредоносный веб-сайт, и компьютер будет заражен той программой-вымогателем Reveton, которую Зейн установил в Angler. Теперь, если вы собираетесь требовать выкуп, вам нужно иметь что-то, за что ваша жертва готова заплатить. Конечно, если вы заблокируете чей-то компьютер и скажете, что заплатите мне, чтобы разблокировать его, это может сработать, но план Зейна был немного более дьявольским.

Вымогатель Reveton иногда называют полицейским вирусом, потому что, когда вы заражаетесь им, он показывает вам логотип полиции и сообщает, что жертва нарушила закон, посетив этот порносайт. Компьютер не только зависает, но на экране внезапно появляются слова «порно», «детское порно», «ФБР» и «уголовные обвинения». Ну, вы поняли. Для Zain, нацеленного на людей, посещающих порносайты, чтобы попытаться заставить их нажать на это объявление, чтобы они могли быть заражены вредоносным ПО, было идеальное совпадение с этой программой-вымогателем. Это своего рода блестящая комбинация социальной инженерии и хакерства. Жертвы этого были бы не только в бешенстве, но и в смущении, стыде и даже страхе. Если вы заразите компьютер вашей семьи или рабочий компьютер, господи, какой беспорядок будет объяснять, что вы были на порносайте, когда заразились. Зейн безжалостно преследовал этих людей, и вскоре с его платной рекламой жесткие диски начали заражаться этой вредоносной программой.

На экране Зейна с требованием выкупа даже говорилось, что IP-адрес жертвы был передан в полицию. Но чтобы все это исчезло, все, что вам нужно сделать, это заплатить 200 долларов, и все исчезнет. Люди начали расплачиваться. Летом 2012 года, заключив соглашение с российской преступной группировкой, Зейн начал свою первую стадию, которая впоследствии превратилась в колоссальную аферу с программами-вымогателями. В Интернете почти нет веб-сайта, на котором не отображается какая-либо реклама. Рекламное место на популярных сайтах с большим трафиком пользуется спросом, и рекламодатели будут платить хорошие деньги, чтобы получить это рекламное место. Проблема возникает, когда размещенное объявление находится прямо перед вредоносным ПО, тайно встроенным в его код. Некоторые известные веб-сайты, такие как New York Times и The Atlantic, пострадали от вредоносной рекламы. Эти веб-сайты имеют высокий трафик, и они ничего не знали об этих мошенничествах, которые происходили. Зейн был полностью осведомлен о вредоносной рекламе, вредоносной рекламе, и понимал, как ее реализовать.

Он действовал как законный рекламодатель, стремящийся приобрести рекламное место на некоторых из крупнейших порнографических сайтов в мире. Принимал участие в торгах премиум-площадок в режиме реального времени; постоянно меняющийся рынок, и процесс торгов является конкурентным. По сути, платя за рекламу, он покупал трафик на свой сайт, а платный трафик приносил быстрые результаты. Настройте его, и вы сразу увидите больше посетителей и кликов. Все, что требовалось Зейну, — это щелкнуть по рекламе, и дело пошло. Это знание отчасти было причиной того, что Заин заинтересовал российскую преступную группировку. С их навыками программирования и его пониманием рекламного рынка они были уверены. Рекламная компания, с которой работал Зейн, ничего не знала о его истинных намерениях. Зейн добавил в свою рекламу перенаправления на веб-сайты, зараженные вредоносным ПО, набором эксплойтов Angler. Пользователи не знали об этом, но как только их браузер заходил на этот сайт, Angler сканировал их систему в поисках способа заразить ее.

Набор Angler Exploit Kit похож на собаку-ищейку, пытающуюся найти свою цель. Вы можете спросить, почему антивирус не останавливает это? Ну, во-первых, многие люди не используют антивирус, поэтому они как сидячие утки, особенно если они не обновляют свое программное обеспечение. Вот почему я говорю вам всегда обновлять свое программное обеспечение. Но, во-вторых, создатели Angler были очень умны, чтобы избежать его обнаружения. Он будет постоянно менять домены и IP-адреса, чтобы избежать попадания в черный список, и будет шифровать весь трафик, чтобы антивирус не обнаруживал вредоносные команды. Это изменило бы его внешний вид, чтобы избежать обнаружения совпадающих строк, которые может искать антивирус. Это мошенник вредоносного ПО.

Angler даже не нуждался в собственных файлах для запуска атаки. Ему даже не потребовалось время на машине, прежде чем она могла работать. Он может обнаружить уязвимость, отправить команды для ее использования, а затем выполнить все необходимые действия. Вдобавок ко всему, у российских кодеров, которые его сделали, тоже была уязвимость нулевого дня, уязвимость в Adobe Flash, о которой Adobe даже не знала. Это было скрытно, хитро и очень эффективно. Программа-вымогатель, которую предпочитали Зейн и эта русская группа, называлась Reveton. Его называют полицейским вирусом или даже вирусом ФБР, поскольку он выдает себя за официальное уведомление полиции.

РЕПОРТЕР: Внимание всем, у кого есть компьютер. Новый вирус не только заражает ваш компьютер, но и мошенники, стоящие за ним, также вымогают деньги. Он называется вирусом ФБР, но к полиции не имеет никакого отношения.

Ведущий: Это программа-вымогатель с элементами социальной инженерии. Это психологический трюк, тактика запугивания. Компьютер завис и отображал логотип ФБР. Он показал сообщение: «Вы нарушили закон. Вам грозит тюремное заключение. Мы зафиксировали изображения на этом сайте для взрослых с помощью вашей веб-камеры. Это уведомление заблокировало и заморозило ваш компьютер, когда вы просматриваете порнографический сайт». Смущение, стыд, страх разоблачения. Все эмоции, на которые рассчитывала эта вредоносная программа, побуждали пользователей следовать ее инструкциям и платить деньги за то, чтобы все это исчезло. В программе-вымогателе даже говорилось, что интернет-провайдер жертвы был уведомлен отделом киберпреступлений. Он даже сообщает их IP-адрес, имя хоста и говорит: «На вашем компьютере был обнаружен незаконно загруженный материал, который нарушает некоторые законы об авторском праве».



Все это звучит и выглядит официально, а затем сообщает, что пользователю грозит штраф в размере 200 000 долларов США или тюремное заключение на срок до трех лет. Конечно, если вы хотите избежать этого, все, что вам нужно заплатить, это 200 долларов, и ваш компьютер будет разблокирован, а все уголовные дела против вас будут прекращены. Это не требует слишком много денег в качестве выкупа, ровно столько, чтобы его стоило делать, но не слишком много, чтобы люди не захотели или не смогли за него заплатить. В то время существовал Биткойн, криптовалюта, но это было только в 2012 году, так что прошло всего несколько лет с момента создания Биткойна. Хотя биткойн еще не был достаточно популярен, а цены сильно колебались, люди просто не были достаточно технически подкованными, чтобы понять, как купить биткойн и отправить его, поэтому решением стали предоплаченные карты GreenDot MoneyPak. Они не связаны с банковским счетом, и каждая карта имеет уникальный четырнадцатизначный номер.

Сколько же денег удалось заработать Зейну и получил ли он наказание? Узнаем в следующем выпуске.
 
Ответить с цитированием