«Герой», остановивший WannaCry, создал банковский троян Kronos

«Герой», остановивший WannaCry, создал банковский троян Kronos
Все началось на второй неделе мая 2017 года. WannaCry уже произвел хаос во всем мире: он разрушил ИТ-системы целого ряда больниц, государственных организаций и частных компаний, а также некоторых крупных транснациональных корпораций. Но хуже всего было то, что никто не знал, как остановить наиболее серьезную глобальную катастрофу за последние годы.
Наберите в поисковике Маркус Хатчинс ( Marcus Hutchins ). Этот 22-летний британский исследователь наткнулся на решение почти случайно. Разобрав вредоносное ПО, он понял, что код запрашивал данный домен: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com . Если домен был отключен, то код автоматически заражал компьютер, на котором запускался. Но если домен был активирован, то инфекция останавливалась. Маркус Хатчинс заметил, что этот домен был свободен, поэтому он купил его, зарегистрировал и остановил действия WannaCry, который дестабилизировал половину ИТ-систем планеты . Маркус стал героем в мгновение ока.

Но у каждой истории есть и обратная сторона , и этот случай не является исключением. В начале августа 2017 года, всего спустя три месяца после своего геройского поступка, Хатчинс был арестован сотрудниками ФБР (организацией, которая незадолго до этого предложила ему работу) во время его путешествия по США. Причина? Британский ИТ-исследователь был создателем Kronos – вредоносной программы, которая осуществляла кражу банковских данных людей со всего света с 2014 года, став реальной головной болью для финансовых организаций. Хатчинс признался в создании вредоносной программы и признал себя виновным в шести предъявленных ему обвинениях.

Наследие Хатчинса было далеко идущим: в 2018 году появился очень похожий на Kronos троян, теперь уже под названием Osiris , который по существу действовал точно таким же образом. Герой стал злодеем всего за три месяца, а последствия его кибер-преступлений перевесили ту великую услугу, которую он оказал всему миру в предотвращении WannaCry.

Как работают Kronos и Osiris ?
Хатчинс создал Kronos, когда ему было всего 19 лет. Эта программа работает следующим образом:

1. Создание и продажа. Он создал его дома вместе с другом, который помог ему написать код. Сам Хатчинс никогда не нападал на банки. То, что он сделал, - это подключился к торговым площадкам в «темном» Интернете, например, AlphaBay, чтобы продать свою вредоносную программу ряду кибер-преступников.

2. Заражение. Kronos был отправлен кибер-преступниками в виде вложения или даже в виде ссылки. Злоумышленники осуществляли кражи регистрационных данных своих жертв для получения доступа к их счетам в пострадавших банках.

3. Бум. Kronos начал действовать с 2014 года, но самый большой бум, связанный с ним, пришелся на 2015 год, когда IMB подтвердила , что трояну удалось проникнуть в код некоторых банков, особенно в США и Индии.

4. Новая версия. После нескольких лет молчания, Osiris взял эстафету у Kronos и улучшил его, вернувшись к фишинговым кампаниям и включив набор эксплойтов, чтобы ослабить финансовую кибер-безопасность банков.
Как избежать подобных атак
Банковские трояны далеки от изолированной практики: они являются растущей тенденцией среди кибер-преступлений . Компании и организации, которые хотят защитить свою корпоративную информационную безопасность и предотвратить воздействие этого рода вредоносной программы на их регистрационные данные, должны выполнять ряд соответствующих мер.

1. Повышение уровня осведомленности. Мы говорим об этом снова и снова: сотрудники, как правило, являются самым слабым звеном в цепочке информационной безопасности предприятий. Вот почему крайне важно, чтобы они получали, прежде всего, должный уровень обучения тому, что нельзя открывать подозрительные письма, нельзя нажимать на ссылки, которые могут их перевести на неизвестные сайты, и нельзя скачивать какие-либо неизвестные вложения. Кроме того, необходимо ввести на предприятии план действий на тот случай, если случится заражение, то соответствующий отдел предприятия сможет остановить ее распространение.
2. Управление процессами. Человеческое сознание никогда не может быть совершенным, а потому организациям необходимо знать, что происходит в их сети в любой момент времени. Panda Adaptive Defense автоматически анализирует и контролирует процессы в ИТ-системах компании в режиме реального времени. Это решение не только обнаруживает любое вторжение, но оно также анализирует аномальные модели поведения во избежание проблем прежде, чем они смогут возникнуть. Наличие видимости всех процессов позволяет вам обнаруживать любую аномалию, которая несет риск для ИТ-безопасности компании.
3. Стратегическая информационная безопасность. ИБ не может быть заботой только какого-то одного отдела компании: она должна быть представлена в бизнесе и стратегии всей компании. Только при таком подходе проблемы, которые могут возникнуть в этом направлении, не приведут к лишним финансовым потерям.
Не стоит полагать, что вообще не будет каких-либо угроз нашей корпоративной или финансовой информационной безопасности. Каждый должен осознавать риски, принимать их и, как следствие, использовать соответствующие инструменты для их мониторинга «с близкого расстояния» с целью их предотвращения прежде, чем они станут реальностью. Выполнение упреждающих мер и наличие передовых инструментов безопасности с опциями расширенной защиты имеют большое значение, чтобы вредоносное ПО не представляло собой серьезную головную боль для организаций.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
расширенная информационная безопасность B2B WannaCry
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.