Microsoft Уничтожила «Нотариуса» Программ-Вымогателей

Что произошло

Microsoft провела тихую, но очень значимую операцию в мире кибербезопасности. Технологический гигант объявил о ликвидации инфраструктуры, которую годами использовали банды программ-вымогателей — своего рода «цифрового нотариуса». Этот сервис ставил поддельную «доверенную» печать на вредоносное ПО, пытающееся проникнуть в ваш компьютер. Другими словами, это был центр мошенничества, созданный для обмана систем безопасности вашего компьютера.

Представьте, что к вам домой приходит человек и показывает охраннику на входе официальное удостоверение с печатью. Охранник, не поняв, что удостоверение поддельное, впускает его. Именно это и делал нелегальный сервис под названием «Cryp-Sign» для вирусов киберпреступников. Он предоставлял вирусам цифровые сертификаты, которые создавали видимость, будто они выпущены Microsoft или другой легитимной компанией-разработчиком. Благодаря этому они могли проникать даже на компьютеры самых осторожных пользователей.

Команда Microsoft Threat Intelligence отслеживала этот сервис месяцами. Согласно их заявлению, это была не просто операция по закрытию веб-сайта. Серверы сервиса были изъяты, используемые ими цифровые сертификаты аннулированы, и была получена важная информация о личностях групп, управлявших этой структурой. Это серьезный удар по экосистеме программ-вымогателей.

Какие данные были скомпрометированы

В этой новости нет классической ситуации «украдены данные стольких-то миллионов пользователей». Потому что эта операция была нацелена не на группу, крадущую данные, а на «магазин», который продает ворам отмычки и замки. То есть сам сервис Cryp-Sign напрямую не крал ваши фотографии или пароли. Но программы-вымогатели, «заверенные» этим сервисом, делали именно это.

Программы-вымогатели, попадая на ваш компьютер, обычно совершают два злодеяния. Во-первых, они шифруют все ваши важные файлы (фотографии, документы, видео) очень сильным паролем и требуют деньги, обычно в биткойнах, за их расшифровку. Во-вторых, и что, возможно, еще хуже, перед шифрованием они копируют ваши файлы на свои серверы. Если вы не заплатите выкуп, они угрожают опубликовать ваши личные данные в интернете. Это называется «двойное вымогательство».

Таким образом, хотя в результате ликвидации сервиса Cryp-Sign не было прямой компрометации пользовательских данных, объем данных, украденных злоумышленниками, которые использовали этот сервис для проникновения в бесчисленные компании и на личные компьютеры, огромен. Сюда входят финансовые отчеты компаний, списки клиентов, личная медицинская информация, семейные фотографии и множество других конфиденциальных сведений. Чтобы быть в курсе подобных атак, полезно регулярно проверять новости об утечках данных.

Как происходила атака

Сам механизм атаки, то есть принцип работы Cryp-Sign, был довольно хитроумным и в то же время очень опасным. Обычно, когда вы разрабатываете программное обеспечение, вы подписываете его так называемым «сертификатом подписи кода», чтобы операционные системы (например, Windows) доверяли ему. Это цифровая печать, которая гарантирует, что ПО пришло от вас и не было изменено по пути.

Это одна из самых больших проблем для киберпреступников. Их вирусы не подписаны, поэтому антивирусные программы и операционные системы быстро их обнаруживают. И здесь на сцену выходил Cryp-Sign. У этого сервиса были сотни цифровых сертификатов, которые были либо украдены, либо созданы с использованием поддельной информации. Банды вымогателей загружали свой вирус в Cryp-Sign, а сервис ставил на него внешне действительную цифровую подпись и возвращал обратно.

Теперь у вируса была «доверенная» печать. Этот подписанный вирус обычно отправлялся жертвам под видом поддельного счета-фактуры во вложении к электронному письму, файла отслеживания посылки или фальшивого обновления программы. Когда пользователь нажимал на этот файл, экран безопасности Windows или антивируса либо вообще не выдавал предупреждения, либо вводил пользователя в заблуждение, показывая сообщение «Проверенный издатель». В тот момент, когда пользователь думал «это безопасно», он фактически передавал всю свою систему в руки киберпреступников. Операция Microsoft полностью уничтожила эту сеть фальшивых нотариусов.

Кто пострадал

Клиентами этого сервиса были одни из самых опасных группировок в мире киберпреступности. Microsoft заявила, что такие крупные банды вымогателей, как LockBit, Conti (хотя и неактивна, ее производные продолжают действовать) и BlackCat, активно использовали этот сервис. Эти группы известны своими атаками на больницы, школы, государственные учреждения и тысячи компаний по всему миру.

Таким образом, косвенно пострадали мы все. Из-за атак этих групп отменялись приемы в больницах, компании были вынуждены останавливать производство, а личная информация людей выставлялась на продажу в даркнете. Ликвидация Cryp-Sign затруднит этим группам организацию новых атак. Теперь им придется искать новые, более сложные способы придать своим вирусам легитимный вид. Это приведет к потере времени и денег. Короче говоря, благодаря этой операции, возможно, были предотвращены тысячи потенциальных атак.

Что вы можете сделать

Вы можете спросить: «Хорошо, Microsoft что-то там ликвидировала, но что это значит для меня?». Справедливый вопрос. Вот несколько конкретных, не шаблонных советов:

• Включите в антивирусе функцию «Проверка репутации»: Большинство современных антивирусов проверяют не только вирусные сигнатуры, но и репутацию файла или сертификата: как давно он существует, насколько широко используется. Поскольку сервисы вроде Cryp-Sign постоянно создают новые и подозрительные сертификаты, эта функция «защиты на основе репутации» может выявить поддельные подписи. Проверьте настройки и убедитесь, что она включена.
• Никогда не отключайте Windows SmartScreen: Встроенная в Windows функция SmartScreen — это именно тот слой защиты, который предназначен для борьбы с такими подозрительными приложениями с поддельными подписями. Хотя иногда его предупреждения могут раздражать, эта операция еще раз показала, насколько он важен. Обязательно держите его включенным.
• Обращайте внимание на имя «проверенного издателя»: Когда при установке программы вы видите предупреждение с надписью «Проверенный издатель» (Verified Publisher), не доверяйте ему слепо. Посмотрите на имя издателя. Например, если вы видите «Microsft Corp» вместо «Microsoft Corporation» или бессмысленное название (вроде «1_ClickSoftware LLC»), это очень серьезный тревожный знак. В случае сомнений отмените установку.
• Проверьте прошлые утечки: Подобные атаки происходят постоянно, и, возможно, ваша информация уже была скомпрометирована в другой утечке, о которой вы не знаете. Эти данные могут быть использованы для отправки вам целевых фишинговых писем. Поиск утечкиданных — это проактивный шаг для проверки, не фигурировал ли ваш адрес электронной почты в предыдущих утечках.

Что говорит компания

Microsoft заняла очень четкую позицию в своем блоге, посвященном операции. Клинт Уоттс, вице-президент Центра анализа угроз Microsoft, заявил: «Эта операция лишила киберпреступников одного из их самых надежных инструментов. Мы заставляем их становиться более заметными, шумными и легко обнаруживаемыми». Уоттс добавил, что это не разовая победа, и их борьба с инфраструктурой киберпреступности будет продолжаться непрерывно. В заявлении также подчеркивается, что операция проводилась в координации с правоохранительными органами США и Европы. Это является сигналом того, что в будущем могут быть возбуждены уголовные дела против лиц, управлявших этим сервисом.

Источник

https://thehackernews.com/2026/05/microsoft-takes-down-malware-signing.html