Ransomware, Banking Trojans, Botnets та Rootkits: Повний технічний гайд

У цій статті розглянуто чотири ключові категорії сучасного шкідливого ПЗ, які активно використовуються кіберзлочинцями: Ransomware, Banking Trojans, Botnets та Rootkits.
Кожна з цих технологій слугує різним цілям — від фінансового шахрайства до встановлення довготривалого прихованого контролю над системами.

1. Ransomware

Ransomware — це тип шкідливого ПЗ, який шифрує дані або блокує систему, вимагаючи викуп за відновлення доступу. Сучасні оператори працюють за моделлю RaaS (Ransomware-as-a-Service), продаючи шкідливі інструменти іншим злочинцям.

1.1. Методи проникнення:

• фішингові листи з документами Office (macro/VBA attack)
• експлойти в Remote Desktop Protocol (RDP)
• експлойти в VPN (Fortinet, SonicWall, Citrix)
• drive-by-download атаки на заражених сайтах
• supply-chain атаки (компрометація оновлень ПЗ)

1.2. Основні фази атаки Ransomware:

1. Initial Access — фішинг, експлойти, викрадені паролі.
2. Privilege Escalation — отримання адміністраторських прав.
3. Lateral Movement — розповсюдження мережею (PsExec, WMIC, RDP).
4. Data Exfiltration — крадіжка даних для подвійного шантажу.
5. Encryption — шифрування файлів локально та на мережевих дисках.

1.3. Приклади відомих ransomware:

• WannaCry — використовував експлойт EternalBlue (MS17-010).
• LockBit — сучасний RaaS-лідер.
• REvil — атакував компанії через supply-chain (Kaseya).

1.4. Технічні особливості:

• шифрування AES + RSA
• kill-switch механізми
• знищення shadow copies
• процес-інжекція у легітимні процеси

2. Banking Trojans

Banking trojans — шкідливе ПЗ, яке краде банківські дані, паролі, cookie, токени сесій та перехоплює 2FA. Вони працюють у фоновому режимі, відстежуючи активність користувача у браузері.

2.1. Основні можливості:

• крадіжка логінів банків та гаманців (Binance, Coinbase)
• keylogging — перехоплення натискань клавіш
• захоплення cookie для обходу логіну
• web-inject скрипти у браузер
• перехоплення SMS OTP та push-2FA
• маніпуляція онлайн-трансакціями

2.2. Методи зараження:

• фішинг email/Telegram/Viber
• інфіковані Android APK
• експлойти у браузері
• завантаження через ботнети

2.3. Відомі banking trojans:

• Zeus — легендарний троян з web-inject технологією.
• Emotet — поширювався через email-фішинг.
• TrickBot — модульний троян, працював у банків та криптогаманців.

2.4. Технічний стек атак:

• інжекція у браузер (Chrome/Firefox)
• ATS (Automatic Transfer System)
• заміна реквізитів у платіжних формах
• обхід 2FA через reverse-proxy сервера

3. Botnets

Botnet — це мережа заражених пристроїв (ботів), якими керує оператор для атак, спаму або майнінгу.
У ботнет входять комп’ютери, смартфони, IoT-пристрої, сервери.

3.1. Основні функції ботнетів:

• DDoS-атаки (UDP flood, SYN flood, HTTP flood)
• масове розсилання спаму
• розповсюдження шкідливого ПЗ
• кредитний та крипто-шахрайський фрод
• майнінг криптовалют без згоди користувача

3.2. Як ботнети інфікують пристрої:

• експлойти в роутерах (MikroTik, TP-Link)
• Ole automation + PowerShell зараження
• компрометація IoT (заводські паролі)
• APT-групи через фішинг

3.3. Приклади великих ботнетів:

• Mirai — заражав IoT-пристрої через дефолтні паролі.
• Emotet botnet — контролював сотні тисяч ПК.
• QakBot — відомий доставкою ransomware.

3.4. Архітектура керування:

• C2 сервери — централізоване управління
• P2P ботнети — без центрального вузла
• Fast-Flux технологія

4. Rootkits

Rootkit — це клас шкідливого ПЗ, який приховує свою присутність у системі та надає зловмиснику постійний, привілейований доступ.
Rootkits складно виявити, оскільки вони працюють на низькому рівні та можуть маскувати процеси, файли, мережеву активність.

4.1. Види rootkits:

• User-mode rootkits — модифікують API у браузерах та програмах.
• Kernel-mode rootkits — інтегруються у ядро ОС (Ring 0).
• Bootkits — зараження завантажувача (MBR/GPT).
• Firmware rootkits — BIOS, UEFI, Intel ME.
• Hypervisor-based — працюють нижче за ОС.

4.2. Техніки приховування:

• Hooking системних API
• DKOM (Direct Kernel Object Manipulation)
• маскування файлів, драйверів та процесів
• приховування мережевих портів
• антизнешкоджувальні механізми (anti-debugging, anti-forensics)

4.3. Приклади rootkits:

• ZeroAccess — kernel-level, використовувався у ботнетах.
• TDL-4 — повний bootkit, жив у MBR.
• LoJax — перший у світі UEFI rootkit “у природі”.

4.4. Чому rootkits найнебезпечніші?

• повний контроль над ОС
• можливість перехоплювати все: клавіатуру, мережу, файли
• практично невидимі традиційним антивірусам
• можуть переживати перевстановлення ОС

Висновок

Ransomware, банківські трояни, ботнети та руткіти — фундаментальні інструменти сучасних кіберзлочинців. Вони працюють у тісному взаємозв’язку: ботнети доставляють трояни, трояни виконують шифрування, rootkits приховують сліди атаки.
Знання цих технологій дозволяє ефективніше захищатися, аналізувати інциденти та будувати правильну кібербезпеку.