Начиная с прошлого года множество компаний и правительственных организаций столкнулись с атаками вирусов-шифровальщиков. Из-за взломов они не только теряют деньги, которые требуют операторы вымогательского ПО за ключ-дешифровщик, но и приостанавливают работу — после атаки на Colonial Pipeline временно возникли перебои с поставками топлива, из-за чего некоторые американские штаты объявили чрезвычайное положение.
После нескольких громких атак власти разных стран, в особенности — США, фактически приравняли угрозу вирусов-вымогателей к терроризму. Поиск решения проблемы с хакерами может привести к ужесточению регулирования криптовалют — любимом способе получения выкупа. В США уже говорят о необходимости более пристального отслеживания криптовалютных транзакций и ужесточении KYC/AML-процедур. ForkLog разобрался, с чем связана усилившаяся угроза от вымогательского ПО и какие последствия это будет иметь для криптовалютной индустрии. Вирусы-вымогатели существуют давно, однако в последнее время на них обратили пристальное внимание из-за возросшего ущерба от атак и фокуса на компаниях, а не рядовых пользователях. Специалисты связывают усилившуюся активность шифровальщиков с распространением модели "вымогательского ПО как услуги" и ростом популярности криптовалют. В администрации президента США назвали отслеживание криптовалютных транзакций одним из возможных вариантов борьбы с вирусами-вымогателями. Некоторые даже предлагают запретить криптовалюты. Эксперты отмечают, что у индустрии есть все возможности для противодействия использованию криптовалют преступниками — например, отслеживание подозрительных транзакций, что невозможно сделать с наличными деньгами. Что такое вирусы-вымогатели? Принцип работы вымогательского ПО предельно прост: злоумышленники заражают устройства, шифруют данные или блокируют работу компьютерной системы и просят выкуп за ключ-дешифратор. Отчасти именно благодаря относительно незамысловатой схеме осуществления атаки этот вид киберпреступлений стал таким популярным. Самая стандартная схема заражения – фишинг. Хакеры рассылают письма, содержащие вредоносный файл или ссылку. Зачастую эти письма подписаны известными мировыми брендами, например, службами доставки, банками или близкими жертве контрагентами, о которых мошенники узнают заранее на этапе подготовки целевой атаки, рассказали ForkLog специалисты ESET. История шифровальщиков началась еще в конце 1980-х годов. Одним из первых подобных вирусов стал троян AIDS. Его автором считается преподававший в Гарварде доктор Джозеф Попп. Вирус содержался на дискетах, которые распространялись под видом образовательных программ о СПИДе некой PC Cyborg Corporation. После 90 перезагрузок компьютера содержащийся на дискетах вирус шифровал файлы и скрывал папки, требуя выплатить $189 за "продление лицензии". Изображение: Wikipedia. Со временем вирусы-вымогатели совершенствовались, но по-настоящему масштабные атаки начались уже после 2010 года. Помимо того, что хакеры улучшали вредоносное ПО и находили новые способы взломов, интернет стал распространяться по миру с невиданной скоростью, а, значит, и количество потенциальных жертв возросло в сотни и тысячи раз. Появились и новые способы получить выкуп и не попасться правоохранителям. Во всяком случае, сразу. В 2013 году хакеры начали распространять вирус CryptoLocker, нацеленный на пользователей Windows, через рассылку электронных писем с вредоносными вложениями, ботнет и зараженные сайты. Как пишет ZDNet со ссылкой на данные Dell SecureWorks, от CryptoLocker только за первое время его существования пострадали как минимум 250 тысяч жертв. Вредонос шифровал определенные файлы и жертва получала сообщение с требованием выкупа и обратным отсчетом. Операторы CryptoLocker принимали платежи через карты MoneyPak или в биткоинах. В сообщении также говорилось, что в случае невыплаты выкупа в срок "никто и никогда не сможет восстановить файлы". Изображение: ArsTechnica. Позже хакеры добавили возможность приобрести ключ дешифровки по истечении крайнего срока через специальный сервис, однако цена увеличилась с 2 до 10 ВТС. По данным ZDNet, отследившего несколько биткоин-адресов, на которые жертвы CryptoLocker отправляли выкуп, в период с 15 октября по 18 декабря 2013 года через кошельки хакеров прошло 41 928 BTC. В июне 2014 года Минюст США объявил о ликвидации ботнета Gameover Zeus, который использовался для распространения CryptoLocker и других вредоносов, а россиянина Евгения Богачева обвинили в причастности к обеспечению работы ботнета и вымогательского ПО. В рамках операции правоохранители также заявили об уничтожении CryptoLocker. Впоследствии мир столкнулся еще с несколькими масштабными атаками вирусов-вымогателей. Ущерб от вредоноса WannaCry, по некоторым оценкам, превысил $1 млрд, а вирус Petya не только шифровал данные, но и стирал файлы, из-за чего пострадало множество систем различных компаний и госструктур. Пока правоохранители и фирмы по кибербезопасности боролись с одними шифровальщиками, на смену им приходили другие группировки, которые вывели этот тип преступлений на совершенно новый уровень. "Несмотря на успех властей в пресечении нескольких вымогательских групп, именно эта разновидность вредоносного ПО оказалась гидрой — отрубили одну голову, а на ее месте появилось несколько", - говорят в Cybersecurity Ventures. Новые горизонты Согласно аналитикам "Лаборатории Касперского", переломным стал 2016 год, "когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое". Данные Statista свидетельствуют, что именно в этом году было зафиксировано наибольшее число атак. Данные: Statista. Тем не менее, согласно Check Point Research, в 2021 году шифровальщики активизировались. За первые четыре месяца текущего года от атак вымогательского ПО пострадали на 102% больше компаний, чем в начале 2020 года. Данные: Check Point Research. С начала года произошло сразу несколько громких инцидентов с использованием вирусов-вымогателей — Colonial Pipeline, JBS, Acer и множество других компаний и ведомств стали жертвами злоумышленников. В связи с этим, по данным Reuters, США повысили приоритет расследований подобных взломов до уровня дел о терроризме. Аналитики расходятся в подсчетах общего числа атак шифровальщиков. Достоверные данные трудно получить, так как многие компании не разглашают детали или даже сам факт взлома. Однако практически все специалисты единогласно говорят о возросшем уровне ущерба. По данным Chainalysis, средний размер выкупа операторам программ-вымогателей увеличился более чем в четыре раза — с $12 000 в IV квартале 2019 года до $54 000 в I квартале 2021 года. Данные: Chainalysis. По подсчетам Cybersecurity Ventures, в 2021 году ущерб от вымогательского ПО достигет $20 млрд, а к 2031 году вырастет примерно до $265 млрд. Одной из причин возрастающей угрозы подобных атак специалисты называют превращение вымогательства в целую инфраструктуру, где разработчики вредоносного ПО — всего лишь часть системы. Причины "пандемии вымогателей" Ransomware-as-a-Service (RaaS) — модель, позволяющая заказать организацию кибератаки как услугу. В большинстве случаев это работает так: хакеры разрабатывают вредонос и предоставляют его клиенту. В зависимости от степени вовлеченности в организацию взлома разработчики берут свой процент от полученного выкупа. Независимый эксперт Александр Исавнин в разговоре с ForkLog отметил, что благодаря сложившемуся «рынку услуг зловредного ПО по найму» количество атак существенно возросло: "Кто-то разрабатывает, кто-то ищет платежеспособных жертв, а инфраструктура вывода преступно полученных средств существовала и ранее. Понятно, что преступники используют самые прогрессивные средства первыми — первыми они стали использовать и криптовалюты". Примером атаки по модели RaaS является взлом американского трубопровода Colonial Pipeline, рассказал ForkLog эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. Причастная к атаке на Colonial Pipeline группа "не только разработала инструментарий для атак, но и создала целую инфраструктуру их реализации". Она помогала своим клиентам во время переговоров с жертвами и получения выкупа, а также предлагала специальные программы другим злоумышленникам, предварительно отобранным на конкурсной основе в соответствии с набором формальных требований и по результатам собеседования. "Мир программ-вымогателей следует понимать как экосистему и рассматривать как таковую", — подчеркивают аналитики. Участники атак зачастую не знают друг друга. Они взаимодействуют посредством различных форумов и площадок, оплачивая услуги криптовалютой. Благодаря этому арест любого из участников мало повлияет на работу вымогательского ПО, поскольку невозможно установить личности других исполнителей. Одним из примеров, подтверждающим это мнение, может служить недавнее сообщение украинских правоохранителей о выявлении представителей хакерской группировки, которая стояла за шифровальщиком Clop. Спустя неделю после этой новости хакеры Clop опубликовали новую партию данных, предположительно полученных в результате взлома двух новых жертв. Как оказалось, обыски прошли не у представителей группировки, а у представителей обменника, через которых проходили биткоины операторов вируса-вымогателя, которых помогла идентифицировать биржа Binance. Хакеры же, по всей видимости, остались на свободе. По данным исследователей Intel471, среди группировок, работающих по модели RaaS, такие известные, как Doppel Paymer, Egregor/Maze, Netwalker, REvil, Ryuk и другие. Угроза от деятельности вымогателей растет еще и из-за изменения фокуса жертв — хакеры стали все чаще выбирать своими целями компании и различные организации, а не рядовых пользователей. "Атаки шифровальщиков за последние годы стали реальной угрозой для любых организаций, включая социальные объекты и промышленные предприятия. При этом зачастую те группы злоумышленников, которые атакуют бизнес, пытаются получить доступ к максимальному количеству корпоративных сетей и потом уже изучают, что это за компания", — заявил эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. Хакеры все чаще стали прибегать к тактике двойного вымогательства. Они не только шифруют данные или устройства, но предварительно извлекают персональную или коммерческую информацию, которую угрожают опубликовать в случае невыплаты выкупа. Многие пострадавшие от атак организации предпочитают заплатить. Как пишут СМИ со ссылкой на исследование Proofpoint, 52% жертв вирусов-вымогателей выплатили выкуп. Специалисты не рекомендуют идти на уступки хакерам, поскольку "нет никакой гарантии, что преступники выполнят свои обещания по дешифровке после получения денег", сказали ForkLog в ESET: "К тому же, статистика показывает, что более половины тех, кто платил деньги, в течение года повторно становятся жертвами". Это подтверждают и данные Cybereason. Согласно опросу среди 1263 специалистов в области кибербезопасности, 80% заплативших выкуп вновь попали под атаки. Власти США призывают не платить вымогателям, а некоторые даже выступают за законодательный запрет подобных выкупов.
Свежие комментарии