В ноябре хакер захватил контроль над компьютерной сетью Муниципального транспортного агентства Сан-Франциско. Как сообщает Popular Mechanics, на следующий день после Дня благодарения билетные киоски легкорельсового транспорта Сан-Франциско отключились, а на экранах агентства появилось сообщение: «Вы взломаны, ВСЕ данные зашифрованы. Свяжитесь с нами для получения ключа (cryptom27@yandex.com) ID: 681, введите». Хакер, работавший по этому адресу, сообщил, что ключ дешифрования будет стоить 100 биткойнов , или около 73 000 долларов, и будет доставлен во вторник. И, как оказалось, самое удивительное в этом инциденте то, что раньше подобного не случалось.
Точные цифры по кибератакам получить сложно, поскольку они основаны на маскировке, но имеющиеся данные по программам-вымогателям рисуют мрачную картину. Исследование, проведенное в июне 2016 года исследовательской и охранной компанией Malwarebytes, основанной на исследованиях Остермана, показало, что 47% американских предприятий — компаний, больниц, школ и государственных учреждений — были заражены программами-вымогателями как минимум один раз в течение предыдущего года. Среди респондентов из Великобритании 12% подверглись атакам как минимум шесть раз. Во всем мире 37% организаций заплатили за эти атаки.
Домашние пользователи могут оказаться в ещё худшем положении. Из более чем 2,3 миллиона пользователей защитных продуктов «Лаборатории Касперского», столкнувшихся с программами-вымогателями в период с апреля 2015 года по март 2016 года, почти 87% находились дома. Информация о том, сколько человек заплатило, отсутствует, но, учитывая, что средний размер выкупа составляет несколько сотен долларов , а выручка от программ-вымогателей оценивается в 209 миллионов долларов за первые три месяца 2016 года, это, вероятно, было немало.
Самое большое зло во вредоносном ПО
«Программы-вымогатели превратились из одного из множества методов, используемых злоумышленниками, в один из самых эффективных инструментов в их арсенале», — пишет в электронном письме Эндрю Ховард, технический директор Kudelski Security . «Меня несколько удивляет, что злоумышленникам потребовалось столько времени, чтобы воспользоваться этим методом».
«Другие типы вредоносных программ по-прежнему распространены, — пишет Говард, — но они не приносят такой финансовой выгоды, как программы-вымогатели».
Атаки гениально просты: пользователь компьютера попадает в фишинговое письмо или попадает на зараженную веб-страницу, после чего загружается вредоносная программа. Она шифрует файлы компьютера (или блокирует к ним доступ), и заражение распространяется с этого компьютера на любой другой, подключенный к нему компьютер. Хакер представляет себя, предоставляет способ связи и обещает ключ дешифрования в обмен на оплату, обычно в виде цифровой «криптовалюты», такой как Bitcoin или MoneyPak, которую сложнее отследить, чем наличные .
Количество атак просто ошеломляет. По оценкам Министерства внутренней безопасности США , в 2016 году в среднем ежедневно совершалось 4000 таких атак, что на 300% больше, чем в предыдущем году.
Джо Опаки, вице-президент по исследованию угроз в PhishLabs , говорит, что программы-вымогатели «изменили способ зарабатывания денег киберпреступниками».
«Вместо того, чтобы красть данные и продавать их или сдавать ботнеты в аренду другим киберпреступникам, программы-вымогатели предлагают прямую оплату», — пишет Опаки в электронном письме. «Вы заражаете компьютер, и жертва платит вам. Никаких дополнительных действий, никаких посредников, получающих свою долю…»
Эта концепция не нова. Ранние версии этой схемы появились ещё в 1989 году, когда хакеры распространяли троян, вызывающий СПИД, по обычной почте, используя заражённые дискеты. Программа, предположительно являвшаяся частью глобальной схемы вымогательства, шифровала часть корневого каталога компьютера.
Этот пионер вредоносного ПО был быстро побеждён. Но десятилетия позволили усовершенствовать как методы доставки, так и методы шифрования.
Программы-вымогатели: сделано правильно
Нолен Скейф, докторант по информационным системам в Университете Флориды (UF) и научный сотрудник Флоридского института исследований кибербезопасности , говорит, что программы-вымогатели — это серьезный противник.
«Защититься от такого рода атак невероятно сложно, и мы только сейчас начинаем видеть реальные способы защиты от программ-вымогателей», — пишет Скейф.
Он объясняет, что атаки программ-вымогателей «каждый раз немного отличаются друг от друга, что затрудняет их обнаружение и блокировку. Ситуацию ещё больше усложняет тот факт, что активность программ-вымогателей в системе может напоминать действия, которые администратор мог бы выполнять по закону.
Команда Скейфа из Флоридского университета разработала программу обнаружения программ-вымогателей под названием CryptoDrop , которая «пытается обнаружить процесс шифрования, выполняемый программой-вымогателем, и остановить его». Чем меньше данных вредоносная программа может зашифровать, тем меньше времени потребуется на восстановление файлов из резервной копии.
Но обратный взлом шифрования — это уже совсем другая история. По словам Скейфа, хорошо продуманный вирус-вымогатель может быть неуязвимым.
«Надёжность качественной криптографии и рост популярности криптовалют создали идеальные условия для программ-вымогателей», — пишет Скейф в электронном письме. «Если программа-вымогатель создана правильно и нет резервных копий [данных], единственный способ вернуть файлы жертвы — заплатить выкуп».
Медицинский центр Hollywood Presbyterian в Лос-Анджелесе продержался почти две недели, прежде чем в феврале 2016 года выплатить 40 биткоинов (около 17 000 долларов США) за расшифровку своих систем связи. Как сообщает Сын Ли из Newsweek, хакер не имел доступа к историям болезни пациентов, но сотрудники заполняли формы и обновляли записи с помощью карандаша и бумаги в течение 13 дней.
В марте вирус-вымогатель атаковал сети еще трех больниц в США и одной в Оттаве, Онтарио; а веб-сайт еще одной больницы в Онтарио был взломан с целью заражения посетителей вредоносным ПО.
Целенаправленные атаки
Больницы — идеальные жертвы, заявил CBC News эксперт по безопасности Жером Сегура . «Их системы устарели, у них много конфиденциальной информации и личных дел пациентов. Если они окажутся заблокированы, они не смогут просто игнорировать это».
То же самое и с правоохранительными органами. Как минимум одно из пяти полицейских управлений штата Мэн, пострадавших от вирусов-вымогателей в 2015 году, использовало DOS, сообщил начальник управления в интервью NBC .
Полицейские управления — частые мишени. И хотя ирония ситуации не ускользает от внимания всех, полиция, как и все остальные, готова заплатить. Начальнику полиции Нью-Гэмпшира, который не выдержал, пришла в голову блестящая идея: он заплатил выкуп , получил ключ и отменил платёж. Но когда через два дня его управление снова подверглось нападению, он просто выложил 500 долларов.
Школьный округ в Южной Каролине заплатил 8500 долларов в феврале 2016 года. Университет Калгари заплатил 16 000 долларов в июне, объяснив, что не может рисковать, имея в своих сетях данные «исследований мирового уровня». В ноябре, за несколько недель до взлома легкорельсового транспорта, округ Индианы заплатил 21 000 долларов за восстановление доступа к системам полиции, пожарной охраны и других ведомств.
Сообщения об атаке на легкорельсовый транспорт указывают на необычный подход. Похоже, что программа-вымогатель была запущена изнутри системы. Опаки говорит, что хакер, по всей видимости, воспользовался «известной уязвимостью в программном обеспечении Oracle WebLogic… Вероятно, злоумышленник сканировал интернет в поисках подобных известных уязвимостей и случайно наткнулся на систему SFMTA».
Оказавшись внутри, хакер внедрил программу-вымогатель.
«Но большинство атак программ-вымогателей происходят иначе», — пишет Опаки. Обычно уязвимость кроется в людях, а не в программном обеспечении.
«Это обескураживает»
«Как правило, — отмечает Опацки, — люди переоценивают свою способность распознать фишинговые атаки».
Действительно, исследование, проведенное в 2016 году, показало , что 30 процентов людей открывают фишинговые письма, а 13 процентов из них затем нажимают на вложение или ссылку.
«Многие до сих пор считают, что фишинговые атаки — это плохо оформленные спам-письма, изобилующие орфографическими ошибками и неграмотным английским. Затем они пытаются открыть таблицу «зарплатной ведомости сотрудников», которую, по их мнению, отдел кадров отправил им по ошибке», — пишет Опаки.
Фишинг шагнул далеко вперёд с тех пор, как нигерийским принцам потребовалась наша помощь с деньгами. Многие письма персонализированы и содержат реальные данные о потенциальных жертвах, часто почерпнутые из сообщений в социальных сетях.
По опыту Эндрю Говарда из Kudelski, «в организациях, наиболее заботящихся о безопасности… от 3 до 5 процентов сотрудников становятся жертвами даже самых неумело придуманных фишинговых схем. В организациях, менее заботящихся о безопасности или использующих более изощрённые схемы мошенничества, цифры гораздо хуже».
«Это довольно удручающе», — добавляет он.
Однако ошеломляющий рост числа атак программ-вымогателей за последние несколько лет связан не столько с доверчивостью или даже с продуманной разработкой вредоносных программ, сколько с лёгкостью. Провести мошенничество с использованием программ-вымогателей примерно так же сложно, как ограбить кого-то на улице, но гораздо менее рискованно.
Хакерство для идиотов
По словам Нолена Скейфа, для создания программ-вымогателей не требуется особых навыков. Это ПО не такое уж сложное. Хакеры могут быстро создать его и успешно внедрить, не прилагая особых усилий.
Но что ещё важнее, хакерам не обязательно создавать программу-вымогатель, чтобы её внедрить. Им даже не нужно знать, как это сделать.
Большинство мошенников, занимающихся мошенничеством с использованием программ-вымогателей, приобрели это ПО в темном интернет-пространстве, известном как «даркнет» , где разработчики программ-вымогателей продают бесчисленные варианты на обширных торговых площадках. Оно поставляется в виде комплексных приложений, часто с поддержкой клиентов и технической поддержкой, что способствует бесперебойной работе мошеннических схем.
«Поддержка и обслуживание, — пишет Дэн Теркел в Business Insider, — особенно важны для продавцов, чей рынок состоит из относительно неопытных хакеров, которым может потребоваться определенная поддержка».
Некоторые продукты предлагают гарантию возврата денег, пишет Туркель. Многие предлагают услуги по телефону или электронной почте, которые помогут жертвам пройти процедуру оплаты и расшифровки, избавляя хакера от необходимости с этим сталкиваться. По крайней мере одно семейство программ-вымогателей предлагает такую «поддержку клиентов» через онлайн-чат.
Рынок программ-вымогателей настолько велик, что разработчики нанимают дистрибьюторов для продажи своей продукции.
Всё это не сулит ничего хорошего тем, кто не занимается мошенничеством. По мнению всех экспертов по кибербезопасности, нам всем следует делать резервные копии своих данных. Без резервных копий платить выкуп может быть единственным выходом, если мы хотим снова увидеть свои данные.
И даже тогда мы можем не получить доступ к нашим данным. Исследование Trend Micro показало, что 20% британских компаний, заплативших выкуп в 2016 году, так и не получили ключ.
Транспортное бюро Сан-Франциско ничего не заплатило. Представитель агентства сообщил журналу Fortune, что агентство даже не рассматривало это предложение. Системы были восстановлены из резервных копий, и большинство из них вернулись в строй в течение двух дней. Тем временем жители Сан-Франциско пользовались лёгким метро бесплатно.
Два дня спустя хакеры взломали учетную запись электронной почты хакера, управлявшего легкорельсовым транспортом, и обнаружили сумму, оцениваемую в 100 000 долларов, в виде выплат за вымогательство с августа.
Теперь это удобно
Некоторые хакеры-вымогатели принимают подарочные карты Amazon.