Если вы следите за миром информационной безопасности, то в последние годы наверняка много слышали о программах-вымогателях. Возможно, вам даже не повезло лично столкнуться с разрушительными последствиями их атак. Пожалуй, их без преувеличения можно назвать самыми опасными зловредами современности.
Но знаете ли вы, что такие вредоносные программы существуют уже более 30 лет, а особенности современных атак ученые предсказали еще в середине 90-х? Хотите узнать, почему на смену блокировщикам пришли шифровальщики, какую сумму составил самый крупный в истории выкуп и при чем тут СПИД?
Мы составили для вас хронологию развития вымогательского ПО и нашли ответы на все эти — и многие другие — вопросы. Предлагаем вместе проследить, как менялись блокировщики, шифровальщики и вайперы в последние десятилетия.
Словарь вымогателей
В тексте вам часто будут встречаться некоторые термины. Чтобы вы не запутались, но и не отвлекались от сюжета на сноски, мы решили собрать и разъяснить их прямо в начале. Можете прочитать этот словарик сразу или возвращаться к нему, когда встретите что-то непонятное.
Криптография — наука о том, как не дать посторонним прочитать секретную информацию. Занимается в том числе вопросами шифрования.
Симметричное шифрование — способ шифрования данных, при котором один и тот же ключ используется и для шифрования, и для расшифровки информации.
Асимметричное шифрование — метод шифрования данных, предполагающий использование двух ключей — открытого (или публичного) для шифрования информации и закрытого (или приватного) для расшифровки. Что важно: знание открытого ключа никак не помогает в восстановлении данных, для этого нужен именно закрытый.
Алгоритм RSA — популярный вариант асимметричного шифрования.
Программа-вымогатель (ransomware) — любая вредоносная программа, вынуждающая жертву заплатить выкуп злоумышленнику. Вымогатели можно разделить на несколько групп: блокировщики, шифровальщики и притворяющиеся шифровальщиками вайперы.
Блокировщик — разновидность программы-вымогателя, блокирующая или имитирующая блокировку компьютера или мобильного устройства. Обычно зловред размещает неотключаемое сообщение с требованием оплаты поверх всех остальных окон.
Шифровальщик — разновидность программы-вымогателя, шифрующая пользовательские файлы, чтобы их невозможно было использовать.
Вайпер — в целом это разновидность вредоносного ПО, предназначенная для уничтожения данных на диске компьютера жертвы. Иногда программы-вымогатели, притворяющиеся шифровальщиками, в действительности оказываются вайперами — они необратимо повреждают файлы, так что даже после уплаты выкупа восстановить их все равно невозможно.
RaaS (Ransomware-as-a-Service) — схема криминальной деятельности, в которой создатели программы-шифровальщика сдают ее в аренду любым желающим заняться ее распространением за процент с дохода. Получается своего рода киберкриминальная франшиза.
1989 — первая атака шифровальщика
Автором первого вымогателя-шифровальщика стал доктор биологических наук Джозеф Попп (Joseph L. Popp), который решил подзаработать на людях, интересующихся синдромом иммунодефицита, благодаря чему зловред и получил свое название — AIDS (СПИД по-английски).
Поскольку в те времена Интернет был еще в зачаточном состоянии, для доставки вымогателя Попп использовал весьма оригинальный по современным меркам способ. Злоумышленник каким-то образом добыл списки почтовых адресов подписчиков конференции ВОЗ по СПИДу и журнала PC Business World, после чего высылал жертвам дискету с наклейкой «Информация по СПИД, ознакомительная дискета» и подробной инструкцией. Получателям предлагали установить программу, ответить на вопросы и получить информацию о том, как лично им минимизировать риски заражения. Лицензионное соглашение гласило, что, устанавливая программу, разработанную некоей PC Cyborg Corporation, пользователь обязуется выплатить компании 378 долларов. Но кто же воспринимает такое всерьез?
На самом деле установщик служил для доставки зловреда на жесткий диск. Через определенное количество загрузок системы AIDS начинал действовать: он шифровал имена файлов (включая расширение) на диске C: зараженного компьютера. Имена превращались в мешанину случайных символов, так что с файлами становилось невозможно работать нормальным образом: к примеру, чтобы открыть или запустить файл, надо было для начала понять, какое у него должно быть расширение, и изменить его вручную.
Параллельно на экран выводилось сообщение о том, что срок бесплатного использования программного обеспечения PC Cyborg Corporation истек и пользователь должен заплатить за подписку: $189 за годовую или $378 за пожизненную. Деньги следовало отправить на счет в Панаме.
Зловред использовал симметричное шифрование, так что ключ, позволяющий восстановить файлы, содержался прямо в его коде. Поэтому решить проблему было сравнительно несложно: необходимо было достать ключ, удалить зловред и восстановить имена файлов. Уже в январе 1990 года советник редакции Virus Bulletin Джим Бейтс (Jim Bates) создал для этого программы AIDSOUT и CLEARAID.
Сам Джозеф Попп был арестован, но суд признал его невменяемым. Что, впрочем, не помешало ему в 2000 году издать книгу «Популярная эволюция: жизненные уроки из антропологии» (Popular Evolution: Life-Lessons from Anthropology).
2016–2017 — Petya, NotPetya и WannaCry
В апреле 2016 года появился новый зловред Petya. Если до него шифровальщики оставляли операционную систему нетронутой, чтобы жертва могла заплатить выкуп, то Petya превращал в «кирпич» весь зараженный компьютер. Причина в том, что объектом атаки были не отдельные файлы, а MFT (главная файловая таблица) — база данных, в которой хранится вся структура папок и файлов на жестком диске.
При всей разрушительности у «Пети» были проблемы с механизмом внедрения и распространения. Для его активации жертве нужно было вручную скачать и запустить исполняемый файл, что затрудняло заражение. Он мог бы не оставить значимого следа в истории, если бы не другой вымогатель — печально известный WannaCry.
В середине мая 2017 года WannaCry заразил более 500 тысяч устройств по всему миру и причинил ущерб на $4 000 000 000. Как ему это удалось? В нем к шифровальщику был добавлен эксплойт EternalBlue, использовавший весьма опасные уязвимости Windows. С его помощью троян проникал в сеть и устанавливал WannaCry на компьютер жертвы. Затем зловред продолжал распространяться по другим устройствам в локальной сети. В зараженной системе WannaCry действовал вполне стандартно: шифровал файлы и требовал выкуп.
Не прошло и двух месяцев после начала эпидемии WannaCry, как появился еще один шифровальщик, модифицированный под использование EternalBlue, — NotPetya, также известный как ExPetr. Научившись проникать в сеть через обновление украинского ПО для подачи финансовой отчетности в контролирующие органы (злоумышленникам удалось скомпрометировать инфраструктуру компании-разработчика) и распространяться по компьютерам подобно WannaCry, NotPetya пожирал жесткие диски целиком.
Причем NotPetya шифровал файловую таблицу таким образом, что ее дешифровка была невозможна даже после выкупа. В итоге эксперты сделали вывод, что под видом шифровальщика действовал вайпер. Общий ущерб от «Не-Пети» превысил $10 000 000 000.
Атака WannaCry была настолько разрушительной, что компания Microsoft срочно выпустила патч для защиты от уязвимости для уже не поддерживаемых ОС. Для поддерживаемых систем обновления были доступны задолго до начала обеих эпидемий, однако далеко не все их установили, и эти два вымогателя еще долго напоминали о себе.
2017 — миллион за расшифровку
Помимо небывалой цифры суммарного ущерба, в 2017 году был поставлен и еще один рекорд — по размеру выкупа отдельно взятой организации. Южнокорейская веб-хостинговая компания Nayana согласилась выплатить $1 000 000 за разблокировку компьютеров, пораженных шифровальщиком Erebus.
Сначала киберпреступники запросили в 4,5 раза больше, но в результате переговоров размер выкупа удалось уменьшить. Больше всего экспертное сообщество удивило то, что компания публично заявила о выплате денег злоумышленникам — чаще всего жертвы предпочитают не афишировать подобные вещи.
Всего на тот момент существовало как минимум восемь группировок, которые специализировались на создании программ-вымогателей, нацеленных на бизнес. Рядовые пользователи тоже оставались под прицелом.
2018–2019 — угроза для общества
Эти годы запомнились массовыми атаками вымогателей на социально значимые объекты. Если раньше преступники выбирали в качестве жертв частных лиц и коммерческие компании, то теперь под прицел все чаще попадают организации, которые отвечают за транспорт, водо- и электроснабжение, здравоохранение. Злоумышленники рассчитывают, что их руководство согласится заплатить выкуп, даже очень крупный, чтобы не причинять неудобство тысячам людей.
Так, сотрудникам международного аэропорта Бристоля в 2018 году из-за успешной атаки шифровальщика в течение нескольких дней пришлось писать расписание рейсов на бумажных плакатах. К чести сотрудников аэропорта, им удалось своевременно заметить атаку, быстро среагировать на нее и даже в таких сложных условиях обойтись без серьезных изменений в расписании — и не платить выкуп.
А вот американская клиника Hancock Health была вынуждена заплатить преступникам 4 биткойна (на тот момент $55 000) после поражения систем больницы вымогателем SamSam. Генеральный директор учреждения Стив Лонг (Steve Long) объяснил свое решение заплатить выкуп тем, что в разгар сезона гриппа и перед приближением снежной бури у них не было времени на самостоятельное восстановление работоспособности компьютеров.
Всего за 2019 год жертвами программ-вымогателей стали более 170 муниципальных служб в США, а суммы запрашиваемого выкупа доходили до $5 000 000. В таких организациях бывает затруднено обновление операционных систем, поэтому преступники часто успешно использовали не самые свежие, а потому гораздо более доступные эксплойты.
2020 — рост масштабов и шантаж сливом данных
Кроме продолжающегося роста масштабов заражения, его последствий и размеров выкупа, 2020 год запомнился новыми гибридами: все чаще вымогатели, прежде чем зашифровать данные, пересылают их своим «хозяевам». Дальше в ход идет шантаж сливом информации конкурентам или публикацией в общем доступе, что в эпоху особого внимания к персональным данным может быть смертельно для бизнеса. Впервые эту тактику освоила группировка Maze еще в 2019 году, но в 2020-м она стала настоящим трендом.
Так, жертвой одного из самых громких инцидентов 2020 года стала сеть косметологических клиник Transform Hospital Group. Преступная группа REvil зашифровала и выкрала 900 ГБ данных, в том числе фотографии пациентов до и после операции, которые злоумышленники угрожали опубликовать, если не получат выкупа.
Кроме того, в 2020 году операторы шифровальщиков-вымогателей взяли на вооружение еще несколько новых тактик. Во-первых, группировка REvil начала проводить аукционы по продаже украденной информации. А во-вторых, злоумышленники стали объединяться в своеобразные картели. Первым таким картелем оказалась группировка Maze, которая начала выкладывать на своем сайте информацию, похищенную шифровальщиком LockBit. По словам злоумышленников, они теперь плотно сотрудничают с LockBit, причем не только предоставляют свою платформу для слива данных, но и делятся опытом.
Они также похвастались, что скоро к картелю присоединится еще одна группа — RagnarLocker, которая примечательна тем, что одной из первых в качестве дополнительного средства давления на шантажируемые компании стала устраивать DDoS-атаки на ресурсы жертв.
