Программы, вымогающие ваши миллиарды

А мериканская транснациональная корпорация Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. По оценкам специалистов, компания занимает четвертое место по объему выручки среди всех компаний, специализирующихся в области сетевой безопасности.

Наш журнал неоднократно публиковал статьи, предоставляемые российским представительством компании, посвященные проблемам кибербезопасности, в частности особенностям киберугроз в современном мире, пораженном ковидом.

В этом материале, представленном нашему журналу компанией Fortinet, рассказывается об истории развития программ-вымогателей начиная с 1989 года и объясняется, почему эти зловреды все еще популярны.

История программ-вымогателей

Программы-вымогатели — это тип вредоносного ПО, предназначенного для шифрования файлов на компьютере жертвы до уплаты выкупа. Он проникает на устройства и сети через зараженные электронные письма, веб-сайты или программы. Иногда такие вредоносы угрожают не просто шифрованием данных, но раскрытием чувствительной конфиденциальной информации, если жертва откажется от уплаты выкупа.

С годами количество программ-вымогателей существенно выросло, и теперь они вносят свой вклад в быстро развивающийся бизнес киберпреступников. Сегодня злоумышленники все чаще целятся в крупные сектора экономики: здравоохранение, юридический сектор, образование, финансы и производственную сферу. Согласно отчету Fortinet Global Threat Landscape Report за второе полугодие 2020 года, к концу 2020 года каждый день регистрировалось около 17 200 устройств, зараженных программами-вымогателями. Кроме того, согласно отчету Chainanalysis, выручка от программ-вымогателей в 2020 году выросла на 311% по сравнению с 2019 годом и составила около 350 млн долларов.

Первая атака

Самая первая атака программ-вымогателей была нацелена на отрасль здравоохранения в 1989 году. Исследователь СПИДа раздал 20 тысяч зараженных дискет тем, кто присутствовал на конференции Всемирной организации здравоохранения по СПИДу. Эта атака была названа AIDS Trojan, но также была известна как вирус PC Cyborg, названный в честь вымышленного названия компании, требующей оплаты: PC Cyborg Corporation.

Дискеты содержали программу для анализа риска заражения человека СПИДом, а также вредоносные программы, которые активировались после 90-го включения зараженного компьютера: вредоносная программа скрывала каталоги и зашифровывала имена всех файлов на диске C, отображая при этом сообщение с требованием оплаты.

В последующие годы появились аналогичные атаки, а развитие интернета открыло новые возможности для киберпреступности, но программы-вымогатели оставались относительно незначительной угрозой до начала XXI века.

Трояны GPCode и Archiveus

В начале 2000-х проникновение интернета в развитом мире превысило 50%. Примерно к 2005 году коммутируемый доступ в интернет отошел на второй план, поскольку широкополосное подключение стало нормой. Когда так много людей стали использовать быстрый и надежный доступ в интернет, почва для развития новых программ-вымогателей стала еще более благодатной.

В 2006 году был выпущен троян Archiveus — первая программа-вымогатель, использовавшая шифрование RSA. Этот троян шифровал все в каталоге «Мои документы» и требовал, чтобы жертвы покупали товары в интернет-аптеке, чтобы получить 30-значный ключевой код, который разблокировал бы их файлы.

В том же году программа-вымогатель GPcode заразила компьютеры с помощью целевых фишинговых атак в виде вложений электронной почты, которые выглядели как заявления о приеме на работу. Подобно Archiveus, GPcode использовал 660-битный открытый ключ RSA для шифрования файлов в компьютерном каталоге «Мои документы», и жертвам приходилось платить за этот ключ. С тех пор программы-вымогатели стали набирать обороты все быстрее и быстрее.

Масштабирование: троян WinLock

В 2008 году был изобретен биткойн, децентрализованная цифровая валюта, позволяющая совершать одноранговые транзакции. Эта валюта впервые была введена в употребление в 2009 году и с тех пор пользуется все большей популярностью. Именно децентрализованный характер этой валюты позволяет использовать ее в Dark Web и для незаконной деятельности. Теперь, когда злоумышленники-вымогатели могли требовать оплату, путь которой невозможно отследить, они сильно активизировались.

В каждом из первых двух кварталов 2011 года было обнаружено около 30 тысяч новых образцов программ-вымогателей. В третьем квартале это число увеличилось вдвое и продолжало расти. В то время среди основных игроков на рынке программ-вымогателей был Trojan.WinLock, новизна которого состояла в том, что он блокировал систему целиком, а не отдельные файлы. WinLock нацеливался на операционные системы Windows, блокируя пользователей до тех пор, пока они не купят ключ.

К концу 2012 года вымогатели стоили на черном рынке пять миллионов долларов и становились все более инновационными. Примерно в это же время начались мошенничества с программами-вымогателями от лица правоохранительных органов. В этих сценариях вредоносное ПО прикреплялось к электронным письмам от субъектов, выдававших себя за различные правоохранительные органы, что пугало многих людей и вынуждало открывать такие вложения не раздумывая.

Программа-вымогатель как услуга

В течение последнего десятилетия продолжающемуся росту этой категории вредоносов способствовало появление нового рыночного предложения, известного как Ransomware-as-a-Service (RaaS), которое позволяло злоумышленникам приобретать готовые инструменты. Это означало, что им не нужно было глубоко погружаться в технические составляющие, чтобы заниматься киберпреступностью.

Zeus, вредоносный пакет троянов, впервые обнаруженный в 2007 году, произвел наибольший фурор, когда его использовали для установки вымогателя CryptoLocker. Атака программы-вымогателя CryptoLocker произошла в период с 2013 по 2014 год и распространялась через зараженные вложения электронной почты и через ботнет Gameover Zeus.

Вскоре после этого появились и другие крупномасштабные атаки, в том числе CryptoWall и Locky. Многие из этих угроз теперь подпадают под категорию расширенных постоянных угроз (APT) — это означает, что их сложно обнаружить и они весьма живучи, что делает их особенно трудными для обнаружения и удаления.

Глобальный уровень: Wannacry и Petya в 2017 году

К 2017 году атаки программ-вымогателей стали все более масштабными, атакуя компьютеры по всему миру одновременно. Одним из таких эксплойтов, ставших крупнейшим и самым известным в истории, была атака программы-вымогателя Wannacry в мае 2017 года: она была нацелена на операционные системы Windows, шифровала данные и требовала оплаты биткойнами. Хотя экстренные патчи смягчили атаку в течение нескольких дней, она заразила более 200 тысяч компьютеров в 150 странах, причинив ущерб, исчисляемый миллиардами долларов.

Примерно в то же время на месте происшествия появилось семейство шифровальщиков под названием Petya. В июне 2017 года новый вариант Petya под названием NotPetya привел к масштабной глобальной кибератаке: инфекции были зарегистрированы в России, Украине, Франции, Германии, Италии, Польше, Великобритании и США. Больше всего пострадала Украина: нападениям подверглись более полутора тысяч физических и юридических лиц, в том числе финансовые учреждения.

Охота на крупную дичь

Все вышеперечисленное подводит нас к современной эпохе и к ландшафту киберпреступности, в котором многие злоумышленники теперь действуют как крупные распределенные предприятия с центрами обработки вызовов для работы с платежами. Многие такие организации теперь нацелены на крупные корпорации и отрасли или на высокопоставленных лиц, чтобы получить максимальные выплаты — стратегия, известная как «охота на крупную дичь» (BGH).

Один из примеров крупной и прибыльной киберпреступной организации — группа, известная как Sodinokibi (а также как REvil), которая использует бизнес-модель RaaS и вербует партнеров для распространения своих программ-вымогателей. Их подвиги включают в себя кражу почти терабайта данных из крупной юридической фирмы и требование выкупа за отказ от публикации.

Недавно киберпреступники, известные как DarkSide, получили доступ к сети US Colonial Pipeline в результате атаки программы-вымогателя. Это показывает, что ставки продолжают расти, а критичность атак высока.

*технический директор Fortinet в России