Начиная с прошлого года множество компаний и правительственных организаций столкнулись с атаками вирусов-шифровальщиков.

Из-за взломов они не только теряют деньги, которые требуют операторы вымогательского ПО за ключ-дешифровщик, но и приостанавливают работу — после атаки на Colonial Pipeline временно возникли перебои с поставками топлива, из-за чего некоторые американские штаты объявили чрезвычайное положение.

После нескольких громких атак власти разных стран, в особенности — США, фактически приравняли угрозу вирусов-вымогателей к терроризму.

Поиск решения проблемы с хакерами может привести к ужесточению регулирования криптовалют — любимом способе получения выкупа. В США уже говорят о необходимости более пристального отслеживания криптовалютных транзакций и ужесточении KYC/AML-процедур.

Культовый журнал о криптовалютах разобрался, с чем связана усилившаяся угроза от вымогательского ПО и какие последствия это будет иметь для криптовалютной индустрии.

• Вирусы-вымогатели существуют давно, однако в последнее время на них обратили пристальное внимание из-за возросшего ущерба от атак и фокуса на компаниях, а не рядовых пользователях.
  
• Специалисты связывают усилившуюся активность шифровальщиков с распространением модели «вымогательского ПО как услуги» и ростом популярности криптовалют.
  
• В администрации президента США назвали отслеживание криптовалютных транзакций одним из возможных вариантов борьбы с вирусами-вымогателями. Некоторые даже предлагают запретить криптовалюты.
  
• Эксперты отмечают, что у индустрии есть все возможности для противодействия использованию криптовалют преступниками — например, отслеживание подозрительных транзакций, что невозможно сделать с наличными деньгами.

Что такое вирусы-вымогатели?

Принцип работы вымогательского ПО предельно прост: злоумышленники заражают устройства, шифруют данные или блокируют работу компьютерной системы и просят выкуп за ключ-дешифратор.

Отчасти именно благодаря относительно незамысловатой схеме осуществления атаки этот вид киберпреступлений стал таким популярным.

Самая стандартная схема заражения – фишинг. Хакеры рассылают письма, содержащие вредоносный файл или ссылку.

Зачастую эти письма подписаны известными мировыми брендами, например, службами доставки, банками или близкими жертве контрагентами, о которых мошенники узнают заранее на этапе подготовки целевой атаки, рассказали журналу специалисты ESET.

История шифровальщиков началась еще в конце 1980-х годов. Одним из первых подобных вирусов стал троян AIDS. Его автором считается преподававший в Гарварде доктор Джозеф Попп. Вирус содержался на дискетах, которые распространялись под видом образовательных программ о СПИДе некой PC Cyborg Corporation.

После 90 перезагрузок компьютера содержащийся на дискетах вирус шифровал файлы и скрывал папки, требуя выплатить $189 за «продление лицензии».

Изображение: Wikipedia.

Со временем вирусы-вымогатели совершенствовались, но по-настоящему масштабные атаки начались уже после 2010 года. Помимо того, что хакеры улучшали вредоносное ПО и находили новые способы взломов, интернет стал распространяться по миру с невиданной скоростью, а, значит, и количество потенциальных жертв возросло в сотни и тысячи раз.

Появились и новые способы получить выкуп и не попасться правоохранителям. Во всяком случае, сразу.

В 2013 году хакеры начали распространять вирус CryptoLocker, нацеленный на пользователей Windows, через рассылку электронных писем с вредоносными вложениями, ботнет и зараженные сайты. Как пишет ZDNet со ссылкой на данные Dell SecureWorks, от CryptoLocker только за первое время его существования пострадали как минимум 250 тысяч жертв.

Вредонос шифровал определенные файлы и жертва получала сообщение с требованием выкупа и обратным отсчетом. Операторы CryptoLocker принимали платежи через карты MoneyPak или в биткоинах. В сообщении также говорилось, что в случае невыплаты выкупа в срок «никто и никогда не сможет восстановить файлы».

Позже хакеры добавили возможность приобрести ключ дешифровки по истечении крайнего срока через специальный сервис, однако цена увеличилась с 2 до 10 ВТС.

По данным ZDNet, отследившего несколько биткоин-адресов, на которые жертвы CryptoLocker отправляли выкуп, в период с 15 октября по 18 декабря 2013 года через кошельки хакеров прошло 41 928 BTC.

В июне 2014 года Минюст США объявил о ликвидации ботнета Gameover Zeus, который использовался для распространения CryptoLocker и других вредоносов, а россиянина Евгения Богачева обвинили в причастности к обеспечению работы ботнета и вымогательского ПО. В рамках операции правоохранители также заявили об уничтожении CryptoLocker.

Впоследствии мир столкнулся еще с несколькими масштабными атаками вирусов-вымогателей. Ущерб от вредоноса WannaCry, по некоторым оценкам, превысил $1 млрд, а вирус Petya не только шифровал данные, но и стирал файлы, из-за чего пострадало множество систем различных компаний и госструктур.

Пока правоохранители и фирмы по кибербезопасности боролись с одними шифровальщиками, на смену им приходили другие группировки, которые вывели этот тип преступлений на совершенно новый уровень.

Новые горизонты

Согласно аналитикам «Лаборатории Касперского», переломным стал 2016 год, «когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое». Данные Statista свидетельствуют, что именно в этом году было зафиксировано наибольшее число атак.

Тем не менее, согласно Check Point Research, в 2021 году шифровальщики активизировались. За первые четыре месяца текущего года от атак вымогательского ПО пострадали на 102% больше компаний, чем в начале 2020 года.

С начала года произошло сразу несколько громких инцидентов с использованием вирусов-вымогателей — Colonial Pipeline, JBS, Acer и множество других компаний и ведомств стали жертвами злоумышленников. В связи с этим, по данным Reuters, США повысили приоритет расследований подобных взломов до уровня дел о терроризме.

Аналитики расходятся в подсчетах общего числа атак шифровальщиков. Достоверные данные трудно получить, так как многие компании не разглашают детали или даже сам факт взлома.

Однако практически все специалисты единогласно говорят о возросшем уровне ущерба.

По данным Chainalysis, средний размер выкупа операторам программ-вымогателей увеличился более чем в четыре раза — с $12 000 в IV квартале 2019 года до $54 000 в I квартале 2021 года.

По подсчетам Cybersecurity Ventures, в 2021 году ущерб от вымогательского ПО достигет $20 млрд, а к 2031 году вырастет примерно до $265 млрд.

Одной из причин возрастающей угрозы подобных атак специалисты называют превращение вымогательства в целую инфраструктуру, где разработчики вредоносного ПО — всего лишь часть системы.

Причины «пандемии вымогателей»

Ransomware-as-a-Service (RaaS) — модель, позволяющая заказать организацию кибератаки как услугу. В большинстве случаев это работает так: хакеры разрабатывают вредонос и предоставляют его клиенту. В зависимости от степени вовлеченности в организацию взлома разработчики берут свой процент от полученного выкупа.

Независимый эксперт Александр Исавнин в разговоре с журналом отметил, что благодаря сложившемуся «рынку услуг зловредного ПО по найму» количество атак существенно возросло:

Примером атаки по модели RaaS является взлом американского трубопровода Colonial Pipeline, рассказал журналу эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.

Причастная к атаке на Colonial Pipeline группа «не только разработала инструментарий для атак, но и создала целую инфраструктуру их реализации». Она помогала своим клиентам во время переговоров с жертвами и получения выкупа, а также предлагала специальные программы другим злоумышленникам, предварительно отобранным на конкурсной основе в соответствии с набором формальных требований и по результатам собеседования.

Участники атак зачастую не знают друг друга. Они взаимодействуют посредством различных форумов и площадок, оплачивая услуги криптовалютой.

Благодаря этому арест любого из участников мало повлияет на работу вымогательского ПО, поскольку невозможно установить личности других исполнителей.

Одним из примеров, подтверждающим это мнение, может служить недавнее сообщение украинских правоохранителей о выявлении представителей хакерской группировки, которая стояла за шифровальщиком Clop.

Спустя неделю после этой новости хакеры Clop опубликовали новую партию данных, предположительно полученных в результате взлома двух новых жертв.

Как оказалось, обыски прошли не у представителей группировки, а у представителей обменника, через которых проходили биткоины операторов вируса-вымогателя, которых помогла идентифицировать биржа Binance. Хакеры же, по всей видимости, остались на свободе.

По данным исследователей Intel471, среди группировок, работающих по модели RaaS, такие известные, как Doppel Paymer, Egregor/Maze, Netwalker, REvil, Ryuk и другие.

Угроза от деятельности вымогателей растет еще и из-за изменения фокуса жертв — хакеры стали все чаще выбирать своими целями компании и различные организации, а не рядовых пользователей.

Хакеры все чаще стали прибегать к тактике двойного вымогательства. Они не только шифруют данные или устройства, но предварительно извлекают персональную или коммерческую информацию, которую угрожают опубликовать в случае невыплаты выкупа.

Многие пострадавшие от атак организации предпочитают заплатить. Как пишут СМИ со ссылкой на исследование Proofpoint, 52% жертв вирусов-вымогателей выплатили выкуп.

Специалисты не рекомендуют идти на уступки хакерам, поскольку «нет никакой гарантии, что преступники выполнят свои обещания по дешифровке после получения денег», сказали журналу в ESET:

Это подтверждают и данные Cybereason. Согласно опросу среди 1263 специалистов в области кибербезопасности, 80% заплативших выкуп вновь попали под атаки.

Власти США призывают не платить вымогателям, а некоторые даже выступают за законодательный запрет подобных выкупов.

В последнее время именно американские организации и компании часто становились жертвами атак, поэтому правительство и спецслужбы обратили свое пристальное внимание на этот вид киберпреступности. А с ним — и на криптовалюты.

В администрации Байдена уже заявили, что считают одним из возможных вариантов борьбы с вирусами-вымогателями отслеживание криптовалютных транзакций.

Биткоин и вымогатели

Некоторые видят в криптовалютах одну из главных причин распространения вирусов-шифровальщиков.

Программист Стивен Дил (Stephen Dhiel) отмечает, что раньше у злоумышленников было очень мало возможностей получить выкуп и не попасть в поле зрения правоохранителей, особенно, если речь идет о крупных суммах.

По данным Chainalysys, в 2020 году жертвы программ-вымогателей заплатили злоумышленникам более $406 млн в криптовалютах. Аналитики указывают, что эта цифра, вероятно, увеличится по мере дальнейших расследований.

В основном хакеры требуют выкуп в биткоине, но платежи могут производить и в других криптовалютах. По словам представительницы компании CAC Specialty Саманты Левин, специалисты фиксируют выплаты в Ethereum и даже Dogecoin.

Злоумышленники обращают внимание на активы, ориентированные на повышенную конфиденциальность. Одной из таких монет является Monero. В прошлом году команда REvil (Sodinokibi) заявила о намерении отказаться от биткоина и перейти на XMR.

Однако, хотя злоумышленники уже просят выкуп в этой криптовалюте, совсем уйти от биткоина им не удалось. В ходе одной из последних атак они потребовали $70 млн в ВТС.

По мнению специалистов, основной причиной, почему хакеры до сих пор полностью не перешли на цифровые активы, движение которых сложнее отследить, в том, что жертвам не так легко получить к ним доступ. Соответственно, они просто не смогут заплатить выкуп.

Вымогатели биткоинов могут похоронить репутацию первой криптовалюты при рассмотрении ее статуса в Конгрессе США, считает член Палаты представителей от Иллинойса Билл Фостер.

В связи с активизацией хакеров власти США, которые и до этого часто говорили об использовании криптовалют преступниками, стали призывать к жесткому регулированию индустрии, а правительственные эксперты — к усилению контроля за соблюдением KYC/AML-процедур на международном уровне.

Некоторые даже предлагают полностью запретить биткоин. Правда, не совсем понятно, каким образом, ведь суть протокола в его децентрализации. Пользователи Reddit высмеяли эту идею, предложив «запретить телефоны, чтобы бороться с навязчивыми спам-звонками» или «чиновников, чтобы побороть коррупцию».

Кроме того, как указывает The Verge, теоретический запрет криптовалют приведет к остановке работы добросовестных игроков рынка, в то время как «сомнительные биржи, базирующиеся за пределами США», продолжат работу.

К тому же, «репутация» биткоина в правительственных кругах как полностью анонимной монеты слегка преувеличена, ведь блокчейн позволяет отследить большинство транзакций.

В июне ФБР вернуло 63,7 ВТС из выплаченного Colonial Pipeline выкупа операторам вымогательского ПО. Ведомство отследило транзакции в блокчейне сразу после перевода средств с адреса Colonial Pipeline хакерам DarkSide. Часть из них перевели на кошелек, доступ к приватному ключу которого был у правоохранителей.

Как именно они получили этот доступ, не сообщается. Однако, как указал пионер криптовалютной индустрии и CEO Blockstream Адам Бэк, едва ли ФБР взломало кошелек. Наиболее вероятно, ведомство просто запросило доступ к нему у провайдера или хостинговой компании.

До этой истории аналитики компании Elliptic обнаружили 47 биткоин-кошельков, предположительно принадлежащих DarkSide.

Даже ориентированная на приватность Monero не является полностью анонимной и инструменты для отслеживания транзакций с ней уже разрабатываются.

Таким образом, у криптовалютной отрасли уже есть инструменты для отслеживания транзакций, а биржи повсеместно вводят KYC/AML-процедур, аналогичные использующимся традиционными финансовыми компаниями. И если отрасль не примет участие в поиске способов противостояния вымогателям, решение, скорее всего, предложат сами регуляторы.