Без страха и упрёка — Как хакеры зарабатывают миллиарды, взламывая корпорации15.09.2016 09:52

Ransomware-вирус CryptoLocker

В 1989 году хакер Джозеф Попп написал первый ransomware-вирус. Он назывался AIDS — с английского языка это слово можно перевести как «СПИД» или как «сбор». Вирус прятал файлы на жестком диске компьютера и шифровал их названия. На экране отображалась надпись о том, что время действия лицензии истекло и пользователю нужно заплатить $189, чтобы вернуть доступ к файлам.

Стоит отдать должное Поппу — после оплаты доступ к файлам действительно возвращался, в случае с ransomware такое происходит далеко не всегда. Через несколько лет создателя вируса нашли правоохранительные органы США, однако Попп был признан умственно нестабильным, чтобы отбывать срок в тюрьме. Позже хакер пообещал пожертвовать все доходы от вируса в фонд исследования СПИДа.

Большой популярности ransomware-вирусы достигли в 2010 году, одновременно с биткоинами. Подход программ-вымогателей практически идентичный. Они загружаются на компьютер через браузер или внешние накопители и либо шифруют файлы в системе, либо блокируют работу программ, например, браузера. Пользователю высвечивается сообщение с требованием выплатить деньги (чаще всего, в биткоинах) и после этого злоумышленники присылают пароль для разблокировки компьютера.

В 2013 году экспертам по кибербезопасности стало ясно, что ransomware — это огромная проблема не только для частных пользователей, но и для корпоративного сектора. Издание ZDNet проанализировало вирус CryptoLocker — один из самых известных ransomware, требовавший оплату в биткоинах. ZDNet использовали открытую информацию о биткоин-транзакциях и подсчитали, что в период с 15 октября по 18 декабря 2013 года на кошельки хакеров, создавших CryptoLocker, пришло около $27 млн.

В корпоративном секторе хакеры атакуют всех без разбора. В феврале 2016 года была произведена атака на госпиталь в Лос-Анджелесе. Тогда из-за вируса врачи лишились доступа к карточкам больных на неделю. Хакеры запросили $17 тысяч в биткоинах за возврат доступа к базе данных.

Медицинский центр Hollywood Presbyterian Medical Center вместе с ФБР в течение недели работал над поиском хакеров, однако в конечном итоге все же заплатил выкуп. «Самый простой и эффективный способ вернуть работоспособность центра — заплатить выкуп, что мы и сделали», — сказал в открытом письме президент центра Аллен Стефанек.

Не боятся хакеры и полиции. С 2013 по 2015 год они заблокировали доступ к компьютерам в нескольких полицейских участках Теннесси, Массачусетса и Нью-Хемпшира. Во всех случаях полиция заплатила хакерам выкуп — от $300 до $750.

В 2014 году оказалась заблокированной вся база данных города Детройт. Хакеры потребовали выкуп в размере 2 тысяч биткоинов — $800 тысяч по курсу 2014 года. Правительство города отказалось идти на поводу у хакеров, мотивировав это тем, что база уже устарела и не использовалась в течение нескольких лет. «Но это был хороший знак. Когда я пришел на пост мэра, я увидел, что в мэрии пользуются Microsoft Office 1993 и я даже не смог синхронизировать календарь компьютера со смартфоном», — сказал мэр Детройта Майк Дугган.

Часто хакеры запугивают жертв, обвиняя их в нарушении авторских прав или скачивании детской порнографии

Чаще всего, хакеры выбирают в качестве жертв тех, для кого очень важна информация на компьютере: медицинские центры, полицейские участки, корпоративный сектор. Некоторые взламывают компьютеры обычных людей — за счет больших объёмов это тоже выгодно и гораздо более безопасно.

Но действительно крупные деньги хакеры получают за счет атак на компании. Согласно отчету ФБР, за первые три месяца 2016 года американские компании потерпели убытки в размере $209 млн за счет хакерских атак. Эта цифра впечатляет еще больше, если сравнить её с убытками годом ранее — тогда компании потеряли на $2 млн меньше за весь год.

Однако статистика ФБР включает в себя только те случаи, когда жертвы обращались в бюро за помощью. В сентябре Datto — компания, оказывающая услуги по кибербезопасности — подготовила отчет, в котором оценила убытки от ransomware-вирусов в $75 млрд ежегодно.

Компания опросила 1 100 ИТ-специалистов и обнаружила, что 92% из них сталкивались с ransomware-атаками в прошлом году и 40% из них сталкивались с атаками не менее шести раз. В отчете сказано, что лишь в одном случае из четырех жертвы обращаются за помощью в ФБР или другие правоохранительные органы.

Разница в оценке ущерба у ФБР и Datto огромна — по оценке Datto убытки больше в 309 раз. Их статистика основывается на исследовании консалтинговой компании Aberdeen Group. Компания анализировала не только сумму выкупа, но и простой. Они обнаружили, что один час простоя стоит небольшой компании, в среднем, $8 581. В исследовании Datto сказано, что за прошлый год компании заплатили хакерам $375 млн, что делает потерянную продуктивность гораздо большей проблемой.

В небольшой компании ransomware-атака может заблокировать всю работу, в корпорации — работу целого отдела или подразделения. Президент сервисной компании GCS Technologies Джо Глэйнсер считает, что в некоторых индустриях атаки хакеров наиболее опасны.

В сфере здравоохранения атака хакероа означает, что пациенты остаются без должного лечения. Если у вас нет доступа к медицинской карте пациента, вы даже не знаете, какие лекарства ему прописать.

— Джо Глэйнсер

Эксперты по кибербезопасности считают, что самым эффективным способом борьбы с ransomware является резервное копирование данных. В случае атаки всю информацию можно восстановить с небольшой задержкой и потерями. Второй по эффективности способ — заплатить выкуп. ФБР не поддерживает эту практику, однако в большинстве стран она законна.

«Платить или не платить выкуп — это тяжелая дилемма. Всё-таки вы имеете дело с преступниками», — говорит Глэйнсер. В опросе компании Datto 7% ИТ-специалистов сказали, что даже после оплаты выкупа, хакеры не вернули доступ к заблокированной информации.

Но даже если компания и хочет заплатить, сделать это не всегда просто. Большая часть хакеров требуют выкуп в биткоинах, которые довольно редко бывают в наличии у компании. «Если у вас нет биткоинов, то велика вероятность, что вы не успеете их получить до того времени, как истечет таймер», — говорит Глэйнсер.

Дело в том, что хакеры устанавливают таймер обратного отчета, чаще всего, на 24 или 48 часов. По истечению этого срока информация автоматически удаляется — так хакеры заставляют жертв действовать оперативно. Иногда по истечению срока стоимость выкупа возрастает в несколько раз. В некоторых случаях, после выплаты выкупа компания сразу подвергается второй атаке.

Нередко хакеры предлагают заплатить выкуп через карты MoneyPak. Их можно купить в любом розничном магазине США за наличные, после чего кассир перечисляет номинал карты в указанный аккаунт платёжной системы MoneyPak. Вирус CryptoLocker даже показывает своим жертвам карту с местоположением ближайших розничных точек.

Оплата с помощью MoneyPak

Эксперты по кибербезопасности полагают, что многие создатели ransomware-вирусов находятся в России. «Власти России не заинтересованы в поиске киберпреступников», — пишет издание The Economist. И пусть злоумышленники и находятся в России, но их жертвы — повсюду. Австралийская комиссия по преступности оценила, что в 2015 году только в Австралии было совершено порядка 16 тысяч ransomware-атак, а жертвы выплатили в общей сумме $7 млн.

От ransomware-атак сложно защититься антивирусами. Сообщество хакеров выкладывает код для создания вируса в сеть и любой энтузиаст может модифицировать код, чтобы антивирусная программа его не заметила. И даже когда команды создают программы, которые борются с ransomware, хакеры мгновенно выпускают заплатки.

В 2015 году команда энтузиастов под эгидой ФБР создала бесплатный сервис DeCryptoLocker, который взламывал один из самых популярных вирусов CryptoLocker и позволял не платить злоумышленникам выкуп. Однако хакеры быстро создали CryptoWall — версию вируса, у которой был иммунитет к DeCryptoLocker. В сентябре 2015 года финская ИТ-компания Nixu Corporation нашла способ бороться с другим ransomware-вирусом TorrentLocker. Но спустя несколько недель создатели вируса закрыли уязвимость, которую нашли финны.

По словам маркетолога Грега Хуша, хакеры анализируют и платежеспособность своих жертв. Большинство вирусов требуют сумму в районе $600 — жертва, чаще всего, готова заплатить такой выкуп, чтобы вернуть доступ к информации.

Эксперты сходятся во мнении, что обезопасить себя от ransomware довольно просто, если быть осторожным. Вирусы попадают на компьютер через почту, файлы с интернета и торренты. Практически всегда пользователь сам запускает зараженную программу. The Economist советует регулярно делать резервные копии файлов, использовать антивирусные программы и файрволлы, а также избегать подозрительных сайтов и файлов.

Так как интернет всё больше входит в жизнь человека, под угрозой находятся все устройства, которыми человек пользуется повседневно: компьютеры, смартфоны, телевизоры и автомобили. В отчете о ransomware-вирусах компания Symantec написала: «Еще никогда в истории люди не подвергались таким масштабам вымогательства». И учитывая тот факт, что интернет-вымогателем может стать практически любой человек, ситуация пока движется лишь в худшую сторону.