- Программы-вымогатели эволюционировали от простых блокировщиков дискет до сложных шифраторов с двойным и тройным вымогательством, затрагивающих все секторы экономики.
- Сочетание криптовалют, программ-вымогателей как услуги (Ransomware-as-a-Service) и посредников, предоставляющих первоначальный доступ, привело к индустриализации киберпреступности и резкому увеличению числа атак.
- WannaCry, NotPetya и Big Game Hunting стали знаковыми событиями, объединив в себе вымогательство, геополитический саботаж и целенаправленные атаки на крупные организации.
- Для эффективной защиты необходимы неизменяемые резервные копии, сегментация, современные решения для защиты конечных точек, проактивное обнаружение, а также инвестиции в обучение и реагирование на инциденты.
El Программы-вымогатели стали "главным бизнесом" в сфере киберпреступности.Из технической диковинки 80-х годов это превратилось в глобальную машину вымогательства, которая перемещает миллиарды людей и парализует работу больниц, заводов, университетов и государственных администраций. Далеко не мимолетная мода, это угроза, которая возрождается с каждым технологическим прогрессом, от популяризации интернета до появления искусственного интеллекта.
Чтобы понять, почему мы наблюдаем увеличение числа инцидентов и повышение показателей спасательных работ с каждым годом, нам необходимо проследить за следующими факторами: Исторический обзор программ-вымогателей: их происхождение, технические модификации и бизнес-модель.Только понимая, как развивалась эта технология — от дискет «трояна СПИДа» до платформ Ransomware-as-a-Service на базе искусственного интеллекта — можно разработать реалистичные меры защиты, принимать более взвешенные решения в случае инцидента и, прежде всего, подготовить организацию к тому, чтобы избежать попадания в заголовки новостей.
От дискет до асимметричного шифрования: первые шаги программ-вымогателей.
Документированная история программ-вымогателей начинается в 1989 году со случая столь же необычного, сколь и тревожного: Эволюционный биолог Джозеф Л. Попп распространил 20 000 зараженных дискет. Среди участников международной конференции по СПИДу. На дискетах с надписью «Информация о СПИДе – вводные диски» был якобы опросник для оценки риска заражения этим заболеванием.
После определенного количества перезагрузок системы вредоносное ПО, известное как «Троян СПИДа» или «киборг ПК»— Вирус модифицировал процесс загрузки MS-DOS и зашифровал данные компьютера, отобразив записку с требованием выкупа в размере 189 долларов, отправленную на почтовый ящик в Панаме. Полиция отследила происхождение вируса и арестовала Поппа, но он был признан невменяемым и неспособным предстать перед судом. Этот инцидент остается редким случаем в истории компьютерных вирусов.
В 90-х и начале 2000-х годов внимание было сосредоточено в большей степени на Массивные черви, DDoS-атаки и «классические» вирусыОтчасти это объяснялось тем, что программы-вымогатели было легче отследить по платежам. Однако развитие криптографии и появление анонимных цифровых платежей подготовили почву для их возвращения.
Примерно в 2005 году появился PGPCoder или Gpcode, один из первых подобных инструментов. Программы-вымогатели, массово распространяемые через Интернет.Оно распространялось в виде вложения в электронное письмо с использованием следующих методов: клонирование фишинг Выдавая себя за заявления о приеме на работу, вредоносная программа атаковала документы и сжатые файлы (.doc, .xls, .rar, .zip, .jpg и другие). Ранние версии использовали относительно слабое шифрование, но быстро эволюционировали, перейдя к использованию 660-битных и 1024-битных ключей RSA, которые гораздо сложнее взломать.
В 2006 году появился Archiveus (также известный как Archievus), троянский конь, который популяризировало использование асимметричного шифрования RSA в программах-вымогателях.Вирус зашифровал всё содержимое папки «Мои документы» пользователя и оставил файл с именем «how to get your files back.txt», в котором объяснялось, что для восстановления данных жертве необходимо совершить покупки в онлайн-аптеке в обмен на пароль из нескольких десятков символов. Позже выяснилось, что один пароль работал для всех жертв, что положило конец работе этого конкретного варианта вируса.
Препятствия и рост, связанные с массовым распространением интернета.
С расширением интернета в начале 2000-х годов — появлением электронной почты, социальных сетей, форумов, P2P-сетей — программы-вымогатели нашли своё применение. идеальный канал распространения для атаки на миллионы пользователейНа этом этапе получили распространение так называемые «блокировщики», которые не шифровали файлы, но препятствовали нормальному использованию системы.
WinLock, активно использовавшийся в период с 2011 по 2014 год, блокировал доступ к рабочему столу Windows и отображал сообщение. Порнографическое изображение, сопровождаемое запросом на оплату посредством SMS-сообщения премиум-класса.Технически это было проще, чем современное шифрование, но очень эффективно: пользователь видел, как его компьютер становится непригодным для использования, и, испытывая стыд или страх, быстро платил.
Вскоре после этого появились варианты, имитирующие полицейские силы. Reveton, обнаруженный примерно в 2012 году, отображал сообщение, якобы исходящее от... ФБР или другие правоохранительные органы обвиняют пользователя в преступлениях. (пиратство, распространение порнографии и т. д.) и требование «штрафа» в размере около 200 долларов за разблокировку устройства. Сочетание юридического запугивания и блокировки системы привело к увеличению размера выплат.
Параллельно с этим, использование альтернативные и полуанонимные способы оплатынапример, электронные кошельки и платные SMS-сервисы. Эта модель вымогательства оказалась чрезвычайно прибыльной, до такой степени, что правоохранительные органы и платежные системы начали реагировать.
Реакция регулирующих органов и полиции была сосредоточена на прекращении финансирования и активизации Предупреждения о безопасности в интернетеужесточить контроль над электронными платежами, отслеживать денежные средства и закрыть каналы, используемые для сбора выкуповЭто давление снизило прибыльность модели блокировщиков и вынудило многие группы изменить тактику или исчезнуть.
Криптореволюция и влияние биткоина
Настоящий качественный скачок произошел с популяризацией биткоина и других криптовалют, предложивших собой платежную систему. Сложно отслеживать и отсутствует централизованный контроль.Это стало идеальным дополнением к программам-вымогателям. Злоумышленникам больше не нужно было полагаться на платные SMS-сервисы или более регулируемые электронные кошельки.
Вместо того чтобы просто блокировать операционную систему или браузер, новые семейства начали Надежное шифрование личных и корпоративных файлов.Жертва не смогла восстановить свои данные даже после переустановки системы. Для злоумышленников это открыло возможность для гораздо более крупных выкупов: сотни долларов для отдельных пользователей и десятки тысяч для предприятий.
Согласно данным «Лаборатории Касперского», в период с 2014 по 2016 год резко возросло количество попыток заражения программами-вымогателями: от чуть более 130 000 до более чем 700 000 за один годСемейства вредоносных программ, такие как TeslaCrypt, CTB-Locker, Scatter и Cryakl, доминировали на рынке, на их долю приходилось почти 80% обнаруженных атак за этот период, хотя некоторые из них в итоге получили общедоступные инструменты для расшифровки.
Географический охват атак также расширился. Особенно сильно пострадали такие страны, как Индия, Россия, Казахстан, Вьетнам, Алжир, Бразилия и Украина. «более старые» или менее сложные вариантыТем временем на таких рынках, как Италия и Германия, стало обычным явлением агрессивное шифрование, где «программы-вымогатели» практически стали синонимом «всего вашего диска зашифровано».
Одновременно с этим преступники изменили направление своей деятельности: Они перешли от атак почти исключительно на домашних пользователей к тому, чтобы сосредоточиться также и на бизнесе.Доля пострадавших организаций быстро росла, поскольку операционные последствия потери серверов, баз данных и критически важных систем сделали компании гораздо более привлекательными целями для кибератак.
CryptoLocker, Petya и профессионализация модели
2013 год стал поворотным моментом с появлением CryptoLocker. Это вредоносное ПО положило начало широкому распространению... Серверы управления и контроля (C&C) для управления атакойПосле заражения машина взаимодействовала с удаленной инфраструктурой, контролируемой злоумышленниками, которые генерировали уникальные ключи, согласовывали сроки и могли даже оказывать длительное давление на жертву.
Благодаря такому более «ориентированному на бизнес» подходу — масштабным кампаниям, переговорам, срокам, «клиентской» поддержке при оплате — CryptoLocker привлек десятки миллионов долларов всего за несколько месяцев.Он также был одним из первых, кто систематически требовал оплаты в биткоинах, заложив основу для современной модели.
В 2014 и 2015 годах программы-вымогатели расширили круг своих технических целей: Устройства Android и системы Linux начали подвергаться атакам. через такие семейства программ, как SimpleLocker, Sypeng или Encoder, которые часто распространялись под видом легитимных обновлений программного обеспечения (например, поддельные обновления Flash). Послание было ясным: речь шла уже не только о компьютерах под управлением Windows.
В 2016 году появилась Petya, которая пошла дальше классического подхода к шифрованию только файлов. Вместо этого она атаковала главная файловая таблица (MFT) диска, полностью выводящая систему из строя.Устройство блокировалось, на экране появлялся зловещий красный череп, и единственным очевидным вариантом была оплата. Распространение устройства через фишинговые кампании, нацеленные на предприятия, продемонстрировало, что злоумышленники довели до совершенства использование электронной почты в качестве средства распространения.
Медийное влияние этих кампаний — со скриншотами, закрытием компаний и публичными свидетельствами — Это невольно послужило маркетинговой кампанией для программ-вымогателей.Это вызвало интерес у новых преступных группировок, которые увидели в этом типе атак источник дохода, значительно превосходящий другие традиционные виды онлайн-мошенничества.
WannaCry, NotPetya и программы-вымогатели как геополитическое оружие
В период с 2017 по 2018 год использование Уязвимости нулевого дня, украденные у государственных учреждений. Это вывело программы-вымогатели на новый уровень. Утечка таких инструментов, как EternalBlue и EternalRomance, приписываемая АНБ, позволила злоумышленникам объединить шифрование с возможностями червя, распространяясь с компьютера на компьютер без вмешательства человека.
Наиболее известным примером является вирус WannaCry, появившийся в 2017 году: за несколько часов он заразил множество людей. сотни тысяч устройств в более чем 150 странахВирус затрагивает предприятия, больницы, государственные учреждения и организации всех типов. Он использовал уязвимость EternalBlue для распространения по незащищенным сетям Windows, отображая сообщение с требованием выкупа, таймером и угрозой удаления данных.
Парадоксальным образом, агрессивность WannaCry обернулась против его создателей: атака распространилась настолько быстро, что Они потеряли контроль над собственной кампанией.Обнаружение в коде механизма аварийного отключения помогло остановить распространение. Тем не менее, финансовый ущерб был огромным, и многие компании отреагировали, инвестируя в резервное копирование и планы аварийного восстановления.
Преступные группировки быстро адаптировались. Если организации были лучше защищены резервными копиями, следующим шагом стало... также атаковать резервные хранилища а также избыточные системы хранения данных, так что для многих жертв единственной приемлемой альтернативой были переговоры о выкупе.
Вирус NotPetya, также появившийся в 2017 году и возникший в результате конфликта между Россией и Украиной, использовал некоторые из тех же уязвимостей, но для других целей. Хотя он позиционировался как программа-вымогатель, на практике он оказался уязвимым. Оно функционировало как «средство для удаления данных», предназначенное для уничтожения данных в больших масштабах.Их истинной целью, по всей видимости, было не сбор средств, а нанесение максимального ущерба критически важной украинской инфраструктуре и связанным с ней компаниям, включая международные цепочки поставок.
Этот тип инцидента продемонстрировал, что программы-вымогатели могут быть опасны. Это был уже не просто инструмент экономического вымогательства, но и оружие цифровой войны.Правительства и крупные компании стали гораздо серьезнее относиться к необходимости быстрого обновления программного обеспечения, сегментации сетей и планов обеспечения непрерывности бизнеса.
Охота на крупную дичь и эпоха двойного и тройного вымогательства
Начиная с 2019 года, утвердилась другая стратегия: вместо запуска масштабных и шумных кампаний многие группы предпочли... целенаправленные атаки против крупных организацийЭта тактика известна как «охота на крупную дичь»: ценность каждой жертвы настолько высока, что компенсирует дополнительные усилия по разведке и проникновению.
Злоумышленники тщательно анализируют свою цель, выявляют критически важные системы, изучают платежные системы, ищут полисы киберстрахования и даже Они ведут переговоры, зная экономические возможности компании.В этот период средняя сумма требуемого выкупа утроилась, увеличившись с пятизначных сумм до шести- или семизначных долларов.
В то же время, модель двойное вымогательствоОдного шифрования данных уже недостаточно: прежде чем это сделать, преступники их похищают. Если жертва решает восстановить данные из резервных копий и отказывается платить, группа угрожает опубликовать конфиденциальную информацию (исходный код, данные клиентов, медицинские записи и т. д.) на форумах в даркнете или передать её в СМИ.
Некоторые группы даже зашли так далеко, что оказывали прямое давление. клиенты, пациенты или партнеры пострадавших компанийИм сообщили, что их данные были скомпрометированы и могут быть опубликованы, если организация не выплатит компенсацию. Один из особенно печально известных случаев произошел в финской психотерапевтической клинике, где пациентов шантажировали по одному.
Такие группировки, как Maze, Egregor или Sodinokibi/REvil, довели эту модель до совершенства, сочетая шифрование, кражу данных и агрессивные коммуникационные кампании. Публичное осуждение страниц в даркнетеСписки пострадавших, отказывающихся платить, стали центральным элементом стратегии давления.
Сервисы-вымогатели и индустриализация преступности
Примерно в 2020-2021 годах программы-вымогатели совершили еще один скачок: появилось... Платформы «программы-вымогатели как услуга» (RaaS) которые функционируют практически как криминальные стартапы. Разработчики вредоносного ПО предоставляют инфраструктуру, панель управления и инструменты шифрования; их сообщники занимаются взломом жертв и осуществлением атаки.
Взамен операторы платформы получают процент от погашения бонусов — иногда около 10%, оставляя 90% партнеру. Это значительно снижает порог входа для киберпреступников, обладающих меньшими техническими знаниями.Примеры, подобные франшизе Conti, показали, насколько профессионализированной может быть эта модель, с «младшими сотрудниками», фиксированными зарплатами, бонусами и утечками внутренних инструкций.
Между тем, следующие явления приобрели большую известность. Первоначальные брокеры доступа (IAB)Это группы, специализирующиеся на получении учетных данных, использовании уязвимостей или поддержании бэкдоров в корпоративных сетях, которые они затем перепродают операторам программ-вымогателей и другим злоумышленникам. Таким образом, этап вторжения «передается на аутсорсинг» специалистам.
Исследования в области анализа угроз показывают, что только во второй половине 2021 года произошло следующее: В продаже более тысячи корпоративных входных систем. В частности, атаки направлены на операции с программами-вымогателями. Нанесение ударов по бизнесу этих посредников стало ключевой целью в нарушении цепочки создания стоимости программ-вымогателей.
Вся эта экосистема привела к тому, что программы-вымогатели сегодня функционируют именно так. идеально структурированная криминальная индустрияс дифференцированными ролями (разработчики, партнеры, переговорщики, отмыватели денег, IAB и т. д.), службами поддержки и непрерывным циклом инноваций в области вредоносного ПО.
Вымогательские программы в цифрах: глобальное и отраслевое влияние
Последние статистические данные показывают масштабы проблемы. В первой половине 2022 года более чем 236 миллионов атак программ-вымогателей по всему мируСогласно данным Statista, другой отчет показал, что почти 71% компаний в том же году пострадали как минимум от одного инцидента с программами-вымогателями, и что почти две трети жертв в итоге заплатили выкуп.
При анализе по отраслям в качестве повторяющихся задач выделяются следующие: малые и средние предприятия, здравоохранение, образование, государственное управление, промышленные услуги и банковское дело.В сфере здравоохранения, например, последствия носят не только экономический характер: задокументированы задержки операций, перенаправление машин скорой помощи и даже смерти, косвенно связанные с недоступностью критически важных систем.
Совместные исследования производителей систем безопасности и аналитических компаний, таких как VDC Research и Kaspersky, позволили оценить потенциальные потери в десятки миллиардов долларов только в таких секторах, как обрабатывающая промышленность.В таких регионах, как Азиатско-Тихоокеанский регион, сосредоточена значительная часть этого риска из-за стремительной цифровой трансформации.
Использование криптовалют по-прежнему остается нормой. В течение многих лет более 95% платежей для некоторых крупных корпораций проходили через них. плохо регулируемые биржевые платформыМногие из них находятся в юрисдикциях с менее развитым международным сотрудничеством, что осложняет преследование полицией.
Всё это делает программы-вымогатели одними из самых опасных угроз. наиболее серьезные экономические угрозы для бизнеса сегодняПри этом средняя стоимость утечки данных составляет около нескольких миллионов долларов, если сложить затраты на финансовую помощь, остановки производства, репутационные потери и санкции регулирующих органов.
От шифрования до многочисленных вымогательств и атак без шифрования.
Современные программы-вымогатели превратились не просто в шифрование, а в нечто большее. гибкий механизм вымогательстваДвойное вымогательство (шифрование + кража данных) получило широкое распространение, и многие группировки перешли к тройному вымогательству, добавив DDoS-атаки или прямое давление на клиентов и партнеров.
В последние годы также наблюдается рост атаки без шифрованияВ этих атаках группа обходит стороной системы блокировки и сосредотачивается исключительно на краже конфиденциальной информации. Показывая жертве небольшой фрагмент украденных данных, они стремятся продемонстрировать, что владеют остальной частью информации, и ускорить выплату, сокращая время, проведенное в сети, и риск обнаружения.
В этом контексте отношения между нападающим и жертвой стали более «деловыми». Статические сообщения с таймером уже не так распространены; теперь типично иметь... интерактивные каналы связи (чаты в даркнете, зашифрованные электронные письма), где обсуждаются сроки, скидки, частичные тесты расшифровки и т. д.
Группы учитывают наличие у компании надежных резервных копий, работу в регулируемом секторе, соответствие GDPR или другим нормативным актам по защите данных, и адаптируют свои действия. угрозы, связанные с конкретными юридическими и репутационными рисками для каждой жертвы.Такая сложность означает, что реагирование на инциденты требует скоординированной работы юристов, специалистов по соблюдению нормативных требований, переговорщиков и технических экспертов.
Параллельно с этим, само использование программ-вымогателей в качестве прикрытия для чисто деструктивные операции —как в случае с NotPetya — добавляет дополнительный слой неопределенности: не всегда ясно, является ли реальной целью сбор средств или нанесение ущерба инфраструктуре, что осложняет принятие решений во время инцидента.
Искусственный интеллект, интернет вещей и ближайшее будущее программ-вымогателей
В последние годы влияние Искусственный интеллект и языковые модели в руках злоумышленниковНовые группы используют ИИ для генерации кода, улучшения фишинговых атак с помощью сообщений, практически неотличимых от легитимных, или автоматизации части разведывательной работы перед атакой.
Сдвиг в сторону менее традиционные векторыЭти устройства, такие как устройства Интернета вещей, IP-камеры, подключенные к сети приборы и другие системы, часто имеют недостаточно установленных обновлений и не обладают надежными решениями в области безопасности. Такое оборудование может служить как точками проникновения, так и рычагом для вымогательства (например, путем угрозы публикации видеозаписей или данных, полученных с помощью этих устройств).
В краткосрочной перспективе мы, вероятно, увидим платформы типа «программы-вымогатели как услуга» (Ransomware-as-a-Service). работает на основе искусственного интеллекта, способного автоматизировать значительную часть цепочки атак.От массового сканирования целей, использования уязвимостей и горизонтального перемещения до составления персонализированных записок с требованием выкупа и даже использования дипфейков для оказания давления на руководителей.
Эта автоматизация может резко увеличить число пострадавших, особенно среди поставщиков управляемых услуг и в сложных цепочках поставок, где один инцидент может распространиться на сотни или тысячи клиентов. Низкозатратные, высокопроизводительные операции Эти методы будут сочетаться с целенаправленными атаками на "крупную добычу", что позволит диверсифицировать криминальный бизнес.
В данной ситуации организациям необходимо усилить не только традиционные меры (обновления, резервное копирование, антивирус), но и... Расширенные возможности обнаружения и реагированияПоведенческий анализ, сегментация сети и специализированные средства управления удаленным доступом и облачными средами.
От классического антивируса до многоуровневой защиты от программ-вымогателей.
Традиционные антивирусные программы, основанные в основном на сигнатурах, уступают по своим возможностям. Программы-вымогатели, которые постоянно меняют свою форму и методы.Сегодня крайне важно объединить несколько уровней защиты, охватывающих все — от конечного устройства до сети и облака.
Хорошая стратегия предполагает интеграцию современные решения для защиты конечных точек (EPP/EDR/XDR) Благодаря возможностям предотвращения эксплойтов, блокировке подозрительного поведения, изоляции процессов и автоматическому реагированию, эти инструменты позволяют пресекать горизонтальное распространение угроз, останавливать связь с серверами управления и контроля и локализовать угрозу на ранних стадиях.
Не менее важно наличие регулярные, автономные и неизменяемые резервные копииЗащищенные от копирования резервные копии хранятся в системах, которые не имеют постоянного доступа из корпоративной сети. Кроме того, программы-вымогатели могут зашифровать резервные копии и оставить организацию без плана Б.
Микросегментация сети, усиление защиты привилегированного доступа, надежная многофакторная аутентификация и постоянные обновления программного обеспечения значительно уменьшают поверхность атаки. Это дополнительно усиливается за счет... постоянное обучение сотрудников для распознавания фишинговых писем, подозрительных ссылок и аномального поведения.
Наконец, наличие проверенного плана реагирования на инциденты, включающего четкое распределение ролей, процедуры изоляции, внутреннюю и внешнюю коммуникацию, взаимодействие с правоохранительными органами и криминалистический анализ, а также опору на... отказоустойчивый шаблон для директора по информационной безопасности Это и есть разница между контролируемой паникой и затяжным кризисом..
После более чем тридцати лет эволюции программы-вымогатели прошли путь от эксперимента, распространяемого на дискетах, до того, чтобы стать полноценным инструментом. Высокопрофессиональная глобальная криминальная индустрия, поддерживаемая криптовалютами, сервисами RaaS и искусственным интеллектом.Хотя тактика, методы и цели эволюционировали — блокировщики, шифрование, двойное вымогательство, замаскированные вымогатели и атаки без шифрования — суть остается той же: простое и незамысловатое вымогательство. Организации, которые понимают, что программы-вымогатели никуда не денутся, и укрепляют свою систему безопасности с помощью надежных резервных копий, многоуровневой защиты, мониторинга сети и постоянного обучения, будут иметь гораздо больше шансов пережить этот кризис, чем те, кто продолжает полагаться исключительно на базовые или устаревшие решения.
