Декабрь 2024 года имеет сомнительную честь: одновременно исполняется 35 лет со дня появления первой программы-вымогателя и 20 лет со дня первого использования современных преступных программ-вымогателей. С конца 1980-х годов программы-вымогатели стали крупным преступным предприятием и превратились в крупное преступное предприятие. Поэтому кажется уместным задуматься об изменениях и инновациях, которые мы наблюдали в сфере программ-вымогателей за последние три десятилетия.
Первое использование программы-вымогателя было обнаружено в декабре 1989 года; Один человек физически отправил по почте дискеты, на которых якобы содержалось программное обеспечение, с помощью которого можно было оценить, подвержен ли человек риску развития СПИДа. Поэтому вредоносная программа была названа трояном СПИДа. После установки программа 90 раз ждала перезагрузки компьютера, прежде чем скрывать каталоги, шифровать имена файлов и отображать записку о выкупе с просьбой отправить банковский чек в почтовый ящик в Панаме в обмен на лицензию на восстановление файлов и каталогов.
Виновное лицо было установлено, но признано неспособным предстать перед судом. В конечном счете, сложность распространения вредоносного ПО и сбора платежей в мире до Интернета привела к тому, что попытка не увенчалась успехом. Однако технологии развивались; Компьютеры стали все чаще подключаться к сетям, и появились новые возможности для распространения программ-вымогателей.
Риск «криптовируса», который может использовать шифрование для проведения атак с вымогательством на жертв, требующих оплаты за предоставление ключа дешифрования, был признан исследователями в 1996 году. Как и защитные меры, необходимые для противодействия угрозе: эффективное антивирусное программное обеспечение и резервное копирование системы.
Технический руководитель отдела исследований безопасности в регионе EMEA в Cisco Talos.
Содержание
Пожинаем плоды программ-вымогателей
В декабре 2004 года были обнаружены доказательства первого использования преступной программы-вымогателя GPCode. Эта атака была нацелена на пользователей в России и была доставлена в виде вложения к электронному письму, которое якобы представляло собой объявление о вакансии. После открытия вложение загружало и устанавливало вредоносное ПО на компьютер жертвы, сканируя файловую систему и шифруя файлы целевых типов. В ранних примерах использовалась специальная процедура шифрования, которую было легко обойти, прежде чем злоумышленник внедрил безопасные алгоритмы шифрования с открытым ключом, которые было гораздо сложнее взломать.
Судя по всему, эта атака захватила воображение преступников, и вскоре после этого были выпущены различные варианты программы-вымогателя. Однако эти ранние атаки осложнялись отсутствием доступных средств для получения выкупа без раскрытия личности злоумышленника. Предоставляя инструкции о том, как переводить платежи на определенные банковские счета, злоумышленник стал уязвимым для юридических расследований, чтобы «отследить деньги». Злоумышленники становились все более изобретательными, предлагая своим жертвам позвонить по премиум-телефонным номерам или даже купить товары в интернет-аптеке и предъявить квитанцию, чтобы получить инструкции по расшифровке.
Виртуальные валюты и платформы для торговли золотом предоставили возможность переводить платежи за пределы регулируемых банковских систем и были широко приняты операторами программ-вымогателей в качестве простого механизма получения платежей с сохранением анонимности. Однако в конечном итоге эти платежные услуги оказались уязвимыми перед действиями регулирующих органов, которые ограничили их использование.
Появление криптовалют, таких как Биткойн, предоставило преступникам эффективный способ анонимного сбора выкупа в рамках, устойчивых к вмешательству со стороны регулирующих органов или правоохранительных органов. В результате платежи в криптовалюте были с энтузиазмом восприняты операторами программ-вымогателей, причем успешная программа-вымогатель CryptoLocker стала одной из первых, кто внедрил ее в конце 2013 года.
Диверсификация портфеля операций с программами-вымогателями
С появлением криптовалюты в качестве эффективного средства оплаты операторы программ-вымогателей смогли сосредоточиться на расширении своей деятельности. Экосистема программ-вымогателей начала становиться профессиональной: специализированные поставщики предлагали свои услуги для решения некоторых задач, связанных с проведением атак.
В начале 2010-х годов операторы программ-вымогателей, как правило, использовали свои собственные методы распространения вредоносных программ, такие как: Например, рассылка спам-сообщений, взлом веб-сайтов или сотрудничество с операторами ботнетов, которые смогли установить вредоносное ПО на большое количество скомпрометированных систем. Развивая партнерскую экосистему, авторы программ-вымогателей могли бы сосредоточиться на разработке более совершенных программ-вымогателей и оставить распространение вредоносного ПО менее технически подкованным операторам, которые могли бы сосредоточиться на методах распространения и социальной инженерии.
Преступники разработали сложные порталы для своих партнеров, чтобы измерять свой успех и получать доступ к новым функциям, которые упрощают их атаки и сбор выкупа. Первоначально эти атаки включали массовое распространение вредоносного ПО с целью заражения как можно большего числа пользователей с целью максимизации выкупа, независимо от профиля жертв.
В 2016 году был обнаружен новый вариант шифровальщика SamSam, распространявшийся по другой модели. Вместо того, чтобы уделять первоочередное внимание объему заражений и атаковать большое количество пользователей за относительно небольшие выкупы, партнеры по распространению SamSam нацелились на конкретные учреждения и потребовали крупные суммы выкупа. Банда объединила хакерские методы с программами-вымогателями и попыталась проникнуть в системы компаний. Затем программы-вымогатели выявляются и устанавливаются на ключевые компьютерные системы, чтобы максимизировать нарушение работы всей организации.
Это нововведение изменило рынок программ-вымогателей. Операторы программ-вымогателей обнаружили, что выгоднее атаковать учреждения, наносить вред целым организациям и наносить ущерб их деятельности, что позволяет им требовать гораздо более высокий выкуп, чем шифрование конечных точек отдельных лиц.
Преступники быстро отдали приоритет определенным отраслям; Сфера здравоохранения стала частой мишенью. Предположительно, потому что программа-вымогатель поставила под угрозу ключевые операционные системы, серьезно нарушив работу медицинского учреждения, поставив под угрозу жизни людей и тем самым усилив давление на руководство, требующее выплаты выкупа для быстрого восстановления работоспособности.
Рождение современных программ-вымогателей
В ноябре 2019 года нововведение двойного вымогательства впервые было использовано злоумышленниками, запустившими программу-вымогатель Maze. В ходе этих атак злоумышленник крадет конфиденциальные данные из систем перед их шифрованием. Это позволяет злоумышленнику оказать два давления на руководителей компании, чтобы они заплатили выкуп; прекращение доступа к данным и риск публичного раскрытия конфиденциальных данных с соответствующими репутационными и нормативными последствиями.
За прошедшие годы появилось множество подражателей программ-вымогателей. Мы видели поддельные программы-вымогатели, которые просто выдавали требование выкупа, не удосужившись зашифровать данные; надеясь, что жертвы заплатят, что бы ни случилось.
WannaCry — самораспространяющееся вредоносное ПО, распространившееся по всему миру в мае 2017 года. Хотя вредоносная программа зашифровала данные, из-за небольшого количества популярных биткойн-кошельков, на которые нужно было платить выкуп, у злоумышленника было мало возможностей узнать, какие жертвы заплатили выкуп и кому следует передать ключи дешифрования.
Вредоносная программа NotPetya, предположительно вымогательская, выпущенная в июне 2017 года, автономно распространялась по сетям. Хотя он зашифровал файлы и отобразил записку о выкупе, это была разрушительная атака. Уникальный идентификатор в заметке не имел отношения к процессу шифрования, а вредоносная программа удалила и зашифровала важные данные, так что их невозможно было восстановить даже с помощью правильного ключа дешифрования.
Программы-вымогатели — это не только финансовое преступление. Это влияет на тех, кто пострадал от перебоев в предоставлении основных услуг. Люди, которые не имеют доступа к важным данным или не могут работать, чувствуют тревогу и стресс, а ИТ-отделы, работающие над разрешением ситуации, испытывают дополнительный стресс и рискуют выгореть. На человеческом уровне некоторые люди неизбежно теряют незаменимые данные, такие как фотографии близких или проекты, которым они посвятили многие месяцы или годы работы.
Уроки для компаний и промышленности
ИТ-ландшафт в 2024 году сильно отличается от ситуации в 1989 или 2004 годах. Улучшение разработки программного обеспечения и управления исправлениями усложнило вирусам-вымогателям заражение систем через неисправленные уязвимости веб-браузера. И наоборот, количество взломов паролей за последние годы, потенциально раскрывающих повторно используемые или легко угадываемые пароли для преступников, означает, что пользователь-человек все чаще становится целью.
Мы не должны чувствовать себя бессильными перед лицом программ-вымогателей. Правоохранительные органы арестовали и предъявили обвинения многим операторам программ-вымогателей. Международные санкции были наложены на других лиц, избежавших ареста. Инфраструктура координации атак и криптовалютные кошельки были конфискованы. Обнаружение антивирусов также развивалось с годами. Хотя некоторые вредоносные программы могут остаться незамеченными, современное программное обеспечение для защиты конечных точек постоянно ищет признаки неизвестных программ, пытающихся зашифровать файлы без разрешения.
Ахиллесова пята программ-вымогателей — резервные копии. Резервные копии данных, хранящихся в автономном режиме, можно использовать для восстановления файлов, которые в противном случае были бы повреждены и утеряны, что устраняет необходимость платить выкуп за восстановление файлов. Успех программ-вымогателей за последние 35 лет — это также история провала широкого распространения устройств для восстановления файлов из резервных копий.
Заглядывая в будущее, маловероятно, что мы увидим конец программ-вымогателей. Учитывая его прибыльность для преступников, он, вероятно, будет преследовать нас еще много лет. Маловероятно, что так и останется. Преступники проявили удивительную изобретательность в разработке новых методов и методов улучшения бизнес-модели и уклонения от обнаружения как себя, так и своего вредоносного ПО.
Однако индустрия кибербезопасности не менее инновационна и постоянно разрабатывает новые инструменты и стратегии для борьбы с этими угрозами. Оставаясь в курсе, принимая строгие меры безопасности и сотрудничая на глобальном уровне, мы можем снизить риски и построить более устойчивое цифровое будущее.
Мы собрали список лучших сервисов облачного резервного копирования.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
