В ноябре хакер захватил контроль над компьютерной сетью в Муниципальном транспортном агентстве Сан-Франциско. На следующий день после Дня благодарения, сообщает Popular Mechanics, билетные киоски на скоростном трамвае Сан-Франциско отключились, поскольку на экранах агентств появилось сообщение: “Вы взломали, ВСЕ данные зашифрованы. Обратитесь за ключом (......@yandex.com) ID: 681, введите ”. Хакер по этому адресу сказал, что ключ дешифрования будет стоить 100 биткоинов, или около 73 000 долларов, и будет доставлен ко вторнику. И оказывается, самое удивительное в этом инциденте то, что такого раньше не случалось. https://limonsu.ru/

Трудно получить точные цифры кибератак, поскольку они полагаются на маскировку, но доступные данные о программах-вымогателях рисуют мрачную картину. Исследование, проведенное в июне 2016 года исследовательской и охранной фирмой Osterman Malwarebytes, показало, что 47 процентов предприятий США — предприятий, больниц, школ, правительственных учреждений — были заражены программами-вымогателями по крайней мере один раз за предыдущий год. Среди респондентов из Великобритании 12 процентов подвергались атакам по меньшей мере шесть раз. Во всем мире 37 процентов организаций заплатили.

Домашние пользователи могут оказаться в еще худшем положении. Из более чем 2,3 миллионов пользователей продуктов безопасности "Лаборатории Касперского", которые столкнулись с программами-вымогателями в период с апреля 2015 по март 2016 года, почти 87 процентов находились дома. Ни слова о том, сколько было выплачено, но с учетом того, что сумма выкупов составляла в среднем несколько сотен долларов, а доходы от программ-вымогателей за первые три месяца 2016 года оценивались в 209 миллионов долларов, вероятно, их было немало.

Самое главное во вредоносном ПО

“Программа-вымогатель превратилась из одного из многих методов, используемых злоумышленниками, в один из наиболее эффективных инструментов в их наборе инструментов”, - пишет Эндрю Ховард, технический директор Kudelski Security, в электронном письме. “Меня несколько удивляет, что злоумышленникам до сих пор требовалось использовать этот тип техники”.

“Другие типы вредоносных программ по-прежнему распространены, ” пишет Говард, “ но им не хватает финансовых преимуществ программ-вымогателей”.

Атаки невероятно просты: пользователь компьютера попадает на фишинговое электронное письмо или натыкается на поврежденную веб-страницу, и загружается вредоносное программное обеспечение. Она шифрует (или иным образом блокирует доступ) файлы компьютера, и инфекция распространяется с этого компьютера на любой другой компьютер, подключенный к нему. Хакер объявляет о себе, предоставляет способ связи и обещает ключ дешифрования в обмен на оплату, обычно в цифровой “криптовалюте”, такой как Bitcoin или MoneyPak, которую сложнее отследить, чем наличные.

Сам объем атак ошеломляет. По оценкам Министерства внутренней безопасности США, в 2016 году их было в среднем 4000 в день, что на 300 процентов больше, чем в предыдущем году.

Джо Опаки, вице-президент по исследованию угроз в PhishLabs, говорит, что программы-вымогатели “изменили способ зарабатывания денег киберпреступниками”.

“Вместо того, чтобы красть данные и продавать их или сдавать в аренду ботнеты другим киберпреступникам, программы-вымогатели предлагают прямую оплату”, - пишет Опацки в электронном письме. “Вы заражаете компьютер, и жертва платит вам. Никаких дополнительных шагов, никаких посредников, которые берут свою долю ...”

Это не новая концепция. Ранние версии схемы восходят к 1989 году, когда хакеры распространяли троянского коня по борьбе со СПИДом по электронной почте с помощью зараженных дискет. Программа, которая, как считается, является частью глобальной схемы вымогательства, зашифровала часть корневого каталога компьютера.

Пионер вредоносного ПО был быстро побежден. Но за десятилетия были усовершенствованы методы доставки и шифрования.

Программа-вымогатель выполнена правильно

Нолен Скайф, докторант по информационным системам Университета Флориды (UF) и научный сотрудник Флоридского института исследований кибербезопасности, говорит, что программы-вымогатели являются жестким противником.

“Защита от такого рода атак чрезвычайно сложна, и мы только сейчас начинаем видеть правдоподобные способы защиты от программ-вымогателей”, - пишет Скайф.

Атаки программ-вымогателей “каждый раз немного отличаются друг от друга”, объясняет он, что затрудняет их обнаружение и отключение. Что еще больше усложняет ситуацию, активность программ-вымогателей в системе может напоминать законные действия, которые может выполнять администратор.

Команда Scaife в UF разработала программу обнаружения вымогателей под названием CryptoDrop, которая “пытается обнаружить процесс шифрования с помощью программы-вымогателя и остановить его”. Чем меньше данных может зашифровать вредоносная программа, тем меньше времени тратится на восстановление файлов из резервной копии.

Но обращение шифрования вспять - это совсем другая история. По словам Скайфа, хорошо разработанные программы-вымогатели могут быть неуязвимыми.

“Надежность правильно выполненной криптографии и рост криптовалют создали идеальный шторм для программ-вымогателей”, - пишет Скайф в электронном письме. “Когда программа-вымогатель создана правильно и нет резервных копий [данных], единственный способ вернуть файлы жертвы - заплатить выкуп”.

Голливудский пресвитерианский медицинский центр в Лос-Анджелесе продержался почти две недели, прежде чем заплатить 40 биткоинов (около 17 000 долларов) за расшифровку своих систем связи в феврале 2016 года. У хакера никогда не было доступа к записям пациентов, сообщает Сын Ли из Newsweek, но сотрудники заполняли формы и обновляли записи карандашом и бумагой в течение 13 дней.

В марте программы-вымогатели попали в сети еще трех больниц США и одной в Оттаве, Онтарио; а веб-сайт другой больницы в Онтарио был взломан, чтобы заразить вредоносным ПО посетителей.

Целевые атаки

Больницы - идеальные жертвы, сказал CBC News эксперт по безопасности Жером Сегура. "Их системы устарели, в них много конфиденциальной информации и файлов пациентов. Если они будут заблокированы, они не смогут просто игнорировать это. "

То же самое с правоохранительными органами. По крайней мере, одно из пяти полицейских управлений штата Мэн, пострадавших от программ-вымогателей в 2015 году, работало под управлением DOS, сказал начальник NBC.

Полицейские управления являются популярными целями. И хотя никто не упускает из виду иронию ситуации, полиция с такой же вероятностью заплатит, как и все остальные. Начальнику полиции Нью-Гэмпшира, который не мог этого вынести, пришла в голову блестящая идея: он заплатил выкуп, получил ключ и отменил платеж; но когда через два дня его отдел снова подвергся нападению, он просто выложил 500 долларов.

Школьный округ в Южной Каролине заплатил 8500 долларов в феврале 2016 года. В июне Университет Калгари заплатил 16 000 долларов, объяснив, что не может рисковать “исследованиями мирового класса”, хранящимися в его сетях. В ноябре, за несколько недель до взлома легкорельсового транспорта, округ Индиана заплатил 21 000 долларов, чтобы восстановить доступ к системам своих департаментов полиции и пожарной охраны, а также других учреждений.

Отчеты об атаке на легкорельсовый транспорт предполагают необычный подход. Похоже, что программа-вымогатель была выпущена изнутри системы. Опацки говорит, что хакер, похоже, воспользовался “известной уязвимостью в программном обеспечении Oracle WebLogic... Злоумышленник, вероятно, сканировал Интернет на наличие такого рода известных уязвимостей и случайно наткнулся на систему SFMTA ”.

Оказавшись внутри, хакер внедрил программу-вымогатель.

“Но большинство атак программ-вымогателей происходят не таким образом”, - пишет Опацки. Обычно уязвимость кроется в людях, а не в программном обеспечении.

“Это обескураживает”

“Как правило, ” отмечает Опацки, “ люди переоценивают свою способность распознавать фишинговую аферу”.

Действительно, исследование 2016 года показало, что 30 процентов людей открывают фишинговые электронные письма, а 13 процентов из них затем нажимают на вложение или ссылку.

“Многие люди по-прежнему думают, что фишинговые атаки - это плохо разработанные спам-письма, изобилующие проблемами с правописанием и ломаным английским. Затем они пытаются открыть таблицу ‘расчета заработной платы сотрудников", которую, по их мнению, HR отправил им по ошибке ”, - пишет Опацки.

Фишинг прошел долгий путь с тех пор, как нигерийским принцам понадобилась наша помощь с их деньгами. Многие электронные письма персонализированы, в них используются реальные данные о потенциальных жертвах, часто почерпнутые из сообщений в социальных сетях.

По опыту Эндрю Ховарда из Kudelski, “в организациях, наиболее заботящихся о безопасности ... от 3 до 5 процентов сотрудников обманываются даже самыми плохо продуманными фишинговыми схемами. Показатели в менее заботящихся о безопасности организациях или при более изощренных мошенничествах намного хуже ”.

“Это довольно обескураживает”, - добавляет он.

Однако ошеломляющий рост числа атак с использованием программ-вымогателей за последние несколько лет связан не столько с легковерием или даже отличным дизайном вредоносного ПО, сколько с легкостью. Запустить мошенничество с программами-вымогателями примерно так же сложно, как ограбить кого-то на улице, но гораздо менее рискованно.

Взлом для идиотов

По словам Нолена Скайфа, для работы с программами-вымогателями не требуется особых навыков. Программное обеспечение не такое уж сложное. Хакеры могут быстро создать его и успешно внедрить без особых усилий.

Что еще более важно, хакерам не обязательно создавать программу-вымогатель для ее развертывания. Им даже не обязательно знать, как ее создать.

Большинство людей, занимающихся мошенничеством с программами-вымогателями, покупали программное обеспечение в подпольном мире Интернета, известном как темная паутина, где разработчики программ-вымогателей продают бесчисленные варианты на обширных рынках вредоносных программ. Они поставляются в виде приложений "все в одном", часто в комплекте с обслуживанием клиентов и технической поддержкой, чтобы помочь мошенникам работать без сбоев.

“Поддержка и сервис, - пишет Дэн Туркел в Business Insider, - особенно важны для продавцов, рынок которых состоит из относительно неопытных хакеров, которым может потребоваться некоторая помощь”.

Некоторые продукты поставляются с гарантиями возврата денег, пишет Туркел. Многие предлагают услуги телефонного звонка или электронной почты, которые помогают потерпевшим поражение жертвам посредством оплаты и расшифровки, так что хакеру не приходится иметь с этим дело. По крайней мере, одно семейство программ-вымогателей предоставляет такое “обслуживание клиентов” через чат.

Рынок программ-вымогателей настолько развит, что разработчики нанимают дистрибьюторов для продажи своих продуктов.

Ничто из этого не предвещает ничего хорошего для тех, кто не занимается мошенничеством. По мнению каждого эксперта по кибербезопасности во всем мире, мы все должны создавать резервные копии наших материалов. Без резервных копий выплата выкупа может быть единственным вариантом, если мы когда-нибудь захотим снова увидеть наши данные.

И даже тогда мы все еще не можем воссоединиться с нашими данными. Исследование Trend Micro показало, что 20 процентов компаний Великобритании, которые платили выкупы в 2016 году, так и не получили ключ.

Бюро перевозок Сан-Франциско ничего не заплатило. Представитель сообщил Fortune, что агентство никогда не рассматривало этот вариант. Системы были восстановлены из резервных копий, причем большинство из них вернулись в сеть в течение двух дней. Тем временем жители Сан-Франциско бесплатно ездили на скоростном трамвае.

Два дня спустя хакеры взломали учетную запись электронной почты хакера-легкорельсовика, обнаружив, что с августа вымогатели выплатили около 100 000 долларов.