vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Программы-вымогатели, шифровальщики, ransomware — одна из самых остроумных, эффективных и злободневных киберугроз нашего времени. Попробуем охватить этот занимательный феномен целиком, от его зарождения до самых ярких проявлений и перспектив на будущее.
За 2024 год атаки ransomware в России на 44% по сравнению с 2023 годом. Особенно активными были такие вредоносы как LockBit 3 Black и Mimic, на которые пришлось до 50% всех инцидентов. Растут и суммы выкупа, который жертвы выплачивают злоумышленникам за расшифровку информации — в 2024 году средняя сумма такого платежа составляла 10-15 млн рублей.
Не лучше ситуация и за рубежом: по BlackFog, 2024 год стал поворотным для программ-вымогателей с годовым ростом в 25%. NCC Group также , что в 2024 году наблюдался самый высокий за пять лет объем атак программ-вымогателей. За 10% всех атак отвечали LockBit, более половины всех инцидентов были зарегистрированы в США. Средний размер требования о выкупе в 2024 году, по Comparitech,составил более $3,5 млн, при этом подтвержденные выплаты группам программ-вымогателей составили $133,5 млн.
Как это работает
Вы и так, наверное, знаете, но напомним:Шифровальщик попадает в систему чаще всего через фишинговые письма, реже — через уязвимости в программном обеспечении или скрипты на скомпрометированных сайтах. После активации он быстро сканирует систему, определяя ценные файлы (по расширениям и расположению), и применяет к ним шифрование. Как правило это документы, фотографии, базы данных и другие очевидно значимые для жертвы файлы.
Затем на экран выводится заранее созданное авторами вируса сообщение с угрозами и требованием выкупа. Бывают и дополнительные приколы: например Petya переписывал загрузочную область диска, делая работу системы невозможной.
Современные вирусы-вымогатели чаще всего используют два самых популярных алгоритма шифрования — AES-256 и RSA-2048, которые практически невозможно взломать без уникального ключа (если только в коде самого шифровальщика нет ошибок и уязвимостей, что, вообще говоря, происходит довольно часто).
Означает ли это, что «шеф, все пропало» — и нужно платить выкуп хакерам? Нет, не означает, и позже расскажем почему.
Как все началось
Вообще история появления ransomware похожа на какой-то довольно мрачный ситком (очень жаль, что по ней до сих пор не сняли кино, могла бы быть ядреная драма типа «Человека дождя»).Первый случай шифрования данных с требованием выкупа относится аж к декабрю 1989 года. Тогда программа, распространяющаяся физически через партию зараженных дискет и названная впоследствии , стала массово заражать компьютеры в США и по всему миру.
Вирус активировался после 90-й перезагрузки компьютера и шифровал имена файлов в корневом каталоге машины, блокируя доступ к большей части содержимого на жестком диске. Затем программа требовала от жертв отправить деньги (смехотворные по нынешним временам $189) на почтовый ящик в Панаме, чтобы они могли восстановить доступ к заблокированным данным — получив от злоумышленника также физическую дискету с дешифратором.
Сообщение программа выводила тоже примечательное, имитирующее просьбу заплатить за лицензионное ПО
То есть, у AIDS уже присутствовали все те признаки ransomware, что нам знакомы сегодня (только криптовалюты, в которой сейчас требуют выкуп шифровальщики, тогда еще не было).
Вирус AIDS шифровал данные, используя особую таблицу, которую сохранял на жесткий диск пользователя в открытом виде. Если ее удавалось обнаружить, то можно было провести небыстрое, но успешное обратное шифрование. История широко разошлась в СМИ, начали появляться программы-дешифраторы — среди их авторов был и впоследствии прославившийся Джон Макафи, создатель одного из первых антивирусов McAfee.
На этом довольно типичная для таких инцидентов история заканчивается, и при погружении в детали создания первого шифровальщика мы сталкиваемся с какой-то лютой дичью (дальнейшее излагается по , Roger A. Grimes).
Единственная, кажется, существующая фотография создателя ransomware
Создатель вируса AIDS Trojan, 39-летний Джозеф Л. Попп-младший, не был хакером или даже программистом (по крайней мере официально) — он был эволюционным биологом и антропологом, получившим бакалавра зоологии в Университете Огайо и докторскую степень в Гарварде, а затем в течение 15 лет (!) в Африке исследовавшим гамадрилов. В 1978 году он выступил соавтором о национальном заповеднике Кении Масай Мара, в 1983-м — опубликовал о своих исследованиях обезьян.
Логически здесь можно провести связь с тем, почему Попп впоследствии переключился на тему СПИДа — ведь считается, что этот вирус возник именно среди африканских приматов, а затем каким-то образом (о деталях не очень хочется думать) передался и человеку.
А вот что совершенно невозможно логически понять — каким образом Попп оказался первым в истории создателем и распространителем ransomware, как вообще доктор из Гарварда совершил такой резкий разворот в сторону киберкриминала. Этого мы не знаем до сих пор.
Были теории, что Попп затаил злобу на какие-то официальные институции, которые не дали ему желаемую оплачиваемую должность в сфере исследований СПИДа. Были даже теории заговора о том, что его вообще подставили, и ученый не имел никакого отношения к созданию (или даже к распространению) вируса.
Так или иначе, события развивались следующим образом (эта информация, судя по всему, взята из материалов судебных слушаний). В какой-то момент в конце 1988 или начале 1989 года, доктор Попп заполучил или приобрел составленный ВОЗ список рассылки (физических адресов, напоминаем, что интернет тогда был еще в младенчестве) участников недавно проведенной в октябре 1988 года в Стокгольме конференции по СПИДу, к которому он добавил списки подписчиков британского компьютерного журнала PC Business World и других деловых журналов.
Затем он по-видимому создал (или приобрел и доработал напильником? мы никогда не узнаем) вирус-троян, используя язык программирования QuickBasic 3.0. После этого (очень сложно во все это поверить, а тем более представить) доктор Попп вручную (!) скопировал первый в истории ransomware на 20 тысяч (!!!) заранее приобретенных 5-1/4″ дискет, замаскированных под образовательные материалы про СПИД.
И, опять же, вручную, сам оплатив все расходы, разослал их адресатам на все континенты мира.
Многие получатели дискетт Поппа до сих пор хранят их как удивительные артефакты
По степени потраченных усилий и денег (вы просто представьте, сколько стоило 36 лет назад отправить 20 тысяч посылок по всей планете) это предприятие было абсолютным безумием, которое не могла покрыть никакая потенциальная выручка от выплаченных жертвами за расшифровку денег.
К каждой из дискет прилагалась инструкция, в которой содержалась маленькая незаметная фраза «если вы используете эту дискету, вам придется заплатить обязательный лицензионный сбор(ы) за программное обеспечение».
Когда Поппа арестовали в аэропорту Амстердама (почтовый ящик в Панаме был зарегистрирован на его имя), он пытался доказать в суде, ссылаясь на эту фразу, что не нарушал никаких законов.
Стражам правопорядка практически сразу стало понятно, что они имеют дело с сумасшедшим: уже при самой процедуре ареста другой пассажир рейса пожаловался, что Попп нацарапал острым предметом на его чемодане надпись «Внутри этого багажа находится Доктор Попп». В период судебных слушаний доктор эволюционной биологии совершил также немало других примечательных поступков, например, приходил с презервативом, надетым на нос или заплетал бороду в бигуди, чтобы «защититься от излучения».
Кажется, никто не знал, что с Поппом делать: его два или три раза (источники за давностью лет разнятся) выпускали и арестовывали снова, катая в самолете туда-сюда между США и Европой. Наконец, в 1991 году создателя ransomware признали невменяемым и выпустили из зала суда.
Следующие десять лет Попп провел в тихой безвестности, живя с родителями. История с вирусом AIDS закрыла ему и без того весьма шаткие карьерные перспективы в науке. В 2000 году Попп выпустил (видимо за свой счет, других следов «издательства» Man And Nature не находится) книгу «Популярная эволюция: чему может нас научить антропология».
Судя по рецензиям, она содержала множество очень странных тезисов (евгеника круто, эвтаназия круто, домашние животные вредны, а девочки-подростки должны как можно быстрее и больше рожать, ведь в этом единственный смысл жизни) и общих ругательств по поводу того, как устроен мир. Сейчас, кстати, последнюю копию этой нетленки на Amazon всего за тысячу долларов без учета доставки.
Не особенно любивший людей эксцентричный ученый в последние годы обнаружил слабость к благотворительности и спонсировал (интересно, за счет каких денег?) большую уникальную тропическую оранжерею с экзотическими животными и птицами в Онеонте, штат Нью-Йорк. Вероятно, она напоминала ему о юности в Африке.
Joseph L. Popp, Jr. Butterfly Conservatory
Джозеф Попп 27 июня 2006 года в возрасте всего 55 лет.
Неизвестно, заплатил ли ему в итоге выкуп хотя бы один обладатель зараженного AIDS компьютера.
Что было дальше?
На удивление следующие 6 лет после инцидента с Поппом никто больше не предпринимал попыток повторить его опыт. В 1995 году, однако, двое ученых-криптографов с рифмующимися фамилиями Юнг и Янг, решили провести эксперимент по созданию самого потенциально разрушительного компьютерного вируса (ох уж эти ученые).Их исследования (и создание тестового вируса для Macintosh) привели к концепции, которая по сей день активно используется не только в преступных, но и ИБ-целях — при создании зловреда применялась криптография с открытым ключом, сам вирус содержал только ключ шифрования (то есть, его буквально нельзя было расшифровать, исходя из кода самого ransomware). Ключ дешифрования злоумышленник высылал только после выплаты выкупа.
Интересно, что еще тогда, 30 лет назад, Юнг и Янг предположили, что ransomware ждет большое будущее, и даже спрогнозировали появление «виртуальной неотслеживаемой валюты», в которой будет требоваться и выплачиваться выкуп. На момент исследования научное сообщество отнеслось скептически к предсказаниям Янга и Юнга.
Как показали следующие десятилетия, научное сообщество глубоко ошиблось.
Эпидемия
В XXI веке вымогатели развернулись по полной. К 2006 году появилось целое семейство шифровальщиков — Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive — которые использовали все более сложные ключи шифрования со все большей длиной.В 2013 году появилась первая суперзвезда мира ransomware, CryptoLocker, который собирал выкупы в криптовалюте. Только за три месяца этого года (с 15 октября по 18 декабря) операторы шифровальщика получили от жертв криптоэквивалент более $27 миллионов.
Следующая большая волна (помним, что и предыдущие никуда не уходят, а просто становятся менее распространены и заметны) пришлась на 2017 год, когда пользователей атаковали сразу три новых зловреда, причинивших огромный ущерб — WannaCry от (май), Petya (июнь) и Bad Rabbit (октябрь).
Где-то с этого момента и следует отсчитывать настоящую эпидемию ransomware. В 2018 году начал действовать суровый шифровальщик Ryuk, который отключал перед началом работы системные процессы и приложения, которые могли бы хоть как-то ему помешать.
А еще в том же году произошел еще один важнейший инцидент, который невольно вскрыл совершенно апокалиптическую картину происходящего с шифровальщиками в США.
28 ноября 2018 года ФБР официально за информацию о двух иранских хакерах, которые создали вирус SamSam, парализовавший работу муниципальных органов и других институтов в СОРОКА ТРЕХ (из 50) штатов США. Цифры были шокирующими: более 230 сетей мэрий, госпиталей, университетов оказались полностью выведены из строя. Убытки были оценены в $30 миллиардов, не говоря уже о том, что сотни тысяч американских граждан лишились доступа к привычным социальным и образовательным услугам или даже медицинской помощи.
Выкуп, насколько я помню, иранцам решили из принципа не платить, и маленькие американские городки (а чаще всего SamSam атаковал именно их) на какое-то время откатились в доцифровую эпоху.
И если вы думаете, что сейчас ситуация стала лучше, то это не так. Еще в августе 2024 года ФБР выпустило , в котором констатировало, что атаки шифровальщиков продолжаются — теперь кроме местных органов власти целями стали секторы образования, финансов, здравоохранения и обороны.
Интересно, что для доставки шифровальщиков эта конкретная иранская группировка использовала не традиционный фишинг, а известные уязвимости в оборудовании конкретных производителей (CVE-2024-24919, CVE-2024-3400, CVE-2019-19781, CVE-2023-3519 и CVE-2022-1388).
Еще более интересно, что иранские хакеры начали практиковать ransomware-аренду: они находят скомпрометированные устройства в целевых секторах, после чего наводят на них операторов вымогателей (включая NoEscape, Ransomhouse и ALPHV, он же BlackCat) в обмен на процент от выкупа, размер которого хакеры помогают определить.
ФБР и CISA, как и практически все ИБ-специалисты, не советуют платить вымогателям выкуп, лучше пытаться справиться с ситуацией своими силами.
А почему, кстати?
Сообщение о выкупе ransomware Ryuk
Почему не надо платить выкуп
Ну, например, самое банальное: потому что с террористами не надо вести переговоров, и на полученные от вас деньги они будут атаковать других людей и спонсировать, скорее всего, всякие незаконные вещи.Потому что ничто, абсолютно ничто не гарантирует, что ваши данные будут реально восстановлены. Поверить честному слову киберпреступника? А что ему мешает в лучшем случае просто вас проигнорить, получив деньги, а в худшем — потребовать выкуп ВТОРОЙ раз?
Да, такое происходит довольно часто, особенно с корпорациями. Первый выкуп требуют за расшифровку важных данных (например, коммерческой тайны), а второй — за то, чтобы их не сливали в даркнет. Опять же, НИЧТО не гарантирует, что данные все равно не будут слиты (и они разумеется будут слиты) даже после двух выплаченных выкупов. Или трех. Или десяти.
Что украдено — то пропало, как бы это ни было ужасно, лучше с этим смириться сразу и сэкономить деньги. Хакеры не джентльмены, у них нет никакого благородного кодекса сицилийской мафии, они просто с удовольствием кинут своих жертв еще раз (и еще раз, если потребуется).
Более того, некоторые операторы вымогателей настолько циничны (а порой и технически некомпетентны, как с Ryuk, который при дешифровке отсекает у каждого файла последний байт, тем самым их «убивая»), что у шифровальщика нет никакого расшифровщика. Или данные сразу удаляются насовсем (как с атаковавшим сетевые накопители ), после чего требование о выкупе уже заранее является чистым лицемерием. Или, допустим, вредонос продолжает по инерции распространяться годы спустя после прекращения поддержки (тот же самый WannaCry до сих пор весьма активен), соответственно реквизиты для выкупа давно «протухли», и вы заплатите даже не злоумышленникам, а просто кинете деньги в пустоту, что совсем обидно.
Операторы Maze сливали украденные данные, даже если им заплатили
Хорошо, не платить выкуп. А что же делать, файлы-то зашифрованы? А они (как всегда) очень нужны, производство стоит, отчеты пропали, сроки горят.
Для начала можно подумать (и погуглить). Обратиться к специалисту. Понять, какой вообще шифровальщик вас облагодетельствовал своим присутствием. Шанс, что это будет что-то уникальное и неизвестное в ИБ, достаточно невелик (разве что в начале новых эпидемий). Скорее всего по поразившему вашу систему ransomware уже есть исчерпывающая информация, а может быть даже и готовая программа-дешифратор. Это составляет ощутимый процент случаев, и тогда все закончится более-менее благополучно.
Но может и не повезти — расшифровщика нет, что делать — непонятно, а специалисты разводят руками. А данные очень, ОЧЕНЬ нужны. Что делать в таком случае?
Тут, конечно, выбор на вашей совести, и все зависит от специфики ситуации. Если реально дешевле и проще заплатить (например, день простоя предприятия стоит как 50 таких выкупов), наверное, вы все равно попробуете этот вариант.
Что, напомним, совершенно не означает, что вы получите свои данные обратно — а вот какие-нибудь иранские или северокорейские кибертеррористы станут за ваш счет немножко богаче.
Картинка на сайте в даркнете после спецоперации по прекращению деятельности вымогателя Netwalker
Прогнозы на будущее
Люди справляются с шифровальщиками по-разному. Некоторые нанимают хакеров, чтобы те помогли с расшифровкой. Интересно конечно, как это работает, если шифрование асимметричное и в самом зловреде нет багов.Особенно хорошо платят выкупы, если смотреть по статистике, учебные заведения: университет Юты, Мичиганский государственный университет и Калифорнийский университет в Сан-Франциско выплатили операторам NetWalker миллионы долларов. Поэтому атаки на них, как и на малые муниципальные органы, определенно будут продолжаться.
Эффективной себя показала прокатившаяся в 2020-2021 годах эпидемия атак шифровальщиков на крупные корпорации и производства: вымогатель Maze всего за несколько месяцев парализовал Garmin, LG, Xerox, Canon, SK Hynix, а также Westech, которая занимается в том числе поставками и обслуживанием критических компонентов американских межконтинентальных баллистических ракет LGM-30G Minuteman III с ядерным зарядом.
RagnarLocker в том же 2020-м положил заводы Honda в Японии, Италии, Турции, Великобритании и США. В России в это же время свирепствовал Ryuk, который атаковал ЕВРАЗ, одну из крупнейших металлургических и горнодобывающих компаний в мире.
Такие инциденты тоже, несомненно, будут в будущем продолжаться и расширяться.
Атаки Ryuk, кстати, приводили порой к любопытным казусам: из зараженной электронной базы американского суда , в результате чего развалилось 11 уголовных дел, и шестерых наркоторговцев пришлось отпустить на свободу. Интересно, как подобные кейсы будут решать в будущем: обяжут полицию создавать аналоговые копии всех данных, создадут стратегический резерв средств на выплату выкупа в таких случаях?
Общественная осведомленность о шифровальщиках и общественная кампания мало-помалу дают свои плоды — в 2024 году мировая выручка операторов ransomware по сравнению с пятилетней давностью — $813 миллионов против $1,1 миллиарда. Напоминаем, что число самих атак при этом постоянно растет, то есть речь именно об осознанных отказах платить выкуп.
Одно из возможных перспективных направлений с технической стороны — вымогатели, которые существуют только в памяти компьютера (не имея физического тела на диске), или даже которые сразу в ней «собираются», используя программные средства ОС (опытные образцы такого рода демонстрировались еще несколько лет назад).
Есть и другие уникумы: «Лаборатория Касперского» , к примеру, что шифровальщик Sodin, чтобы обойти антивирусные решения, использует уникальную тактику «Небесные врата» (Heaven’s Gate), которая абьюзит легитимные функции процессора и позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса.
Бороться с такими вирусами будет намного труднее.
Точные цифры заражения шифровальщиками неизвестны и наверняка в несколько раз превышают известную статистику, так как в большинстве случаев компании предпочитают разбираться с проблемой самостоятельно. Масштабы можно оценить как колоссальные: ФСБ , что в 2024 году около 70% всех обращений в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) были связаны с уничтожением данных, в том числе вирусами-вымогателями.
Специфических способов превентивной борьбы с ransomware, к сожалению, нет — кроме соблюдения информационной гигиены и азов кибербезопасности. Поэтому образовывайтесь сами, образовывайте сотрудников, не платите выкуп киберпреступникам, и будьте счастливы.
