Сага о программах-вымогателях

Рассказываем историю программ-вымогателей — как из немного наивных блокировщиков экрана они выросли в монстров, способных парализовать целый аэропорт.

История вымогателей (ransomware) от почти нестрашных блокировщиков до шифровальщиков, угрожающих слить корпоративные данные

Если вы следите за миром информационной безопасности, то в последние годы наверняка много слышали о программах-вымогателях. Возможно, вам даже не повезло лично столкнуться с разрушительными последствиями их атак. Пожалуй, их без преувеличения можно назвать самыми опасными зловредами современности.

Но знаете ли вы, что такие вредоносные программы существуют уже более 30 лет, а особенности современных атак ученые предсказали еще в середине 90-х? Хотите узнать, почему на смену блокировщикам пришли шифровальщики, какую сумму составил самый крупный в истории выкуп и при чем тут СПИД?

Мы составили для вас хронологию развития вымогательского ПО и нашли ответы на все эти — и многие другие — вопросы. Предлагаем вместе проследить, как менялись блокировщики, шифровальщики и вайперы в последние десятилетия.

Словарь вымогателей

В тексте вам часто будут встречаться некоторые термины. Чтобы вы не запутались, но и не отвлекались от сюжета на сноски, мы решили собрать и разъяснить их прямо в начале. Можете прочитать этот словарик сразу или возвращаться к нему, когда встретите что-то непонятное.

Криптография — наука о том, как не дать посторонним прочитать секретную информацию. Занимается в том числе вопросами шифрования.

Симметричное шифрование — способ шифрования данных, при котором один и тот же ключ используется и для шифрования, и для расшифровки информации.

Асимметричное шифрование — метод шифрования данных, предполагающий использование двух ключей — открытого (или публичного) для шифрования информации и закрытого (или приватного) для расшифровки. Что важно: знание открытого ключа никак не помогает в восстановлении данных, для этого нужен именно закрытый.

Алгоритм RSA — популярный вариант асимметричного шифрования.

Программа-вымогатель (ransomware) — любая вредоносная программа, вынуждающая жертву заплатить выкуп злоумышленнику. Вымогатели можно разделить на несколько групп: блокировщики, шифровальщики и притворяющиеся шифровальщиками вайперы.

Блокировщик — разновидность программы-вымогателя, блокирующая или имитирующая блокировку компьютера или мобильного устройства. Обычно зловред размещает неотключаемое сообщение с требованием оплаты поверх всех остальных окон.

Шифровальщик — разновидность программы-вымогателя, шифрующая пользовательские файлы, чтобы их невозможно было использовать.

Вайпер — в целом это разновидность вредоносного ПО, предназначенная для уничтожения данных на диске компьютера жертвы. Иногда программы-вымогатели, притворяющиеся шифровальщиками, в действительности оказываются вайперами — они необратимо повреждают файлы, так что даже после уплаты выкупа восстановить их все равно невозможно.

RaaS (Ransomware-as-a-Service) — схема криминальной деятельности, в которой создатели программы-шифровальщика сдают ее в аренду любым желающим заняться ее распространением за процент с дохода. Получается своего рода киберкриминальная франшиза.

1989 — первая атака шифровальщика

Автором первого вымогателя-шифровальщика стал доктор биологических наук Джозеф Попп (Joseph L. Popp), который решил подзаработать на людях, интересующихся синдромом иммунодефицита, благодаря чему зловред и получил свое название — AIDS (СПИД по-английски).

Поскольку в те времена Интернет был еще в зачаточном состоянии, для доставки вымогателя Попп использовал весьма оригинальный по современным меркам способ. Злоумышленник каким-то образом добыл списки почтовых адресов подписчиков конференции ВОЗ по СПИДу и журнала PC Business World, после чего высылал жертвам дискету с наклейкой «Информация по СПИД, ознакомительная дискета» и подробной инструкцией. Получателям предлагали установить программу, ответить на вопросы и получить информацию о том, как лично им минимизировать риски заражения. Лицензионное соглашение гласило, что, устанавливая программу, разработанную некоей PC Cyborg Corporation, пользователь обязуется выплатить компании 378 долларов. Но кто же воспринимает такое всерьез?

На самом деле установщик служил для доставки зловреда на жесткий диск. Через определенное количество загрузок системы AIDS начинал действовать: он шифровал имена файлов (включая расширение) на диске C: зараженного компьютера. Имена превращались в мешанину случайных символов, так что с файлами становилось невозможно работать нормальным образом: к примеру, чтобы открыть или запустить файл, надо было для начала понять, какое у него должно быть расширение, и изменить его вручную.

Параллельно на экран выводилось сообщение о том, что срок бесплатного использования программного обеспечения PC Cyborg Corporation истек и пользователь должен заплатить за подписку: $189 за годовую или $378 за пожизненную. Деньги следовало отправить на счет в Панаме.

Зловред использовал симметричное шифрование, так что ключ, позволяющий восстановить файлы, содержался прямо в его коде. Поэтому решить проблему было сравнительно несложно: необходимо было достать ключ, удалить зловред и восстановить имена файлов. Уже в январе 1990 года советник редакции Virus Bulletin Джим Бейтс (Jim Bates) создал для этого программы AIDSOUT и CLEARAID.

Сам Джозеф Попп был арестован, но суд признал его невменяемым. Что, впрочем, не помешало ему в 2000 году издать книгу «Популярная эволюция: жизненные уроки из антропологии» (Popular Evolution: Life-Lessons from Anthropology).

1995–2004 — Янг, Юнг и вымогатель будущего

AIDS не смог обогатить своего создателя — возможно, поэтому идея шифрования данных с целью получения выкупа не вызвала большого энтузиазма у мошенников. Интерес к ней вернулся только в 1995 году, причем со стороны научного сообщества.

Криптографы Адам Янг (Adam L. Young) и Моти Юнг (Moti Yung) захотели понять, каким будет самый мощный компьютерный вирус. В результате они пришли к концепции криптовирусного вымогательства (cryptoviral extortion) с использованием асимметричного шифрования.

Вместо одного ключа для кодирования файлов, который пришлось бы добавлять в код программы, в их модели применялись два, что позволяло сохранить ключ для расшифровки в секрете. Причем Янг и Юнг предположили, что жертву заставят платить электронными деньгами, которых в те времена еще не было.

Свои мысли пророки от кибербезопасности представили в 1996 году на конференции IEEE Security and Privacy, где эти идеи были восприняты как несколько вульгарные. В 2004 году вышла книга «Вредоносная криптография: раскрытие криптовирологии» (Malicious Cryptography: Exposing Cryptovirology), в которой Янг и Юнг систематизировали результаты своих исследований.

2007–2010 — золотые годы блокировщиков

Пока шифровальщики ждали своего часа, мир увидел расцвет других троянов — блокировщиков. Это были довольно примитивные вымогатели, которые затрудняли нормальную работу операционной системы.

Для этого зловред прописывал себя в автозагрузку Windows, а для защиты от удаления зачастую блокировал редактор реестра и диспетчер задач. Методы воздействия на жертву были самыми разнообразными: незакрываемое окно или смена обоев. Среди способов оплаты, кроме прочего, фигурировали SMS на платные номера.

Обезвреживание вымогателей-блокировщиков обычно даже не требовало антивирусной программы, но предполагало достаточно высокую квалификацию пользователя. Чтобы удалить зловреда вручную, нужно было, например, загрузить систему с LiveCD, запуститься в безопасном режиме или войти в Windows из другого профиля.

Однако относительно невысокая опасность компенсировалась простотой написания «блокировщиков». Появились даже автоматические генераторы таких троянов, поэтому их распространители брали количеством.

Зачастую зловред размещал на рабочем столе порнобаннер, а жертвам угрожали проблемами за просмотр запрещенного контента (эта тактика используется до сих пор). А поскольку размер требуемого выкупа был небольшим, многие предпочитали не обращаться за помощью, а расстаться с деньгами.

2010 — шифровальщики с асимметричным шифрованием

В 2011 году разработчики шифровальщиков заметно активизировались и, как и предсказывали Юнг и Янг, начали использовать асимметричное шифрование. Модификация шифровальщика Gpcode была основана на алгоритме RSA.

2013 — гибридный вымогатель CryptoLocker

Конец 2013 года ознаменовался появлением комбинированных зловредов, которые были сразу и блокировщиками, и шифровальщиками. Такая концепция повышала шансы киберпреступников получить выкуп, поскольку даже удалив вредоносное ПО и сняв таким образом блокировку, жертва не получала доступа к информации. Пожалуй, наибольшую известность из таких гибридов приобрел вымогатель Cryptolocker. Для распространения CryptoLocker использовались спам-рассылки, а оплату злоумышленники принимали в биткойнах.

2015 — блокировщики сменились шифровальщиками

По данным «Лаборатории Касперского», в 2015 году начался лавинообразный рост попыток заражения шифровальщиками. Количество атак с использованием этого типа вымогателей выросло в 5,5 раз. Шифровальщики стали преобладать над блокировщиками.

Победа шифровальщиков была обусловлена несколькими причинами. Прежде всего, пользовательские файлы значительно ценнее системы и прикладных программ, которые всегда можно переустановить. Это позволило мошенникам требовать с жертвы значительно больший выкуп — и повышало шансы его получить.

Кроме того, к 2015 году уже получили достаточно широкое распространение криптовалюты, которые обеспечивали анонимность, поэтому злоумышленники не опасались отслеживания транзакций — биткойн позволял получать крупные суммы выкупа и не засветиться.

2016 — массовые вымогатели

Программы-вымогатели продолжили набирать популярность. Количество разновидностей вымогателей в 2016 году выросло в 11 раз, причем сумма требуемого выкупа колебалась от 0,5 до сотен биткойнов (которые, напомним, на тот момент были раз в 100 дешевле, чем сейчас). Главным направлением атак стал уже не пользовательский, а корпоративный сектор. Появились все основания говорить о появлении нового сегмента преступной индустрии.

Самостоятельно разрабатывать вредоносное ПО стало не обязательно — его можно было просто купить. Например, в продаже появилась «пожизненная лицензия» на вымогатель Stampado. После шифровки зловред угрожал удалить случайные файлы через определенный период времени, чтобы напугать пострадавших пользователей и заставить их заплатить выкуп.

Программы-вымогатели стали доступны и как услуга: модель RaaS (Ransomware-as-a-Service — термин вошел в обиход после появления вымогателя Encryptor RaaS) повысила доступность программ-вымогателей, позволив злоумышленникам не разрабатывать собственное ПО и средства его распространения.

Помимо бизнеса и домашних пользователей, атакам вымогателей начали подвергаться государственные и муниципальные организации. В частности, шифровальщик HDDCryptor смог заразить более 2000 компьютеров, принадлежащих Агентству городского транспорта Сан-Франциско. За восстановление их нормальной работы киберпреступники потребовали 100 биткойнов (на тот момент около $70 000), однако IT-отделу организации удалось решить проблему самостоятельно. Правда, не сразу, и на некоторое время городу пришлось отменить плату за проезд на общественном транспорте.

2016–2017 — Petya, NotPetya и WannaCry

В апреле 2016 года появился новый зловред Petya. Если до него шифровальщики оставляли операционную систему нетронутой, чтобы жертва могла заплатить выкуп, то Petya превращал в «кирпич» весь зараженный компьютер. Причина в том, что объектом атаки были не отдельные файлы, а MFT (главная файловая таблица) — база данных, в которой хранится вся структура папок и файлов на жестком диске.

При всей разрушительности у «Пети» были проблемы с механизмом внедрения и распространения. Для его активации жертве нужно было вручную скачать и запустить исполняемый файл, что затрудняло заражение. Он мог бы не оставить значимого следа в истории, если бы не другой вымогатель — печально известный WannaCry.

В середине мая 2017 года WannaCry заразил более 500 тысяч устройств по всему миру и причинил ущерб на $4 000 000 000. Как ему это удалось? В нем к шифровальщику был добавлен эксплойт EternalBlue, использовавший весьма опасные уязвимости Windows. С его помощью троян проникал в сеть и устанавливал WannaCry на компьютер жертвы. Затем зловред продолжал распространяться по другим устройствам в локальной сети. В зараженной системе WannaCry действовал вполне стандартно: шифровал файлы и требовал выкуп.

Не прошло и двух месяцев после начала эпидемии WannaCry, как появился еще один шифровальщик, модифицированный под использование EternalBlue, — NotPetya, также известный как ExPetr. Научившись проникать в сеть через обновление украинского ПО для подачи финансовой отчетности в контролирующие органы (злоумышленникам удалось скомпрометировать инфраструктуру компании-разработчика) и распространяться по компьютерам подобно WannaCry, NotPetya пожирал жесткие диски целиком.

Причем NotPetya шифровал файловую таблицу таким образом, что ее дешифровка была невозможна даже после выкупа. В итоге эксперты сделали вывод, что под видом шифровальщика действовал вайпер. Общий ущерб от «Не-Пети» превысил $10 000 000 000.

Атака WannaCry была настолько разрушительной, что компания Microsoft срочно выпустила патч для защиты от уязвимости для уже не поддерживаемых ОС. Для поддерживаемых систем обновления были доступны задолго до начала обеих эпидемий, однако далеко не все их установили, и эти два вымогателя еще долго напоминали о себе.

2017 — миллион за расшифровку

Помимо небывалой цифры суммарного ущерба, в 2017 году был поставлен и еще один рекорд — по размеру выкупа отдельно взятой организации. Южнокорейская веб-хостинговая компания Nayana согласилась выплатить $1 000 000 за разблокировку компьютеров, пораженных шифровальщиком Erebus.

Сначала киберпреступники запросили в 4,5 раза больше, но в результате переговоров размер выкупа удалось уменьшить. Больше всего экспертное сообщество удивило то, что компания публично заявила о выплате денег злоумышленникам — чаще всего жертвы предпочитают не афишировать подобные вещи.

Всего на тот момент существовало как минимум восемь группировок, которые специализировались на создании программ-вымогателей, нацеленных на бизнес. Рядовые пользователи тоже оставались под прицелом.

2018–2019 — угроза для общества

Эти годы запомнились массовыми атаками вымогателей на социально значимые объекты. Если раньше преступники выбирали в качестве жертв частных лиц и коммерческие компании, то теперь под прицел все чаще попадают организации, которые отвечают за транспорт, водо- и электроснабжение, здравоохранение. Злоумышленники рассчитывают, что их руководство согласится заплатить выкуп, даже очень крупный, чтобы не причинять неудобство тысячам людей.

Так, сотрудникам международного аэропорта Бристоля в 2018 году из-за успешной атаки шифровальщика в течение нескольких дней пришлось писать расписание рейсов на бумажных плакатах. К чести сотрудников аэропорта, им удалось своевременно заметить атаку, быстро среагировать на нее и даже в таких сложных условиях обойтись без серьезных изменений в расписании — и не платить выкуп.

А вот американская клиника Hancock Health была вынуждена заплатить преступникам 4 биткойна (на тот момент $55 000) после поражения систем больницы вымогателем SamSam. Генеральный директор учреждения Стив Лонг (Steve Long) объяснил свое решение заплатить выкуп тем, что в разгар сезона гриппа и перед приближением снежной бури у них не было времени на самостоятельное восстановление работоспособности компьютеров.

Всего за 2019 год жертвами программ-вымогателей стали более 170 муниципальных служб в США, а суммы запрашиваемого выкупа доходили до $5 000 000. В таких организациях бывает затруднено обновление операционных систем, поэтому преступники часто успешно использовали не самые свежие, а потому гораздо более доступные эксплойты.

2020 — рост масштабов и шантаж сливом данных

Кроме продолжающегося роста масштабов заражения, его последствий и размеров выкупа, 2020 год запомнился новыми гибридами: все чаще вымогатели, прежде чем зашифровать данные, пересылают их своим «хозяевам». Дальше в ход идет шантаж сливом информации конкурентам или публикацией в общем доступе, что в эпоху особого внимания к персональным данным может быть смертельно для бизнеса. Впервые эту тактику освоила группировка Maze еще в 2019 году, но в 2020-м она стала настоящим трендом.

Так, жертвой одного из самых громких инцидентов 2020 года стала сеть косметологических клиник Transform Hospital Group. Преступная группа REvil зашифровала и выкрала 900 ГБ данных, в том числе фотографии пациентов до и после операции, которые злоумышленники угрожали опубликовать, если не получат выкупа.

Кроме того, в 2020 году операторы шифровальщиков-вымогателей взяли на вооружение еще несколько новых тактик. Во-первых, группировка REvil начала проводить аукционы по продаже украденной информации. А во-вторых, злоумышленники стали объединяться в своеобразные картели. Первым таким картелем оказалась группировка Maze, которая начала выкладывать на своем сайте информацию, похищенную шифровальщиком LockBit. По словам злоумышленников, они теперь плотно сотрудничают с LockBit, причем не только предоставляют свою платформу для слива данных, но и делятся опытом.

Они также похвастались, что скоро к картелю присоединится еще одна группа — RagnarLocker, которая примечательна тем, что одной из первых в качестве дополнительного средства давления на шантажируемые компании стала устраивать DDoS-атаки на ресурсы жертв.

Заключение

За тридцать лет программы-вымогатели из относительно безобидных игрушек трансформировались в серьезную угрозу как для пользователей всех платформ, так и для бизнеса. Чтобы защитить себя от атак, важно соблюдать несколько правил безопасности. Даже если избежать взлома все же не удалось, важно не идти на поводу у преступников, а обращаться за помощью к специалистам.

Советы