В 2021 году, после кибератаки, которая нарушила поставки топлива на Восточное побережье США, тогдашний президент Джо Байден поклялся сделать выкупное ПО приоритетом национальной безопасности. Были приняты исполнительные распоряжения, созваны саммиты, выдвинуты обвинения и введены санкции, чтобы попытаться обуздать эти преступления. Спустя четыре года программы-вымогатели продолжают оставаться серьезной проблемой для предприятий и организаций по всему миру. Среди пострадавших в 2025 году – предприятия розничной торговли, производители, больницы и школы. Бич программ-вымогателей подпитывается токсичной реальностью: они по-прежнему приносят хакерам легкую прибыль при относительно низких рисках.
Что такое программа-вымогатель?
Программа-вымогатель – это тип вредоносного программного кода, который хакеры используют для шифрования компьютерных файлов жертв.
За последнее десятилетие он преобразил преступный мир киберпреступников, который ранее был сосредоточен на краже потенциально ценной информации, например номеров кредитных карт. Появление криптовалюты в 2010-х годах облегчило киберпреступникам задачу монетизации своих преступлений и сохранения анонимности.
Создание более хитроумных вредоносных программ и другие инновации в последние годы способствовали росту числа атак с использованием программ-вымогателей. Например, многие группировки по разработке программ-вымогателей сдают свой вредоносный код в аренду так называемым «филиалам», которые затем занимаются взломом и получают часть незаконной выручки. Ransomware-as-a-service, как называют этот метод, снизил барьер входа для многих хакеров, что увеличило объем атак.
Эта проблема нарушила работу национальных систем здравоохранения и финансовых рынков, временно закрыла казино и даже заставила некоторые предприятия и, по крайней мере, один колледж закрыться навсегда. Покупатели в Великобритании ощутили на себе ее последствия после того, как некоторые системы компании Marks & Spencer были заражены программой-вымогателем, что вынудило ее на несколько недель остановить онлайн-продажи, нарушило процесс оплаты в магазинах и привело к появлению недостатков на полках.
Как используются программы-вымогатели?
Для того чтобы запустить программу-вымогатель, хакеры должны сначала проникнуть в компьютерную сеть. Существует множество способов сделать это, но распространенными методами являются фишинговые письма и незакрытые уязвимости в системе безопасности. Киберпреступники также обманывают представителей службы поддержки, заставляя их передать свои данные для входа в систему, например, выдавая себя за коллегу, которому заблокировали доступ к системе.
Типичный способ вымогательства приводит к тому, что компьютерные файлы или сервисы становятся непригодными для использования, пока злоумышленники не предоставят ключ шифрования для их разблокировки. Многие хакерские группы также прочесывают компьютерную сеть жертвы и похищают конфиденциальные данные, прежде чем установить программу-вымогатель, блокирующую систему. Таким образом, они могут потребовать плату за разблокировку компьютеров жертвы и пригрозить публично обнародовать данные, если выкуп не будет выплачен – это форма двойного вымогательства. Некоторые хакерские группировки также угрожают жертвам повторной атакой, если они не заплатят.
Эти цифровые воры почти всегда требуют оплаты в виде криптовалюты, поскольку она обеспечивает анонимность при перемещении средств, что делает ее менее отслеживаемой по сравнению с традиционными валютами.
Кто стоит за атаками программ-вымогателей?
Группы, занимающиеся распространением вымогательского ПО, обычно действуют из России или Восточной Европы, сотрудничая с филиалами в этих странах или по всему миру. В США и Канаде были арестованы предполагаемые сообщники, занимающиеся распространением программ-вымогателей, а украинская полиция провела ряд операций по задержанию обвиняемых хакеров. Некоторые попытки спонсируются государством. Согласно докладу ООН, северокорейские хакеры используют криптовалюту, полученную в результате атак с целью выкупа, чтобы собрать деньги в условиях международных санкций, часто для финансирования разработки ядерного оружия в своей стране.
Местонахождение хакерских групп осложняет усилия по борьбе с программой-вымогателем, в частности потому, что многие из них базируются в юрисдикциях, недоступных для западных правоохранительных органов.
Эта тема стала актуальной в мае 2021 года, когда, предполагаемые российские, хакеры взломали компьютеры, управляющие компанией Colonial Pipeline, что привело к панике американцев при покупке топлива. Другие взломы, произошедшие в том же году – один на производителя мяса JBS SA, другой на IT-компанию Kaseya Ltd. – устранили все сомнения в том, что подобные атаки стали нормой.
В 2022 году злоумышленники, занимающиеся программами-вымогателями, были относительно тихими, что эксперты по безопасности связывают с вторжением России на Украину в феврале того года. Банды, занимающиеся программами-вымогателями в регионе, могли быть отвлечены, перемещены и отвлечены от своих обычных преступных операций в начале войны, согласно данным аналитической компании Chainalysis Inc.
Но 2023 год ознаменовался крупным возвращением этого типа киберпреступности: по данным Chainalysis, в том году хакеры украли 1 миллиард долларов с помощью программ-вымогателей.
Некоторые из наиболее опасных хакерских группировок, такие как LockBit, создали для своих филиалов информационные панели, которые автоматизируют большую часть самой атаки. Такой тип обслуживания клиентов, а также соблазн больших прибылей привели к увеличению числа и разнообразия участников, желающих поучаствовать в атаках.
Генеративные платформы искусственного интеллекта, такие как ChatGPT, также позволяют хакерам составлять более убедительные фишинговые письма, повышая эффективность способов проникновения преступников в сеть.
Кто наиболее уязвим для программ-вымогателей?
Практически каждая организация может стать мишенью, поскольку многие атаки носят случайный характер и часто основаны на использовании несовершенного программного обеспечения, а не конкретной жертвы. Особенно сильно от программ-вымогателей пострадали медицинские учреждения и школы. Это связано с тем, что они хранят множество конфиденциальных данных, но зачастую не располагают бюджетом или персоналом для обеспечения надежной кибербезопасности.
Больницы считаются особенно уязвимыми, отчасти потому, что они предоставляют важнейшие услуги и нуждаются в срочном решении технических проблем. Национальная служба здравоохранения Великобритании стала особенно привлекательной мишенью, поскольку в ее обширной сети поставщиков услуг и компьютерных систем хранится один из самых богатых и полных наборов данных о здоровье населения.
В июне 2024 года российская хакерская группировка атаковала компанию Synnovis, подрядчика, предоставляющего NHS услуги по анализу крови, переливанию крови и другим патологиям, что привело к нарушению работы нескольких лондонских больниц и клиник и, согласно данным, полученным Bloomberg News, нанесло ущерб десяткам пациентов.
Что делается для борьбы с программами-вымогателями?
После серии особенно разрушительных атак в 2021 году правительство США поклялось бороться с киберпреступниками. С тех пор США и их союзники закрыли темные сайты известных банд, предъявили обвинения преступникам, занимающимся созданием программ-вымогателей, и ввели санкции против компаний, которые способствовали выплате выкупов.
В прошлом году международные правоохранительные органы, включая Федеральное бюро расследований США и Национальное агентство по борьбе с преступностью Великобритании, объявили о пресечении деятельности LockBit. По данным Министерства юстиции США, хакеры LockBit похитили более 120 миллионов долларов у более чем 2 000 жертв по всему миру, включая школы, государственные учреждения и такие известные компании, как Boeing Co. и британская Royal Mail.
По словам экспертов, эти действия, безусловно, привели к кратковременным проблемам для киберпреступников, однако они часто переименовываются в другую группу и снова начинают взламывать компьютеры.
Источник: Bloomberg