Без страха и упрека

2 сентября компания Datto, оказывающая услуги по кибербезопасности, опубликовала исследование, в котором оценила ущерб компаний от ransomware - вредоносного программного обеспечения, предназначенного для вымогательства - в $75 млрд ежегодно.

Согласно отчету компании Symantec, только в марте 2016 года в корпоративном секторе было произведено 56 тысяч ransomware-атак. Обозреватель vc.ru рассказал о том, как безымянные хакеры наносят гигантский ущерб большим корпорациям.

В 1989 году хакер Джозеф Попп написал первый ransomware-вирус. Он назывался AIDS - с английского языка это слово можно перевести как «СПИД» или как «сбор». Вирус прятал файлы на жестком диске компьютера и шифровал их названия. На экране отображалась надпись о том, что время действия лицензии истекло и пользователю нужно заплатить $189, чтобы вернуть доступ к файлам.

Стоит отдать должное Поппу - после оплаты доступ к файлам действительно возвращался, в случае с ransomware такое происходит далеко не всегда. Через несколько лет создателя вируса нашли правоохранительные органы США, однако Попп был признан умственно нестабильным, чтобы отбывать срок в тюрьме. Позже хакер пообещал пожертвовать все доходы от вируса в фонд исследования СПИДа.

Большой популярности ransomware-вирусы достигли в 2010 году, одновременно с биткоинами. Подход программ-вымогателей практически идентичный. Они загружаются на компьютер через браузер или внешние накопители и либо шифруют файлы в системе, либо блокируют работу программ, например, браузера. Пользователю высвечивается сообщение с требованием выплатить деньги (чаще всего, в биткоинах) и после этого злоумышленники присылают пароль для разблокировки компьютера.

В 2013 году экспертам по кибербезопасности стало ясно, что ransomware - это огромная проблема не только для частных пользователей, но и для корпоративного сектора. Издание ZDNet проанализировало вирус CryptoLocker - один из самых известных ransomware, требовавший оплату в биткоинах. ZDNet использовали открытую информацию о биткоин-транзакциях и подсчитали, что в период с 15 октября по 18 декабря 2013 года на кошельки хакеров, создавших CryptoLocker, пришло около $27 млн.

В корпоративном секторе хакеры атакуют всех без разбора. В феврале 2016 года была произведена атака на госпиталь в Лос-Анджелесе. Тогда из-за вируса врачи лишились доступа к карточкам больных на неделю. Хакеры запросили $17 тысяч в биткоинах за возврат доступа к базе данных.

Медицинский центр Hollywood Presbyterian Medical Center вместе с ФБР в течение недели работал над поиском хакеров, однако в конечном итоге все же заплатил выкуп. «Самый простой и эффективный способ вернуть работоспособность центра - заплатить выкуп, что мы и сделали», - сказал в открытом письме президент центра Аллен Стефанек.

В 2014 году оказалась заблокированной вся база данных города Детройт. Хакеры потребовали выкуп в размере 2 тысяч биткоинов - $800 тысяч по курсу 2014 года. Правительство города отказалось идти на поводу у хакеров, мотивировав это тем, что база уже устарела и не использовалась в течение нескольких лет. «Но это был хороший знак. Когда я пришел на пост мэра, я увидел, что в мэрии пользуются Microsoft Office 1993 и я даже не смог синхронизировать календарь компьютера со смартфоном», - сказал мэр Детройта Майк Дугган.

Чаще всего, хакеры выбирают в качестве жертв тех, для кого очень важна информация на компьютере: медицинские центры, полицейские участки, корпоративный сектор. Некоторые взламывают компьютеры обычных людей - за счет больших объемов это тоже выгодно и гораздо более безопасно.

Но действительно крупные деньги хакеры получают за счет атак на компании. Согласно отчету ФБР, за первые три месяца 2016 года американские компании потерпели убытки в размере $209 млн за счет хакерских атак. Эта цифра впечатляет еще больше, если сравнить ее с убытками годом ранее - тогда компании потеряли на $2 млн меньше за весь год.

Однако статистика ФБР включает в себя только те случаи, когда жертвы обращались в бюро за помощью. В сентябре Datto - компания, оказывающая услуги по кибербезопасности - подготовила отчет, в котором оценила убытки от ransomware-вирусов в $75 млрд ежегодно.

Компания опросила 1 100 ИТ-специалистов и обнаружила, что 92% из них сталкивались с ransomware-атаками в прошлом году и 40% из них сталкивались с атаками не менее шести раз. В отчете сказано, что лишь в одном случае из четырех жертвы обращаются за помощью в ФБР или другие правоохранительные органы.

Разница в оценке ущерба у ФБР и Datto огромна - по оценке Datto убытки больше в 309 раз. Их статистика основывается на исследовании консалтинговой компании Aberdeen Group. Компания анализировала не только сумму выкупа, но и простой. Они обнаружили, что один час простоя стоит небольшой компании, в среднем, $8 581. В исследовании Datto сказано, что за прошлый год компании заплатили хакерам $375 млн, что делает потерянную продуктивность гораздо большей проблемой.

В небольшой компании ransomware-атака может заблокировать всю работу, в корпорации - работу целого отдела или подразделения. Президент сервисной компании GCS Technologies Джо Глэйнсер считает, что в некоторых индустриях атаки хакеров наиболее опасны.

Эксперты по кибербезопасности считают, что самым эффективным способом борьбы с ransomware является резервное копирование данных. В случае атаки всю информацию можно восстановить с небольшой задержкой и потерями. Второй по эффективности способ - заплатить выкуп. ФБР не поддерживает эту практику, однако в большинстве стран она законна.

«Платить или не платить выкуп - это тяжелая дилемма. Все-таки вы имеете дело с преступниками», - говорит Глэйнсер. В опросе компании Datto 7% ИТ-специалистов сказали, что даже после оплаты выкупа, хакеры не вернули доступ к заблокированной информации.

Но даже если компания и хочет заплатить, сделать это не всегда просто. Большая часть хакеров требуют выкуп в биткоинах, которые довольно редко бывают в наличии у компании. «Если у вас нет биткоинов, то велика вероятность, что вы не успеете их получить до того времени, как истечет таймер», - говорит Глэйнсер.

Дело в том, что хакеры устанавливают таймер обратного отчета, чаще всего, на 24 или 48 часов. По истечению этого срока информация автоматически удаляется - так хакеры заставляют жертв действовать оперативно. Иногда по истечению срока стоимость выкупа возрастает в несколько раз. В некоторых случаях, после выплаты выкупа компания сразу подвергается второй атаке.

Нередко хакеры предлагают заплатить выкуп через карты MoneyPak. Их можно купить в любом розничном магазине США за наличные, после чего кассир перечисляет номинал карты в указанный аккаунт платежной системы MoneyPak. Вирус CryptoLocker даже показывает своим жертвам карту с местоположением ближайших розничных точек.

Эксперты по кибербезопасности полагают, что многие создатели ransomware-вирусов находятся в России. «Власти России не заинтересованы в поиске киберпреступников», - пишет издание The Economist. И пусть злоумышленники и находятся в России, но их жертвы - повсюду. Австралийская комиссия по преступности оценила, что в 2015 году только в Австралии было совершено порядка 16 тысяч ransomware-атак, а жертвы выплатили в общей сумме $7 млн.

От ransomware-атак сложно защититься антивирусами. Сообщество хакеров выкладывает код для создания вируса в сеть и любой энтузиаст может модифицировать код, чтобы антивирусная программа его не заметила. И даже когда команды создают программы, которые борются с ransomware, хакеры мгновенно выпускают заплатки.

В 2015 году команда энтузиастов под эгидой ФБР создала бесплатный сервис DeCryptoLocker, который взламывал один из самых популярных вирусов CryptoLocker и позволял не платить злоумышленникам выкуп. Однако хакеры быстро создали CryptoWall - версию вируса, у которой был иммунитет к DeCryptoLocker. В сентябре 2015 года финская ИТ-компания Nixu Corporation нашла способ бороться с другим ransomware-вирусом TorrentLocker. Но спустя несколько недель создатели вируса закрыли уязвимость, которую нашли финны.

Эксперты сходятся во мнении, что обезопасить себя от ransomware довольно просто, если быть осторожным. Вирусы попадают на компьютер через почту, файлы с интернета и торренты. Практически всегда пользователь сам запускает зараженную программу. The Economist советует регулярно делать резервные копии файлов, использовать антивирусные программы и файрволлы, а также избегать подозрительных сайтов и файлов.

Так как интернет все больше входит в жизнь человека, под угрозой находятся все устройства, которыми человек пользуется повседневно: компьютеры, смартфоны, телевизоры и автомобили. В отчете о ransomware-вирусах компания Symantec написала: «Еще никогда в истории люди не подвергались таким масштабам вымогательства». И учитывая тот факт, что интернет-вымогателем может стать практически любой человек, ситуация пока движется лишь в худшую сторону.

Microsoft