Что нужно для победы над вирусами-вымогателями

«Срочно погасите задолженность…»

На электронную почту одной из брестских кафешек недавно пришло письмо из банка: «Срочно погасите задолженность. В случае неоплаты…» — дальше, чтобы увидеть текст, нужно было открыть письмо. 

«Просим бухгалтера ознакомиться с отчетом по задолженности компании за второй квартал 2020 года. Требуем вовремя произвести оплату», — гласило сообщение. 

Внутри письма был прикреплен вордовский документ. Еще один клик. На экране появился значок перезагрузки. 

Неприятности начались на следующий день. При включении компьютера появилось окно с надписью: «Ваши файлы зашифрованы».

Дальше мошенники сообщили, что документы, фотографии были «спрятаны» сильнейшей программой с уникальным ключом, сгенерированным для данного компьютера. Приватный ключ хранится на секретном сервере в интернете и никто не сможет «прочитать» ваши данные, пока вы не оплатите 0,5 биткоина и не получите приватный ключ.

Вдобавок был установлен тайминг: «У вас есть 72 часа». 

Открыть бухгалтерскую программу 1С, в которой хранятся все платежные данные, также не удалось…

— Мы рекомендуем не вестись на поводу у мошенников и не платить, — говорит Александр Рингевич, начальник управления по противодействию киберпреступности УВД Брестского облисполкома. — В данном случае потерпевшая сторона не выплачивала 0,5 биткоина. Сумма весьма солидная для небольшой кофейни. 

Благодаря тому что бухгалтер делала копии всех документов, восстановление базы заняло не более нескольких дней. А ведь бывает, что копии не делались годами, вот тогда ситуация усложняется. 

База сданных

Как преступники ищут жертв? Все банально просто. Существует несколько видов сбора информации. 

— Есть специальные люди, которые создают массив баз данных юридических лиц. Достаточно написать умный алгоритм, который будет собирать из сети все, что вам нужно, и систематизировать это, — объясняет Александр Рингевич. 

К тому же довольно часто бывают утечки информации. Одна из последних в нашей стране произошла на платформе petition.by. За фамилии, имена, телефоны, электронные почты и домашние адреса более 60 тысяч человек злоумышленники просят около 25 тысяч долларов. Специалисты главного управления по противодействию киберпреступности криминальной милиции МВД подчеркивают, что люди постоянно оставляют данные о себе, причем не только в интернете:

— В магазинах при оформлении скидочных карт, карт лояльности мы заполняем поля и как минимум пишем Ф.И.О., номер телефона, электронную почту. И неизвестно, как организовано хранение информации внутри этих сетей. В даркнете полно баз, стоимость которых начинается от 20 долларов.

Заразиться легко

Хакерские атаки нельзя назвать точечными, идет массовая рассылка. Откроет пользователь письмо или нет — дело везения для хакера. Однако наиболее громкие случаи были все же целевыми, преступники четко знали, куда отпраляют вирус. Например, в минувшем мае с его помощью была выведена из строя компьютерная сеть американской компании — оператора трубопровода Colonial Pipeline. Поставка топлива полностью остановилась. К слову, Colonial Pipeline — ключевая топливная артерия для восточной половины США протяженностью 8850 километров, которая транспортирует 2,5 миллиона баррелей горючего в день. Это главный источник бензина, дизельного и авиационного топлива для Восточного побережья. Из-за кибератаки в Белом доме даже создали межведомственную комиссию. 

Чтобы быстро наладить работу, исполнительный директор Джозеф Блант принял решение в течение нескольких часов после выхода из строя системы выплатить хакерам 4,4 миллиона долларов. Потому что неизвестно, насколько серьезные последствия и как быстро их устранили бы.

В прошлом месяце в Германии из-за вируса, который зашифровал важные файлы местной администрации немецкого округа Анхальт-Биттерфельд, люди остались без социальных пособий.

В нашей стране атаки кибервымогателей начались несколько лет назад, с 2017 года. Тогда физические и юридические лица получали рассылку, в которой сперва был спрятан WannaCry, затем Petya. 

В прошлом году гомельчанин на вредоносном ПО заработал 2 миллиарда долларов. Он был частью международной хакерской группировки, которая заразила программой-вымогателем GandCrab более 54 тысяч компьютеров. К жертвам вирус попадал через спам-рассылку pdf-файлов: криптолокер шифровал содержимое дисков, делая его недоступным. Потерпевшие могли восстановить доступ к ПК за выкуп в размере от 400 до 1,5 тысячи долларов. При просрочке уплаты требуемая сумма удваивалась. Сами участники группы признались на одном из форумов, что при помощи GandCrab им удалось заработать более 2 миллиардов долларов. Жертвами гомельского хакера стали пользователи из почти 100 стран.

Покупал по подписке, как обычные программы

Мне удалось поговорить с одним из участников хакерского промысла, 34-летним нашим соотечественником Олегом. Он некоторое время работал на темной стороне интернета. Распространял вирусы, взламывал сайты, крал пароли, логины и занимался другими подобными вещами. До момента, пока его не словили правоохранители и не дали срок. 

— Вирусы, которые распространял, покупал по подписке, как обычные программы. То есть мне давали права администратора, а дальше уже дело за мной. Можно рассылать спам, можно фишинговые письма. Главное — клики и заражения. Кстати, с каждого заражения я получал деньги. 

Еще вирусы распространяют через компьютерные игры и магазины мобильных приложений:

— В первом варианте ребенок играет в DotA с друзьями, они там меряются, у кого оружие, техника круче. Есть чит-коды, которые дают игроку преимущество, обычно их покупают за деньги. Но можно и скачать из интернета. Ребенок качает эту «цифровую игрушку», но при ее запуске просят отключить антивирус, войти с правами админа. А дальше, когда родители входят в свой рабочий аккаунт с этого компьютера, на почту, к примеру, проникший через читы вирус входит в систему и считывает все. 

Второй по частоте метод распространения вирусов — магазины мобильных приложений, в которые мошенники могут встроить вредоносный программный код. И если пользователь в обход официального хранилища ставит себе на телефон новую программу, аферисты получают доступ к его устройству. И человек даже знать об этом не будет.

Сыграть в ящик почтовый

За первое полугодие этого года было совершенно 9274 киберпреступления, это на 98,2 % больше, чем за аналогичный период прошлого года. Что касается разработки и сбыта вредоносного ПО, подобные случаи исчисляются десятками. В прошлом году за первое полугодие было 24 преступления, в этом — 16. Однако успокаиваться не стоит, убежден заведующий кафедрой защиты информации БГУИР профессор Тимофей Борботько:

— Приведу пример: Lockheed Martin Corporation — огромная американская военно-промышленная компания. Она заниматься безопасностью своих сетей начала после того, как ее стали атаковать. То есть пока не появится прямая угроза и не коснется непосредственно нас, никто не будет заниматься своей информационной безо­пасностью. 

По словам эксперта, около 52 % шифровальщиков приходят через удаленный доступ, а не через электронную почту. Что это значит?

— Крупные кибератаки, если внимательно посмотреть, — это целевые вещи. Когда дело касается миллионов долларов, то подготовка со стороны мошенников ведется глобальная. Чтобы удаленно установить вредоносное программное обеспечение, нужно понимать, какая операционная система, какая сборка компьютера и так далее. Обычно на этапе разведки мошенники добывают эти данные. И без человека внутри компании здесь дело порой не обходится. 

Второй путь заражения — электронная почта. Тут уже все зависит от внимательности пользователя. 

— Как-то мне пришло письмо на почту. Там было написано, что лимит ящика исчерпан и нужно продлить срок его действия. Я перешел по ссылке, там было указано, что нужно ввести пароль и логин. Человек вводит еще раз и еще раз, в базе у мошенников накапливаются пароли. Он взламывает ваш ящик и с него начинает делать рассылки, — рассказывает Тимофей Борботько. 

Игра на доверие. Вы не опасаетесь письма, отправленного с ящика знакомого. Тимофей Валентинович шутит, что на своем компьютере не открывает письма с вложениями даже от своего начальника. 

— Если открыть само письмо, ничего не произойдет. Главное — вложение, которое там есть. Именно в нем кроется беда.

Александр Рингевич говорит, что самое важное для аферистов — заинтересовать пользователя. И это задача заголовка в письме.

— Если речь о компаниях, расчет на то, что этой электронной почтой пользуется бухгалтер. Самое важное, чтобы сообщение открыли на том компьютере, где установлены базы данных 1С. А как заставить бухгалтера открыть письмо? Написать то, с чем он зачастую работает. Ему пишут про налоги, кредиты, просроченные платежи и обязательно прикрепляют файл в формате doc или exе. Если этот файл будет открыт, варианты развития событий могут быть разные. Может произойти шифрование сразу, может быть отложенный старт. Этот вирус может касаться всех файлов либо только с определенным разрешением.

Причем желающие заработать порой даже не знают, на каком языке общается пользователь. Поэтому письма идут зачастую на английском. Первое, на что следует обратить внимание, это домен — набор букв до собачки. 

— Как правило, если почта от конкретного лица, то там пишется имя, если от организации — название организации, — рассказывает Тимофей Валентинович. — В самом тексте содержится способ изменения эмоционального состояния человека: если, мол, вы вовремя что-то не сделаете, у вас будут проблемы. Первое — вызвать страх. Например, «ваш почтовый ящик не будет работать с 30 июля, если вы вовремя не внесете платеж». Диаметрально противоположная — радость. Когда человек испытывает эмоции, им можно управлять и манипулировать. К примеру, если на почту в компанию всем сотрудникам придет письмо, где будет сказано, что изменилась система премирования, я более чем уверен, что практически каждый его откроет. 

Один из признаков того, что вложение вредоносное, — это наименование файла в транслитерации. Также если присланный документ заархивирован, то открывать его точно не надо. Порой цепляют еще иконку, якобы это текстовый документ. 

Еще один вариант заставить человека открыть письмо — подать информацию, которая волнует большинство. Например, в прошлом году это был ковид. Всем было страшно, люди боялись неизвестного. И мошенники использовали это:

— Людям присылали письма с текстом: «Посмотрите на статистику смертности за день…» И к письму прикреплялся файл.

Антивирусная зона

Программы-вымогатели стали своеобразной лакмусовой бумагой, которая подсветила низкий средний уровень зрелости систем киберзащиты в организациях по всему миру. Правоохранители не могут оказать компаниям и предприятиям должную поддержку из-за того, что киберпреступные группировки очень тяжело вычислить, а их участники могут находиться в разных странах, что усложняет привлечение их к ответственности.

— Как правило, рядового пользователя не сильно беспокоят вопросы информационной безопасности. И уж тем более мало кто задумывается о том, что защита компьютера не сводится только к установке хорошего антивируса. Принципиальное значение имеет использование современной операционной системы, регулярная установка обновлений ОС и использование актуальной версии антивируса. Если соблюдать эти простые правила, то можно на порядок снизить риск заражения не только шифровальщиками, но и любыми компьютерными вирусами в целом, — рассуждает Тимофей Борботько.

Однако порой даже системные администраторы с большим опытом работы иногда допускают банальные ошибки, приводящие к серьезным последствиям, обращает внимание Александр Рингевич:

— Когда пароль администратора простой и не меняется годами, а антивируса вообще нет, злоумышленнику не составит труда зашифровать файлы и на самом сервере, и на сетевых дисках, подключенных к нему.

Популярность программ-вымогателей растет из-за увеличения доли сотрудников, которые работают с незащищенных мобильных устройств, задержки с внедрением новейших обновлений, устраняющих известные уязвимости, и фишинга на тему COVID-19. Нет сомнений, мошенники будут и дальше изобретать новые и более сложные вредоносные программы. И если компании и частные пользователи не уделят достаточного внимания своей цифровой грамотности, потери будут рас

---

Угрозы растут

Однако полностью с массового сегмента они не ушли: киберпреступники постоянно изобретают новые способы нажиться. Наблюдается очередной всплеск активности вымогателей, связанный с появлением двух новых семейств вредоносного ПО. Первое — Bluff, блокировщик браузера, который создает фальшивую вкладку, откуда пользователь не может выйти, и угрожает печальными последствиями в случае отказа платить выкуп. Второе — Rakhni, шифровальщик, распространяемый преимущественно через спам-письма с вредоносными вложениями.

За последние пять лет подобные программы претерпели некоторую эволюцию: из угрозы персональным компьютерам они превратились в серьезную опасность для корпоративных сетей и государственных структур, причем применяться стали и легитимные инструменты для шифрования. И если раньше злоумышленники фокусировались на количестве зараженных компьютеров, то теперь они атакуют крупные цели, чтобы в случае успеха получить выкуп крупных размеров вплоть до миллионов долларов.

Появилась и еще одна новая тенденция: теперь киберпреступники не только шифруют данные, но и предварительно крадут их, чтобы затем угрожать их публикацией.

ФАКТОРЫ, КОТОРЫЕ МОГУТ СДЕЛАТЬ ВАС ЦЕЛЬЮ АТАКИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ:

♦ используемое устройство не является современным;

♦ на устройстве установлено устаревшее программное обеспечение;

♦ браузеры и операционные системы больше не обновляются;


НАИБОЛЕЕ КРУПНЫЕ КИБЕРАТАКИ С ИСПОЛЬЗОВАНИЕМ ПРОГРАММ-ВЫМОГАТЕЛЕЙ

• В 2017 году  вирус Petya атаковал крупнейшего датского контейнерного перевозчика — A.P. Moller-Maersk. Работа некоторых портов была парализована несколько дней, из-за этого пришлось ждать на рейде и судам. Затем надо было разбираться с сорванным расписанием, вызванными вирусами ошибками, восстанавливать базы данных. Как результат, часть контейнеров были отправлены по неверному адресу. Убытки от кибератаки достигли 200 миллионов долларов. 

• Мясоперерабатывающая корпорация в Бразилии в начале ­июня выплатила хакерам 11 миллионов долларов в криптовалюте. Компьютерные сети предприятия JBS были взломаны, в результате чего организации в Австралии, Канаде и США были временно остановлены, что затронуло тысячи рабочих. 

• В Колумбии хакеры взломали серверы управления полиции столичного округа и получили доступ к 250 Гб информации. Данные включали отчеты о расследованиях, личные дела сотрудников, досье на преступные группировки, административные файлы и фотографии. Хакеры угрожали слить файлы в сеть. А чтобы этого не произошло, они потребовали выкуп в размере 4 миллионов долларов. В анонимной сети преступники опубликовали предполагаемый разговор с полицией, в котором говорится, что сотрудники управления предложили заплатить 100 тысяч долларов. Позже мошенники все же обнародовали данные некоторых полицейских. 

• В конце весны ирландская система здравоохранения дважды пострадала от вирусов-вымогателей. Сначала атаке подверглась информационная система Министерства здравоохранения, а затем Национальная служба здравоохранения. Как результат, были отменены записи на получение амбулоторных радиологических услуг, а также замедлилась работа сервисов для получения результатов тестов на коронавирус и отслеживание контактов зараженных. В течение нескольких дней в Ирландии не обновляли статистику по заболеваемости.

yankovich@sb.by