Федералната служба за информационна сигурност (BSI) публикува доклад за състоянието на ИТ сигурността в Германия. Рансъмуерът се появява в него повече от веднъж. Време е за актуализация на най-непопулярното приложение-убиец на биткойн. Заплашва ли изнудваческият зловреден софтуер легитимността на криптовалутите?
Наскоро Федералната служба за информационна сигурност (BSI) публикува доклада за състоянието на ИТ сигурността в Германия през 2021 г.
На 100 страници в доклада се описва „състоянието на заплахите за ИТ сигурността в Германия“, като се акцентира върху „атаките срещу компании, държавни и публични институции и частни лица“. Думата „ransomware“ се появява 79 пъти на тези 100 страници. Това показва голямото значение на този „софтуер за изнудване“ сред източниците на опасност от киберпространството.
Софтуерът за откуп не е ново явление. „Зловреден софтуер, който ограничава достъпа до данни или системи, например чрез криптиране, за да може нападателят да изиска откуп“, е съществувал и преди биткойн. Но едва след като около 2013 г. стана обичайно да се изискват биткойни за плащане, „бизнес моделът на откупа“ се превърна в историята на успеха на международната киберпрестъпност – и то без прекъсване в продължение на около осем години.
Защо Биткойн? Защо криптовалутата се превърна в крайъгълен камък за рансъмуер?
Биткоините не са анонимни. Цифровите монети са изключително прозрачни. Подобно на охлюв, който оставя следа от кал, всяка трансакция оставя съвсем ясна следа в блокчейна. Експерти като бившия генерал от ЦРУ … затова твърдят, че биткойнът е най-лошото възможно средство за разплащане на престъпници.
Биткойните обаче са много добри за едно нещо: Да получавате пари анонимно. Всеки може да генерира адрес, на който да получава пари. За целта не ви е необходим документ за самоличност, банкова сметка, телефонен номер, нито дори имейл адрес. Освен това биткойните, за които притежавате частния ключ, не могат да бъдат замразявани, а входящите транзакции не подлежат на цензуриране. Благодарение на тези свойства биткойнът стимулира създаването на ransomware, който впоследствие се превърна в „приложението-убиец“ на биткойна, за което сцената предпочита да не говори.
Строго погледнато, рансъмуерът представлява сериозна заплаха за биткойн. В САЩ има тенденции мащабното изнудване, например срещу известна адвокатска кантора, да се класифицира като кибертероризъм. Окупиращият софтуер може да се превърне в причината – или претекста – за (още) по-строго регулиране и евентуално забрана на криптовалутите.
Всички спирки за мафиотски рекет
Докладът на BSI показва как ситуацията около ransomware е продължила да се развива в Германия от юни 2020 г. до май 2021 г. Той е отличен източник на информация за тази развиваща се „търговия“ и за вредите, които тя нанася.
Някои тенденции буквално изскачат пред очите ви. Например, индустрията е изправена пред предизвикателство, свързано с промяна в мисленето на жертвите. Все по-често жертвите се отнасят по-спокойно към атаката благодарение на резервно копие или следват препоръките на властите да не плащат пари за защита.
Хакерите реагират на това с две тактики: От една страна, те не само криптират данните, но и ги крадат. По този начин те могат да подобрят позицията си при заплаха от изтичане на данни. Освен това те заплашват и с DDoS атаки, за да накарат жертвата да плати откупа. Например, според BSI, „ако онлайн компания за поръчки по пощата е принудена да премине към уеб присъствие, което е по-малко устойчиво на DDoS атаки, поради атака с цел получаване на откуп, такава DDoS атака би затруднила още повече справянето с атаката с цел получаване на откуп“.
Това доближава рансъмуера до мултидисциплинарните мафиотски рекети за защита. Всяко средство е подходящо, ако се повиши налягането.
Програмата за откуп като финал на лова на голям дивеч
Втора тенденция при рансъмуера е вътрешната професионализация. В други доклади вече е писано за това, например за разделението на труда между разработчиците на софтуер, дистрибуторите и перачите на пари.
BSI добавя към това многоетапния характер на атаките. Вместо да прекарват зловреден софтуер през океана от ИТ системи като с мрежа, хакерите все повече се ориентират към „APT шпионски атаки“. Това са сложни, комплексни, професионални и целенасочени – така да се каже, ръчно изработени – атаки срещу правителствени агенции и предприятия. Те се фокусират върху дадена цел, след това разработват уязвимости, понякога в продължение на месеци, и после ги използват с всички средства, с които разполагат. Предполага се, че подобни атаки се финансират или насърчават от обичайните държави-измамници: Китай, Русия, Иран и Северна Корея.
В случая с рансъмуера например се действа по следния начин: Първо, троянският кон Emotet се загнездва в Outlook. Там той анализира трафика на електронната поща на жертвата, за да извърши „особено автентично изглеждащи атаки със социален инженеринг към контактите на жертвата“. След това Emotet отваря файла за изтегляне, за да могат хакерите да инсталират шпионския зловреден софтуер Trickbot. По този начин се сканира цялата система и, ако е възможно, също и мрежата. Едва в последната стъпка – и то само ако си заслужава – хакерите качват софтуера Ryuk за откуп. След това данните се криптират.
По този начин рансъмуерът се превръща във финал на дълго организирано превземане на компютърни системи.
Хакерите все по-често се насочват към финансово стабилни жертви. BSI нарича това „лов на едър дивеч“. Тази тенденция съществува от известно време и се проявява във все по-известни и големи жертви – от шведски супермаркети до италиански доставчици на енергия.
Нова публична жертва всяка седмица
Вредите, причинени от рансъмуер, е трудно да бъдат оценени. Но става ясно, че те трябва да са огромни.
Според председателя на BSI Арне Шьонбом информационните технологии на поне една германска градска или областна администрация са парализирани от софтуер за откуп всяка седмица. Когато нещата в германската администрация се объркат, това все по-често може да се дължи на рансъмуер.
BSI не разкрива каква сума плащат германските компании и институции за рансъмуер всяка година. Ако изобщо знае тази информация. Но факт е, че откупът е само част от щетите, причинени от рансъмуер, и вероятно дори не е най-голямата.
„Обикновено са необходими средно 23 дни от откриването на инфекцията до почистването на системите и пълното им възстановяване в работно състояние […] Това незабавно въздействие обикновено е последвано от последващи разходи за справяне с атаката.“
Затова отнема средно три седмици, докато системите се възстановят напълно. В случай на онлайн магазин, например, това може да бъде много скъпо. Ако поради публикуването на данни се стигне и до увреждане на репутацията, „щетите, причинени от атака с откуп, могат да застрашат съществуването на засегнатата организация“, обяснява BSI.
Но не само обработката на атаката отнема ресурси, а и нейното предотвратяване. BSI препоръчва широкообхватни мерки: Компаниите трябва да поддържат резервно копие, а именно такова, което е напълно офлайн и редовно се проверява за възможността за възстановяване. Прехвърлянето на данни по мрежата също трябва да се следи отблизо, за да се предотврати кражба на данни или да се открие на ранен етап. Уязвимите места, като например връзките с външния свят, трябва да бъдат сведени до минимум, операционните системи и програмите трябва да се актуализират редовно и своевременно, а мрежите трябва да бъдат вътрешно сегментирани. Служителите трябва да бъдат обучавани „изчерпателно и непрекъснато“, а достъпът до администраторските нива трябва да бъде постоянно ограничен.
Подобни мерки със сигурност са разумни. Те не могат да предотвратят напълно атаките, но могат да намалят вероятността от тях. Но те са скъпи. Те изискват почти непрекъсната поддръжка на ИТ системите, отнемат времето на всички служители и забавят процесите, например при блокиране на трансфера на данни. Те хвърлят камък в работата.
Погледнато в тази светлина, ransomware се превръща не само в доходоносен бизнес модел в нискорисковата киберпрестъпност, но и в глобален саботаж на икономиката и държавата. Дали обаче те действително вече оказват влияние върху глобалния икономически растеж или върху липсата на такъв, е по-скоро спекулативно.
Заплаха за демокрацията?
Все по-често BSI изразява загриженост, че рансъмуерът и другият зловреден софтуер не само атакуват бизнеса, но и застрашават обществената безопасност. Знаците вече са налице:
„Миналата година възникна нова ситуация на заплаха, свързана с инциденти, при които киберпрестъпници или държавни субекти атакуваха конкретно дружества и органи от здравния сектор. За разлика от началото на пандемията, през настоящия отчетен период BSI наблюдава целенасочени ИТ атаки, свързани с COVID-19, в ключови области на здравния сектор. Сред тях са например атаката срещу Европейската агенция по лекарствата (EMA), атаките срещу чуждестранни производители на ваксини, DDoS атаката срещу портала за ваксинация COVID-19 на германската провинция Тюрингия и атаката с цел откуп срещу германски производител на тестове за антигени COVID-19.“
Известен случай е и атаката срещу университетска болница в Северен Рейн-Вестфалия, която е претърпяла временни прекъсвания на системата поради инцидент с откуп и не е могла да приема нови пациенти в интензивното отделение в продължение на 13 дни. Възможно е въпросната болница да е била в Дюселдорф. Засегнато е и летище Саарбрюкен, чиито ИТ системи бяха повредени за известно време в резултат на атака преди почти година.
BSI предполага, че рансъмуерът може да представлява заплаха и за демокрацията, ако атакува избирателната среда. Например „атака с откуп срещу градска или окръжна администрация може да доведе до забавяне на провеждането или преброяването на изборите, ако например имейл комуникациите са недостъпни поради атаката“. Това би могло да подкопае доверието в изборния процес, да стане част от фалшифициране на избори и да затрудни или да направи невъзможно въвеждането на системи за електронно гласуване.