Федеральное ведомство по информационной безопасности (BSI) публикует отчет о ситуации с ИТ-безопасностью в Германии. Ransomware появляется в нем неоднократно. Пришло время обновить информацию о самом непопулярном «убийственном приложении» биткоина. Угрожает ли вредоносное ПО-вымогатель легитимности криптовалют?
Недавно Федеральное ведомство по информационной безопасности (BSI) опубликовало ситуационный отчет о состоянии ИТ-безопасности в Германии в 2021 году.
В отчете на 100 страницах изложена «угрожающая ситуация в сфере ИТ-безопасности в Германии», с акцентом на «атаки на компании, государственные, а также общественные учреждения и частных лиц». На этих 100 страницах слово «ransomware» встречается 79 раз. Это свидетельствует о большом значении этого «шантажного программного обеспечения» среди источников опасности из киберпространства.
Ransomware на самом деле не является новым явлением. «Вредоносное ПО, ограничивающее доступ к данным или системам, например, с помощью шифрования, чтобы затем злоумышленник мог вымогать выкуп» существовало еще до появления биткоина. Но только после того, как примерно в 2013 году стало принято требовать биткоины для оплаты, «бизнес-модель выкупных программ» превратилась в историю успеха международной киберпреступности — и так непрерывно в течение примерно восьми лет.
Почему биткоин? Почему криптовалюта стала ориентиром для программ-вымогателей?
Биткоины не анонимны. Цифровые монеты очень прозрачны. Подобно улитке, оставляющей след из слизи, каждая транзакция оставляет четкий след в блокчейне. Такие эксперты, как бывший генерал ЦРУ … поэтому говорят, что биткоин — худшее из мыслимых платежных средств для преступников.
Однако биткоины очень хороши для одной вещи: Получать деньги анонимно. Любой человек может создать адрес для получения денег. Для этого вам не нужны ни удостоверение личности, ни банковский счет, ни номер телефона, ни даже адрес электронной почты. Более того, биткойны, для которых у вас есть приватный ключ, не подлежат замораживанию, а входящие транзакции не подлежат цензуре. Благодаря этим свойствам биткойн стимулировал появление программ-выкупов, которые впоследствии стали «убийственным приложением» биткойна, о котором на сцене предпочитают не говорить.
Строго говоря, программы-вымогатели представляют приличную угрозу для биткойна. В США существует тенденция классифицировать крупномасштабное вымогательство, например, против известной юридической фирмы, как кибертерроризм. Ransomware может стать причиной — или предлогом — для того, чтобы криптовалюты (еще более) строго регулировались и, возможно, были запрещены.
Все остановки для рэкета по защите мафии
Отчет BSI показывает, как ситуация вокруг ransomware продолжала развиваться в Германии с июня 2020 года по май 2021 года. Он отлично подходит для того, чтобы получить представление об этой зарождающейся «торговле» — и о том вреде, который она наносит.
Некоторые тенденции буквально бросаются в глаза. Например, отрасль сталкивается с проблемой изменения мышления жертв. Все чаще жертвы спокойнее относятся к атаке благодаря резервной копии или следуют рекомендациям властей не платить деньги за защиту.
Хакеры реагируют на это двумя тактиками: С одной стороны, они не только шифруют данные, но и крадут их. Таким образом, они смогут улучшить свое положение в условиях угрозы утечки данных. Кроме того, они угрожают DDoS-атаками, чтобы заставить жертву заплатить выкуп. Например, по данным BSI, «если бы компания, занимающаяся почтовыми заказами онлайн, была вынуждена перейти на веб-присутствие, менее устойчивое к DDoS-атакам, из-за атаки вымогательского ПО, такая DDoS-атака еще больше усложнила бы задачу справиться с атакой вымогательского ПО».
Таким образом, это приближает ransomware к многопрофильным мафиозным рэкетам. Любое средство подойдет, если оно повышает давление.
Программа-вымогатель как финал охоты на крупную дичь
Вторая тенденция в сфере ransomware — это внутренняя профессионализация. Об этом уже писали в других докладах, например, о разделении труда между разработчиками программного обеспечения, дистрибьюторами и отмывателями денег.
BSI добавляет к этому многоступенчатый характер атак. Вместо того чтобы тащить вредоносное ПО через океан ИТ-систем, как невод, хакеры все больше ориентируются на «шпионские атаки APT». Это продуманные, сложные, профессиональные и целенаправленные — так сказать, созданные вручную — атаки на государственные учреждения и предприятия. Они сосредотачиваются на цели, затем разрабатывают уязвимости, иногда в течение нескольких месяцев, а затем используют их всеми имеющимися в их распоряжении средствами. Есть подозрения, что такие атаки финансируются или продвигаются обычными государствами-изгоями: Китай, Россия, Иран и Северная Корея.
Например, в случае с ransomware это происходит следующим образом: Во-первых, троянец Emotet гнездится в Outlook. Там он анализирует почтовый трафик жертвы, чтобы провести «особенно аутентичные атаки социальной инженерии на контакты жертвы». Затем Emotet открывает загрузку, чтобы хакеры могли установить шпионскую вредоносную программу Trickbot. Теперь сканируется вся система и, если возможно, также сеть. Только на последнем этапе — и только если он оправдан — хакеры загружают программу-выкуп Ryuk. После этого данные шифруются.
Таким образом, ransomware становится финалом долгого оркестрованного захвата компьютерных систем.
Хакеры все чаще выбирают финансово сильных жертв. BSI называет это «охотой на крупную дичь». Эта тенденция существует уже некоторое время и проявляется во все более известных и крупных жертвах, от шведских супермаркетов до итальянских поставщиков энергии.
Новая общественная жертва каждую неделю
Ущерб, наносимый программами-вымогателями, трудно оценить. Но становится очевидным, что они должны быть огромными.
По словам президента BSI Арне Шёнбома, каждую неделю ИТ как минимум одной городской или районной администрации Германии парализуются из-за программ-вымогателей. Когда в немецкой администрации что-то идет не так, это все чаще может быть связано с вымогательским ПО.
BSI не раскрывает, какую сумму ежегодно выплачивают немецкие компании и учреждения за вымогательство. Если она вообще знает эту информацию. Но дело в том, что выкуп — это лишь часть ущерба, наносимого ransomware, и, возможно, даже не самая большая.
«Обычно с момента обнаружения инфекции до очистки и полного восстановления работоспособности систем проходит в среднем 23 дня […] За этим немедленным воздействием обычно следуют последующие расходы, связанные с ликвидацией последствий атаки».
Поэтому в среднем проходит около трех недель, прежде чем системы снова полностью придут в норму. Например, в случае с интернет-магазином это может быть очень дорого. Если в результате публикации данных будет нанесен еще и репутационный ущерб, то «ущерб, нанесенный атакой вымогателей, может поставить под угрозу существование пострадавшей организации», — поясняет BSI.
Но не только обработка атаки поглощает ресурсы, но и ее предотвращение. BSI рекомендует обширные меры: Компании должны иметь резервную копию, а именно такую, которая полностью отключена от сети и регулярно проверяется на возможность ее восстановления. Передача данных по сети также должна тщательно контролироваться, чтобы предотвратить кражу данных или обнаружить ее на ранней стадии. Уязвимости, такие как соединения с внешним миром, должны быть сведены к минимуму, операционные системы и программы должны регулярно и своевременно обновляться, а сети должны быть сегментированы внутри. Сотрудники должны быть обучены «всесторонне и постоянно», доступ к административным уровням должен быть последовательно ограничен.
Такие меры, безусловно, разумны. Они не могут полностью предотвратить нападения, но они могут сделать их гораздо менее вероятными. Но они дорого стоят. Они требуют почти постоянного обслуживания ИТ-систем, отнимают время у всех сотрудников и замедляют процессы, например, когда блокируется передача данных. Они вносят разлад в работу.
В этом свете ransomware становится не только прибыльной бизнес-моделью в киберпреступности с низким уровнем риска, но и глобальной диверсией против экономики и государства. Однако вопрос о том, влияют ли они на глобальный экономический рост или его отсутствие, является скорее спекулятивным.
Угроза демократии?
Все больше и больше BSI обеспокоен тем, что программы-вымогатели и другие вредоносные программы не только атакуют предприятия, но и угрожают общественной безопасности. Знаки уже есть:
«В прошлом году возникла новая угрожающая ситуация, связанная с инцидентами, в которых киберпреступники или государственные субъекты специально атаковали компании и органы власти из сектора здравоохранения. В отличие от начала пандемии, в текущем отчетном периоде BSI наблюдала целенаправленные ИТ-атаки, связанные с COVID-19, на ключевые области сектора здравоохранения. К ним относятся, например, атака на Европейское агентство по лекарственным средствам (EMA), атаки на иностранных производителей вакцин, DDoS-атака на портал вакцинации COVID-19 немецкой земли Тюрингия и ransomware-атака на немецкого производителя тестов на антиген COVID-19».
Ярким примером является также атака на университетскую больницу в Северном Рейне-Вестфалии, которая из-за инцидента с ransomware подверглась временному отключению системы и в течение 13 дней не могла принимать новых пациентов интенсивной терапии. Возможно, речь идет о больнице в Дюссельдорфе. Также пострадал аэропорт Саарбрюккена, чьи ИТ-системы некоторое время не работали в результате атаки, произошедшей почти год назад.
BSI предполагает, что программы-вымогатели могут также представлять угрозу для демократии, если они атакуют избирательную среду. Например, «атака ransomware на администрацию города или округа может привести к задержкам в проведении или подсчете результатов выборов, если, например, из-за атаки будет недоступна электронная почта». Это может подорвать доверие к избирательным процессам, стать частью фальсификации и затруднить или сделать невозможным внедрение электронных систем голосования.
