Программы-вымогатели: от создания до выкупа в десятки миллионов долларов

Программа-вымогатель — один из самых опасных типов вредоносных программ. Стать жертвой атаки программ-вымогателей часто означает потерю незаменимых файлов и времени, потраченного впустую на восстановление доступа к компьютеру. Но когда мишенями стали крупные организации, правительства и даже страны, это стало гораздо более опасным.

Как происходит атака программы-вымогателя?

Вы получаете по почте счет в документе Microsoft Word и, не задумываясь, нажимаете на него. В этот момент вы установили программу-вымогатель. Вредоносное ПО последовательно шифрует ваши файлы на компьютере, а затем отображает сообщение на экране – «заплатите и получите свои файлы или потеряете их навсегда». Это один из видов программ-вымогателей, распространяемых с помощью фишинговых кампаний.

Прибыльный бизнес

Развитие программ-вымогателей ошеломляет: от троянской программы AIDS 1989 года до сложной бизнес-модели. Троянец AIDS провел первую в истории вымогательскую атаку в 1989 году, когда биолог-эволюционист доктор Джозеф Попп разослал жертвам по электронной почте 20 000 дискет с вредоносным ПО.

Сейчас группировки предлагают программу-вымогатель как услугу (Ransomware-as-a-Service, RaaS) и работают с аффилированными лицами, чтобы расширить свое влияние для целевых организаций любого масштаба. Самые известные представители RaaS-модели:

• REvil ;
• Maze ;
• LockBit ;
• Ragnar Locker ;
• Conti ;
• SunCrypt .

Кроме того, некоторые операторы программ-вымогателей публикуют украденные данные компаний в даркнете, если они не получили выкуп от жертв в течение определенного периода времени.

Кто забирает самый большой кусок?

Группировки теперь пытаются решить проблему нехватки рабочей силы, нанимая новых участников. Несколько лет назад они просто размещали объявления на хакерских форумах в поисках партнеров.

Сегодня это не так распространено из-за того, что юридические лица уделяют особое внимание программам-вымогателям. Поэтому сейчас некоторые группировки нанимают тех хакеров, с которыми они уже сотрудничали.

Обычно по RaaS-модели операторы программы-вымогателя забирают себе 20-30% от суммы выкупа жертвы, а 70% остается аффилированным лицам. Крупнейший выкуп хакерам составил $18 млн ., поэтому каждый участник схемы имеет большой заработок.

Покупатели RaaS фактически выполняют большую часть работы – получение первоначального доступа, взлом системы и боковое перемещение. Киберпреступники покупают доступ у брокеров доступа, сканируя на наличие уязвимостей или просто используя социальную инженерию или фишинг, чтобы закрепиться в сети. Как правило, хакеры проводят атаки там, где у них больше шансов остаться незамеченными.

После взлома сети и эксфильтрации данных операторы программ-вымогателей предлагают жертве способ оплаты. Как правило, биткоин является распространенной формой платежа, узаконенной различными способами, часто через третьих лиц.

Согласно отчету IBM, банды вымогателей живут около 17 месяцев. Несмотря на растущие усилия правоохранительных органов, группировки легко перезапускают деятельность и переименовывают себя, чтобы избежать идентификации. Например, в этом году крупная группа Conti прекратила свою деятельность , а группировка Cl0p возобновила свою активность . При этом, даже если группировка исчезает, то ее RaaS-модель остается, и ее используют другие киберпреступники.

Сдвиг на рынке

Помимо бизнес-моделей, в ландшафте программ-сами хакеры оказываются жертвами. Один из таких примеров – арест членов банды вымогателей REvil российскими спецслужбами.

Кроме того, крупная группировка Conti в 2022 году подверглась утечке данных . Опубликованные сообщения содержали различную информацию о деятельности группировки, в том числе о ранее незафиксированных жертвах, URL-адресах утечек личных данных, биткойн-адресах и обсуждениях их операций. Выяснилось, что с 21 апреля 2017 года по 28 февраля 2022 года Conti заработала 65 498,197 BTC (около $2,7 млрд).

Еще один случай произошел с группировкой TrickBot, участник которой был задержан в Южной Корее в 2021 году . Арестованному были предъявлены обвинения в содействии в разработке web-браузерного компонента для TrickBot. Сотрудничество киберпреступника с TrickBot началось после того, как в 2016 году он ответил на объявление о работе, размещенное группировкой.

Эти примеры демонстрируют сдвиг на рынке, превращающий охотника в добычу.