Еволюція вірусів-вимагачів. Нове покоління хакерів візьметься за криптовалюти

Хакери постійно вдосконалюють свої інструменти та навички. Пропонуємо вашій увазі скорочений переклад матеріалу The Conversation, який пояснює, як зловмисники атакуватимуть криптовалютну галузь.

У травні 2023 року робота міської влади Далласу зупинилася через атаку вірусу-шифрувальника, який вимагав викуп. Під час таких атак хакери шифрують життєво важливі дані і вимагають у жертви викуп за розблокування інформації.

Атака на міську владу призвела до зупинки слухань, судових процесів і роботи присяжних, врешті до закриття муніципального суду Далласу. Злочинці погрожували опублікувати конфіденційні дані, зокрема особисту інформацію, судові справи, дані про ув’язнених та урядові документи.

Здавалося б, атака на міську владу та поліцію, яка спричинила масштабні та тривалі перебої в роботі, мала б бути на перших шпальтах газет. Але атаки з вимогами викупу стали настільки поширеними, що більшість із них навіть не потрапляють у новини. 

Програми-вимагачі сьогодні визнані основною загрозою і викликом суспільству. Але ще десять років тому їх вважали нішевою загрозою. Те, як швидко вона еволюціонувала, підживлюючи злочинність і завдаючи незліченних збитків, має викликати серйозне занепокоєння. «Бізнес-модель» програм-вимагачів стає дедалі витонченішою завдяки, наприклад, вдосконаленню векторів атак шкідливого ПЗ, стратегій ведення переговорів і самої структури злочинного бізнесу.

Що таке програми-вимагачі?

Злочинці зламують систему кібербезпеки жертви, після чого розгортають програму-вимагача, основною функцією якої є шифрування файлів жертви за допомогою приватного ключа (який можна уявити як довгий рядок символів), щоб заблокувати жертві доступ до своїх файлів. Третій етап атаки починається з того, що злочинець вимагає викуп за приватний ключ. Багато жертв платять викуп, причому його сума може становити мільйони доларів.

Використовуючи цю базову характеристику програм-вимагачів, можна виділити типи атак. Існують низькорівневі атаки, коли файли не шифруються або злочинці не вимагають викуп. Але зловмисники докладають значних зусиль, щоб максимально порушити роботу системи.

Атака вірусу-здирника WannaCry у травні 2017 року є таким прикладом. Атака, яку пов’язують з урядом Північної Кореї, не робила жодних спроб вимагати викуп у жертв, але вона призвела до масштабних перебоїв у всьому світі, а деякі організації, що займаються моделюванням ризиків кібербезпеки, навіть заявили, що глобальні економічні збитки обчислюються мільярдами. У таких випадках злочинці можуть діяти не заради фінансової вигоди, а мати інші мотиви, зокрема політичні. 

Другий тип атак з використанням програм-здирників — коли злочинці вимагають гроші у своїх жертв. Хоча і не без політичних мотивів. Наприклад, існують докази зв’язків між основними групами вимагачів і росією. Ми можемо визначити, наскільки атаки зловмисників мотивовані фінансовою вигодою, спостерігаючи за зусиллями, вкладеними в переговори, готовністю підтримати або сприяти сплаті викупу, а також за наявністю послуг з відмивання грошей. Інвестуючи в інструменти та послуги, які полегшують сплату викупу та його конвертацію у фіатну валюту, зловмисники сигналізують про свої фінансові мотиви.

Наслідки атак

Серйозні атаки з використанням програм-вимагачів, зокрема атака на компанію Colonial Oil у травні 2021 року, яка вивела з ладу великий паливний трубопровід у США, очевидно, загрожують безперервності надання життєво важливих послуг.

У травні 2021-го Національна служба охорони здоров’я Ірландії зазнала атаки вірусу-вимагача. Це призвело до масового скасування призначених прийомів. Повідомлялося також про витік конфіденційних даних. Фінансові наслідки атаки можуть сягати 100 млн євро, не кажучи про здоров’я та психологічний стан пацієнтів і медичного персоналу, які постраждали від збоїв у роботі.

Іноді атаки планують на конкретний час, щоб завдати максимальної шкоди. Наприклад, напад у червні 2023 року на школу в Дорчестері, Велика Британія, призвів до того, що школа не могла користуватися електронною поштою або отримати доступ до сервісів під час основного екзаменаційного періоду. Це може впливати на добробут дітей та їхню успішність.

Багато атак спрямовують на підприємства та благодійні організації, які є занадто малими, щоб привернути до себе увагу. Але вони можуть бути надто руйнівними, зважаючи на зупинення малого бізнесу, втрату репутації та психологічні витрати.

Які бувають програми-вимагачі

Через появу програм-вимагачів як послуги (RaaS) бар’єр входу для кіберзлочинців-початківців знизився як щодо вартості, так і щодо навичок. Згідно з моделлю RaaS, експертиза надається постачальниками, які розробляють шкідливе ПЗ, тоді як зловмисники можуть бути відносно некваліфікованими. Це впливає на розподіл ризиків: арешт кіберзлочинців, які використовують програми-вимагачі, більше не загрожує всьому ланцюжку постачання, що дозволяє продовжувати атаки, розпочаті іншими групами.

Ми також спостерігаємо перехід від масових фішингових атак, як-от CryptoLocker, що охопили понад 250 тис. систем, до більш цілеспрямованих атак. Це означає посилення уваги до організацій, які мають достатні доходи для виплати великих викупів. 

Останнім часом у програмах-вимагачах, зокрема Netwalker, REvil/Sodinokibi, з’явилася загроза подвійного вимагання. У цьому разі злочинці не лише шифрують файли, але й викрадають дані, копіюючи їх. Це може спричинити витік потенційно чутливої та важливої інформації.

«Честь» серед злодіїв?

У разі викрадення даних не очевидно, що жертва отримує в обмін на сплату викупу. Злочинці досі володіють конфіденційними даними і можуть опублікувати їх будь-коли, навіть отримавши викуп. Вони можуть вимагати наступні викупи, щоб не публікувати файли.

Тому, щоб викрадення даних стало життєздатною бізнес-стратегією, злочинцям необхідно створити надійну репутацію «виконання» виплати викупу. Це, ймовірно, призвело до нормалізації екосистеми програм-вимагачів.

Наприклад, перемовники про викуп є приватними підрядниками і в деяких випадках зобов’язані у межах договору про кіберстрахування надавати експертні послуги з управління кризовими ситуаціями, пов’язаними з програмами-вимагачами. За наявності відповідних інструкцій вони сприятимуть проведенню переговорів щодо виплати викупу. У цій екосистемі деякі злочинні угруповання, що займаються викупом, зарекомендували себе як такі, що не публікують дані (або принаймні затримують публікацію) у разі отримання викупу.

Шифрування, дешифрування або видалення файлів зазвичай є складним і дорогим завданням для злочинців. Набагато простіше видалити файли, а потім заявити, що вони були зашифровані або викрадені, і вимагати викуп. Однак, якщо жертви підозрюють, що вони не отримають ключ для розшифровки або зашифровані дані, вони не платитимуть викуп. А ті, хто заплатить і не отримає нічого, можуть розкрити цей факт. Це може вплинути на «репутацію» зловмисника та ймовірність майбутніх виплат викупу. Тобто у світі вимагання та атак з метою отримання викупу варто грати «чесно».

Отже, менш ніж за десять років ми стали свідками того, як загроза викупу значно зросла від відносно невеликого за масштабами CryptoLocker до багатомільйонного бізнесу із залученням організованих злочинних угруповань та витончених стратегій. Від 2020 року кількість інцидентів з використанням програм-вимагачів і, як наслідок, збитків, здається, зросла ще на порядок. Вимагачі стали надто поширеними, щоб їх ігнорувати, і тепер через них серйозно стурбовані уряди і правоохоронці.

Загрози криптовалютного вимагання

Наступне покоління програм-вимагачів міститимуть варіанти, орієнтовані на криптовалюту і механізми консенсусу, що використовують у них.

Механізм консенсусу — це будь-який метод (зазвичай алгоритмічний), який застосовують для досягнення згоди, довіри і безпеки у децентралізованій комп’ютерній мережі.

Так, криптовалюти дедалі частіше використовують так званий механізм консенсусу «доказ частки», коли інвестори вкладають значні суми валюти для підтвердження криптовалютних транзакцій. Ці частки є вразливими до вимагання з боку зловмисників, які вимагають викуп.

Криптовалюти покладаються на децентралізований блокчейн, який забезпечує прозорий запис усіх транзакцій, що відбулися з використанням цієї валюти. Блокчейн підтримується одноранговою мережею, а не центральним органом (як у разі зі звичайною валютою). 

В принципі записи про транзакції, внесені у блокчейн, є незмінними, піддаються перевірці і безпечно поширюються мережею, що дає користувачам можливість бачити дані про транзакції. Ці властивості блокчейну ґрунтуються на безпечному і непідвладному маніпуляціям механізмі консенсусу, в якому незалежні вузли мережі погоджуються з тим, які транзакції додавати до блокчейну.

Досі криптовалюти здебільшого покладалися на механізм консенсусу «доказ роботи», в якому авторизація транзакцій передбачає розв’язання складних математичних задач. У довгостроковій перспективі такий підхід є нежиттєздатним, оскільки призводить до дублювання зусиль і масштабного використання енергії, якого можна було б уникнути.

Так, механізм консенсусу «доказ частки» в екосистемі Ethereum покладається на валідаторів для затвердження транзакцій. Щоб стати валідатором, необхідно мати мінімальну частку в 32ETH, що наразі становить приблизно $60 тис. Після цього валідатори можуть отримувати фінансову винагороду за свою частку, працюючи з валідатором відповідно до правил Ethereum. На момент написання цієї статті налічувалося майже 850 тис. валідаторів.

Хакери, безсумнівно, шукають способи проникнення в систему. Зловмисники можуть використовувати валідаторів за допомогою слешингу. Хоча валідатори отримують винагороду за дотримання правил, існують фінансові санкції для валідаторів, які діють зловмисно. Основна мета штрафів — запобігти зловживанню децентралізованим блокчейном.

Існує дві форми штрафів, найсуворіша з яких — слешинг. Він застосовується за дії, які не повинні відбуватися випадково і можуть ставити під загрозу блокчейн, наприклад, за пропозицію додати до блокчейну конфліктні блоки або спробу змінити історію.

Штрафи за відсікання є відносно суворими, оскільки валідатор втрачає значну частину своєї частки, щонайменше 1ETH. У найгіршому випадку валідатор може втратити весь свій стейк (32ETH). Валідатор також буде змушений вийти зі складу учасників і більше не діяти як валідатор. Тобто, якщо валідатора звільнять, це матиме великі фінансові наслідки.

Для виконання дій валідаторам присвоюються унікальні ключі підпису, які, по суті, доводять, хто вони є для мережі. Уявімо, що ключ підпису потрапив до рук зловмисника? Тоді він може шантажувати жертву, вимагаючи викуп.

Програми-вимагачі залишатимуться проблемою на довгі роки, якщо не десятиліття

Одне з можливих бачень майбутнього полягає в тому, що програми-вимагачі стануть частиною нормального економічного життя, коли організації стикаються з постійною загрозою атак, з незначними наслідками для здебільшого анонімних банд кіберзлочинців.

Тож необхідні інвестиції в кібербезпеку в різних формах — від навчання персоналу до організаційної культури, яка підтримує повідомлення про інциденти. Це також передбачає інвестиції у варіанти відновлення, як-от ефективне резервне копіювання, внутрішня експертиза, страхування та перевірені плани на випадок непередбачуваних ситуацій.

На жаль, практика кібербезпеки у багатьох організаціях не покращується, як можна було б сподіватися, і це залишає двері відчиненими для кіберзлочинців. По суті, кожен має навчитися краще приховувати і захищати свої цифрові ключі та конфіденційну інформацію, якщо ми хочемо мати шанс протистояти наступному поколінню зловмисників, що вимагають викуп.