«Шифровальщики»: больше, чем вымогательство

Эпидемия «Плохого Кролика», которую выявили и остановили довольно быстро, прекрасный повод взглянуть на проблемы инфобезопасности «с другой стороны». Выводы будут неутешительными.

Нашествие «Кролика» от эпидемии «Пети», которая случилась летом, отделяет почти сто дней, и это очень много. Легко предположить, что в дальнейшем эпидемии «шифровальшиков» будут следовать одна за другой с существенно меньшим лагом. Причина проста: у таких решений наиболее простая и поэтому весьма быстрая схема монетизации, что делает их крайне интересными для киберпреступников.

Подчеркнем, что в киберперступления давно превратились в бизнес, за исключением «белого хакерства» и некоторых смежных направлений, суммарные сегменты которых довольно узки. Принципы построения «оборотной стороны» ИТ-бизнеса мало чем отличаются от легальных направлений, а некоторые технические моменты реально «впереди планеты всей» (например, киберпреступники активно используют «умные контракты», но об этом мы поговорим отдельно). Организация атаки «вымогателя», равно как и подавляющего большинства других кибепреступлений, представляет собой, по сути, менеджерскую задачу – создание оптимальной бизнес-схемы из готовых элементов. Для построения зловредных программ давно существуют библиотеки, собрать из которых вирус достаточно просто, для решения логистических задач – прежде всего, вывода средств, а также создания схем для более быстрого распространения программы и т.д. – можно легко привлечь криминальные группы соответствующей специализации. Остается из готовых «кубиков» создать действенную схему…

Заметим, что с «Кроликом» все же поработали и программисты – по заявлению специалистов по ИБ, в отвечающим за шифрование модуле исправлены ошибки. В отличие от «Пети», который данные кодировал без возможности восстановления, «Кролик» все же позволяет восстановить зашифрованные файлы в пораженной системе. Гораздо любопытнее некоторые решения, имеющие отношения к логистике. Во-первых, распространению «Кролика» способствовало заражение сайтов интернет-СМИ – в частности, пострадали весьма популярные «Интерфакс» и «Фонтанка.ру». Как видно, для заражения уже не нужно посещать подозрительные ресурсы, открывать странные письма и выполнять другие действия, которые рекомендуют не делать, а заразить компьютер можно не покидая легального поля с сайтами, вызывающими доверие, которые внезапно оказались скомпрометированны. Во-вторых, сумма выкупа за разблокировку зараженного компьютера, по последней моде назначенная в биткойнах, с течением времени увеличивается. Такое вот современное прочтение фордовской формулы «Time is money».

Какова будет общая сумма выкупов, заплаченных пользователями владельцам «Кролика», пока непонятно, но речь идет о многих сотнях тысяч долларов. Напомним, что эпидемия «Пети», несмотря на все проблемы с программной составляющей, принесла своим организаторам более четырех миллионов долларов. Насколько распространение «Пети» оказалось коммерчески успешным предприятием, пока сказать сложно. Но пусть накладные расходы велики (вывод полученных сумм и их легализация требуют значительного процента), а вероятность возникновения форс-мажорных обстоятельств во всей бизнес-схеме по понятной причине значительная, но четыре миллиона долларов – весьма значительная сумма для того, чтобы появились последователи. Заметим, настолько значительная, что не совсем понятно, почему «кролиководы» атаковали спустя сто дней после выпустивших «Петю»…

Итак, эпидемии «шировальщиков» будут следовать одна за другой. Индустрия уже нашла ответы на эти угрозы, вполне действенные, но, к сожалению, требующие затрат гораздо больших, чем полученные вымогателями миллионы. Но это уже совсем другая история.