История возникновения и эволюции программ-вымогателей

Программы-вымогатели уже давно превратились из обычной вредоносной дискеты, требующей выкуп в размере 189 долларов, в гигантскую индустрию удалённых атак с многомиллионными выкупами, изощренными методами и крупными организациями-жертвами.

Средства массовой информации ежедневно пестрят новостями о последних атаках программ-вымогателей, происходящих то и дело по всей планете. А отдельные лица и компании всё чаще становятся жертвами киберпреступлений.

Угроза, которая началась с дискет, распространяемых по почте, со временем серьёзно эволюционировала и превратилось в цифровое оружие массового поражения. Это произошло в первую очередь благодаря появлению Интернета, развитию блокчейна и криптовалюты.

Методы киберпреступников менялись с годами, но вот основная идея таких атак дошла до наших дней практически без изменений: злоумышленники нацеливаются на уязвимых жертв, блокируют доступ к тому, что им нужно, а затем требуют выкуп для восстановления доступа.

В этой статье мы вместе вспомним историю, а также проследим эволюцию программ-вымогателей, чтобы чётко понять, как же они смогли превратиться в столь опасную и повсеместную угрозу, коей и являются сегодня.

1989 — Зарождение программ-вымогателей

Хотите верьте, хотите нет, но программы-вымогатели существуют уже почти 35 лет. Вскоре после конференции Всемирной организации здравоохранения по СПИДу в 1989 году Джозеф Л. Попп, биолог с Гарвардским образованием, разослал по почте 20 000 дискет всем участникам мероприятия. Судя по упаковке, на диске содержалась анкета с вопросами, которую можно было использовать для определения вероятности заражения ВИЧ. Однако на деле всё оказалось не так радужно.

В то время ни у кого не было оснований полагать, что разосланные по почте диски были намеренно заражены вирусом, ведь до этого момента ничего подобного никогда не случалось. Да и сама рассылка осуществлялась известным аккредитованным исследователем.

После инсталляции пользователем заражённой дискеты в компьютер вредоносная программа, получившая название «AIDS Trojan» («СПИД Троян»), использовала простой симметричный шифровальщик, чтобы заблокировать доступ к файлам жертвы.

По завершению шифрования на экранах пострадавших появлялось сообщение с требованием отправить автору вируса 189 долларов на почтовый ящик в Панаме в обмен на восстановления доступа к файлам. Примечательно, что в то время пользователи вируса отделались малой кровью, так как из-за простоты шифровальщика IT-специалисты довольно быстро подобрали ключ дешифрования, позволивший жертвам восстановить свои данные без уплаты выкупа.

Биолог Джозеф Попп, устроивший эту атаку, вероятно, успел немного заработать на своём мошенничестве, однако стоит только представить, во сколько ему обошлась пересылка 20 тысяч дискет и насколько хлопотно для жертв было пересылать свои сбережения в Панаму — как в голову приходит мысль, что вряд ли затраченные мужчиной усилия и вложения хоть сколько-нибудь себя окупили. К тому же, в январе 1990 года он был арестован.

Однако идея Поппа пришлась по вкусу многим предприимчивым хакерам и быстро набрала обороты, превратившись по итогу в многомиллиардную преступную индустрию, и навсегда увековечила самого Поппа в истории как «отца программ-вымогателей».

2000-е: программы-вымогатели возвращаются по мере бума Интернета

Возможно, были ещё какие-то локальные случаи разработки и эксплуатации вымогательского софта до 2000 года, однако таких же громких, как получилось со AIDS Trojan — ни одного.

Вымогательская индустрия взяла почти 15-летний перерыв, чтобы внезапно вернуться в начале нулевых, когда Интернет стал обыденностью для многих пользователей персональных компьютеров, а электронная почта — главным средством связи и образом жизни в Интернете.

Двумя наиболее заметными атаками программ-вымогателей в начале эры Интернета были «GPCode» и «Archievus». В отличие от большинства современных программ-вымогателей, злоумышленники тогда ориентировались на количество, а не на качество, атакуя сразу множество целей и требуя низкую плату за выкуп.

В 2004 году GPCode массово заражал компьютерные системы с помощью вредоносных веб-сайтов и фишинговых рассылок по электронной почте. Для шифрования файлов использовался специальный встроенный алгоритм Windows, а за ключ дешифрования злоумышленники просили всего 20 долларов. К счастью для жертв, ключ шифрования, как и в случае с AIDS Trojan, было довольно просто взломать. Поэтому силами IT-специалистов многим жертвам удалось бесплатно расшифровать все свои файлы.

А благодаря Archievus в 2006 году авторы программ-вымогателей наконец поняли важность надёжного шифрования. Это был первый штамм вымогательского софта, использовавший усовершенствованный 1024-битный код шифрования RSA. Однако и этот факт не спас вредонос от участи предшественников. Авторам программы не удалось применить разные пароли для разблокировки систем, поэтому вскоре жертвы обнаружили ошибку и смогли бесплатно восстановить свои данные.

Хотя GPCode и Archievus были революционными для своего времени, по сегодняшним стандартам они находились в зачаточном состоянии.

Начало 2010-х: программы-вымогатели становятся мейнстримом

В начале 2010-х годов появились первые вымогатели-локеры, полностью блокирующие доступ к системе жертвы. Они использовали более современные и надёжные алгоритмы шифрования, поэтому так просто взломать их — уже не было допустимой опцией. К тому же, параллельно начали набирать популярность блокчейн и криптовалюты, которые полностью решали вопрос с анонимной и быстрой оплатой денежного выкупа. Этот период в эволюции программ-вымогателей был сформирован несколькими вариантами вредоносов, включая «WinLock», «Reveton» и «CryptoLocker».

WinLock дебютировал в 2011 году как первая программа-вымогатель, которая полностью блокировала доступ жертв к их устройствам, не трогая при этом сами пользовательские файлы. Данное вредоносное ПО заражало пользователей через различные фишинговые и поддельные веб-сайты.

Выпущенный в 2012 году Reveton стал первым вымогателем с RaaS-моделью (вымогательство как услуга) и представлял из себя сервис, который давал злоумышленникам с ограниченными техническими навыками возможность самостоятельно запускать вымогательские атаки за определённую плату авторам.

Reveton также активно использовал методы социальной инженерии: при блокировке устройства вредонос отображал сообщения якобы от правоохранительных органов, в которых жертвы обвинялись в совершении тех или иных преступлений. Злоумышленники угрожали жертвам тюремным заключением, если не заплатят выкуп, что довольно эффективно работало и приносило всем участникам киберпреступной цепочки неплохой заработок.

Reveton также стал первым вымогателем, который использовал биткоин в качестве валюты для оплаты денежного выкупа.

В 2013 году была обнаружена разновидность программы-вымогателя под названием CryptoLocker, использующая продвинутый 2048-битный ключ RSA. Это была самая технически сложная программа-вымогатель на то время, которая одновременно и шифровала пользовательские файлы, и полностью блокировала доступ к заражённой системе.

Экземпляры CryptoLocker распространялись в виде вложений к электронным письмам, на первый взгляд абсолютно безобидным. И именно эта внешняя безобидность позволила киберпреступникам всего спустя два месяца после запуска вредоноса перешагнуть порог денежных сборов в 27 миллионов долларов.

Середина 2010-х: программы-вымогатели нацеливаются на новые мишени

До середины 2010-х годов программы-вымогатели были нацелены преимущественно на ПК из-за популярности Microsoft Windows и большой базы пользователей. Ситуация изменилась, когда злоумышленники начали ориентироваться на мобильные устройства, а также Linux и MacOS.

В 2014 году «Simplelocker» стала первой программой-вымогателем, шифровавшей файлы на устройствах Android, включая изображения, документы и видео на SD-картах. И таких программ было немало. Смещение злоумышленников в сторону мобильных платформ ознаменовало значительный сдвиг в эволюции программ-вымогателей, поскольку открыло двери для нового и очень широкого набора жертв и атак.

В 2015 году был выпущен вымогатель «Lockerpin», который также был нацелен на устройства Android. Вместо шифрования файлов Lockerpin полностью блокировал пользователя к смартфону, изменяя PIN-код устройства. А несколько месяцев спустя злоумышленники выпустили «Linux.Encoder.1», первую программу-вымогатель, предназначенную для устройств с Linux.

Кульминацией этого эволюционного сдвига стало появление в 2016 году нового вредоносного ПО под названием «Ransom32», написанного полностью на JavaScript. Использование этого языка программирования при разработке позволило вредоносу быть универсальным и атаковать устройства на Windows, Linux и MacOS без необходимости писать отдельный код под каждую платформу.

Тогда же, в 2016 году, исследователи в области кибербезопасности DEF CON представили PoC-эксплойты, доказывающие, что вымогательским атакам также уязвимы устройства интернета вещей (IoT).

Конец 2010-х: программы-вымогатели становятся глобальной угрозой

Следующий этап распространения программ-вымогателей привёл к дальнейшему усложнению методов атак, а также к существенному расширению их масштабов.

Так, в 2016 году вирус Petya стал первым вымогателем, который не шифровал отдельные файлы пользователей, а полностью перезаписывал главную загрузочную запись на жёстком диске, делая невозможным запуск операционной системы без обращения жертвы в сервисный центр.

Три месяца спустя мир столкнулся с Zcryptor, который сочетал в себе черты программ-вымогателей и червей, образуя угрозу, которую исследователи называли «cryptoworm» или «ransomworm». Эта комбинация стала особенно опасной из-за её способности распространять себя на любые сетевые устройства.

А немного позже, в 2017 году, печально известная атака WannaCry поразила сотни тысяч компьютеров в более чем 150 странах. Больнее всего пришлось различным организациям, начиная от банков и медицинских учреждений, заканчивая правоохранительными органами.

Помимо внедрения новых вымогательских тактик и принципов действия подобных программ — этот период заметно обозначил тенденцию улучшения существующих программ-вымогателей с помощью рзаработки качественно новых вариантов, а не создания практически идентичных разновидностей и ответвлений.

Так, в том же 2017 году появилась программа-вымогатель «Goldeneye», одна из вариаций Petya, имеющая также тесные связи с WannaCry. Авторы вредоноса исправили ошибки шифрования в предшественниках, чтобы создать более сильную и опасную разновидность вымогателей. В том же году появился и «NotPetya», который полностью и безвозвратно уничтожал файлы пользователей.

Конец 2010-х, начало 2020-х: программы-вымогатели достигают пика своей разрушительности

Ближе к началу 2020-х годов программы-вымогатели достигли своей самой деструктивной стадии на сегодняшний день. Этот этап определили три фактора: «двойное вымогательство», «охота на крупную дичь» и «брокеры начального доступа».

На протяжении всего жизненного цикла программ-вымогателей злоумышленники часто проводили свои атаки впустую. Например, время и силы хакеров были потрачены, а жертвы отказывались платить выкуп.

Когда на сцену вышли программы с двойным вымогательством, эффективность их атак заиграла новыми красками. Ведь перед тем, как зашифровать конфиденциальные данные злоумышленники сначала похищали их. И если одной точки давления, потери доступа к данным, окажется недостаточно, хакеры всегда могли начать шантажировать своих жертв, угрожая публикацией в открытый доступ конфиденциальной информации, такой как данные о внутренних операциях компании, сотрудниках, клиентах и деловых партнёрах.

В 2020 году и вовсе появилась программа-вымогатель с тройным вымогательством. В дополнение к экспорту и шифрованию данных, злоумышленники добавили третий фактор. Например, DDoS-атаки на организацию-жертву или запугивание клиентов, сотрудников, заказчиков или поставщиков организации-жертвы.

Глобальная пандемия COVID-19 также ускорила распространение двойных и тройных вариантов вымогательства, а также сферы RaaS. В мае 2021 года вредонос REvil с моделью RaaS был использован для выполнения одной из крупнейших атак программ-вымогателей в истории. Банда преступников потребовала 70 миллионов долларов выкупа за разблокировку более 1 миллиона устройств, пострадавших в результате атаки на управляемого поставщика услуг Kaseya.

Другим важным фактором в эволюции вымогательской индустрии стала так называемая «охота на крупную дичь». Этот термин описывает увеличение числа атак на крупные корпорации.

На ранних этапах разработки программ-вымогателей злоумышленники обычно брали количеством, сосредотачиваясь на заражении множества отдельных жертв. И хотя подобные небольшие атаки всё ещё происходят даже сегодня, многие злоумышленники теперь предпочитают тратить месяцы на изучение систем безопасности более крупных и весьма конкретных компаний, чтобы нанести всего один удар, но сокрушительный, максимизируя тем самым свою прибыль.

В период с 2021 по 2022 год в киберпреступном сообществе активно начали распространяться услуги так называемых «брокеров начального доступа» (IAB). Эти злоумышленники плотно специализируются на поиске брешей в защите организаций и последующей продаже желаемого доступа к их сетям любым другим киберпреступным элементам. Злоумышленники-вымогатели сейчас практически повсеместно используют IAB и RaaS для повышения скорости и эффективности своих атак.

Чего ожидать от вымогательской индустрии в будущем?

Пока что сложно сказать, дошла ли вымогательская индустрия до пика своего развития, и какими будут следующие уловки изобретательных киберпреступников.

Вполне вероятно, что в будущем, с ещё большим развитием искусственного интеллекта и различных нейросетевых генеративных инструментов, хакеры найдут способ эффективно использовать эти инструменты в своих атаках.

Недавнее появление на просторах даркнета зловредных чат-ботов WormGPT и FraudGPT , распространяемых по модели RaaS, уже понемногу очерчивает возможный вектор развития вымогательской индустрии. Если со временем подобные инструменты смогут приносить гораздо большую пользу в реальных атаках, чем сейчас, то и киберпреступники начнут использовать их куда охотнее.

Возможным апогеем вымогательской индустрии потенциально могут стать полностью автоматизированные инструменты, работающие на основе искусственного интеллекта.

Например, начинающий киберпреступник приобрёл закрытый доступ к продвинутому чат-боту на основе ИИ, попросил его взломать ту или иную компанию, на что бот сам нашёл точку входа, сам распространил вредоносный софт в целевой сети, сам собрал бы похищенные данные в облаке и предложил бы оператору, сидящему у компьютера с чашкой чая, последующие варианты развития атаки. Будь то шантаж, удаление исходных данных или прочие зловредные действия, которые чат-бот бы также выполнял автоматически, без какого-либо участия человека.

Конечно, подобные романтизированные представления о будущем программ-вымогателей сейчас звучат довольно абсурдно, но кто знает, может однажды даже такие на первый взгляд фантастические вещи станут реальностью.

Тем не менее, и сфера кибербезопасности не стоит на месте. Многие защитные инструменты уже сейчас активно используют искусственный интеллект для улучшения уровня безопасности организаций и частных пользователей. Логично предположить, что в будущем роль ИИ в кибербезопасности возрастёт ещё больше, и со временем даже базовые защитные инструменты смогут оказывать достойный отпор любому, даже самому изощрённому вредоносному софту.