Программа-вымогатель

Материал из Циклопедии
Перейти к навигации Перейти к поиску
программное обеспечение
Ransomwarе
Тип

виртуальный

Автор

Джозеф Попп

Первый выпуск

1989 год

Состояние

активное

Програ́мма-вымога́тель (англ. Ransomware) — особый вид вредоносного программного обеспечения, который ограничивает пользователей в доступе к их данным и файлам на заражённых устройствах.

В некоторых случаях такие программы могут полностью заблокировать работу устройства, лишив пользователя возможности его использовать. При обнаружении программы-вымогателя на устройстве пользователь сталкивается с сообщением на экране, уведомляющим о том, что система скомпрометирована и единственный способ восстановить доступ к данным или устройству — это выплата требуемого выкупа[1].

Способы действий киберпреступников варьируются в зависимости от особенностей конкретной группировки и ситуации, однако результат успешной атаки программ-вымогателей неизменно приводит к длительным и затратным процедурам по восстановлению доступа к системам, воссозданию утраченных файлов и предотвращению дополнительных рисков, таких как возможная утечка конфиденциальной информации клиентов[2].

История[править]

1989 год[править]

Первый случай использования программы-вымогателя произошёл в 1989 году, когда доктор биологических наук Джозеф Попп создал троян, получивший название AIDS (англ. — СПИД). В то время Интернет был ещё не популярен, поэтому для распространения вредоносной программы Попп использовал необычный метод — рассылку дискет по почте. Преступник получил доступ к базам подписчиков Всемирной организации здравоохранения и журнала PC Business World, после чего отправил многим адресатам дискеты с маркировкой «Информация о СПИД» вместе с подробными инструкциями. Программа представлялась как диагностический инструмент, который помогает определить риск заражения СПИДом[3].

На самом деле установочный файл содержал в себе вредоносное ПО. После нескольких циклов загрузки системы программа начинала шифровать имена файлов на жёстком диске, заменяя их на случайные символы. Это делало работу с файлами практически невозможной. Злоумышленник требовал выплату в размере 378 долларов для получения лицензии или 189 долларов за годовое использование программного обеспечения, якобы разработанного компанией PC Cyborg Corporation. Деньги следовало переводить на банковский счет в Панаме[3].

Несмотря на кажущуюся сложность, решение проблемы оказалось относительно простым. Из-за использования симметричного шифрования ключ находился прямо в коде программы. Уже в январе 1990 года специалист по безопасности Джим Бейтс разработал утилиты AIDSOUT и CLEARAID, которые позволяли удалить троян и восстановить имена файлов. Джозеф Попп был арестован, но суд признал его невменяемым[3].

1995 год[править]

После первой попытки создания программы-вымогателя интерес к этой концепции возродился лишь через несколько лет благодаря исследованиям криптографов Адама Янга и Моти Юнга в лаборатории Колумбийского университета в Нью-Йорке. Исследователи были знакомы с трояном AIDS и его недостатками, особенно тем фактом, что ключ дешифрования можно было извлечь из кода вредоносного ПО. В ходе эксперимента они хотели понять, каким будет самый разрушительный компьютерный вирус. Вдохновением послужил фильм «Чужой», конкретно сцена с существом, которое невозможно снять с лица жертвы. По мнению криптографов, удаление самого разрушительного компьютерного вируса должно быть «еще более разрушительным»[4].

Они ввели термин «криптовирусное вымогательство», концепция которого заключалась в использовании публичного и приватного ключей шифрования. Публичный ключ внедрялся в криптoвирус, в то время как приватный ключ расшифровки оставался секретным. Механизм действия следующий:

  • генерация случайного симметричного ключа;
  • использование этого ключа для шифрования данных жертвы;
  • шифрование симметричного ключа с помощью публичного ключа;
  • полное уничтожение симметричного ключа и исходных данных;
  • отображение сообщения с требованием выкупа, содержащего зашифрованный ключ и способы связи с злоумышленниками[4].

Янг и Юнг также предсказали использование цифровых валют для оплаты выкупа, хотя на тот момент такие технологии ещё не существовали. Их идею представили на конференции IEEE Security and Privacy в Окленде, Калифорния, в 1996 году, где она была воспринята как «инновационная и несколько вульгарная»[4].

2005—2010 годы[править]

AIDS DOS Trojan

Практическое применение концепции вымогательского ПО появилось только в 2005 году с появлением трояна PGPCoder (или GPCode). Этот троян шифровал файлы с определёнными расширениями (.doc, .html, .jpg, .xls, .rar, .zip) и создавал файл «!READ_ME !.txt» в каждой папке с инструкциями по восстановлению данных. Злоумышленники требовали от 100 до 200 долларов через системы электронных платежей E-gold или Liberty Reserve. В этот же период появились другие трояны (Krotten, Cryzip, TROJ.RANSOM.A, MayArchive, Archiveus), которые начали использовать более совершенное RSA-шифрование с увеличивающейся длиной ключа[4].

К 2010 году киберпреступники уже хорошо освоили методы монетизации программ-вымогателей и активно использовали более простые формы вымогательского ПО — блокировщики. Эти программы ограничивали доступ к операционной системе, часто блокируя редактор реестра и диспетчер задач. Характерные особенности блокировщиков:

  • простота реализации;
  • использование различных методов запугивания (например, имитация сообщений от правоохранительных органов);
  • небольшие суммы выкупа;
  • возможность самостоятельного удаления опытными пользователями[3].

Примером стал российский троян WinLock, который принес своим создателям около 16 миллионов долларов. Особенностью этого вредоносного ПО было не использование шифрования, а блокировка доступа к системе через отображение порнографических изображений. Для разблокировки пользователи должны были отправить SMS на премиальный номер за 10 долларов. Дополнительно к SMS-платежам использовались телефонные звонки для оплаты выкупа. Многие пострадавшие предпочли заплатить, чтобы сохранить анонимность. Полиция впоследствии арестовала группировку в Москве[4].

2012—2013 годы[править]

Результат атаки программы

В 2012 году семейство вредоносных программ Reveton вызвало широкий резонанс, символизируя появление так называемых «программ-вымогателей от правоохранительных органов». На экране заражённого компьютера появлялась страница с логотипами Интерпола, ФБР или местной полиции, обвиняющая пользователей в совершении преступлений, таких как загрузка нелегальных файлов. Именно поэтому этот тип вредоносного ПО также называют «пугалками» (scareware). Жертве предлагалось заплатить несколько сотен, а иногда и тысяч долларов с помощью предоплаченной карты[4].

В начале 2010-х годов программы-вымогатели были прибыльны, но не слишком распространены. Киберпреступникам было сложно получать деньги от жертв без использования традиционных каналов платежей. Этот подпольный бизнес начал активно развиваться с появлением биткоина. В 2013 году мир столкнулся с разрушительным CryptoLocker — вредоносным ПО, которое положило начало революции в сфере программ-вымогателей. Это первый массовый гибридный вымогатель, совмещающий функции блокировщика и шифровальщика. Особенностью было использование биткоинов для оплаты выкупа, что обеспечивало анонимность транзакций[3].

2015 год[править]

2015 год ознаменовался значительным ростом атак с использованием шифровальщиков. Число попыток заражения увеличилось более чем в пять раз, и эти программы-вымогатели уверенно вытеснили блокировщиков. Пользовательские данные ценнее операционной системы и прикладных программ, которые можно легко переустановить. Это позволило злоумышленникам существенно повысить размер требуемого выкупа и увеличило вероятность его получения. Кроме того, к этому времени криптовалюты получили широкое распространение, что обеспечивало высокий уровень анонимности транзакций. Благодаря биткоину преступники могли получать крупные суммы без риска быть идентифицированными, что значительно упростило процесс монетизации их деятельности[3].

2016 год[править]

В 2016 году наблюдался значительный рост активности программ-вымогателей. Количество их разновидностей увеличилось в 11 раз, при этом сумма выкупа колебалась от 0,5 до нескольких сотен биткоинов. Основным объектом атак становились уже не частные пользователи, а корпоративные клиенты. Процесс создания вредоносного ПО значительно упростился: теперь его можно было просто приобрести на чёрном рынке. Например, появилась возможность купить «пожизненную лицензию» на шифровальщик Stampado, который после заражения системы начинал угрожать удалением случайных файлов через определённые промежутки времени для усиления давления на жертв и побуждения их к выплате выкупа[5].

Кроме того, программы-вымогатели стали доступны по модели RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга)[6], что существенно расширило возможности злоумышленников, позволяя им использовать готовое вредоносное ПО без необходимости его самостоятельной разработки или организации каналов распространения. Этот термин получил широкое применение после появления Encryptor RaaS[3].

Сфера воздействия вымогателей расширилась, охватывая не только частные компании и домашних пользователей, но и государственные учреждения. Примечательным случаем стал инцидент с HDDCryptor, который заразил более 2 000 компьютеров Агентства городского транспорта Сан-Франциско. Киберпреступники потребовали выкуп в размере 100 биткоинов (примерно 70 тысяч долларов на тот момент). Хотя IT-специалисты организации в конечном итоге успешно справились с проблемой без оплаты выкупа, процесс восстановления занял некоторое время, в результате чего город был вынужден временно отменить плату за проезд в общественном транспорте[3].

2016—2017 годы[править]

Petya - скриншот кибератаки 2017 год

В 2016 году в киберпространстве появился новый вид угрозы — Petya. В отличие от предшествующих шифровальщиков, которые оставляли операционную систему работоспособной для возможности оплаты выкупа, Petya полностью выводил из строя компьютер. Это достигалось за счёт атаки на главную файловую таблицу (MFT), где хранится вся структура папок и файлов жёсткого диска, что делало весь компьютер непригодным для работы. Несмотря на свою разрушительную силу, Petya имел существенные ограничения в механизмах внедрения и распространения. Для активации программы требовалось, чтобы пользователь самостоятельно скачал и запустил исполняемый файл, что значительно снижало вероятность массового заражения. Без других более совершенных программ-вымогателей, таких как WannaCry, Petya мог бы остаться малоизвестным явлением[4].

В мае 2017 года WannaCry стал глобальной катастрофой, заразив более 500 тысяч устройств по всему миру и причинив ущерб на сумму около четырёх миллиардов долларов. Его успех объяснялся применением эксплойта EternalBlue, который использовал серьёзные уязвимости в Windows. С его помощью WannaCry мог проникать в сети и автоматически распространяться между устройствами в локальных сетях. После заражения система действовала по традиционной схеме: шифровала файлы и требовала выкуп[3].

Спустя два месяца после эпидемии WannaCry появился NotPetya (известный как ExPetr), который также использовал эксплойт EternalBlue. Этот шифровальщик распространился через компрометированный обновлениями украинский софт для финансовой отчетности. NotPetya был настолько агрессивен, что не только шифровал данные, но фактически уничтожал их, делая дешифровку невозможной даже после выплаты выкупа. Исследователи пришли к выводу, что это уже не просто программа-вымогатель, а вайпер (wiper) — программа, предназначенная для полного уничтожения данных. Общий ущерб от NotPetya превысил 10 миллиардов долларов[3].

Атака WannaCry была столь масштабной, что Microsoft экстренно выпустила патч для защиты от используемых уязвимостей даже для операционных систем, которые больше не поддерживались. Однако многие пользователи не установили доступные обновления, что позволило WannaCry и NotPetya продолжать заражать машины долгое время после их первых атак[3].

2017 год[править]

2017 год стал знаковым не только по суммарному ущербу от кибератак, но и по размеру выкупа, заплаченного конкретной компанией. Южнокорейский хостинг-провайдер Nayana был вынужден выплатить 1 миллион долларов для восстановления доступа к компьютерам, заражённым шифровальщиком Erebus. Изначально преступники требовали сумму, превышающую этот миллион в 4,5 раза, однако благодаря переговорам удалось снизить запрос. Особое внимание экспертов привлёк тот факт, что компания официально объявила о выплате выкупа — обычно жертвы подобных атак стараются скрывать эту информацию. На тот момент действовало как минимум восемь организованных группировок, специализирующихся на создании программ-вымогателей, ориентированных преимущественно на корпоративный сектор. При этом обычные пользователи меньше подвергались крупным атакам[7].

2018—2019 годы[править]

Этот период ознаменовался значительным ростом атак программ-вымогателей на критически важную инфраструктуру. В отличие от предыдущих атак, направленных в основном на частных лиц и коммерческие компании, теперь злоумышленники все чаще выбирали в качестве целей организации, обеспечивающие жизнедеятельность общества: транспортные системы, энергоснабжение, водоснабжение и здравоохранение. Мотивацией для преступников служило предположение, что руководство таких учреждений пойдет на выплату даже крупного выкупа, чтобы избежать массовых неудобств для населения[3].

Примером стал случай с международным аэропортом Бристоля в 2018 году. После успешной атаки шифровальщика сотрудники были вынуждены в течение нескольких дней использовать бумажные плакаты для составления расписания рейсов. Однако благодаря оперативному обнаружению угрозы и быстрой реакции IT-специалисов аэропорта удалось минимизировать последствия атаки, сохранив стабильность работы и избежав оплаты выкупа[8].

В противоположность этому американская клиника Hancock Health приняла решение заплатить выкуп в размере 4 биткоинов (примерно 55 тысяч долларов) после заражения систем больницы через вредоносное ПО SamSam. Глава учреждения Стив Лонг объяснил этот шаг необходимостью быстрого восстановления работоспособности компьютеров в условиях эпидемии гриппа и надвигающейся снежной бури, когда время играло решающую роль[9].

2020 год[править]

2020 год был известен не только ростом числа атак, их последствиями и размерами выкупа, но и появлением новых тактических подходов. Одной из ключевых тенденций стало распространение гибридных методов: перед шифрованием данных преступники стали копировать их и отправлять своим «заказчикам». Далее следовало двойное давление — шантаж публикацией или продажей украденной информации конкурентам, что особенно опасно в эпоху повышенного внимания к защите персональных данных. Такая тактика была впервые применена группировкой Maze в 2019 году, однако именно в 2020 году она стала массовой практикой[10].

Примером одного из самых резонансных случаев стал инцидент с сетью косметологических клиник Transform Hospital Group. Группировка REvil не только зашифровала данные учреждения, но и похитила 900 ГБ информации, включая фотографии пациентов до и после операций, угрожая опубликовать их в случае отказа от выплаты выкупа[3].

Кроме того, 2020 год принес несколько других инноваций в методы действий киберпреступников. REvil начала использовать аукционы для продажи украденных данных, увеличивая доходы от своих атак, а также злоумышленники начали создавать коалиции, напоминающие картельные соглашения. Одним примером стала группировка Maze, которая начала публиковать на своем сайте информацию, украденную через шифровальщик LockBit. По словам участников, они установили тесное сотрудничество с LockBit, обмениваясь опытом и используя общую инфраструктуру для публикации данных. Помимо этого, Maze сообщила о предстоящем присоединении к их картелю группы RagnarLocker, известной тем, что одной из первых начала дополнять свои атаки DDoS-атаками на сайты жертв, усиливая давление на компании и повышая вероятность выплаты выкупа[3].

В феврале 2020 года датская компания ISS A/S, специализирующаяся на управлении и обслуживании зданий, подверглась атаке программы-вымогателя. В результате действия злоумышленников была зашифрована корпоративная база данных, что привело к масштабному отключению сотен тысяч сотрудников от внутренних систем компании в 60 странах мира. Несмотря на серьёзные последствия, руководство ISS A/S приняло решение не платить выкуп. Процесс восстановления функциональности основной части инфраструктуры и проведение расследования заняли около месяца. Эксперты оценили ущерб от этого инцидента в диапазоне 75 — 114 миллионов долларов[10].

Американская международная ИТ-компания Cognizant столкнулась с атакой шифровальщика весной 2020 года. 18 апреля организация официально объявила, что стала жертвой программы-вымогателя Maze. Клиенты Cognizant использовали их услуги для организации удалённой работы своих сотрудников, что было существенно нарушено в результате атаки. После инцидента компания разослала партнерам предупреждение о компрометации, указав характерные признаки взлома, включая IP-адреса серверов и хэши файлов (kepstl32.dll, memes.tmp и maze.dll), которые являются уникальными для вредоносного ПО Maze. На полное восстановление основных элементов корпоративной инфраструктуры потребовалось три недели[10].

2024 год[править]

В течение 2024 года эксперты компании F6 зарегистрировали более 500 случаев атак с использованием программ-вымогателей в России, что на 50 % превышает показатели 2023 года. Размер требуемого выкупа за расшифровку данных для малых предприятий варьировался от 100 тысяч до 5 миллионов рублей (1 — 50 тысяч долларов). При этом для крупного и среднего бизнеса, который стал целью примерно в 20 % всех атак, минимальные запросы злоумышленников начинались от 5 миллионов рублей (50 тысяч долларов). Наиболее уязвимыми секторами оказались российские производственные и строительные компании, предприятия фармацевтической отрасли, IT-организации, добывающая промышленность, оборонно-промышленный комплекс (ОПК) и компании, предоставляющие услуги населению. Именно представители этих отраслей чаще всего становились мишенью для киберпреступников[11].

Типы программ-вымогателей[править]

Программа-вымогатель Locky trojan 2016

Программы-вымогатели делятся на несколько основных категорий: традиционные «Crypto» и «Locker», а также более современные варианты — «Двойное вымогательство» и «RaaS»:

  • Locker ограничивает доступ к устройству, не затрагивая сами данные. Этот тип вредоносного ПО просто блокирует работу компьютера, требуя оплаты для его разблокировки. Несмотря на то, что даже специалист с базовыми навыками может достаточно быстро восстановить работоспособность заражённого устройства, масштабная атака на предприятие, где сотни или тысячи машин подверглись воздействию, может существенно усложнить процесс восстановления.
  • Crypto, в свою очередь, шифрует данные, находящиеся на целевом устройстве, либо фокусируется на конкретных типах файлов, имеющих наибольшую ценность для пользователя. Злоумышленники обещают предоставить ключ дешифрования после получения выкупа, что позволяет быстро восстановить данные на всех поражённых компьютерах одновременно.
  • Концепция «двойного вымогательства» включает дополнительный этап — предварительное копирование данных жертвы и их отправку на удалённый сервер преступников. После этого запускается стандартный процесс шифрования. Киберпреступники предлагают выбор: оплатить только дешифрование файлов, только предотвратить публикацию украденных данных или решить обе проблемы сразу, увеличив сумму выкупа.
  • Модель RaaSRansomware-as-a-Service» или «Программа-вымогатель как услуга») представляет собой платформу, позволяющую непрофессиональным злоумышленникам получить доступ к готовому вредоносному ПО. После оплаты доступа к функционалу программы заказчик указывает цель атаки, а реализацией занимаются профессионалы-операторы. Такой подход позволяет даже тем, кто не обладает техническими знаниями, стать участниками киберпреступной деятельности[12].

Способы проникновения[править]

Программы-вымогатели проникают в корпоративные сети преимущественно через три основных вектора атак: фишинг, использование протокола удалённого рабочего стола (RDP) с компрометацией учётных данных и эксплуатация уязвимых систем:

  • Фишинг остается одним из самых распространенных способов доставки вредоносного ПО в корпоративную инфраструктуру. Злоумышленники отправляют тщательно сконструированные электронные письма, имитирующие легитимные сообщения от надёжных источников. Со временем фишинг стал значительно сложнее и изощрённее, способным обмануть даже опытных пользователей. Эти письма могут содержать вредоносные ссылки или вложения, которые при активации запускают процесс заражения системы.
  • Протокол удаленного рабочего стола (RDP), разработанный Microsoft для обеспечения безопасного удалённого доступа к серверам и компьютерам, также часто используется злоумышленниками для внедрения вредоносного ПО. Преступники получают доступ к целевым устройствам либо через подбор паролей с помощью брутфорса, либо используя реальные учётные данные, которые были украдены ранее и распространяются на тёмных рынках или опубликованы в открытых источниках. Незащищённые или неправильно настроенные RDP-подключения становятся лёгкой целью для атак.
  • Злоумышленники активно ищут уязвимости в информационной инфраструктуре компании, чтобы получить доступ к рабочим станциям. Необновлённые или неисправленные системы представляют собой наиболее привлекательные точки входа для атак. Уязвимые веб-сайты, плагины и сторонние программы, которые не получают регулярных обновлений безопасности, создают возможность для тихого внедрения вредоносного ПО. Это позволяет преступникам беспрепятственно распространяться по сети предприятия[12].

Примечания[править]

  1. Trevino, Aranza Как передаются программы-вымогатели?. Keeper (сайт) (2024-02-28). Проверено 20 февраля 2025.
  2. Программы-вымогатели: как распознать их и обезопасить своё предприятие?. Securitylab.ru (сайт) (2023-08-16). Проверено 20 февраля 2025.
  3. 3,00 3,01 3,02 3,03 3,04 3,05 3,06 3,07 3,08 3,09 3,10 3,11 3,12 3,13 Grustniy, Leonid Сага о программах-вымогателях. Kaspersky daily (сайт) (2021-04-02). Проверено 20 февраля 2025.
  4. 4,0 4,1 4,2 4,3 4,4 4,5 4,6 Fiscutean, Andrada A history of ransomware: The motives and methods behind these evolving attacks. CSO (сайт) (2020-07-27). Проверено 20 февраля 2025.
  5. Palmer, Danny This cheap and nasty ransomware will try to encrypt files across your network and removable drives. Zdnet (сайт) (2016-11-23). Проверено 20 февраля 2025.
  6. Программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS). Encyclopedia by Kaspersky (сайт). Проверено 20 февраля 2025.
  7. Дальше — больше: кибервымогатели переключились с обычных пользователей на банки и бизнес. Kaspersky (2017-04-04). Проверено 20 февраля 2025.
  8. Нефёдова, Мария Атака шифровальщика отключила информационные табло в международном аэропорту Бристоля. Хakep (2018-09-18). Проверено 20 февраля 2020.
  9. Hancock Health Experiences Cyber Attack. Hancockhealth (2017-01-18). Проверено 20 февраля 2025.
  10. 10,0 10,1 10,2 Aver, Hugh Атаки, выкупы и аукционы: пиратские будни ransomware. Kaspersky daily (сайт) (2020-11-09). Проверено 20 февраля 2025.
  11. Шантаж и шпионаж: какие киберриски угрожают бизнесу и пользователям в 2025 году. Forbes (сайт) (2025-02-18). Проверено 21 февраля 2025.
  12. 12,0 12,1 Программы-вымогатели: как распознать их и обезопасить своё предприятие?. Securitylab.ru (сайт) (2023-08-16). Проверено 20 февраля 2025.
Знание.Вики

Одним из источников, использованных при создании данной статьи, является статья из википроекта «Знание.Вики» («znanierussia.ru») под названием «Программа-вымогатель», расположенная по следующим адресам:

«https://baza.znanierussia.ru/mediawiki/index.php/Программа-вымогатель»
«https://znanierussia.ru/articles/Программа-вымогатель»

Материал указанной статьи полностью или частично использован в Циклопедии по лицензии CC-BY-SA 4.0 и более поздних версий.

Всем участникам Знание.Вики предлагается прочитать материал «Почему Циклопедия?».

Источник — http://cyclowiki.org/w/index.php?title=Программа-вымогатель&oldid=2257241