Что такое программы вымогатели и как они отразятся на биткоине

Начиная с прошлого года множество компаний и правительственных организаций столкнулись с атаками вирусов-шифровальщиков.

Из-за взломов они не только теряют деньги, которые требуют операторы вымогательского ПО за ключ-дешифровщик, но и приостанавливают работу — после атаки на Colonial Pipeline временно возникли перебои с поставками топлива, из-за чего некоторые американские штаты объявили чрезвычайное положение.

После нескольких громких атак власти разных стран, в особенности — США, фактически приравняли угрозу вирусов-вымогателей к терроризму.

Поиск решения проблемы с хакерами может привести к ужесточению регулирования криптовалют — любимом способе получения выкупа. В США уже говорят о необходимости более пристального отслеживания криптовалютных транзакций и ужесточении KYC/AML-процедур.

ForkLog разобрался, с чем связана усилившаяся угроза от вымогательского ПО и какие последствия это будет иметь для криптовалютной индустрии.

  • Вирусы-вымогатели существуют давно, однако в последнее время на них обратили пристальное внимание из-за возросшего ущерба от атак и фокуса на компаниях, а не рядовых пользователях.
  • Специалисты связывают усилившуюся активность шифровальщиков с распространением модели «вымогательского ПО как услуги» и ростом популярности криптовалют.
  • В администрации президента США назвали отслеживание криптовалютных транзакций одним из возможных вариантов борьбы с вирусами-вымогателями. Некоторые даже предлагают запретить криптовалюты.
  • Эксперты отмечают, что у индустрии есть все возможности для противодействия использованию криптовалют преступниками — например, отслеживание подозрительных транзакций, что невозможно сделать с наличными деньгами.

Что такое вирусы-вымогатели?
Принцип работы вымогательского ПО предельно прост: злоумышленники заражают устройства, шифруют данные или блокируют работу компьютерной системы и просят выкуп за ключ-дешифратор.

Отчасти именно благодаря относительно незамысловатой схеме осуществления атаки этот вид киберпреступлений стал таким популярным.

Самая стандартная схема заражения – фишинг. Хакеры рассылают письма, содержащие вредоносный файл или ссылку.

Зачастую эти письма подписаны известными мировыми брендами, например, службами доставки, банками или близкими жертве контрагентами, о которых мошенники узнают заранее на этапе подготовки целевой атаки, рассказали ForkLog специалисты ESET.

История шифровальщиков началась еще в конце 1980-х годов. Одним из первых подобных вирусов стал троян AIDS. Его автором считается преподававший в Гарварде доктор Джозеф Попп. Вирус содержался на дискетах, которые распространялись под видом образовательных программ о СПИДе некой PC Cyborg Corporation.

После 90 перезагрузок компьютера содержащийся на дискетах вирус шифровал файлы и скрывал папки, требуя выплатить $189 за «продление лицензии».

Со временем вирусы-вымогатели совершенствовались, но по-настоящему масштабные атаки начались уже после 2010 года. Помимо того, что хакеры улучшали вредоносное ПО и находили новые способы взломов, интернет стал распространяться по миру с невиданной скоростью, а, значит, и количество потенциальных жертв возросло в сотни и тысячи раз.

Появились и новые способы получить выкуп и не попасться правоохранителям. Во всяком случае, сразу.

В 2013 году хакеры начали распространять вирус CryptoLocker, нацеленный на пользователей Windows, через рассылку электронных писем с вредоносными вложениями, ботнет и зараженные сайты. Как пишет ZDNet со ссылкой на данные Dell SecureWorks, от CryptoLocker только за первое время его существования пострадали как минимум 250 тысяч жертв.

Вредонос шифровал определенные файлы и жертва получала сообщение с требованием выкупа и обратным отсчетом. Операторы CryptoLocker принимали платежи через карты MoneyPak или в биткоинах. В сообщении также говорилось, что в случае невыплаты выкупа в срок «никто и никогда не сможет восстановить файлы».


Позже хакеры добавили возможность приобрести ключ дешифровки по истечении крайнего срока через специальный сервис, однако цена увеличилась с 2 до 10 ВТС.

По данным ZDNet, отследившего несколько биткоин-адресов, на которые жертвы CryptoLocker отправляли выкуп, в период с 15 октября по 18 декабря 2013 года через кошельки хакеров прошло 41 928 BTC.

В июне 2014 года Минюст США объявил о ликвидации ботнета Gameover Zeus, который использовался для распространения CryptoLocker и других вредоносов, а россиянина Евгения Богачева обвинили в причастности к обеспечению работы ботнета и вымогательского ПО. В рамках операции правоохранители также заявили об уничтожении CryptoLocker.

Впоследствии мир столкнулся еще с несколькими масштабными атаками вирусов-вымогателей. Ущерб от вредоноса WannaCry, по некоторым оценкам, превысил $1 млрд, а вирус Petya не только шифровал данные, но и стирал файлы, из-за чего пострадало множество систем различных компаний и госструктур.

Пока правоохранители и фирмы по кибербезопасности боролись с одними шифровальщиками, на смену им приходили другие группировки, которые вывели этот тип преступлений на совершенно новый уровень.

«Несмотря на успех властей в пресечении нескольких вымогательских групп, именно эта разновидность вредоносного ПО оказалась гидрой — отрубили одну голову, а на ее месте появилось несколько», — говорят в Cybersecurity Ventures.

Все началось в 2016-м…
Согласно аналитикам «Лаборатории Касперского», переломным стал 2016 год, «когда всего за несколько месяцев число вымогательских кибератак на бизнес выросло втрое». Данные Statista свидетельствуют, что именно в этом году было зафиксировано наибольшее число атак.


Данные: Statista.
Тем не менее, согласно Check Point Research, в 2021 году шифровальщики активизировались. За первые четыре месяца текущего года от атак вымогательского ПО пострадали на 102% больше компаний, чем в начале 2020 года.


Данные: Check Point Research.
С начала года произошло сразу несколько громких инцидентов с использованием вирусов-вымогателей — Colonial Pipeline, JBS, Acer и множество других компаний и ведомств стали жертвами злоумышленников. В связи с этим, по данным Reuters, США повысили приоритет расследований подобных взломов до уровня дел о терроризме.

Аналитики расходятся в подсчетах общего числа атак шифровальщиков. Достоверные данные трудно получить, так как многие компании не разглашают детали или даже сам факт взлома.

Однако практически все специалисты единогласно говорят о возросшем уровне ущерба.

По данным Chainalysis, средний размер выкупа операторам программ-вымогателей увеличился более чем в четыре раза — с $12 000 в IV квартале 2019 года до $54 000 в I квартале 2021 года.


Данные: Chainalysis.
По подсчетам Cybersecurity Ventures, в 2021 году ущерб от вымогательского ПО достигет $20 млрд, а к 2031 году вырастет примерно до $265 млрд.

Одной из причин возрастающей угрозы подобных атак специалисты называют превращение вымогательства в целую инфраструктуру, где разработчики вредоносного ПО — всего лишь часть системы.

Причины «пандемии вымогателей»
Ransomware-as-a-Service (RaaS) — модель, позволяющая заказать организацию кибератаки как услугу. В большинстве случаев это работает так: хакеры разрабатывают вредонос и предоставляют его клиенту. В зависимости от степени вовлеченности в организацию взлома разработчики берут свой процент от полученного выкупа.

Независимый эксперт Александр Исавнин в разговоре с ForkLog отметил, что благодаря сложившемуся «рынку услуг зловредного ПО по найму» количество атак существенно возросло: «Кто-то разрабатывает, кто-то ищет платежеспособных жертв, а инфраструктура вывода преступно полученных средств существовала и ранее. Понятно, что преступники используют самые прогрессивные средства первыми — первыми они стали использовать и криптовалюты».

Примером атаки по модели RaaS является взлом американского трубопровода Colonial Pipeline, рассказал ForkLog эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.

Причастная к атаке на Colonial Pipeline группа «не только разработала инструментарий для атак, но и создала целую инфраструктуру их реализации». Она помогала своим клиентам во время переговоров с жертвами и получения выкупа, а также предлагала специальные программы другим злоумышленникам, предварительно отобранным на конкурсной основе в соответствии с набором формальных требований и по результатам собеседования.

«Мир программ-вымогателей следует понимать как экосистему и рассматривать как таковую», — подчеркивают аналитики.

Участники атак зачастую не знают друг друга. Они взаимодействуют посредством различных форумов и площадок, оплачивая услуги криптовалютой.

Благодаря этому арест любого из участников мало повлияет на работу вымогательского ПО, поскольку невозможно установить личности других исполнителей.

Одним из примеров, подтверждающим это мнение, может служить недавнее сообщение украинских правоохранителей о выявлении представителей хакерской группировки, которая стояла за шифровальщиком Clop.

Спустя неделю после этой новости хакеры Clop опубликовали новую партию данных, предположительно полученных в результате взлома двух новых жертв.

Как оказалось, обыски прошли не у представителей группировки, а у представителей обменника, через которых проходили биткоины операторов вируса-вымогателя, которых помогла идентифицировать биржа Binance. Хакеры же, по всей видимости, остались на свободе.

По данным исследователей Intel471, среди группировок, работающих по модели RaaS, такие известные, как Doppel Paymer, Egregor/Maze, Netwalker, REvil, Ryuk и другие.

Угроза от деятельности вымогателей растет еще и из-за изменения фокуса жертв — хакеры стали все чаще выбирать своими целями компании и различные организации, а не рядовых пользователей.

«Атаки шифровальщиков за последние годы стали реальной угрозой для любых организаций, включая социальные объекты и промышленные предприятия. При этом зачастую те группы злоумышленников, которые атакуют бизнес, пытаются получить доступ к максимальному количеству корпоративных сетей и потом уже изучают, что это за компания», — заявил эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.

Хакеры все чаще стали прибегать к тактике двойного вымогательства. Они не только шифруют данные или устройства, но предварительно извлекают персональную или коммерческую информацию, которую угрожают опубликовать в случае невыплаты выкупа.

Многие пострадавшие от атак организации предпочитают заплатить. Как пишут СМИ со ссылкой на исследование Proofpoint, 52% жертв вирусов-вымогателей выплатили выкуп.

Специалисты не рекомендуют идти на уступки хакерам, поскольку «нет никакой гарантии, что преступники выполнят свои обещания по дешифровке после получения денег», сказали ForkLog в ESET: «К тому же, статистика показывает, что более половины тех, кто платил деньги, в течение года повторно становятся жертвами».

Это подтверждают и данные Cybereason. Согласно опросу среди 1263 специалистов в области кибербезопасности, 80% заплативших выкуп вновь попали под атаки.

Власти США призывают не платить вымогателям, а некоторые даже выступают за законодательный запрет подобных выкупов.


В последнее время именно американские организации и компании часто становились жертвами атак, поэтому правительство и спецслужбы обратили свое пристальное внимание на этот вид киберпреступности. А с ним — и на криптовалюты.

В администрации Байдена уже заявили, что считают одним из возможных вариантов борьбы с вирусами-вымогателями отслеживание криптовалютных транзакций.

Биткоин и вымогатели
Некоторые видят в криптовалютах одну из главных причин распространения вирусов-шифровальщиков.

Программист Стивен Дил (Stephen Dhiel) отмечает, что раньше у злоумышленников было очень мало возможностей получить выкуп и не попасть в поле зрения правоохранителей, особенно, если речь идет о крупных суммах.


По данным Chainalysys, в 2020 году жертвы программ-вымогателей заплатили злоумышленникам более $406 млн в криптовалютах. Аналитики указывают, что эта цифра, вероятно, увеличится по мере дальнейших расследований.


В основном хакеры требуют выкуп в биткоине, но платежи могут производить и в других криптовалютах. По словам представительницы компании CAC Specialty Саманты Левин, специалисты фиксируют выплаты в Ethereum и даже Dogecoin.

Злоумышленники обращают внимание на активы, ориентированные на повышенную конфиденциальность. Одной из таких монет является Monero. В прошлом году команда REvil (Sodinokibi) заявила о намерении отказаться от биткоина и перейти на XMR.

Однако, хотя злоумышленники уже просят выкуп в этой криптовалюте, совсем уйти от биткоина им не удалось. В ходе одной из последних атак они потребовали $70 млн в ВТС.

По мнению специалистов, основной причиной, почему хакеры до сих пор полностью не перешли на цифровые активы, движение которых сложнее отследить, в том, что жертвам не так легко получить к ним доступ. Соответственно, они просто не смогут заплатить выкуп.

«Многие из подобных [ориентированных на конфиденциальность] криптовалют по-прежнему не могут использоваться в глобальном масштабе, в отличие от биткоина», — сказали ForkLog в ESET.

Вымогатели биткоинов могут похоронить репутацию первой криптовалюты при рассмотрении ее статуса в Конгрессе США, считает член Палаты представителей от Иллинойса Билл Фостер.

В связи с активизацией хакеров власти США, которые и до этого часто говорили об использовании криптовалют преступниками, стали призывать к жесткому регулированию индустрии, а правительственные эксперты — к усилению контроля за соблюдением KYC/AML-процедур на международном уровне.

Некоторые даже предлагают полностью запретить биткоин. Правда, не совсем понятно, каким образом, ведь суть протокола в его децентрализации. Пользователи Reddit высмеяли эту идею, предложив «запретить телефоны, чтобы бороться с навязчивыми спам-звонками» или «чиновников, чтобы побороть коррупцию».

Кроме того, как указывает The Verge, теоретический запрет криптовалют приведет к остановке работы добросовестных игроков рынка, в то время как «сомнительные биржи, базирующиеся за пределами США», продолжат работу.

К тому же, «репутация» биткоина в правительственных кругах как полностью анонимной монеты слегка преувеличена, ведь блокчейн позволяет отследить большинство транзакций.

В июне ФБР вернуло 63,7 ВТС из выплаченного Colonial Pipeline выкупа операторам вымогательского ПО. Ведомство отследило транзакции в блокчейне сразу после перевода средств с адреса Colonial Pipeline хакерам DarkSide. Часть из них перевели на кошелек, доступ к приватному ключу которого был у правоохранителей.

Как именно они получили этот доступ, не сообщается. Однако, как указал пионер криптовалютной индустрии и CEO Blockstream Адам Бэк, едва ли ФБР взломало кошелек. Наиболее вероятно, ведомство просто запросило доступ к нему у провайдера или хостинговой компании.

«Анализ блокчейна позволил сопоставить схему оплаты с конкретным биткоин-адресом и вычислить истинного владельца конечного счета. Данный пример продемонстрировал, что переводы в биткоине вполне контролируемы, что непременно отобьет желание у киберпреступников в дальнейшем использовать данное платежное средство», — считают специалисты ESET.

До этой истории аналитики компании Elliptic обнаружили 47 биткоин-кошельков, предположительно принадлежащих DarkSide.

Даже ориентированная на приватность Monero не является полностью анонимной и инструменты для отслеживания транзакций с ней уже разрабатываются.

«Самый большой миф, самое большое заблуждение — это неотслеживаемость транзакций Monero. Не составляет особого труда «взломать» приватность Monero на основании анализа кошелька», — сказал в разговоре с ForkLog один из разработчиков криптовалюты Рикардо Спаньи.

Таким образом, у криптовалютной отрасли уже есть инструменты для отслеживания транзакций, а биржи повсеместно вводят KYC/AML-процедур, аналогичные использующимся традиционными финансовыми компаниями. И если отрасль не примет участие в поиске способов противостояния вымогателям, решение, скорее всего, предложат сами регуляторы.

«Криптовалюты на самом деле более прозрачны, чем большинство других форм передачи ценностей. Уж точно прозрачнее, чем наличные», — говорят в Chainalysis.