Історія методу злому та що буде далі

Зараз програмне забезпечення-вимагач – це мільярдна індустрія. Але він не завжди був таким великим – і це не був широко поширений ризик для кібербезпеки, яким він є сьогодні.

З 1980-х років програмне забезпечення-вимагач — це форма зловмисного програмного забезпечення, яке використовують кіберзлочинці для блокування файлів на комп’ютері людини та вимагання оплати за їх розблокування.

Ця технологія, якій 12 грудня офіційно виповнилося 35 років, пройшла довгий шлях: тепер злочинці можуть набагато швидше запускати програми-вимагачі та розгортати їх на кількох цілях.

Згідно з даними аналітичної компанії Chainalysis, кіберзлочинці заробили 1 мільярд доларів США на вимаганні платежів у криптовалюті від жертв програм-вимагачів у 2023 році, що є рекордним показником.

Експерти очікують, що програми-вимагачі продовжуватимуть розвиватися, а сучасні технології хмарних обчислень, штучний інтелект і геополітика формуватимуть майбутнє.

Перша подія, яку вважали атакою програм-вимагачів, сталася в 1989 році.

Хакер фізично відправив поштою дискети, які, як він стверджував, містили програмне забезпечення, яке могло допомогти визначити, чи ризикує хтось захворіти на СНІД.

Однак після встановлення програмне забезпечення приховувало каталоги та шифрувало імена файлів на комп’ютерах користувачів після 90 перезавантажень.

Тоді з’явиться повідомлення про викуп із запитом надіслати касовий чек на адресу в Панамі для дозволу на відновлення файлів і каталогів.

Програма стала відомою спільнотою кібербезпеки як «троян AIDs».

«Це було перше програмне забезпечення-вимагач, і воно виникло з чиєїсь уяви. Це не те, про що вони читали або досліджували», — сказав Мартін Лі, керівник EMEA для Talos, підрозділу аналізу кіберзагроз гіганта IT-обладнання Cisco. – сказав він в інтерв’ю CNBC.

«До цього це просто ніколи не обговорювалося. Теоретичної концепції програм-вимагачів навіть не існувало».

Злочинця, біолога Джозефа Поупа, який отримав освіту в Гарварді, було спіймано та заарештовано. Однак після того, як він продемонстрував нестабільну поведінку, він був визнаний непридатним для суду та повернувся до Сполучених Штатів.

З часу появи трояна AIDs програмне забезпечення-вимагач значно змінилося. У 2004 році зловмисник атакував громадян Росії злочинною програмою-вимагачем, відомою сьогодні як «GPCode».

Програма була доставлена ​​людям електронною поштою — метод атаки, який зараз широко відомий як «фішинг». Користувачі, спокушені обіцянкою привабливої ​​кар’єрної пропозиції, завантажували вкладений файл із шкідливим програмним забезпеченням, замаскованим під форму заявки на роботу.

Після відкриття вкладення завантажувало та встановлювало шкідливе програмне забезпечення на комп’ютері жертви, сканувало файлову систему та шифрувало файли та вимагало оплати через банківський переказ.

Потім, на початку 2010-х, хакери-вимагачі звернулися до шифрування як методу оплати.

У 2013 році, всього через кілька років після створення біткойна, з’явилася програма-вимагач CryptoLocker.

Хакери, націлені на людей за допомогою цієї програми, вимагали платежів у біткойнах або передплачених готівкових ваучерах, але це був ранній приклад того, як криптовалюта стала валютою вибору для зловмисників.

Пізніше серед більш помітних прикладів атак програм-вимагачів, які обрали шифрування як спосіб оплати викупу, були WannaCry і Petya.

«Криптовалюти надають багато переваг для зловмисників саме тому, що вони є способом анонімного та незмінного переказу вартості та грошей за межі регульованої банківської системи», — сказав Лі CNBC. «Якщо вам хтось заплатив, цей платіж не можна повернути».

CryptoLocker також здобув популярність у спільноті кібербезпеки як один із перших прикладів операції «програмне забезпечення-вимагач як послуга», тобто послуга програмного забезпечення-вимагача, яку розробники продають хакерам-початківцям за плату, щоб вони могли здійснювати атаки. .

«На початку 2010-х років ми спостерігаємо зростання професіоналізму», — сказав Лі, додавши, що банда, яка стоїть за CryptoLocker, «була дуже успішною у своїх злочинних операціях».

Оскільки індустрія програм-вимагачів розвивається ще далі, експерти прогнозують, що хакери продовжуватимуть знаходити все більше способів використовувати цю технологію для використання компаній і окремих осіб.

Згідно зі звітом Cybersecurity Ventures, до 2031 року програми-вимагачі коштуватимуть жертвам загалом 265 мільярдів доларів на рік.

Деякі експерти стурбовані тим, що штучний інтелект знизив бар’єр для проникнення злочинців, які хочуть створювати та використовувати програми-вимагачі. Інструменти штучного інтелекту, як-от ChatGPT від OpenAI, дозволяють звичайним користувачам Інтернету вводити текстові запити та запити й отримувати складні, схожі на людину відповіді — і багато розробників навіть використовують його, щоб допомогти їм писати код.

Майк Бек, керівник інформаційної безпеки в Darktrace, сказав CNBC «Squawk Box Europe», що існує «величезна можливість» для штучного інтелекту — як у озброєнні кіберзлочинців, так і в покращенні продуктивності та операцій у фірмах з кібербезпеки.

«Нам потрібно озброїтися тими ж інструментами, які використовують погані хлопці», — сказав Бек. «Погані хлопці використовуватимуть ті самі інструменти, які використовуються разом із усіма цими змінами сьогодні».

Але Лі не вважає, що штучний інтелект становить настільки серйозну небезпеку програм-вимагачів, як багато хто думає.

«Є багато припущень про те, що штучний інтелект занадто хороший для соціальної інженерії», — сказав Лі CNBC. «Однак, коли ви дивитеся на наявні атаки, які явно працюють, виявляється, що найпростіші є такими успішними».

Серйозною загрозою, на яку слід остерігатися в майбутньому, можуть стати хакери, націлені на хмарні системи, які дозволяють компаніям зберігати дані та розміщувати веб-сайти та програми віддалено з віддалених центрів обробки даних.

«Ми не бачили надто багато програм-вимагачів, які вражали хмарні системи, і я думаю, що, ймовірно, це буде майбутнє, оскільки воно розвиватиметься», — сказав Лі.

За словами Лі, з часом ми можемо побачити атаки програм-вимагачів, які шифрують хмарні ресурси або блокують доступ до них, змінюючи облікові дані або використовуючи атаки на основі ідентифікації, щоб заборонити доступ користувачам.

Очікується, що геополітика також відіграватиме ключову роль у розвитку програм-вимагачів у найближчі роки.

«За останні 10 років різниця між злочинним програмним забезпеченням-вимагачем і атаками на національну державу стає все більш розмитою, і програмне забезпечення-вимагач стає геополітичною зброєю, яку можна використовувати як геополітичний інструмент для підриву організацій у країнах, які вважаються ворожими», — сказав Лі. .

«Я думаю, що ми, ймовірно, побачимо більше», — додав він. «Це захоплююче спостерігати, як злочинний світ може бути кооптований національною державою для виконання її завдань».

Інший ризик, який, на думку Лі, набирає популярності, — це автономне розповсюдження програм-вимагачів.

«Є ще простір для програм-вимагачів, які будуть поширюватися автономно — можливо, не вражаючи все на своєму шляху, але обмежуючись певним доменом або конкретною організацією», — сказав він CNBC.

Лі також очікує швидкого поширення програми-вимагача як послуги.

«Я думаю, що ми побачимо, як дедалі більше екосистеми програм-вимагачів стає все більш професійною, рухаючись майже виключно до цієї моделі програм-вимагачів як послуги», — сказав він.

Однак, незважаючи на те, що способи використання злочинцями програм-вимагачів будуть розвиватися, фактичний склад технології не очікується, що він зміниться надто різко в найближчі роки.

«За винятком постачальників RaaS і тих, хто використовує вкрадені або придбані інструментальні ланцюжки, облікові дані та доступ до системи виявилися ефективними», — сказав CNBC Джейк Кінг, головний спеціаліст із безпеки інтернет-пошукової компанії Elastic.

«Поки не з’являться нові блокпости для супротивників, ми, ймовірно, продовжуватимемо спостерігати ті самі моделі».