Вирус WannaCrypt стал одной из наиболее обсуждаемых тем последних дней. Вредоносная программа заражает тысячи компьютеров по всему миру, парализуя работу организаций и предприятий и требуя в качестве выкупа биткоины.
К сожалению, это не первый подобный случай. Проблема вымогающих криптовалюту вредоносов уже не первый год остается одной из наиболее острых. Еще в середине 2015 года Федеральное Бюро Расследований США предупреждало о растущей угрозе распространения криптовымогателей, оценив финансовые потери жертв вредоносного ПО только за период с апреля 2014 по июнь 2015 на сумму более $18 млн.
Нынешняя волна атак WannaCrypt задела уже более 100 стран. Подсчитывать убытки от нее сейчас, вероятно, еще преждевременно, но как минимум было бы ошибочно винить в случившемся биткоин. Деньги протяжении всего своего существования притягивали разного рода преступников, мошенников и аферистов, и то, что современные «пираты» обратились к криптовалюте, можно, скорее, рассматривать как ее признание эффективным и действительно работающим инструмента.
Пока же те, кому этим положено заниматься, пытаются найти пути противодействия подобным атакам, можно вспомнить другие случаи с участием вымогателей биткоинов и попытаться составить примерное представление, во что такая атака может обойтись тому или иному бизнесу.
Киберсеть Avalanche работала с 2009 года, и уже через год Anti-Phishing Working Group объявила эту организацию самой прибыльной фишинговой сетью в мире. Ежедневно сеть рассылала более миллиона сообщений с опасными вложениями и ссылками, заражая до полумиллиона устройств в день. Общие убытки от деятельности Avalanche оцениваются в 100 млн евро.
Avalanche занималась хостингом и распространением примерно 20 семейств вредоносного ПО. Группировка создала ботнет из 500 тысяч устройств, разбросанных по всему миру, с помощью которого провела атаки на 40 крупных финансовых учреждений и множество пользователей в 180 странах.
С появлением криптовалюты у Avalanche появился новый инструмент для «сбора» денег, и среди пострадавших оказалась, в том числе, и Прокуратура американского штата Пенсильвания, выплатившая выкуп в размере $1400 в биткоинах.
В декабре 2016 года совместными усилиями правоохранительных органов 40 стран мира сеть Avalanche, как утверждается, была уничтожена. Во время операции была остановлена работа 220 серверов, зараженных вредоносным ПО, и заблокировано 800 тысяч доменов. В ходе операции были задержаны пять человек, руководивших группировкой, в том числе трое граждан Украины.
Банковские структуры в последнее время также становились объектом внимания хакеров.
Так, в ноябре 2015 года группа Armada Collective потребовала выкуп в размере $7 млн от ряда финансовых институтов Греции, угрожая в противном случае нарушить ход работы систем банковских транзакций. Перед этим хакеры уже продемонстрировали серьезность своих намерений, сумев на непродолжительное время вывести из строя системы сразу трех банков.
Как тогда сообщалось, Национальная разведывательная служба Греции обратилась за помощью к ФБР, но, насколько известно, американские спецслужбы рекомендовали банкам согласиться с требованиями злоумышленниками и заплатить выкуп.
Чуть ранее жертвой хакера-вымогателя стал один из банков в Шардже (ОАЭ). Скрывавшийся под ником Hacker Buba злоумышленник сумел проникнуть в базу данных банка и продемонстрировал серьезность своих намерений, выкладывая каждые несколько часов конфиденциальную информацию о клиентах организации в Twitter. Несмотря на то, что администрация соцсети по жалобе банка аккаунт заблокировала, эта мера результатов не дала: уже на следующий день злоумышленник не просто открыл новый аккаунт, но и осуществил акт мести, загрузив выписки банковских счетов 500 клиентов банка.
Представители банка тогда отказались раскрывать сумму, требуемую в качества выкупа, однако сам злоумышленник сообщил, что хочет получить эквивалент $3 млн в биткоинах.
В ноябре 2016 году с требованием хакеров выплатить им часть своих сбережений под угрозой раскрытия информации об их счетах налоговым органам и прессе получили клиенты Valartis Bank Liechtenstein, шестого по величине банка Лихтенштейна. Среди них оказались известные политики, актеры и состоятельные предприниматели из Германии, Швейцарии и других стран.
Насколько известно, в обмен на неразглашение информации требовался выкуп в размере 10% от сбережений клиентов банка — конечно же, в биткоинах. Речь, предположительно, шла о нескольких гигабайтах информации, охватывающей период с октября 2015 года.
В июне 2016 года жертвой вымогателей стал Университет Калгари, но, несмотря на то, что учебное заведение согласилось заплатить хакерами 20 тыс канадских долларов в биткоинах, восстановить функциональность сетей ему удалось не сразу.
Вопреки рекомендациям подразделений по борьбе с сетевыми угрозами не соглашаться на требования вымогателей, учебное заведение посчитало, что иного выхода у него не нет. Университет Калгари известен своими ценными научными исследованиями, и в сети хранится большое количество важных документов, ограничение доступа к которым его администрация посчитала недопустимым.
В феврале 2017 года группа хакеров провела атаку на компьютерную систему главного раввината Израиля. В качестве выкупа хакеры потребовали несколько тысяч биткоинов, однако государство приняло решение не вести переговоры о выкупе.
Как тогда отметили местные СМИ, это был первый реальный успех подобных атак в Израиле, поскольку компьютеры главного раввината защищены государственными структурами кибербезопасности.
Ранее наиболее известным подобным случаем в Израиле стал захват компьютерных систем в муниципалитете Нацрат-Илита, за освобождение которых хакер требовал выкуп в размере 10 тысяч шекелей.
В конце 2016 года стало известно об атаках на базы данных MongoDB – используя слабости неправильной конфигурации, программы-вымогатели захватывали построенные на открытом исходном коде базы и требовали за восстановление данных от 0.15 BTC до 1 BTC.
В атаках участвовали по крайней мере пять разных хакерских групп, которые захватили контроль более чем над 10 тыс. экземпляров баз данных.
В конце 2015 года произошел один из наиболее громких случаев с вымогательством криптовалюты в Великобритании — жертвой мошенников стал интернет-провайдер TalkTalk. Клиентская база компании на тот момент насчитывала более 4 млн пользователей, и как утверждали злоумышленники, им удалось получить доступ к значительной части личных данных пользователей. Требуемая сумма выкупа составляла £80 000 фунтов в биткоинах, в противном случае хакеры грозились опубликовать похищенные данные.
Через некоторое время все причастные к атаке были арестованы – ими оказались подростки в возрасте от 17 до 19 лет из Англии и Уэльса. Свою вину они признали и были приговорены к тюремному заключению.
В феврале 2016 года сразу несколько десятков посетителей стриптиз-клуба Globe в предместьях Цюриха получили письма с угрозами публичного разглашения личных данных. Во избежание разглашения вымогатели предлагали заплатить выкуп биткоинами на сумму свыше $2000 с человека.
Жертвами вымогаталелей стали состоятельные клиенты Globe
Прокуратура Цюриха тогда подтвердила, что расследует заявления от нескольких пострадавших клиентов этого одного из крупнейших стриптиз-клубов страны. Также в местной прессе появились сообщения, что похожие письма получали и посетители некоторых других стриптиз-клубов.
В январе 2017 года стало известно, что хакеры взломали компьютерную систему гостиницы Romantik Seehotel Jägerwirt в Австрии, заблокировав входные двери в номера постояльцев. Руководство 4-звездочного отеля заплатило киберпреступникам выкуп в биткоинах на 1,5 тыс. евро, чтобы получить доступ к системе.
По словам администрации, решение пойти на уступки хакерам было продиктовано тем, что это было попросту дешевле и быстрее, чем нанимать специалистов по безопасности.
В ноябре 2016 года жертвой вымогательского ПО HDDCryptor, инфицировавшего более 2 тысяч систем организации, стало Агентство общественного транспорта Сан-Франциско. В результате атаки были отключены автоматы по продаже проездных билетов «легкого метро» Muni, из-за чего агентству пришлось целый день возить пассажиров бесплатно, пока IT-команда пыталась исправить ситуацию.
В ходе атаки был использован вариант вымогательского ПО HDDCryptor, который поразил панели администраторов, рабочие станции CAD, системы оплаты, SQL-базы, терминалы в отделе потерянных вещей, серверы электронной почты и печати, рабочие станции сотрудников, а также компьютеры в киосках продажи билетов.
За разблокировку данных злоумышленники требовали 100 BTC, однако, насколько известно, агентство отказалось платить выкуп. Биткоин-кошелек хакеров при этом фактически остался пустым: на него было переведено всего 0.0227761 BTC, которые в начале мая были выведены.
В июне 2015 года группа вымогателей из Украины, действуя под вывеской Dillinger team, начала шантажировать крупные российские компании звонками о минировании коммерческих объектов. Жертвами злоумышленников тогда стали такие торговые сети как «Адамант», «Fortgroup» и «Магнит».
Команда работала по исключительно примитивной схеме —потенциальную жертву уведомляли о намечающихся проблемах через e-mail или посредством телефонного звонка и предлагали заплатить выкуп в биткоинах, чтобы избежать негативных последствий. К примеру с торговой сети «Адамант» требовался выкуп в 150 BTC, но позже сумма была снижена до 60 BTC.
«Обрабатывая» торговую сеть «Магнит», Dillinger team сделали серию звонков о минировании по нескольким городам России: Москва, Санкт-Петербург, Новосибирск, Барнаул, Екатеринбург, Челябинск и другие. Досталось и сети «Адамант», вымогатели произвели целую серию звонков по торговым центрам Санкт-Петербурга.
Сообщалось, что после того, как российским силовикам не удалось договориться с украинскими коллегами о взаимодействии, служба безопасности «Fortgroup» самостоятельно приехала в Украину и нашла способ «повлиять» на вымогателей.
К сожалению, это не первый подобный случай. Проблема вымогающих криптовалюту вредоносов уже не первый год остается одной из наиболее острых. Еще в середине 2015 года Федеральное Бюро Расследований США предупреждало о растущей угрозе распространения криптовымогателей, оценив финансовые потери жертв вредоносного ПО только за период с апреля 2014 по июнь 2015 на сумму более $18 млн.
Нынешняя волна атак WannaCrypt задела уже более 100 стран. Подсчитывать убытки от нее сейчас, вероятно, еще преждевременно, но как минимум было бы ошибочно винить в случившемся биткоин. Деньги протяжении всего своего существования притягивали разного рода преступников, мошенников и аферистов, и то, что современные «пираты» обратились к криптовалюте, можно, скорее, рассматривать как ее признание эффективным и действительно работающим инструмента.
Пока же те, кому этим положено заниматься, пытаются найти пути противодействия подобным атакам, можно вспомнить другие случаи с участием вымогателей биткоинов и попытаться составить примерное представление, во что такая атака может обойтись тому или иному бизнесу.
Avalanche
Киберсеть Avalanche работала с 2009 года, и уже через год Anti-Phishing Working Group объявила эту организацию самой прибыльной фишинговой сетью в мире. Ежедневно сеть рассылала более миллиона сообщений с опасными вложениями и ссылками, заражая до полумиллиона устройств в день. Общие убытки от деятельности Avalanche оцениваются в 100 млн евро.
Avalanche занималась хостингом и распространением примерно 20 семейств вредоносного ПО. Группировка создала ботнет из 500 тысяч устройств, разбросанных по всему миру, с помощью которого провела атаки на 40 крупных финансовых учреждений и множество пользователей в 180 странах.
С появлением криптовалюты у Avalanche появился новый инструмент для «сбора» денег, и среди пострадавших оказалась, в том числе, и Прокуратура американского штата Пенсильвания, выплатившая выкуп в размере $1400 в биткоинах.
В декабре 2016 года совместными усилиями правоохранительных органов 40 стран мира сеть Avalanche, как утверждается, была уничтожена. Во время операции была остановлена работа 220 серверов, зараженных вредоносным ПО, и заблокировано 800 тысяч доменов. В ходе операции были задержаны пять человек, руководивших группировкой, в том числе трое граждан Украины.
Атаки на банки
Банковские структуры в последнее время также становились объектом внимания хакеров.
Так, в ноябре 2015 года группа Armada Collective потребовала выкуп в размере $7 млн от ряда финансовых институтов Греции, угрожая в противном случае нарушить ход работы систем банковских транзакций. Перед этим хакеры уже продемонстрировали серьезность своих намерений, сумев на непродолжительное время вывести из строя системы сразу трех банков.
Как тогда сообщалось, Национальная разведывательная служба Греции обратилась за помощью к ФБР, но, насколько известно, американские спецслужбы рекомендовали банкам согласиться с требованиями злоумышленниками и заплатить выкуп.
Копия одного из писем от имени Armada Collective
Чуть ранее жертвой хакера-вымогателя стал один из банков в Шардже (ОАЭ). Скрывавшийся под ником Hacker Buba злоумышленник сумел проникнуть в базу данных банка и продемонстрировал серьезность своих намерений, выкладывая каждые несколько часов конфиденциальную информацию о клиентах организации в Twitter. Несмотря на то, что администрация соцсети по жалобе банка аккаунт заблокировала, эта мера результатов не дала: уже на следующий день злоумышленник не просто открыл новый аккаунт, но и осуществил акт мести, загрузив выписки банковских счетов 500 клиентов банка.
Представители банка тогда отказались раскрывать сумму, требуемую в качества выкупа, однако сам злоумышленник сообщил, что хочет получить эквивалент $3 млн в биткоинах.
В ноябре 2016 году с требованием хакеров выплатить им часть своих сбережений под угрозой раскрытия информации об их счетах налоговым органам и прессе получили клиенты Valartis Bank Liechtenstein, шестого по величине банка Лихтенштейна. Среди них оказались известные политики, актеры и состоятельные предприниматели из Германии, Швейцарии и других стран.
Насколько известно, в обмен на неразглашение информации требовался выкуп в размере 10% от сбережений клиентов банка — конечно же, в биткоинах. Речь, предположительно, шла о нескольких гигабайтах информации, охватывающей период с октября 2015 года.
Университет Калгари
В июне 2016 года жертвой вымогателей стал Университет Калгари, но, несмотря на то, что учебное заведение согласилось заплатить хакерами 20 тыс канадских долларов в биткоинах, восстановить функциональность сетей ему удалось не сразу.
Вопреки рекомендациям подразделений по борьбе с сетевыми угрозами не соглашаться на требования вымогателей, учебное заведение посчитало, что иного выхода у него не нет. Университет Калгари известен своими ценными научными исследованиями, и в сети хранится большое количество важных документов, ограничение доступа к которым его администрация посчитала недопустимым.
Главный раввинат Израиля
В феврале 2017 года группа хакеров провела атаку на компьютерную систему главного раввината Израиля. В качестве выкупа хакеры потребовали несколько тысяч биткоинов, однако государство приняло решение не вести переговоры о выкупе.
Как тогда отметили местные СМИ, это был первый реальный успех подобных атак в Израиле, поскольку компьютеры главного раввината защищены государственными структурами кибербезопасности.
Ранее наиболее известным подобным случаем в Израиле стал захват компьютерных систем в муниципалитете Нацрат-Илита, за освобождение которых хакер требовал выкуп в размере 10 тысяч шекелей.
Базы данных MongoDB
В конце 2016 года стало известно об атаках на базы данных MongoDB – используя слабости неправильной конфигурации, программы-вымогатели захватывали построенные на открытом исходном коде базы и требовали за восстановление данных от 0.15 BTC до 1 BTC.
В атаках участвовали по крайней мере пять разных хакерских групп, которые захватили контроль более чем над 10 тыс. экземпляров баз данных.
TalkTalk
В конце 2015 года произошел один из наиболее громких случаев с вымогательством криптовалюты в Великобритании — жертвой мошенников стал интернет-провайдер TalkTalk. Клиентская база компании на тот момент насчитывала более 4 млн пользователей, и как утверждали злоумышленники, им удалось получить доступ к значительной части личных данных пользователей. Требуемая сумма выкупа составляла £80 000 фунтов в биткоинах, в противном случае хакеры грозились опубликовать похищенные данные.
Через некоторое время все причастные к атаке были арестованы – ими оказались подростки в возрасте от 17 до 19 лет из Англии и Уэльса. Свою вину они признали и были приговорены к тюремному заключению.
Швейцарские стриптиз-клубы
В феврале 2016 года сразу несколько десятков посетителей стриптиз-клуба Globe в предместьях Цюриха получили письма с угрозами публичного разглашения личных данных. Во избежание разглашения вымогатели предлагали заплатить выкуп биткоинами на сумму свыше $2000 с человека.
Жертвами вымогаталелей стали состоятельные клиенты Globe
Прокуратура Цюриха тогда подтвердила, что расследует заявления от нескольких пострадавших клиентов этого одного из крупнейших стриптиз-клубов страны. Также в местной прессе появились сообщения, что похожие письма получали и посетители некоторых других стриптиз-клубов.
Курортный отель в Австрии
В январе 2017 года стало известно, что хакеры взломали компьютерную систему гостиницы Romantik Seehotel Jägerwirt в Австрии, заблокировав входные двери в номера постояльцев. Руководство 4-звездочного отеля заплатило киберпреступникам выкуп в биткоинах на 1,5 тыс. евро, чтобы получить доступ к системе.
По словам администрации, решение пойти на уступки хакерам было продиктовано тем, что это было попросту дешевле и быстрее, чем нанимать специалистов по безопасности.
Метрополитен Сан-Франциско
В ноябре 2016 года жертвой вымогательского ПО HDDCryptor, инфицировавшего более 2 тысяч систем организации, стало Агентство общественного транспорта Сан-Франциско. В результате атаки были отключены автоматы по продаже проездных билетов «легкого метро» Muni, из-за чего агентству пришлось целый день возить пассажиров бесплатно, пока IT-команда пыталась исправить ситуацию.
В ходе атаки был использован вариант вымогательского ПО HDDCryptor, который поразил панели администраторов, рабочие станции CAD, системы оплаты, SQL-базы, терминалы в отделе потерянных вещей, серверы электронной почты и печати, рабочие станции сотрудников, а также компьютеры в киосках продажи билетов.
За разблокировку данных злоумышленники требовали 100 BTC, однако, насколько известно, агентство отказалось платить выкуп. Биткоин-кошелек хакеров при этом фактически остался пустым: на него было переведено всего 0.0227761 BTC, которые в начале мая были выведены.
Украинские «минеры»
В июне 2015 года группа вымогателей из Украины, действуя под вывеской Dillinger team, начала шантажировать крупные российские компании звонками о минировании коммерческих объектов. Жертвами злоумышленников тогда стали такие торговые сети как «Адамант», «Fortgroup» и «Магнит».
Команда работала по исключительно примитивной схеме —потенциальную жертву уведомляли о намечающихся проблемах через e-mail или посредством телефонного звонка и предлагали заплатить выкуп в биткоинах, чтобы избежать негативных последствий. К примеру с торговой сети «Адамант» требовался выкуп в 150 BTC, но позже сумма была снижена до 60 BTC.
«Обрабатывая» торговую сеть «Магнит», Dillinger team сделали серию звонков о минировании по нескольким городам России: Москва, Санкт-Петербург, Новосибирск, Барнаул, Екатеринбург, Челябинск и другие. Досталось и сети «Адамант», вымогатели произвели целую серию звонков по торговым центрам Санкт-Петербурга.
Сообщалось, что после того, как российским силовикам не удалось договориться с украинскими коллегами о взаимодействии, служба безопасности «Fortgroup» самостоятельно приехала в Украину и нашла способ «повлиять» на вымогателей.
Завершая обзор, нельзя не вспомнить о февральском отчете Kaspersky Lab: как утверждают специалисты этой организации, в 2016 году на долю русскоязычных хакеров пришлось около 75% всех программ-шифровальщиков.
PS. В ходе подготовки этого материала стало известно, что жертвой вымогателей стала компания Walt Disney: как утверждают злоумышленники, им удалось заполучить копию готовящейся к релизу в конце мая пятой серии «Пиратов Карибского моря». В обмен на то, чтобы не публиковать ее в сети до официальной премьеры, они хотят получить «огромную» сумму в биткоинах.