Огонь по своим: хакерские форумы объявили войну вирусам-шифровальщикам

Хакерские форумы всё чаще запрещают операции, связанные с вирусами-шифровальщиками, — об этом сообщил эксперт по вопросам кибербезопасности Алексей Лукацкий. По его словам, сегодня ради защиты форумов от внимания общественности и надзорных органов ограничивается как продажа и разработка вирусов, так и поиск и набор персонала для нее. Подробности о том, почему хакерские форумы объявили войну вирусам-шифровальщикам, читайте в материале «Известий».

Популярный инструмент

Вирус-шифровальщик, или программа-вымогатель, — это вредоносное программное обеспечение (ПО), которое при попадании в целевую IT-инфраструктуру зашифровывает все имеющиеся там данные. За восстановление доступа к закодированной информации злоумышленники (операторы программ-вымогателей) требуют денежный выкуп.

— Популярность вирусов-шифровальщиков обусловлена их высокой эффективностью и прибыльностью при относительно небольших затратах и трудовложениях. Дело в том, что от такого вируса крайне сложно защититься, — говорит в беседе с «Известиями» начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко.

Он отмечает, что при помощи социальной инженерии и фишинга злоумышленники могут получить доступ к начальному сегменту IT-инфраструктуры, а затем добраться до критических данных, после чего зашифровать их: парализованными оказываются практически все системы целевой организации. При этом если у компании нет резервных копий данных или злоумышленникам удалось зашифровать и их, то выбор у атакованной компании невелик: заплатить или не платить, потеряв всю информацию и, по сути, бизнес.

Между тем в последние годы вирусы-шифровальщики стали активно распространяться по модели RaaS (Ransomware-as-a-Service — программа-вымогатель как услуга), когда операторы продают код вируса, а затем получают процент от выкупа. Это снизило порог входа в «нишу» и позволило даже не самым квалифицированным хакерам наносить значимый ущерб атакованным организациям.

Токсичные вирусы

Несмотря на всю эффективность вирусов-шифровальщиков, в последние годы они стали нежелательной темой в даркнете. По словам инженера по информационной безопасности R-Vision Игоря Швецова, во многом это связано с ужесточением мер по борьбе с киберпреступностью со стороны правоохранительных органов.

— Например, кибератака на [американскую трубопроводную систему] Colonial Pipeline в 2021 году показала, насколько серьезную опасность могут представлять программы-вымогатели для критической инфраструктуры и организаций, — говорит собеседник «Известий».

Как отмечает Игорь Швецов, многие инциденты с использованием шифровальщиков привлекли внимание общественности, что усилило репутационные риски для хакеров, связанных с этим инструментом. Алексей Коробченко дополняет, что вирусы-шифровальщики, как правило, используются крупными группировками для атак на организации, которые относятся к критической информационной инфраструктуре, — например, на операторов трубопроводов, больницы и корпорации по созданию программного обеспечения для госструктур и силовиков.

— По сути, удар по такой организации — это атака на государство, поэтому само государство жестко реагирует на подобные случаи, — объясняет специалист. — Так было, например, после громкого инцидента с использованием шифровальщиков WannaCry и NotPetya или DDoS-атак с использованием ботнета Mirai.

Алексей Коробченко напоминает, что тогда многие хакерские площадки высказались против продажи у себя инструментария для проведения подобных атак, поскольку инциденты вызвали серьезный ответ правоохранительных органов. Сегодня хакерские форумы также стараются ограничить распространение и использование шифровальщиков, чтобы снизить дополнительные риски для участников сообщества, включая возможные правовые санкции.

Последствия борьбы

Несмотря на то что хакерские форумы сегодня стараются абстрагироваться от вирусов-шифровальщиков, не стоит списывать это вредоносное ПО со счетов, предупреждают эксперты. Как говорит в беседе с «Известиями» старший аналитик отдела анализа угроз ИБ Positive Technologies Яна Юракова, согласно открытым источникам, в начале 2024 года число атак с использованием программ-вымогателей действительно снизилось, однако эта тенденция наблюдается уже несколько лет.

— О том, что злоумышленники теряют интерес к этому «бизнесу», говорить рано: скорее они начали действовать более осторожно и не попадаются на глаза сотрудникам служб безопасности, — рассказывает эксперт.

В свою очередь, Алексей Коробченко считает, что интерес к программам-вымогателям вряд ли станет меньше — напротив, в последние пару лет наблюдается активное вливание новых игроков, потому что суммы выкупов исчисляются миллионами долларов. Это одна из наиболее рискованных с точки зрения реакции правоохранителей хакерских ниш — но и едва ли не самая прибыльная.

Поэтому если вирусы-шифровальщики действительно начнут массово исчезать с открытых форумов, они просто переедут на более закрытые площадки, куда будут иметь доступ только проверенные участники. По мнению Игоря Швецова, со временем спектр применения подобного вредоносного ПО будет только расширяться.

— К примеру, такие вирусы могут использовать в отношении более уязвимых секторов, — поясняет специалист. — Так, за последние годы были зафиксированы множественные случаи атак с использованием шифровальщиков против медицинских учреждений.

Примером подобных инцидентов может служить недавняя кибератака с использованием модифицированной версии программы-вымогателя Phobos на систему здравоохранения Румынии, что привело к временной потере доступа к медицинским данным и критическим системам. Впрочем, порой при использовании вирусов-шифровальщиков встречаются и необычные сценарии, при которых злоумышленники бесплатно отдают ключи восстановления по своим соображениям.

Хакерская этика

Между тем в контексте борьбы хакерских форумов с вирусами-шифровальщиками возникает вопрос, можно ли говорить о наличии некой этики у киберпреступников. По мнению Алексея Коробченко, в случаях с программами-вымогателями такая этика вряд ли прослеживается. Скорее «шумные» атаки с их использованием мешают другим типам атак, которые не наносят такого разрушительного ущерба, но их организаторы также могут попасть под жесткую реакцию государства из-за шифровальщиков.

— При этом вместе с такими организаторами проблемы возникнут и у тех, кто к этому в принципе непричастен, например у владельцев и участников хакерских форумов, — просто потому, что там было упоминание «шумной» атаки, — поясняет собеседник «Известий».

Нельзя однозначно утверждать, что хакеры стараются избегать токсичных инструментов, дополняет Игорь Швецов. По словам эксперта, в киберпреступном мире не существует какой-либо четко выраженной этики, однако некоторые хакеры избегают использования особо разрушительных инструментов из соображений потенциальных последствий для общества. При этом большинство хакеров преследуют свои собственные интересы, поэтому выбор жертв мотивирован их финансовой выгодой. Примером могут служить атаки группировки REvil на крупнейшие международные компании.

— Поэтому шифровальщики остаются актуальной угрозой в мире информационной безопасности, — заключает эксперт. — Их использование требует постоянного внимания и принятия эффективных мер по защите.