Технологията, която стана на 35 г. и вече е глобален проблем за милиарди

Една от любимите атаки на киберпрестъпниците, вирусът рансъмуер – който се използва за шифроване на информация и искан на откуп – вече е индустрия за милиарди долари. Невинаги обаче тя е била толкова масова и опасна, както е днес.

Атаката рансъмуер (б.а. - от англ. ransom, в превод „откуп“) датира от 80-те години на миналия век. Тя представлява форма на зловреден софтуер, който киберпрестъпници използват, за да заключват файлове на компютъра и след това да изнудват собственика да плати откуп за отключването им.

Технологията, която на 12 декември официално навърши 35 години, е натрупала дълга история, като престъпниците вече могат да създават рансъмуер много по-бързо и да го използват за поразяването на множество цели.

През 2023 г. киберпрестъпниците са събрали 1 млрд. долара от откупи в криптовалута от жертви на рансъмуер - рекордно висок резултат, според данни на фирмата за блокчейн анализ Chainalysis.

Експертите очакват рансъмуерът да продължи да се развива, като бъдещето се определя от съвременните технологии за изчисления в облак, изкуствения интелект и геополитиката.

Как появява рансъмуерът?

Първото събитие, считано за атака с рансъмуер, се случва през 1989 г.

Хакер изпраща по пощата дискети, за които твърди, че съдържат софтуер, който може да помогне да се определи дали някой е изложен на риск от развитие на СПИН. При инсталирането си обаче програмата скривала директориите и криптирала имената на файловете на компютрите на хората. След това се появявала бележка с искане за откуп, в която се изисквало изпращане на касов чек на адрес в Панама за лиценз за възстановяване на файловете и директориите.

Програмата става известна в общността за киберсигурност като „троянецът AIDs“.

„Това беше първият рансъмуер и дойде от нечие въображение. Не беше нещо, за което хората да са чели или което да е било изследвано“, разказва в интервю за CNBC Мартин Лий, ръководител на отдела за разузнаване на киберзаплахи на гиганта в областта на IT оборудването Cisco – Talos, EMEA.

По-рано това просто не се обсъждаше. Нямаше дори теоретична концепция за рансъмуер.“

Извършителят, биолог от Харвард, на име Джоузеф Поп, е заловен и арестуван. След като обаче демонстрира странно поведение, той е признат за неспособен да се яви пред съда и е върнат в Съединените щати.

Как се разви рансъмуер?

След появата на троянския кон AIDs рансъмуер се развива значително. През 2004 г. участник в заплахата се насочва към руски граждани с криминална програма за откуп, известна днес като „GPCode“.

Програмата е била доставена на хората чрез електронна поща - метод за атака, който днес е известен като „фишинг“. Потребителите, изкушени от обещанието за привлекателно предложение за кариера, изтегляли прикачен файл, който съдържал зловреден софтуер, маскиран като формуляр за кандидатстване за работа.

След като се отвори, прикаченият файл се изтегля и инсталира зловреден софтуер на компютъра на жертвата, който сканира файловата система, криптира файлове и изисква плащане чрез банков превод.

След това, в началото на 2010 г., хакерите, които искат откуп, започват да се обръщат към криптовалутите като метод на плащане. Така през 2013 г., само няколко години след създаването на биткойн, се появи рансъмуерът CryptoLocker. Хакерите, атакували с тази програма, искаха плащане в биткойни или предплатени парични ваучери – ранен пример за това как криптовалутата се превърна в предпочитана за атакуващите с рансъмуер.

По-късно по-известни примери за атаки с рансъмуер, при които криптовалутата бе избрана като метод за плащане на откуп, включваха WannaCry и Petya.

„Криптовалутите предоставят много предимства на лошите момчета, именно защото това е начин за прехвърляне на стойност и пари извън регулираната банкова система по начин, който е анонимен и неизменен“, каза Лий. „Ако някой ви е платил, това плащане не може да бъде върнато обратно.“

CryptoLocker стана известен в общността за киберсигурност и като един от първите примери за операция „ransomware-as-a-service“ (RaaS) - т.е. услуга за искане на откуп, продавана от разработчици на по-начинаещи хакери срещу заплащане, за да им позволи да извършват атаки.

В началото на 2010 г. се наблюдава нарастване на професионализацията“, казва Лий, като добавя, че бандата, стояща зад CryptoLocker, е била „много успешна в извършването на престъплението“.

Какво следва за рансъмуер?

Тъй като индустрията на рансъмуер се развива още повече, експертите прогнозират, че хакерите само ще продължат да намират все повече начини за използване на технологията, за да експлоатират фирми и физически лица.

Според доклад на Cybersecurity Ventures до 2031 г. се очаква рансъмуер да струва на жертвите общо 265 млрд. долара годишно.

Някои експерти се опасяват, че изкуственият интелект е свалил драстично бариерата за навлизане на престъпниците, които искат да създават и използват рансъмуер. Инструменти за като ChatGPT на OpenAI позволяват на обикновените потребители да въвеждат текстови запитвания и искания и да получават сложни, подобни на човешки отговори – а много програмисти дори го използват, за да им помага при писането на код.

Майк Бек, главен директор по информационната сигурност на Darktrace, подчерта огромните възможности за AI - както за въоръжаване на киберпрестъпниците, така и за подобряване на производителността и операциите в компаниите за киберсигурност.

Трябва да се въоръжим със същите инструменти, които използват лошите“, казва Бек. „Лошите момчета ще използват същия инструментариум, който се използва покрай всички тези промени днес.“

Но Лий не смята, че изкуственият интелект представлява толкова сериозен риск от рансъмуер, колкото мнозина биха си помислили.

Насочване към облачни системи

Сериозна заплаха в бъдеще може да се окажат хакерите, насочени към облачните системи, които позволяват на предприятията да съхраняват данни и да хостват уебсайтове и приложения от разстояние от отдалечени центрове за данни.

Не сме виждали много рансъмуер, който да атакува облачни системи, и мисля, че това вероятно ще бъде бъдещето“, казва Лий.

Според Лий в крайна сметка може да станем свидетели на атаки с откуп, които криптират облачни активи или отказват достъп до тях, като променят идентификационните данни или използват атаки, базирани на идентичността, за да откажат достъп на потребителите.

Геополитиката също се очаква да играе ключова роля за начина, по който ще се развива рансъмуер през следващите години.

„През последните 10 години разграничението между криминалния рансъмуер и атаките на национални държави става все по-неясно и рансъмуер се превръща в оръжие, което може да се използва като инструмент на геополитиката за нарушаване на дейността на организации в държави, възприемани като враждебни“, отбелязва Лий.

Мисля, че вероятно ще станем свидетели на повече такива случаи“, добави той.

Друг риск, който според Лий набира сила, е автономно разпространяваният софтуер за откуп.

„Все още има възможност да се появят повече рансъмуери, които се разпространяват автономно - може би няма да поразяват всичко по пътя си, а се ограничават до конкретен домейн или конкретна организация“, казва той.

Лий също така очаква рансъмуерът като услуга да се разрасне бързо.

Мисля, че все по-често ще виждаме как екосистемата на рансъмуера се професионализира и преминава почти изцяло към модела „рансъмуер като услуга.“

Но дори и начините, по които престъпниците използват рансъмуер, да еволюират, не се очаква действителният състав на технологията да се промени твърде драстично през следващите години.

„Извън доставчиците на RaaS и тези, които използват откраднати или закупени вериги от инструменти, удостоверенията и достъпът до системата са доказали своята ефективност“, каза Джейк Кинг, ръководител на сигурността във фирмата за търсене в интернет Elastic.

Докато не се появят допълнителни препятствия за противниците, вероятно ще продължим да наблюдаваме същите модели.“