Как рансъмуерът може да осакати държави, не само компании

Рансъмуерът е основно западен проблем, но се разпространява в световен мащаб. Америка, Австралия, Великобритания, Канада и Германия са най-засегнатите страни, но Бразилия и Индия не изостават много назад. Жертвите обхващат публичния и частния сектор - в края на 2023 г. бяха ударени италиански доставчик на облачни услуги, който хоства правителствени данни, енергийната агенция на Германия и китайска банка в Ню Йорк наред с много други. Атака на Коледа прекъсна спешната помощ в германска мрежа от болници, нарастват и атаките срещу образователния сектор. Което пък води до бавно разгаряща се, но сериозна криза за националната сигурност. "Това е единствената сериозна организирана престъпност, която може да блокира страната", предупреди неотдавна Греъм Бигар, директор на Британската национална агенция за борба с престъпността (NCA).

Този риск е сравнително нов. Според Уил Лайн, ръководител на киберразузнаването в NCA, рансъмуерът някога е бил "нишов проблем в сферата на киберпрестъпността", който не е привличал вниманието на правителството. Това започна да се променя преди пет до десет години с възхода на криптовалути като биткойн. Най-трудната част при рансъмуер атака някога беше изтеглянето и изпирането на откупа. Нападателите трябваше да купуват луксозни стоки с откраднати банкови данни и да ги продават на черно в Русия, губейки вероятно 60-70% от печалбата. Но криптовалутите им позволиха да теглят незабавно получените пари при нисък риск.

Но по-голямата промяна е разрастването на ransomware-as-a-service, или RaaS. Големите организирани престъпни групи като хитро кръстената Evil Corp в Русия преди време бяха разработили свои собствени инструменти и инфраструктура като злонамерен софтуер и сървъри, както би направила една вертикално интегрирана корпорация. Някои от тях продължават да действат по този начин. Има големи организации, които все още са активни: водещата група LockBit, вероятно базирана в Русия, е участвала в над една четвърт от рансъмуер и свързаните атаки за изнудване между януари 2022 г. и септември 2023 г. според компанията за киберсигурност ZeroFox.

Но пък с новите промени по-малките престъпни "клонове" вече могат да купуват професионални услуги от специализирани доставчици: всичко - от злонамерен софтуер до професионален копирайт за фишинг имейли, които помагат на хакерите да стъпят в бизнеса. Тази търговия се доразвива от онлайн маркетплейс, който не съществуваше допреди пет години. Един такъв, Genesis Market, който беше затворен през април м.г., беше пуснал за продажба 80 милиона идентификационни данни, откраднати от 2 млн. души. Цените им, например данните за влизане на служител във фирмена мрежа, обикновено бяха под 100 долара, като някои струваха едва по един долар. Така вече е по-лесно и по-евтино от всякога да се организира рансъмуер атака.

Една от последиците от това нарастващо разделение на труда е преминаването към по-малки групи. Много от новите се състоят едва от четирима до петима души. Друга е, че заплахите продължават да се променят. "Когато за първи път започнахме да разглеждаме проблема с рансъмуер, проследявахме може би дузина различни варианти наведнъж", казва Уил Лайн, имайки предвид различните типове зловреден код, използван при атаки. Но броят им вече е близо 100, допълва той.

Освен това средното "време на престой" - между получаването на достъп от атакуващия и пускането на рансъмуер - е спаднало от 5.5 дни през 2021 г. на 4.5 дни през 2022 г. и под 24 часа през 2023 г. според Secureworks. В една десета от случаите рансъмуерът е бил внедрен в рамките на пет часа след първоначалното проникване. Повечето атаки не са сложни - "не съм виждал интересна атака с рансъмуер от много години", казва служител на агенция. Но пък са все по-бързи, което дава на защитниците по-малко време да забележат текущи пробиви.

В същото време бизнес моделът на рансъмуеъра също се променя. В миналото хакерите искаха откуп в замяна на дешифриране на данните на жертвата. Но кодирането на информацията обикновено е технически най-взискателната част от атаката и при нея е най-големият риск жертвата да разбере какво става. Сега нападателите почти винаги изтеглят данните и заплашват да ги публикуват онлайн; при нарастващия брой на пробивите те дори не си правят труда да ги криптират. Някои случаи включват и "тройно изнудване", където престъпниците идентифицират за изнудване видни лица в компанията, например главния изпълнителен директор.

Търсене на уязвимости

Спирането на всички тези заплахи е дяволски трудно. Повечето атаки не са насочени към конкретен бизнес. Нападателите, подобно на крадците на коли, проверяващи за отключени врати, са склонни да разпръскват фишинг имейли в широк кръг от организации в определен сектор или да търсят киберуязвимости в корпоративни продукти като VPN мрежите, които позволяват на служителите отдалечен достъп до работното им място. Базова киберхигиена, включително архивиране на данни, промяна на пароли и софтуерни ъпдейти, би решила голяма част от проблема. Но човешката природа просто е такава, че защитните прегради винаги ще имат пробойни.

Нормалната реакция на правоохранителните органи - разследване, арест и наказателно преследване - рядко работи. Въпреки че някои нападатели са базирани в държави като Румъния и Украйна, където сътрудничеството или екстрадицията са възможни, повечето са на места като Китай, Иран, Северна Корея и Русия, извън обсега на западните съдилища. Налице е "спектър от държавно съучастие", като някои базирани в Русия групи са тясно свързани с разузнавателните служби на страната, а други просто са толерирани, казва Греъм Бигар.

Връзката вероятно е симбиотична. Руските държавни хакери, чийто приоритет е да крадат чужди тайни, могат да използват зловреден софтуер, който прилича на рансъмуер, за да прикрият шпионажа като престъпна дейност. Също така могат директно да привличат рансъмуер експерти. Максим Якубец, член на Evil Corp, е работил за ФСБ, вътрешната служба за сигурност на Русия, и е "работил по проекти за руската държава" според американско обвинение.

Рансъмуерът може да бъде и разгърнат или поне насърчаван в съответствие с целите на външната политика. Нов доклад на Карън Нерши и Шелби Гросман от Станфордския университет, анализиращ над 4000 жертви между 2019 и 2022 г., установи, че няколко базирани в Русия групи са увеличавали атаките в седмиците преди избори в големите демокрации. Освен това компаниите, които са се изтеглили от Русия след нахлуването в Украйна, е по-вероятно да бъдат цели за нападение.

Положителното в случая е, че тези мътни връзки между руската държава и киберпрестъпниците дават възможност за дипломация. През юни 2021 г., малко след като базирана в Русия група атакува щатската Colonial Pipeline, която превозва 45% от бензина и дизела на Източното крайбрежие, президентът Джо Байдън предупреди Владимир Путин да не подкрепя пробиви на критична инфраструктура. По-късно Русия арестува хакери от групата REvil, включително и свързани с атаката на тръбопровода. Но безброй други останаха незасегнати и продължават да работят безпрепятствено.

Все по-често западните правителства прибягват и до директни атаки срещу хакерите. Първата публична дойде през 2021 г., когато киберкомандването на Пентагона хакна сървърите на REvil и блокира уебсайта им, което накара групата да изпадне в паника и да прекрати дейност. Само през 2023 г. Америка и съюзниците й хакнаха Hive, която беше получила над 100 милиона долара от жертвите си, добре работещия зловреден софтуер Qakbot, използван за кражба на данни, а на 19 декември и групата Blackcat ransomware, която беше хакнала над 1000 организации, набирайки 300 млн. долара от около искания за 500 милиона долара. Междувременно секретни дейности срещу рансъмуер групи имат за цел да посеят недоверие сред членовете им, както се случи през 2022 г. в Conti, най-печелившата компания за рансъмуер в последно време. Нейните руски и украински членове започнаха да враждуват помежду си и така ускориха упадъка й.

Рейчъл Ноубъл, генерален директор на Австралийската дирекция за сигнали, която отговаря за офанзивни кибердействия, заяви пред Сената на страната през октомври, че агенцията й е извършила официална "оценка на щетите", за да прецени дали операциите й са имали реален ефект чрез ограничаване на операциите на престъпен синдикат или накърняване на репутацията му. През предходната година е имало 30 до 50 индивидуални дейности срещу киберпрестъпници, обяви тя, като заключението й е, че са били "много ефективни". Други западни служби потвърждават твърденията й, но казват, че доказателствата са секретни.

Има признаци, че западните операции са имали и по-широк възпиращ ефект. След епизода с Colonial Pipeline през 2021 г. групите за рансъмуер станаха по-склонни да избягват високопоставени цели, които биха могли да ги поставят в полезрението на западните разузнавателни агенции. Според Джоузеф Ярнеки и Джейми Маккол от Royal United Services Institute една последица от това е нарасналият брой атаки срещу по-меки цели в страни с ниски и средни доходи, които имат по-слаби защити и е по-малко вероятно да отвърнат на удара.

Въпреки този ефект настъпателните операции не са общо решение на проблема. Големи спирания на дейността като тези срещу Hive и Qakbot са рядкост, казва разузнавателен служител, защото процесът е "дълъг, уморителен и невероятно ресурсоемък" и среща много задънени улици по пътя. Освен това ефектите могат да бъдат драматични, но краткотрайни, подобни на последствията от убийството на лидери на терористични групи.

Отвръщане на удара чрез съда

Втората част от противодействието включва правни мерки. Америка и Великобритания наложиха санкции на десетки киберпрестъпници, за последен път през септември м.г. срещу 11 членове на Trickbot, група за киберпрестъпления, и Conti. Санкциите работят отчасти, като са насочени към злоупотреби с рансъмуеър и пречат на нарушителите да пътуват или да харчат парите си в чужбина. Но те също така се възползват от един определен уникален аспект в бизнес модела на престъпниците.

Парадоксът на рансъмуера, казва Макс Смийтс от Центъра за изследвания на сигурността в университета ETH - Цюрих, е, че той работи само ако жертвите се доверят на нападателите си - динамика, която отличава рансъмуера от кибершпионажа и други видове киберпрестъпления. Жертвите трябва да са уверени, че техните изнудвачи ще дешифрират данните или ще се въздържат от публикуването им, ако им бъде платен откуп. Така че нападателите се нуждаят от репутация на честност и компетентност. И се стремят да изградят брандове, които въплъщават тези ценности. Докато държавните хакери обикновено искат да останат незабелязани, рансъмуеър нападателите търсят публичност. LockBit например предложи 1000 долара на всеки, който татуира логото на групата върху тялото си.

Което пък поражда любопитна динамика. Някои хакери създават множество брандове, казва Смийтс, с цел да изнудват предишни жертви под ново лого, без да опетнят репутацията на оригинала - за разлика от големите автомобилни компании, които пускат евтини модели под марка от по-нисък клас. И както дизайнерските чанти от висок клас движат индустрията с фалшификати, така и по-малките групи се стремят да се възползват от репутацията на по-големите фирми. Когато Conti се разпадна през 2022 г., нова група - Monti, незабавно започна да използва кода й за свои цели и се опита да се възползва от името й.

Санкциите като забрани за пътуване, замразяване на активи и други финансови ограничения могат да нарушат този модел, тъй като правят незаконно плащането на откуп от жертвите на групи в черния списък. В резултат те може да изоставят бранд, който са изграждали години наред. Алън Лиска от компанията за киберсигурност Recorded Future отбелязва, че след като Evil Corp попадна под американски санкции през 2019 г., групата започна да прикрива участието си в атаки, като използва рансъмуер на други групи. Дългосрочният ефект от санкциите има за цел да затрудни нападателите в изграждането на марката и доверието, на които разчита бизнес моделът им.

Немалко хора искат да забранят изцяло плащанията на откуп. "Нормализирахме плащанията на откупи, независимо дали големи или малки", оплаква се Сиаран Мартин, бивш шеф на британския Национален център за киберсигурност (NCSC). През юни 2021 г. месопреработвателната компания JBS плати 11 млн. долара на REvil единствено за да предотврати кражбата на данните му, макар бизнесът й в голяма степен да не беше засегнат. "Ако случилото се в JBS става в мащаб, постоянно, ще сме заринати", казва Мартин. Правителствата избягват пълната забрана по две причини. Едната е страхът, че фирмите ще спрат да докладват за нови атаки и ще плащат тайно. Другата е, че плащането на откуп често е последното възможно средство за поддържане на бизнес или жизненоважна услуга.

За Сиаран Мартин по-неотложната задача е да разбие твърденията, че плащането на откуп е единственият изход. Ключовете за декриптиране, посочва той, често работят несъвършено (а в 5% от случаите изобщо не работят). Някои изследвания показват, че 80% от организациите, които плащат, са ударени повторно и че 29% от жертвите на изнудване така или иначе се оказват с изтекли данни. Той настоява за по-голям фокус върху случаите, при които жертвите отказват да платят, както при атаката срещу ирландската здравна система през май 2021 г., когато хакерите в крайна сметка се отказаха и предадоха ключа за декриптиране без заплащане, вероятно притеснени за политическите последствия от действията им.

Също така е важно течовете на данни да се разглеждат като отделни случаи. Когато хакери откраднаха данни от австралийската здравна застрахователна компания Medibank през ноември 2022 г. и поискаха откуп 10 млн. долара, за да не ги публикуват, компанията отказа да плати. Решението й беше подпомогнато от два фактора. Единият беше, че австралийските агенции положиха сериозни усилия да премахнат изтеклите данни от тъмната мрежа и да проследят кой ги купува. Другото беше решението на австралийските медии да не публикуват каквото и да било от теча, като по този начин намалиха въздействието му. Опитът на Австралия "беше майсторски клас как да се неутрализира стойността на някакъв набор от данни", заключава Мартин.

Все по-голям брой фирми също така се възползват от застраховка срещу рансъмуер атаки. Стойността на глобалния киберзастрахователен пазар беше 12 млрд. долара през 2022 г. и се очаква да достигне 23 млрд. долара до 2025 г. На теория се прилагат обичайните проблеми за морален риск: ако хакерите знаят, че дадена фирма има застраховка, която покрива плащанията на откуп (или още по-лошо - все пак са откраднали подробности за полицата), вероятно ще увеличат и атаките си. На практика обаче застраховката може да има благотворен ефект. Застрахователите са стимулирани да насърчават притежателите на полици да подобрят своите стандарти за киберсигурност. Те също така покриват алтернатива на плащането на откуп, като например възстановяване на данни, което може да се окаже по-евтино. Може би най-важното е, че предоставят достъп до специализирани съвети за киберсигурност, което пък облекчава натиска върху жертвите, печели време и им помага да преговарят по-ефективно. И така плащанията могат да намалеят.

В момента борбата с рансъмуера е възпрепятствана от чувство на несигурност. Истинската степен на заплахата е слабо разбрана, твърди Меган Стифел от Ransomware Task Force - коалиция от киберексперти. По-добрите данни са приоритет. Британските фирми са задължени да съобщават за пробиви, но законът е пълен с вратички - ако данните са били криптирани от хакерите, но не са откраднати, например адвокатите могат да твърдят, че няма компрометирана информация. Нов американски закон - CIRCIA, скоро ще изисква от фирмите да съобщават за големи киберинциденти и рансъмуеър плащания на Агенцията за киберсигурност в рамките на 72 часа. Но той се прилага само за организации с критично важна инфраструктура като компании в енергетиката, храните и транспорта.

Като цяло кумулативното въздействие на санкциите, затварянето на различните групи и друга защитна дейност са доста ограничени. Технологията дава нов тласък на нападателите. Генеративните AI модели като ChatGPT помагат за подобряването на атаките - от качеството на английския във фишинг имейлите до въздействието на зловредния софтуер, казва Лайн. Той посочва, че онлайн форумите, използвани от киберпрестъпниците, вече имат специални AI секции. Криминалните рансъмуеър организации остават "с добри ресурси, адаптивни са и стават все по-смели", казва Маккол, въпреки всички усилия на агенциите през последните три години. "Сравнително уверено мога да кажа, че те все още нанасят толкова вреда на националната сигурност на Обединеното кралство, колкото всичко, което Русия, Китай, Иран или Северна Корея правят в киберпространството."