Ransomware: хакерські «пустощі» чи елемент гібридної війни? Погляд GC3

Програми-вимагачі (Ransomware) – це стрімко зростаюча загроза, яка останнім часом набула масштабу глобального лиха. В результаті використання таких програм, хакери блокують комп’ютерні системи зашифровуючи дані, і, в подальшому, вимагають сплатити кошти, щоб розблокувати систему. За даними інформаційних агентств США, вказані програми за останні роки зачепили всіх – від банків та лікарень до університетів та муніципалітетів. Лише в минулому році жертвами таких атак стали майже 2400 організацій у США. Але, як стверджують експерти, зловмисники все частіше націлюються на промислові сектори, оскільки ці фірми охочіше платять, щоб відновити контроль над своїми системами.

Ransomware – це не просто програмний продукт, що призводить до фінансового вимагання, це злочин, який не зважає на бізнесові, державні, академічні та географічні межі. Діяльність таких продуктів також вплинула на галузь охорони здоров’я під час пандемії COVID-19, а також призвела до закриття шкіл, лікарень, поліцейських дільниць, урядових організацій та військових об’єктів США. Це злочин, який спрямовує як приватні, так і державні кошти до глобальних злочинних організацій. Прибутки, отримані від жертв вимагань, можуть фінансувати незаконну діяльність, починаючи від торгівлі людьми і закінчуючи розробкою та розповсюдженням зброї масового знищення.

Статистика станом на травень 2021:

• 21 день – середній строк блокування системи в результаті атаки програми-вимагача[1].
• 287 днів – середній строк, який потрібен компанії, щоб повністю відновитись після атаки програми-вимагача[2].
• $350 млн доларів США – сплачено жертвами атак програм-вимагачів протягом 2020 року[3] (що на 311% більше ніж у 2019 році).
• $312,493 доларів США – середньо статистична сума одноразової виплати за розблокування комп’ютерної системи, що зазнала атаки програми-вимагача[4] (що на 171% більше ніж у 2019 році).

Так, у березні поточного року, компанія Acer зазнала атаки хакерів. За допомогою програми-вимагача REvil зловмисники вимагали від тайванського виробника найбільшу на сьогоднішній день відому суму викупу – 50 млн доларів США.

На початку травня, представники американської паливної компанії Colonial Pipeline, яка здійснює постачання палива на Східне узбережжя США, були вимушені призупинити деякі системи у роботі компанії, з метою локалізації загроз, що відбулись в результаті масштабної кібератаки. Компанією Colonial Pipeline щоденно транспортується близько 2,5 мільйонів барелей очищеного палива, що складає 45% від всього палива, яке споживається на Східному узбережжі США.  В результаті зупинки роботи найбільшого оператора-постачальника палива, компанії Colonial Pipeline, влада США оголосила режим регіональної надзвичайної ситуації у 18 штатах[1]. За даними профільних експертів та журналістів, до вказаної кібератаки можуть бути причетні хакери групи DarkSide, що нібито діє з території Російської Федерації.

Незважаючи на оприлюднену 10 травня представниками DarkSide заяву про аполітичність та непричетність до будь-яких державних організацій[2], прояви атак на об’єкти критичної інфраструктури є елементом гібридної війни, що ведеться під контрольованим «невтручанням» представників спецслужб.

До цього, у лютому поточного року, представники хакерського угрупування DarkSide були причетні до кібератак на бразильські енергетичні компанії[3].

Звертає на себе увагу той факт, що жертвами програм-вимагачів, здебільшого, стають організації або компанії з США, Великої Британії, Австралії та Бразилії[4]:

За результатами вивчення останніх події, що призвели до втручання у роботу комп’ютерних систем за допомогою програм-вимагачів, Глобальним центром взаємодії в кіберпросторі (GC3) розроблено наступні рекомендації:

• Представникам державних та приватних компаній необхідно у найкоротші строки розробити чіткий алгоритм поведінки на випадок блокування комп’ютерних систем та мереж компанії чи організації.
• Обов’язково звітувати до правоохоронних органів та спеціалізованих неурядових організацій про всі факти кібератак та платежі за розблокування комп’ютерних систем разом із деталями інциденту.
• Якнайшвидше повідомляти інформацію про проведену оплату за розблокування комп’ютерних систем, що може допомогти заблокувати кошти, для забезпечення відшкодування потерпілим та недопущення отримання грошей злочинцями.
• Державним організаціям та приватним компаніям необхідно інвестувати в освіту щодо виявлення / блокування причин та умов використання програм-вимагачів, а також підготувати кожну компанію чи організацію до інциденту з блокуванням комп’ютерних систем.
• Кіберзлочинці, залучені до діяльності програм-вимагачів, процвітають завдяки уявленню про анонімність своїх злочинів. Необхідно залучати приватний бізнес до збору гонорарів за притягнення до відповідальності основних хакерів, що причетні до розробки та впровадження програм-вимагачів. Таких осіб необхідно деанонімізувати та робити їх співіснування незручним із добропорядними громадянами.

[1] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[2] https://blog.emsisoft.com/en/37314/the-state-of-ransomware-in-the-us-report-and-statistics-2020
[3] https://blog.chainalysis.com/reports/ransomware-ecosystem-crypto-crime-2021
[4] https://unit42.paloaltonetworks.com/ransomware-threat-assessments
[5] https://www.securitylab.ru/news/519856.php
[6] https://www.securitylab.ru/news/519890.php
[7] https://www.securitylab.ru/news/516288.php
[8] https://securityandtechnology.org/wp-content/uploads/2021/04/IST-Ransomware-Task-Force-Report.pdf