Кибератаките с рансъмуер, известен още като криптовирус, вече са индустрия за милиарди долари. Но тя невинаги е била толкова голяма, нито пък е била толкова широко разпространен риск за киберсигурността, както е днес.

Датиращи от 80-те години на миналия век, те използват зловреден софтуер за криптиране на файлове на компютъра на дадена жертва и изискване на плащане за отключването им. На 12 декември технологията официално навърши 35 години, като е изминала дълъг път - престъпниците вече могат да създават рансъмуер много по-бързо и да го разгръщат към множество цели.

През 2023 г. киберпрестъпниците са натрупали 1 млрд. долара в криптовалута от жертви на рансъмуер - рекорден брой, според данни на компанията за блокчейн анализи Chainalysis, цитирани от CNBC. Експертите очакват тази заплаха да продължи да се развива, след като бъдещето се определя от съвременните технологии за облачни изчисления, изкуствения интелект и напрегнатата геополитиката.

Как се е появил рансъмуерът?

Първото събитие, считано за атака с рансъмуер, се случва през 1989 г. Хакер изпраща по пощата дискети и твърди, че съдържат софтуер, който може да помогне да се определи дали някой е изложен на риск от развитие на СПИН. При инсталирането си обаче софтуерът скрива директориите и криптира имената на файловете на компютрите на хората. След това се появяваше бележка с искане за откуп, в която се изисква изпращане на чек на адрес в Панама за възстановяване на файловете и директориите.

Програмата става известна в общността за киберсигурност като „троянецът AIDs“.

Оценката на нуждите от обучение и прилагането на стабилна стратегия за повишаване на квалификацията са от изключително значение

5 практически стъпки за подобряване на екипа по киберсигурност

„Това беше първият рансъмуер и дойде от нечие въображение. Тази атака не беше нещо, за което да сме чели или да е било изследвано“, казва в интервю за CNBC Мартин Лий, ръководител на отдела за разузнаване на киберзаплахи на гиганта в областта на IT оборудването Cisco – Talos. „Преди това подобно нещо не се обсъждаше. Нямаше дори теоретична концепция за рансъмуер.“

Извършителят - биолог от Харвард, на име Джоузеф Поп, е заловен и арестуван. След като обаче демонстрира странно поведение, той е признат за неспособен да се яви пред съда и е върнат в Съединените щати.

Развитие на рансъмуер

От появата на троянския кон AIDs този вид киберзаплаха се е развила значително. През 2004 г. хакерите се насочват към руски граждани с криминална програма за откуп, известна днес като GPCode. Тя достига до хората чрез електронна поща - метод за атака, който днес е известен като „фишинг“. Потребителите, изкушени от обещание за кариера, изтеглят прикачен файл, който съдържа зловреден софтуер, маскиран като формуляр за кандидатстване за работа. След като се отвори, прикаченият файл се изтегля и инсталира зловреден софтуер на компютъра на жертвата, който сканира файловата система, криптира файловете и изисква плащане чрез банков превод.

В началото на 2010 г. зловредните актьори се обръщат към криптовалутите като метод на плащане.

През 2013 г., само няколко години след създаването на Bitcoin, се появя рансъмуерът CryptoLocker. Хакерите, използващи този софтуер, изискват плащане в Bitcoin или предплатени парични ваучери. Това е ранен пример как криптовалутите ще се превърнат в предпочитан от атакуващите с рансъмуер начин за получаване на откуп.

По-късно най-известните примери за атаки с рансъмуер, при които Bitcoin е методът за плащане, са WannaCry и Petya.

„Криптовалутите предоставят много предимства на киберпрестъпниците, защото това е начин за прехвърляне на стойност и пари извън регулираната банкова система. Той е анонимен и непроследим“, казва Лий. „Ако някой ви е платил, това плащане не може да бъде върнато обратно.“

Verizon Communications, AT&T и Lumen Technologies са сред телекомуникационните компании, чиито мрежи са били разбити при наскоро откритото проникване, според източниците на медията

WSJ: Китайски хакери са проникнали в системите за подслушване на американското правителство

CryptoLocker стана известен в общността за киберсигурност и като един от първите примери за операция от типа рансъмуер като услуга (RaaS), тъй като зловредния софтуер е продаван от разработчици на начинаещи хакери срещу абонамент.

„В началото на 2010 г. имаме това нарастване на професионализацията“, казва Лий, като добавя, че бандата, стояща зад CryptoLocker, е била „много успешна в извършването на престъплението“.

Какво следва за рансъмуер?

Тъй като индустрията на рансъмуер се развива още повече, експертите прогнозират, че хакерите ще продължат да намират все повече начини за използване на технологията, за да атакуват компании и физически лица. Според доклад на Cybersecurity Ventures до 2031 г. се очаква този тип кибератаки да струват на жертвите общо 265 млрд. долара годишно.

Някои експерти се притесняват, че AI е намалил бариерата за навлизане на престъпниците, които искат да създават и използват рансъмуер. Майк Бек, главен служител по информационната сигурност на Darktrace, посочва, че има „огромна възможност“ за AI - както за въоръжаване на киберпрестъпниците, така и за подобряване на производителността и операциите в компаниите за киберсигурност.

„Трябва да се въоръжим със същите инструменти, които използват лошите момчета“, казва Бек. „A те ще използват AI със сигурност.“

Лий обаче не смята, че изкуственият интелект представлява толкова сериозен риск на полето на рансъмуер, колкото мнозина биха си помислили.

„Има много хипотези за това, че AI е много добър за социално инженерство“, посочва той. „Въпреки това, когато погледнете атаките, е очевидно, че обикновено най-простите са най-успешни.“

Насочване към облачни системи

Сериозна заплаха, за която трябва да се внимава в бъдеще, е възможността хакерите да се насочат към облачните системи. Те позволяват на предприятията да съхраняват данни и да хостват уебсайтове и приложения в отдалечени центрове за данни и със сигурност са апетитна цел.

Profit.bg

Паролите, които карат хакерите да се усмихват

„Не сме виждали много рансъмуер, който да атакува облачни системи, и мисля, че това вероятно ще бъде следващата му крачка“, казва Лий.

Според него в крайна сметка може да станем свидетели на атаки, които криптират облачни активи или отказват достъп до тях, като променят идентификационните данни.

Геополитиката също се очаква да играе ключова роля за начина, по който ще се развива рансъмуер заплахата през следващите години.

„През последните 10 години разграничението между криминалния рансъмуер и атаките на национални държави става все по-неясно. Този тип зловреден софтуер се превръща в геополитическо оръжие, което може да се използва като инструмент за нарушаване на дейността на организации в държави, възприемани като враждебни“, казва Лий. „Вероятно ще станем свидетели на повече такива случаи. Интересно е да се види как престъпният свят може да бъде в симбиоза с национални държави, за да изпълнява нейните поръчки.“

Друг риск, който според Лий набира сила, е автономно разпространяваният софтуер за откуп.

„Има възможност да се появят повече рансъмуери, които се разпространяват автономно - може би те няма да поразяват всичко по пътя си, а ще се ограничават до конкретен домейн или конкретна организация“, предупреждава той.

Концепцията рансъмуерът като услуга също ще се разрасне бързо.

„Мисля, че все по-често ще виждаме как екосистемата на рансъмуера се професионализира и преминава почти изцяло към модела „като услуга“, добавя Лий.

Но дори и начините, по които престъпниците използват рансъмуер, да еволюират, не се очаква самата технология да се промени драстично през следващите години.