Компания Trend Micro опубликовала исследование, озаглавленное «Шифровальщики: прошлое, настоящее и будущее», в котором отслеживается эволюция этой разновидности вредоносного ПО в течение последних 10 лет.

В документе сказано, что шифровальщики как класс зародились в России в 2005-2006 г., хотя в действительности вредоносные программы, шифровавшие какие-либо данные и требовавшие выкуп, известны были ещё в конце 1980-х. К 2012 г., пишут исследователи, вредоносы-вымогатели начали распространяться за пределы России, и как раз тогда появилась схема, при которой вместо «прямого» требования выкупа жертве на экран выводились фальшивые сообщения о штрафах, якобы исходящие от правоохранительных органов.

Затем в 2013 г. появился CryptoLocker, который не только шифровал файлы пользователей, но и уничтожал их, если выкуп не был заплачен. Распространение CryptoLocker приобрело характер эпидемии: ИТ-отрасль не была к нему готова.

Эволюция последних лет

Начиная с 2015 года операторы шифровальщиков переключились с индивидуальных пользователей на коммерческие организации. Жертвами становились компании всех размеров из всех отраслей. Многие соглашались выплачивать крупные выкупы за возвращение доступа к своим данным, укрепляя преступников в мысли, что шифровальщики-вымогатели - это верный заработок при минимуме усилий.

Киберпреступный бизнес занялся самооптимизацией: появились сервисы «Ransomware as a Service» (шифровальщики как услуга), предлагающие всем желающим зарабатывать на вымогательском ПО за не очень большую комиссию создателям подобных ресурсов. Количество этих сервисов растёт, как растёт и общее количество разновидностей шифровальщиков: в 2015 году были известно 29 «семейств", к концу 2016 года - уже 247. Прирост составил 752%.

Лидерами по доходности оказались вредоносы Locky и Goldeneye, принесшие их создателям и весьма многочисленным операторам в общей сложности около $1 млрд.

Около 79% шифровальщиков, по данным Trend Micro, распространяется вместе со спамом. Ещё 20% заражений происходят при посещении вредоносных сайтов. Последняя к настоящему времени эпидемия шифровальщика - WannaCry - стала возможной потому, что его создатели использовали эксплойт для Windows, известный под названием EternalBlue. Этот эксплойт был похищен хакерской группой TheShadowBrokers у Агентства национальной безопасности США. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могут получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Будущее

Эксперты Trend Micro рисуют удручающую картину, предполагая вероятность атак шифровальщиков на критическую гражданскую инфраструктуру и системы промышленного контроля. «Мы уже видели, как операторы вымогательского ПО атакуют больницы и транспортные службы. Что помешает им нападать и на более крупные мишени, например, на промышленных роботов, широко используемых в производстве, или инфраструктуру, которая поддерживает коммуникации и функционирование систем «умных городов»? - говорится в исследовании. - Онлайновое вымогательство переключается с компьютеров и серверов на вообще любые недостаточно защищённые системы с подключением к коммуникационным сетям, в том числе «умные» IoT-устройства и критической инфраструктуры. Высокая степень возврата инвестиций и простота, с которой преступники могут создавать, запускать шифровальщиков-вымогателей, и зарабатывать на этом, гарантирует продолжение этих процессов в будущем».

- Это, конечно, кошмарный сценарий, но увы, далеко не абсолютно фантастический, - отмечает Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Эпидемии, подобные WannaCry, - когда оказывается затруднена или просто парализована работа государственных служб, являются свидетельством системной неподготовленности жертв к подобным атакам. Уровень защищённости промышленных систем и критической инфраструктуры, по общему признанию, оставляет желать много лучшего: производственные комплексы, построенные ещё до появления интернета, лишены собственных средств защиты, но при этом подключены к Сети и, стало быть, угрожающе уязвимы. Так что ситуация, когда нечто вроде WannaCry парализует работу водоочистных сооружений целого мегаполиса, вполне может возникнуть в любой момент в любой точке земного шара.