На связи с вирусами
Атаки компьютерных программ-вымогателей привели к появлению IT-консультантов, оказывающих услуги по возвращению зашифрованных файлов. При этом посредник может вступать в сделку и с автором вредоносного софта, выяснила Check Point Research. Пока модель не получила распространения, ее популярность зависит от готовности киберпреступников работать с посредниками, уточняют участники рынка.
О новом виде IT-консалтинга в индустрии программ-вымогателей, который может вовлечь клиентов в мошенническую схему, "Ъ" рассказали в компании Check Point Research. К консультанту по разблокировке зашифрованных файлов обычно обращается компания, которая не имеет резервной копии, чтобы их восстановить, и которая не желает платить выкуп вымогателю. Впрочем, для разблокировки файлов консультант может сам связываться с автором программы-шифратора, выяснили в Check Point Research.
В качестве примера работы IT-консультанта по разблокировке файлов Check Point Research привела компанию Dr. Shifro. Она запустила сервис в 2016 году на волне массовых заражений вирусами-шифровальщиками и утверждает, что использует "уникальный алгоритм по восстановлению данных". На деле сервис "фактически контактировал с создателем программ-вымогателей и заключил с ним сделку", утверждает Check Point Research. Автор программы получает $1,3 тыс., а консультант — $1 тыс. с жертвы за разблокировку файлов, оценивает Check Point. В компании Dr. Shifro на запрос "Ъ" не ответили.
Это неуникальная модель, есть реклама похожих услуг от других сервисов, но большого количества таких компаний не наблюдается, говорит антивирусный эксперт "Лаборатории Касперского" Антон Иванов. "Если ведущие компании по информационной безопасности заявляют, что расшифровка невозможна без ключей, которые есть только у злоумышленников, то компании, которые предлагают расшифровать файлы, являются мошенниками либо аффилированы с преступными группами",— напоминает господин Иванов.
Вымогательством с использованием вирусов-шифровальщиков зачастую занимается не сам автор вредоносного ПО, а преступник, купивший модификацию такого софта, с ним жертва и ведет переговоры о стоимости расшифрования документов, объясняет операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков. Случаи, когда посредники вступают в сговор с вирусописателями для разблокировки файлов, не самые частые, однако такая ниша существует, отмечает он.
В 2017 году произошло несколько крупных атак программ-вымогателей — WannaCry, NotPetya и Bad Rabbit. В этом году таких крупных случаев не было, потому что использование подобных вирусов стало более целенаправленным — против компаний и организаций, которые могут заплатить за разблокировку информации большую сумму денег и в краткие сроки, полагают в Digital Security. Профессионализм преступников в этой сфере растет, некоторые из них перешли на таргетированные атаки на бизнес, основная цель которых — парализовать бизнес-процессы компании и потребовать большой выкуп, подтверждает господин Иванов.
По данным Европола, индустрия программ-вымогателей составляет примерно $5 млрд, говорят в Check Point. "Вирусы-шифровальщики несложны в написании, но их сложно найти, и они приносят финансовую выгоду создателям",— поясняют в Digital Security. Кроме того, злоумышленник без особых технических навыков может купить вредоносное ПО у разработчика и использовать его, добавляют в Check Point. Бизнес-модель в виде посредничества между автором программы вымогателя и жертвой может "послужить новым витком развития индустрии кибервымогателей", считают там. Популярность этой модели, считает Антон Иванов, будет зависеть от готовности киберпреступников работать с посредниками.
"Схема необычная, широкого распространения не имеет и вряд ли получит в перспективе: большинство компаний научены горьким опытом и используют бэкапы. Если бэкапа нет, компания скорее обратится за помощью к поставщикам своих продуктов для безопасности",— считает технический директор ESET Russia Виталий Земских. Коммерческая деятельность компаний, которые обещают вернуть файлы, сомнительна, потому что для этого существуют бесплатные сервисы, а кроме того, иногда сделать это в принципе невозможно, если вредонос качественный, констатирует независимый эксперт по кибербезопасности Алексей Лукацкий.