35 лет программам-вымогателям: от первой атаки до наших дней

35 лет программам-вымогателям: от первой атаки до наших дней

Как конференция по СПИДу стала колыбелью цифровой пандемии.

image

В декабре 1989 года биолог-эволюционист с докторской степенью Гарварда, Джозеф Попп, запустил первую в истории массовую кибератаку с целью получения выкупа. Злоумышленник разослал 20 000 дискет участникам конференции Всемирной организации здравоохранения по СПИДу в Стокгольме, охватив таким образом 90 стран мира.

Вредонос, получивший название AIDS Trojan или Aids Info Drive, при установке захватывал контроль над файлом AUTOEXE.BAT и начинал отсчитывать количество перезагрузок компьютера. После 90-й перезагрузки система блокировалась, требуя от пользователя приобрести лицензию для дальнейшей работы с устройством.

Расследованием первой масштабной атаки занялся Скотланд-Ярд, выдавший ордер на арест создателя вируса. Случай с рассылкой зараженных дискет стал поворотным моментом в истории кибербезопасности и открыл дорогу новому типу цифровых угроз, которые хакеры продолжают совершенствовать и по сей день.

По словам Кевина Каррана, профессора кибербезопасности Ольстерского университета и старшего члена IEEE, за прошедшие десятилетия тактика киберпреступников сильно изменилась, хотя их главные мотивы, получение денег и нарушение работы систем, остались прежними.

Современные варианты вредоносного ПО стали агрессивнее своих предшественников. Если раньше жертвы страдали только от простоев и недоступности данных, то теперь хакеры применяют двойной и даже тройной шантаж, угрожая не только блокировкой, но и публикацией конфиденциальных данных.

В 2021 году атака на трубопровод Colonial Pipeline в США наглядно проиллюстрировала, насколько серьезный урон могут нанести злоумышленники критической инфраструктуре. Инцидент парализовал систему, обеспечивающую 50% поставок топлива в Северной Америке, что привело к временному топливному кризису в нескольких штатах.

Киберпреступность эволюционировала в полноценную индустрию. Хакерские группировки создали структуры, копирующие легальный бизнес: с партнерскими сетями, реселлерами, поставщиками и даже колл-центрами для общения с жертвами атак. Представители этих центров консультируют пострадавших по вопросам оплаты выкупа и восстановления доступа к данным.

Появилась модель "вредоносное ПО как услуга" (RaaS), в рамках которой хакеры предоставляют коллегам готовые вирусы по подписке, включая обучение их использованию. Конечно, круг потенциальных киберпреступников расширился, так как продвинутые инструменты стали доступны даже самым неопытным.

В 2024 году средний размер требуемого выкупа достиг 2 миллионов долларов - это в несколько раз выше показателей предыдущих лет. По прогнозам Cybersecurity Ventures , к 2031 году ежегодный ущерб от атак программ-шифровальщиков может достигнуть астрономической суммы в 265 миллиардов долларов.

Среди наиболее известных группировок, определяющих современный ландшафт киберугроз, выделяются Black Cat, LockBit, Cl0p, Revil и Conti. Каждая из них специализируется на определенных типах атак и секторах экономики. Группировка Cl0p прославилась взломом популярной системы передачи файлов Moveit, затронувшим множество крупных организаций.

Российские власти в 2022 году объявили о ликвидации группировки Revil, которая считалась одной из самых опасных в киберпространстве. В этом году появилась информация о захвате даркнет-сайта банды ALPHV/BlackCat правоохранительными органами, однако позже возникли подозрения, что картель инсценировал собственное закрытие.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!