Віруси-вимагачі цього року на слуху майже в кожного завдяки програмі WannaCry. Проте вона була далеко не першою – історія подібних програм тягнеться із середини минулого десятиліття. Сьогодні подібні віруси також вимагають гроші за повернення доступу до файлів, але тепер вони ціляться на інших жертв.
Компанія Trend Micro Incorporated подала доповідь про вимагачів під назвою «Програми-вимагачі: минуле, сьогодення і майбутнє». За її даними, першу атаку з використанням програми-здирника зафіксували в Росії між 2005 і 2006 роками. Тоді хакери вимагали 300 доларів США за повернення зашифрованих файлів. На першому етапі шифрувалися файли з найбільш поширених типів: DOC, XLS, JPG, ZIP, PDF та інші.
Пізніше вийшли модифікації програм-вимагачів, які також могли шифрувати дані на мобільних пристроях. Вони також псували роботу ОС, шифруючи її код для завантаження. У кінці 2013 року з’явилися різновиди програм, які не тільки шифрували файли, але і починали видаляти їх, якщо жертва відмовлялася платити викуп. Одним із таких вірусів був CryptoLocker.
Trend Micro також проаналізувала, як еволюціонував цей тип кіберзагроз минулого року:
- за 2016 року кількість видів програм-вимагачів зросла на 752%. Якщо у 2015 році їх було лише 29, то наступного року їх стало 247;
- із 2016 року середня сума викупу за повернення доступу до файлів склала 0,5-5 біткоїнів. Таку велику розбіжність експерти пояснюють тим, що в деяких випадках сума викупу збільшується, якщо жертва не сплатила у встановлений термін. Окрім цього, на суму викупу впливає курс біткоїну. На початку 2016 року це було $431, тоді як нині він коштує більше $1076;
- атаки програм-вимагачів сьогодні стають усе більш цілеспрямованими. Як основні засоби поширення використовується спам-розсилка (79%), зараження вже наявних або створення окремих сайтів та сторінок в інтернеті (20%), а також набори експлойтів;
- основний акцент зловмисників зміщується. З 2015 року головною метою програм-вимагачів стають не приватні особи, а бізнес;
- програми-вимагачі тепер доступні як сервіс. Модель Ransomware-as-a-service (програма-вимагач як послуга) дозволяє зловмисникам отримувати ще більше грошей;
- під час атаки на бізнес зловмисники найчастіше зашифровують бази даних компанії. Далі йдуть бази формату SQL та файли веб-сайтів;
- у майбутньому можлива поява програм-вимагачів, націлених на критичну інфраструктуру, а також промислову систему управління підприємствами.
Приклади найбільших атак з використанням програм-вимагачів за друге півріччя 2016 року:
- у вересні атака програми-здирника на муніципалітет міста Спрінгфілд (США) зробила його файли були недоступними 10 днів;
- у вересні компанія Vesk (Великобританія) заплатила зловмисникам викуп у розмірі 23 тис. доларів США за повернення доступу до своїх файлів;
- у листопаді муніципалітет округу Медісон (США) заплатив зловмисникам 28 тис. доларів за розшифрування файлів;
- у листопаді через атаки програми-здирника на муніципальне транспортне агентство Сан-Франциско влада не змогла обліковувати оплату за проїзд у громадському транспорті, тому певний час він працював безплатно;
- у листопаді програма-вимагач зашифрувала близько 33 тис. файлів у системі муніципалітету округу Хауард (США);
- у грудні клініка East Valley Community Health Center у США втратила записи близько 65 тис. пацієнтів. Вони містили особисту інформацію, медичні дані та дані страховки.
