Вирусы вымогатели в этом году на слуху почти у каждого благодаря программе WannaCry. Однако она была далеко не первой – история подобных программ тянется с середины прошлого десятилетия. Сегодня подобные вирусы также требуют деньги за возвращение доступа к файлам, но теперь они целятся на других жертв.
Компания Trend Micro Incorporated представила доклад о вымогателях под названием «Программы-вымогатели: прошлое, настоящее и будущее». По ее данным, первую атаку с использованием программы-вымогателя зафиксировали в России между 2005 и 2006 годами. Тогда хакеры вымогали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы из наиболее распространенных типов: DOC, XLS, JPG, ZIP, PDF и другие.
Позже вышли модификации программ-вымогателей, которые также могли шифровать данные на мобильных устройствах. Кроме того, они портили работу ОС, шифруя ее код для загрузки. В конце 2013 года появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп. Одним из таких вирусов был CryptoLocker.
Trend Micro также проанализировала, как эволюционировал этот тип киберугроз в прошлом году:
- с 2016 года количество семейств программ-вымогателей выросло на 752%. Если в 2015 году их было 29, то в следующем году их стало 247;
- с 2016 года средняя сумма выкупа за возврат доступа к файлам составила 0,5-5 биткоинов. Такое большое расхождение эксперты объясняют тем, что в некоторых случаях сумма выкупа увеличивается, если жертва не заплатила в установленный срок. Кроме этого, на сумму выкупа влияет курс биткоина. В начале 2016 года это было $431, тогда как сейчас он стоит больше $1076;
- атаки программ-вымогателей сегодня становятся все более целенаправленными. В качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов и страниц в интернете (20%), а также наборы эксплойтов;
- основной акцент злоумышленников смещается. С 2015 года главной целью программ-вымогателей становятся не частные лица, а бизнес;
- программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег;
- при атаке на бизнес злоумышленники зачастую зашифровывают базы данных компании. Дальше идут базы формата SQL и файлы веб-сайтов;
- в будущем возможно появление программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями.
Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:
- в сентябре атака программы-вымогателя на муниципалитет города Спрингфилд (США) сделала его файлы недоступными на протяжении 10 дней;
- в сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам;
- в ноябре муниципалитет округа Мэдисон (США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов;
- в ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско власть не смогла учитывать оплату за проезд в общественном транспорте, поэтому некоторое время он работал бесплатно;
- в ноябре программа-вымогатель зашифровала около 33 тыс. файлов в системе муниципалитета округа Хауард (США);
- в декабре клиника East Valley Community Health Center в США потеряла записи около 65 тыс. пациентов. Они содержали личную информацию, медицинские данные и данные страховки.
