Что общего у вируса-вымогателя и Иисуса? Месяц рождения и нежелание умирать

Важные новости

Что общего у программ-вымогателей и Иисуса? Месяц рождения и нежелание умирать

Особенности Ваши рождественские праздники в 80-х выглядели совсем иначе, чем сегодня. Хотя некоторые помнят, каково было просыпаться 25-го числа тогда, некоторые из вас даже не родились. Еда не сильно изменилась. Индейка, начинка, брюссельская капуста… все это было уже давно.

Но то, что некоторые называют старыми добрыми деньками, другие могут описать как темные века ИТ. Неузнаваемые времена. Более зрелая часть наших читателей вспомнит Рождество без смартфонов, многопользовательских онлайн-игр и даже интернета потребительского уровня. Их офисы только начинали настраивать внутренние сети, а их компьютеры редко имели жесткие диски. Слишком дорого. Это был век дискет.

Это был также век возможностей для киберпреступников. Забудьте о так называемой «кибергигиене», слово «кибербезопасность» не попадет даже в самые узкоспециализированные лексиконы еще долгие годы. По сути, киберпреступников еще не было. Однако то, что действительно существовало, было шансом для настоящих визионеров в игре извлечь выгоду из того, что мы сейчас называем технологической безграмотностью, для получения денежной выгоды.

В декабре 1989 года, через три года после того, как братья Альви создали первый в мире вирус для ПК, Brain, и через год после того, как был написан и выпущен первый в мире интернет-вирус, Morris Worm, мы увидели то, что эксперты теперь называют первым случаем коммерческого вымогателя. Троян СПИДа был детищем Джозефа Поппа, выпускника Гарварда. Это было не просто новшество, это было изобретение.

В декабре мы в Vulture Central отмечаем 35-ю годовщину трояна СПИДа и основные вехи в развитии программ-вымогателей с тех пор. Никаких следов первой в мире программы-вымогателя не будет найдено где-либо рядом с полезными нагрузками RansomHub, Qilin и др., но Попп навсегда останется в памяти как дедушка одной из самых захватывающих форм преступности.

Обзор трояна СПИДа

Доктор Попп, родом из Огайо, был эволюционным биологом и исследователем, чья работа, большая часть которой проводилась в Кении, была сосредоточена на заболевании СПИДом. Осведомленность об этом заболевании начала достигать пика только в середине-конце восьмидесятых, примерно в то время, когда троян был распространен в декабре 1989 года.

В последующие годы многочисленные трояны СПИДа заражали ПК через дискеты, отправленные по почте. Попп был идентифицирован как автор и лицо, ответственное за ручную отправку около 26 000 дисков с адреса в Южном Кенсингтоне.

Считается, что он выбрал Лондон в качестве почтовой базы, поскольку в то время там не было законов о компьютерном мошенничестве, но эта реальность вскоре изменилась с принятием Закона о неправомерном использовании компьютеров 1990 года. Он также использовал украденные списки рассылки для подписчиков журнала PC Business World и членов ВОЗ, чтобы собрать данные жертв.

Сейчас общеизвестно, что получение любого неизвестного цифрового запоминающего устройства по почте или иным способом, безусловно, не следует рассматривать как приглашение подключить его и посмотреть, что оно делает, но в 1989 году это не пришло бы в голову никому, кроме небольшой части населения. Попп действительно опередил свое время.

Имейте в виду также, что червь Морриса, который широко считается первым компьютерным вирусом, был выпущен годом ранее. То, что Попп создал киберпреступную бизнес-модель, которая продолжит ставить в тупик лучшие умы в 2024 году, на столь раннем этапе истории ИТ, иллюстрирует, насколько утонченным было его мышление.

После установки троян ждал, пока зараженный хост перезагрузится 90 раз, прежде чем отображать то, что мы сейчас называем запиской с требованием выкупа в форме лицензионного соглашения на обслуживание. Он инструктировал жертв отправить 189 или 378 долларов, в зависимости от того, хотят ли они получить доступ к своему ПК на год или на всю жизнь, на почтовый ящик в Панаме. Предположительно, деньги должны были быть собраны «PC Cyborg Corporation» и использованы для финансирования исследований СПИДа.

Считается, что никто никогда не платил по этим требованиям, что, конечно, меркнет по сравнению с современными эквивалентами, но это широко считается первым случаем программы-вымогателя. Также есть основания полагать, что это был первый громкий пример хактивизма — термин, который не будет придуман до середины девяностых.

Разбор трояна был выполнен в течение сотен часов и опубликован Джимом Бейтсом, членом Института аналитиков и программистов, в выпуске отраслевого журнала Virus Bulletin за январь 1990 года. Он обнаружил, что никакого фактического шифрования не происходило — троян просто менял имена файлов.

Попп был арестован в аэропорту Схипхол за распространение трояна, но избежал тюрьмы после того, как был признан психически недееспособным, чтобы предстать перед судом. Он был отправлен обратно в США и умер в 2006 году.

Забрали слишком рано

Жаль, что Попп умер именно тогда, не только потому, что его забрали в возрасте 55 лет, но и потому, что он не прожил достаточно долго, чтобы увидеть, как его незаконное изобретение достигло пика своих возможностей.

Мы не только отмечаем 35-ю годовщину трояна СПИДа, но стервятники также отмечают годовщину Gpcode — первого настоящего примера коммерческого вымогателя, каким мы его знаем сегодня.

Первые образцы Gpcode были обнаружены в декабре 2004 года, 20 лет назад в России, но только в 2006 году, когда умер Попп, вредоносная нагрузка привлекла широкое внимание.

Статья Касперского 2006 года была первой, пролившей свет на Gpcode — первый троян, шифровавший различные типы файлов, а затем отправлявший по электронной почте записку о выкупе [PDF], требующую от 100 до 200 долларов США, подлежащих оплате через счета e-gold или Liberty Reserve. В магазине безопасности отметили, что к этому моменту он уже более года преследовал россиян.

В некоторых очень ранних случаях были признаки того, что человек, стоящий за Gpcode, запросит всего около 1000 рублей за расшифровку (сейчас это около 9 долларов, но в то время это было примерно 35 долларов), и известно, что его удалось уговорить снизить цену всего на половину этой суммы.

Самые ранние версии Gpcode использовали 56-битное шифрование RSA, но автор, чья личность известна, но не была публично раскрыта, отточил свои знания в области шифрования и два года спустя выбрал более безопасные схемы шифрования, которые использовали 1024-битные ключи.

Как отмечает руководитель Cisco Talos в регионе EMEA Мартин Ли: «Я думаю, мы, вероятно, можем предположить, что это было успешным для лиц, стоящих за этим, и, похоже, это породило или, по крайней мере, вдохновило на создание целой индустрии программ-вымогателей».

В телефонном разговоре с The Register, Ли напоминает этому репортеру, чья семья не имела никакого компьютера, не говоря уже о подключении к Интернету, когда произошли эти события, что в то время офисы только начинали получать широкомасштабные развертывания Ethernet-подключений. Глобальное сообщество кибербезопасности также было еще очень маленьким.

Его комментарии не только служат напоминанием о том, насколько незрелыми были технологии в то время по сравнению с современными стандартами, но и о причине, по которой программы-вымогатели начинали становиться потенциально более прибыльными.

Теперь киберпреступники могли массово настигать жертв благодаря Интернету в сочетании с уровнем кибергигиены, который все еще был довольно низким. Эти ребята больше не будут рассылать дискеты. Но только с появлением биткоина и других криптовалют в 2008 году программы-вымогатели заблокировали последнюю часть головоломки — надежное средство для обеспечения платежей. А остальное, как говорится, уже история.

Обзор года

Урок истории окончен, давайте взглянем на наследие Поппа в 2024 году.

Вам, вероятно, не нужно, чтобы я говорил вам, что дела с программами-вымогателями действительно плохи. Мы 35 лет изучаем работу этого бизнеса и, по-видимому, не приближаемся к соглашению о том, как его остановить. Отрасль даже не может достичь консенсуса о лучшем подходе к этому, не говоря уже о том, как на самом деле реализовать это видение. Это оставляет нас здесь, в Манчестерском бюро Vulture Towers, оглядывающимися назад на то, насколько разрушительным был прошлый год, как на нашей земле, так и за пределами наших морей.

Близко к The RegisterВ лондонской штаб-квартире мы недавно стали свидетелями самого худшего случая программ-вымогателей, когда банда INC Ransom нацелилась на детскую больницу Alder Hey, что стало последним из четырех крупных нападений на NHS в этом году и вторым, нанесенным теми же руками.

На другом берегу реки Мерси в Англии, всего за несколько дней до атаки на Alder Hey, три центра, находящиеся в ведении Wirral University Teaching Hospitals, подверглись атаке отдельных мошенников-вымогателей, которые до сих пор не раскрыли себя, в то время как INC нанесла удар по NHS Dumfries и Galloway в Шотландии в начале этого года. Кроме того, последствия атаки Qilin на компанию Synnovis, предоставляющую услуги по патологии, все еще ощущаются в некоторых лондонских больницах сегодня.

Что касается других направлений здравоохранения, то, согласно недавним финансовым отчетам, атака ALPHV/BlackCat на UnitedHealth обошлась компании в сумму, значительно превышающую 2 миллиарда долларов, что делает ее одной из самых дорогостоящих атак в истории.

В начале года были атакованы две детские больницы в Чикаго — LockBit хвасталась своей атакой на больницу Святого Антония, в то время как те, кто стоял за атакой на детскую больницу Лури несколько дней спустя, были слишком робки, чтобы признаться в содеянном.

Мы почти наверняка упустили некоторые другие важные персоны из этого списка, но эти были наиболее предосудительными с моральной точки зрения, по крайней мере для нас.

Появляются зеленые ростки, но небо остается темным

Но не все плохие новости, поскольку и ALPHV, и LockBit, два самых громких имени в игре, были закрыты в этом году. Конечно, другие группы подхватили слабину, но срыв LockBit копами был особенно знаменательным.

Они не только полностью уничтожили репутацию бренда, но и разоблачили человека, стоявшего за всей операцией. Со стороны это казалось важным моментом, но для тех, кто отвечал за уничтожение Дмитрия Хорошева, человека, подозреваемого в том, что он был главарем банды, это, должно быть, стало кульминацией карьеры.

Операция «Эндшпиль» продолжила предоставлять план для будущих нарушений правопорядка. Операция «Кронос», операция «Магнус» и другие — все они в разной степени копировали ту же тактику унижения. Нам сказали, что полицейские будут продолжать использовать этот подход вместо проведения ключевых арестов.

Хотя в этом году было произведено впечатляющее количество арестов, включая аресты членов Scattered Spider и ключарей LockBit, нет никаких признаков нарушения бизнес-модели в той степени, чтобы мы начали видеть снижение числа атак.

Национальные агентства по кибербезопасности, такие как CISA и NCSC Великобритании, в прошлом году продвигали старую идею внедрения принципов безопасности по проекту (SBD) в программное обеспечение. Идея заключается в том, чтобы сократить количество уязвимостей в продуктах до их отправки, хотя история научила нас, что это легче сказать, чем сделать.

Ранее в этом году мы сообщали из CYBERUK, что NCSC считает, что отрасль также должна ввести рыночные стимулы для поставщиков, чтобы они производили безопасные продукты с самого начала.

Технический директор агентства Олли Уайтхаус заявил в то время: «У нас нет технологической проблемы. Мы знаем, как создать технологию, устойчивую к кибербезопасности. Для этого у нас есть фундаментальная рыночная проблема. Поэтому то, как мы стимулируем этот рынок сделать это, будет зависеть от нас всех в следующем периоде, если мы хотим в конечном итоге победить».

Ли из Cisco Talos предлагает нам другую точку зрения, которую разделяют многие уголки отрасли по поводу этой спорной идеи. Он признает сложность внедрения SBD в масштабах всей отрасли, предполагая, что простого правильного выполнения основ: развертывания обнаружения и реагирования конечных точек по всему миру, получения ценной видимости и обеспечения надлежащей настройки систем достаточно для предотвращения большинства нарушений в текущей среде. Конечно, поддержание резервного копирования также является ключевым фактором.

«В идеальном мире, да, системы должны быть просто безопасными. Однако разработка программного обеспечения сложна», — говорит он.

«Достаточно сложно создать программное обеспечение, которое делает то, что оно должно делать, и соответствует своим требованиям. Чтобы что-то было безопасным, оно должно не только делать то, что оно должно делать, но и никогда не делать ничего другого.

«Никто не хочет писать уязвимости. Никто не выходит утром и не думает: «А знаете что? Сегодня я собираюсь закодировать действительно большую уязвимость программного обеспечения». Никто этого не делает. Но эти вещи проникают просто потому, что разработка программного обеспечения — это сложно».

Поэтому некоторые эксперты считают, что искоренить уязвимости в источнике невозможно, и мы не можем арестовать многих крупных игроков из-за отсутствия соглашений об экстрадиции с враждебными государствами. Другой основной подход к прекращению программ-вымогателей навсегда является самым спорным из всех — запрет платежей, — но, опять же, эксперты не могут прийти к единому мнению и по этому вопросу.

С тех пор как стервятники изучили аргументы вокруг запрета платежей на прошлое Рождество, отрасль остается на перепутье по этому вопросу с небольшим материальным прогрессом, который можно продемонстрировать за год. Изменится ли ситуация к лучшему в 2025 году? Вероятно, нет. Но сейчас просто убедитесь, что ваши резервные копии обновлены до дня рождения Иисуса, и надейтесь, что ничего не пойдет не так во время праздников, прежде чем вы снова займете оборонительные позиции в следующем году. ®

Новости сегодня

Последние новости