«Неслыханный размах»: киберпреступники атакуют российский бизнес

В «Лаборатории Касперского» рассказали, сколько граждане и компании платят киберпреступникам

Владимир Трефилов/РИА «Новости»
В «Лаборатории Касперского» отмечают неслыханный размах кибератак на бизнес и возросший в разы «ценник»: в последнее время минимальный выкуп за зашифрованные или похищенные данные начинается с миллиона долларов в биткоинах. Почему преступники переключились с банков и бирж на частные компании и инфраструктуру, что можно сделать для защиты индустриальных объектов, сколько просят в качестве выкупа и можно ли отследить транзакции и вернуть часть похищенного, «Газета.Ru» узнала у главного технологического эксперта «Лаборатории Касперского» Александра Гостева.

— Самые громкие случаи кибератак – почти исключительно на бизнес. Какими способами сейчас вымогают деньги у компаний?

— Сначала традиционные киберпреступные группировки интересовали исключительно финансовые институты – банки, но сейчас мы видим просто полное покрытие всех возможных индустрий и бизнесов.

И способов зарабатывания денег на бизнесе появилось большое количество. Если раньше просто крали деньги, то сейчас они, во-первых, могут шифровать данные, потом просить выкуп за расшифровку – это самые, наверное, громкие истории последнего года. Помимо шифрования данных активно используется методика банальной кражи этих данных. Перед тем, как зашифровать, вся информация из компании сливается, и [преступники] говорят: «Если не заплатите за расшифровку, мы эти данные опубликуем, и все ваши коммерческие тайны станут общедоступны», либо эти украденные данные потом продаются на черном рынке: компаниям-конкурентам или другим киберпреступникам для последующих атак и т.д.

Проблема с шифрованием данных – это сейчас угроза номер один. Буквально в последние 3–4 года это приобрело просто какой-то неслыханный размах. И ценник значительно вырос.

Если раньше, 2-3 года назад, злоумышленники в случае заражения крупной компании просили выкуп в размере нескольких десятков тысяч долларов, сотен тысяч долларов – максимум, то сейчас минимальная планка [разового выкупа] – это $1 млн, $3 млн. Зависит, конечно, от индустрии, но доходит до $11–15 млн.

Если мы возьмем просто атаки на бизнес, то были оценки, что общий доход киберпреступности от программ-шифровальщиков только за прошлый год составил $5–6 млрд – это компании заплатили в качестве выкупа. Понятно, что здесь курс биткоина очень сильно на этот ценник повлиял. Если бы биткоин стоил в 5 раз дешевле, цифры были бы в 5 раз меньше.

— Покупка биткоина под выкупы могла повлиять на курс криптовалюты?

— Компании, попавшей под атаку шифровальщика, нужно платить выкуп в биткоинах. Что она делает? Она идет на биржу и покупает эти биткоины по любой цене, тем самым толкая цену биткоинов еще выше.

Я в принципе уверен в том, что прошлогодний рост стоимости биткоина, с 10 до 60 тыс. долларов за биткоин, во многом обусловлен этим спросом со стороны пострадавших от киберпреступников компаний.

Они либо вынуждены покупать [криптовалюту], либо есть такая практика: многие компании заранее, подозревая о том, что они могут стать жертвой подобных кибератак, часть своего бюджета на IT и ИБ [информационную безопасность] выделяют на закупку биткоинов, мол, «пусть лежат, мало ли чего». Это абсолютно реальные истории.

— Имеет ли смысл платить киберпреступникам за дешифровку данных?

— Если вы не защищались никак, и вас так или иначе заразили, есть три варианта. Если вы заплатите, вероятность того, что данные вам восстановят, достаточно высока. Есть статистика, что 90% с лишним тех, кто заплатил, свои данные обратно получает. Но не 100%, имейте в виду.

Второе: даже если вы заплатите и вам данные восстановят, это абсолютно не дает никаких гарантий того, что через неделю или через две к вам не вернутся снова, что вся история закончилась. Все равно вам так или иначе нужно будет тратить еще деньги на создание хоть какой-то нормальной защиты – не просто банальный антивирус [поставить], но, например, бэкапы, менеджер паролей.

Если вы не заплатите или не хотите платить – то в случае небольшой компании у вас очень большой оборот документов идет в электронной почте. В 70% случаев около 90% зашифрованных файлов удавалось восстановить просто из электронной почты. Надо посмотреть, насколько вы в состоянии восстановить данные, и оценить, что потеряется: может, и не стоит за это платить. Вы также можете попробовать восстановить ваши данные при помощи различных программ. Мы сами иногда можем восстановить данные, поскольку нам уже могут быть известны алгоритмы, которые используют шифровальщики. И у нас есть набор бесплатных утилит на нашем сайте.

Еще есть такой проект No More Ransom, который существует уже много лет.

Мы являемся одним из его участников, он был создан изначально нами совместно с Интерполом, с Европолом и т.д. Можете пойти там попытаться найти ключи от расшифровки, там целая коллекция.

Когда полиция какой-то страны арестовывает хакеров или получает доступ к их серверам, где хранятся эти ключи на расшифровку, она их как раз отдает No More Ransom. Есть достаточно высокая вероятность того, что вы восстановите данные, правда, иногда не мгновенно – известны случаи, когда ключ появлялся год спустя.

— А при атаках на частных лиц размер выкупа как-то изменился?

— Атаки на частных лиц – это то, вообще, с чего вся эта индустрия начиналась. Лет 5–6 назад суммы варьировались от 5 до 20 тыс. рублей с частных лиц. Потом [киберпреступники] поняли, что выгоднее атаковать компании. И, собственно, ценник вырос. Обычно от 50 тыс. рублей начинается, а уже дальше, как человек себя поведет, хоть до миллиона [могут потребовать]. В процессе переписки со злоумышленником многие пытаются торговаться, снизить цену. Это говорит о том, что люди готовы платить. И дальше уже можно взять с них денег, потом сказать: «доплатите еще», или через неделю прислать новое письмо.

Если мы будем говорить про какие-то новые именно технологии, которые у нас появились за последнее время, то здесь есть очень много вопросов, в первую очередь, к разработчикам мобильных операционных систем. Рыночная доля iPhone не такая большая, порядка 10%, и с точки зрения защищенности он, конечно, впереди планеты всей. Создав приложение, вы не можете взять и опубликовать в App Store, там проходят многомесячные проверки всего вашего кода. Если мы говорим про Android, то здесь все проще. Платите Google Play, по-моему, 10 или 25 долларов, публикуете это приложение. К тому моменту, когда в нем найдут какой-то вредоносный код и компания Google его удалит из Store (и может удаленно стереть со всех телефонов, на которые оно уже установлено, к счастью, такая функция есть), проходит иногда несколько недель.

Каждый год мы фиксируем несколько очень крупных эпидемий, связанных с распространением троянских программ именно через Google Play. Последние годы очень популярны, допустим, поддельные приложения для торговли криптовалютой, криптокошельки. На самом деле это троянская программа.

Вы думаете, что криптокошелек ваш, а это уже не ваш криптокошелек, все ваши биткоины утекают злоумышленникам. В том числе мы отмечали подобные программы, созданные, например, северокорейскими хакерами, которые, как считается, работают на государство. Поскольку Северная Корея давно и глубоко находится под санкциями, у них стоит вопрос зарабатывания денег всеми доступными способами. Они атаковали банки, самая громкая история – это когда они пытались украсть миллиард долларов из Центрального банка Бангладеш. Со временем они перешли от атак на банки к атакам как раз на криптовалютные биржи, площадки, обменники. И сейчас уже стали атаковать просто обычных держателей криптовалют. Северная Корея таким образом себе пытается пополнить бюджет путем кражи биткоинов, поскольку SWIFT у них не работает, обычные деньги не функционируют.

— Кто в основном атакует бизнес в России?

— Атаки вообще на крупный российский бизнес, целевые точечные атаки – источниками зачастую являются, допустим, китайские хакеры. Они регулярно атакуют российские госструктуры, научно-исследовательские институты, частные компании. Они это делают не только в отношении России, но и по всему миру. Китайских хакеров интересуют в первую очередь именно технологии, кража интеллектуальной собственности. Были случаи, когда некоторые из российских софтверных компаний, которые делают какой-то софт или игры, например, оказывались жертвами атак со стороны этих китайских хакеров, а потом спустя короткое время в Китае появлялись полные клоны их приложений или игр.

И, конечно, история с пандемией, когда в прошлом году у нас весь мир оказался сидящим по домам, и многие компании оказались не готовы к такому формату удаленной работы. Поскольку одно дело, когда вы защищаете локальную сеть компании, внутри компании все устройства можно как-то контролировать.

Когда у вас тысяча сотрудников из дома выходят в интернет через незащищенные соединения со своих домашних ноутбуков, телефонов, планшетов и так далее, то у большинства компаний, которые слабо занимаются именно полноценной информационной безопасностью внешних сотрудников, это выпадает из защиты. И злоумышленники начинают проникать через слабые звенья этой цепи.

— Что касается атак на индустриальные объекты, насколько сложнее и дороже будет защитить, например, источники возобновляемой энергетики и энергетическую сеть? Там ведь больше уязвимостей?

— Если мы говорим про энергетику, то нужно понимать, что все управляющие системы – что в «зеленой» энергетике, что в традиционной – используются одни и те же. Источником поступления электрического сигнала может являться либо ветряк, либо турбинная гидроэлектростанция. Так или иначе дальше в действие включаются традиционные системы для управления промышленным производством – SCADA [диспетчерское управление и сбор данных]. Архитектура в целом была разработана были еще в ХХ веке, в 80-е годы. Что ветряки, что какие-то солнечные станции, что гидроэлектростанции, что атомные электростанции – для компаний, которые занимаются информационной безопасностью, их внутренние сети – это в принципе одно и то же.

Технология, при помощи которой можно физически вмешаться в физический производственный процесс, к сожалению, существует. С 2010 года идет «гонка кибервооружений» для нападения и защиты от подобных атак. Вирус, попав в сеть энергетической компании, транспортной, нефтедобывающей, перерабатывающей просто поражал все, процесс вставал. И это, к сожалению, не какая-то фантастика, это происходит прямо сейчас. И дальше, с развитием этих умных технологий, ситуация конечно же будет ухудшаться.

Мы, глядя, как это все развивается и к чему идет, пришли к выводу, что защищать подобные вещи традиционными технологиями безопасности не очень эффективно. Нужно кардинально менять подход к архитектуре этих систем, и используемых там принципов приложений. Поэтому у нас уже много лет ведется разработка собственной операционной системы KasperskyOS, которую мы создаем для сфер применения с повышенными требованиями к безопасности, и промышленность, конечно, к ним относится.

Наша операционная система должна обеспечить иммунность.

Мы здесь имеем ввиду то, что, во-первых, стоимость атаки, если она вообще возможна на подобную систему, для злоумышленников будет запредельно высока.

Когда злоумышленникам нужно будет потратить десятки миллионов долларов, провести, возможно, многолетние исследовательские работы, для которых нужны будут десятки, если не сотни инженеров, чтобы атаковать вашу компанию, я думаю, что они уже не станут в эту историю лезть.

Второе – это, собственно, сама по себе концепция безопасной операционной системы, которой в принципе невозможно нанести ущерб. Даже если будет создан какой-то эксплойт для одного из элементов ИТ-системы, то он не сможет получить доступ к другим приложениям. Это такая система, в которой взаимодействие внутренних элементов жестко ограничено, и даже если найдется один, в котором есть уязвимость, он не сможет ничего сделать.

У нас уже есть реальные примеры реализации. В этом апреле мы запустили продажи нашего кибериммунного шлюза данных для промышленности. Это совместная разработка с нашей дочерней компанией «Апротех». Это устройство гарантирует безопасную одностороннюю передачу данных от промышленных устройств к облачным системам управления. Оно на базе нашей операционной системы, которая как раз полностью снимает вероятность доступа хакерам к этому промышленному оборудованию. Его невозможно взломать. Мы движемся к тому, чтобы полная защищенность такой системы была доказуема математически, в рамках формальной модели. У нас еще есть и другие устройства, которые уже тоже эксплуатируются в реальных пилотных проектах, например, защищая системы умного города в Оренбурге, и даже работая в железнодорожной инфраструктуре. Мы ведем разработки версии этой системы для автомобильной промышленности, на основе ее можно будет создавать умные и безопасные электронные блоки управления автомобилем.

Мы для себя видим будущее компании не только как производителя классических защитных, в том числе антивирусных, решений, а как раз как компании, которая производит операционную систему для безопасных умных устройств, умных домов, умных предприятий. Я верю, что мы изменим мир в лучшую сторону, и наш подход к архитектуре ИТ-решений, основанный на идеях кибериммунности и врожденной безопасности, security by design, станет универсальным.

По этому пути будем двигаться не только мы, но мы оказались первыми и ведем других за собой.

— Почему мы часто слышим про атаки «русских хакеров» на Западе, но не в России?

— У этой русскоязычной киберпреступности есть такое правило: «Не работай по .ru». То есть они не атакуют компании в тех странах, где они находятся – в России, на Украине, в странах бывшего СССР в целом — чтобы избежать преследования. Если они атакуют в России какую-то компанию, полиция начнет это расследовать, и их, возможно, найдут и осудят. Если какую-то американскую компанию – шансов на то, что их найдут и привлекут к ответственности, конечно, чуть больше нуля, но они крайне малы.

Мы здесь, конечно, надеемся, что хотя бы та практика [взаимодействия спецслужб], минимальная даже, которая была, все-таки будет восстановлена. Другой вопрос, что по Конституции, Россия не выдает своих граждан другим странам. Но и это спецслужбы США умеют обходить: известны случаи арестов русскоговорящих преступников во время выезда в отпуск на Мальдивы, например.

— Когда они переводят криптовалюту с одного кошелька на другой, это же уникальные денежные единицы, можно как-то отследить транзакции?

— Можно, существуют различные методики отслеживания вот этих транзакций даже, если используются какие-то миксеры – сайты такие, куда засылается одна сумма в криптовалюте, она там дробится на сотни разных и через сотни кошельков выводится, но потом в конечном итоге оно все сходится опять в один некий кошелек. И технология отслеживания этих транзакций, разной степени эффективности, они, конечно, существуют. Например, есть такая американская компания Chainanalysis. Они этот сервис продают по подписке спецслужбам, правоохранительным органам разных стран мира, и они могут отслеживать в разной степени успешности.

Можно увидеть, что эти деньги пришли на какую-то криптобиржу, и уже связавшись с ней, конкретный кошелек можно заморозить. Например, закрыть к нему доступ со стороны владельца.

Потому что киберпреступники, когда делают все эти криптовалютные транзакции, конечно, полагаются в целом, что там все анонимно и безопасно. Но следы все равно остаются, и, если они допустят какую-то одну ошибку, их можно отследить и этих денег лишить.

Что уже случилось с киберпреступниками, которые [взяли выкуп] с американской Colonial Pipeline: часть этих денег в итоге американские спецслужбы смогли отследить и получить доступ к этому кошельку.

Гораздо более важно просто показать киберпреступникам, что безнаказанности нет, что их все равно так или иначе могут найти, и, если не арестовать, то, по крайней мере, заморозить им какие-нибудь банковские счета, отслеживать транзакции в криптовалютах. То есть, блокировать деньги, которые они в итоге пытаются украсть или потом как-то отмыть. Нужно показывать тем людям, которые пытаются зарабатывать деньги киберпреступным путем, что украденное не смогут нормально использовать — на всю жизнь будут невыездными. Как минимум, смогут поехать на курорты Краснодарского края в лучшем случае, и то не факт. Вот это нужно до киберпреступников доносить.