В США фирмы обещают спасти данные от вирусов-вымогателей «высокотехнологичным» способом. Но просто платят выкуп хакерам

За свои услуги компании начисляют тариф, который в несколько раз больше выкупа злоумышленникам.

С 2015 по 2018 годы вирус-вымогатель SamSam, который блокирует данные компьютера и просит выкуп, поразил тысячи компьютеров в Северной Америке и Великобритании, нанеся урона больше чем на 30 миллионов долларов. Он подорвал работу учреждений в Атланте, Нью-Джерси, Сан-Диего и Ньюарке, включая функционирование медицинских учреждений. Суммарно на выкупах злоумышленники заработали около шести миллионов долларов.

В США одними из крупных компаний в области восстановления данных после атаки вируса-вымогателя считаются MonsterCloud и Proven Data. Они предлагают клиентам, в числе которых муниципиальные учреждения и полиция, разблокировать данных компьютеров, поражённых вирусом. Утверждается, что с помощью высокотехнологичных средств специалисты восстановят захваченную информацию без выкупа.

На деле компании редко пытаются разблокировать данные и просто выплачивают средства хакерам, выставляя клиенту счёт по собственному тарифу, выяснило издание ProPublica, которое занимается большими журналистскими расследованиями. Основным источником репортёров выступил бывший сотрудник Proven Data Джонатан Сторфер, который участвовал в корпоративной схеме и завязывал деловые отношения с хакерами без ведома клиентов, но с разрешения начальства.

«Отцом» вирусов-вымогателей считается выпускник Гарвардского университета и антрополог Джозеф Попп младший (Joseph Popp Jr). В 1989 году он изучал теорию зарождения ВИЧ у зелёных мартышек в Восточной Африке и разослал больше 20 тысяч дискет с информацией о заболевании людям, заинтересованным в здравоохранении. После запуска носителя компьютеры получателей зависали, а на экране появлялась инструкция с требованием отправить 378 долларов по почтовому адресу в Панаме, чтобы в ответ им выслали вторую дискету для восстановления данных.

ФБР арестовали Поппа незадолго до того, как он готовился распространить ещё два миллиона носителей. США экстрадировали его в Англию, где его признали невменяемым, после чего он вернулся и поселился в штате Нью-Йорк. «Я верю, что он искренне пытался остановить распространение ВИЧ. Но он ошибся, когда занялся вымогательством. Не думаю, что он трезво оценивал последствия своих действий для других людей», — вспоминал адвокат мужчины Джон Килрой.

В 2006 году 55-летний создатель первого вируса-вымогателя разбился в ДТП, так и не увидев, как его детище стало одним из самых популярных методов киберпреступности. Ежегодно атакам подвергается полтора миллиона устройств, и в США многие жертвы обращаются в том числе в компании Proven Data и MonsterCloud. Они работают по схожей схеме, обещая клиентам восстановить данные с помощью «современных технологий», но зачастую просто платят злоумышленникам за ключи дешифровки.

Для клиента стоимость такой услуги всегда в несколько раз выше, чем цена, затребованная хакерами. Часто клиентами фирм становятся муниципальные и правительственные организации, представителям которых не сообщают, что бюджетные деньги попадают в руки неизвестных. Фирмы не раскрывают секреты «высокотехнологичных методов», которые применяют для восстановления данных. Независимые энтузиасты, которые бесплатно ищут уязвимости в коде вирусов и выкладывают решения в сеть, скептически относятся к способности компаний вроде Proven Data самостоятельно расшифровать данные.

В 2016 году команда киберспециалистов решила проверить, как именно в MonsterCloud «спасают» данные клиентов. Энтузиасты заразили свой компьютер собственным вирусом-вымогателем и обратились в компанию под видом клиентов. Вскоре на электронную почту энтузиастов, которую они выдали за адрес хакеров, пришло письмо от MonsterCloud с предложением заплатить выкуп в обмен на ключи дешифровки.

В декабре 2018 года израильская компания по кибербезопасности Check Point Software Technologies раскрыла аналогичную тактику российской компании DR.Snifro. На сайте фирмы сказано, что она «единственная специализируется на расшифровке файлов», а её услугам доверяют крупный российский перевозчик грузов Tranco и «Газпромпуринвест». В расследовании сказано, что сотрудники фирмы просто платили выкуп. Представители организации не ответили на запросы ProPublica, написанные на английском и русском языках.

Журналисты ProPublica встретились с главой MonsterCloud Зохаром Пинхаси, который отказался рассказать, как часто компания выплачивает выкуп. Вместо этого он ответил пространной фразой, что специалисты фирмы «работают в тени», и упирал на то, что MonsterCloud выполняет свою задачу, а детали вторичны. Пинхаси призвал обычных людей никогда не общаться со злоумышленниками, «потому что они не знают, с кем имеют дело».

В январе 2019 года в фирму обратился IT-консультант Тим Андерсон с просьбой разблокировать данные на компьютере его клиента. Работу оценили в 2500 долларов за анализ и в 25 тысяч долларов за восстановление файлов. При этом вирус-вымогатель требовал за данные два биткоина, на тот момент стоимость которых не превышала семи тысяч долларов. Когда Андерсон попросил специалистов объяснить, как они расшифруют файлы, те отказались.

«Я сразу почуял подвох. Откуда я мог знать, что они не заберут 25 тысяч и не заплатят из них семь тысяч выкупа? Клиент не понимает деталей происходящего», — объяснил мужчина. Он отказался от услуг компании и обратился к другой фирме, которая также гарантировала восстановление данных, но не скрывала, что сотрудничает с хакерами и платит выкуп.

Полицейское отделение в Трумане (штат Арканзас) заплатило MonsterCloud 75 тысяч долларов за восстановление данных в течение 72 часов. Специалисты не раскрыли, какими методами им удалось выполнить задачу, но заверили, что не платили выкуп хакерам. Однако опрошенные репортёрами независимые киберспециалисты уверены, что в компании солгали.

Иногда клиенты подозревали нечестные методы со стороны компаний. В 2016 году руководство города Саффорд (штат Аризона) наняли Proven Data для восстановления административных данных с заражённых компьютеров. Через неделю специалисты выполнили задачу и попросили за работу больше восьми тысяч долларов. Уже после оплаты администрация поняла, что часть файлов осталась заблокирована.

Proven Data согласились расшифровать их повторно, но, несмотря на многочисленные попытки, это им и не удалось. В городском управлении так и не поняли, почему Proven Data не применила тот же метод. «Если их алгоритмы справились первый раз, почему не получилось во второй?», — задался вопросом системный администратор Саффорда Кейд Брайс. Собеседники журналистов из сферы кибербезопасности предположили, что в первый раз компания просто заплатила выкуп, но ошибки в коде вируса привели к перманентному повреждению файлов.

У специалистов Proven Data был список хакеров со стороны, которые за оплату предоставляли ключи для расшифровки данных. О происхождении этих людей в фирме не знали, каждый выставлял собственный тариф — кто-то помогал компании за четыре тысячи долларов, а кто-то требовал 10 тысяч долларов. Сами хакеры не любили, когда их так называли, предпочитая образ делового партнёра.

Из материала ProPublica следует, что такое сотрудничество компании с третьими лицами никак не регулируется и находится в серой зоне рынка. Как рассказал Сторфер, который отвечал за сотрудничество с хакерами, иногда они могли продать ключи по скидке, если специалист объяснял, что компания не может позволить себе стартовую сумму. «Они работают в области, где их все ненавидят, но они сотрудничали с нами, потому что мы уважали их», — говорит бывший работник Proven Data.

В США нет законов, запрещающих Proven Data, MonsterCloud и другим подобным компаниям платить хакерам за возвращение данных. В договоре говорится лишь о том, что фирмы должны восстановить доступ к информации, а методы их работы не регулируются. При этом юристы и правозащитники, опрошенные журналистами, предположили, что действия компаний можно трактовать как участие в преступном сговоре и компьютерном мошенничестве.

Представители Proven Data и MonsterCloud отвергли все подозрения в обмане и уточнили, что прибегают к выплачиванию выкупа лишь в крайних случаях, уведомляя об этом клиента.

В правоохранительных органах к выплатам выкупов хакерам относятся сдержанно. В 2015 году на конференции по киберзащите агенты ФБР сообщили, что зачастую бюро советует людям просто заплатить требуемую сумму. Дело в том, что вычислить и арестовать злоумышленников очень сложно, а стоимость таких операций для бюджета гораздо больше, чем несколько тысяч долларов, которые теряют жертвы вирусов-вымогателей. Играет роль и человеческий фактор — многим стыдно рассказать, что их обманули злоумышленники, и они не подают заявления в полицию.

В 2018 году Министерство финансов США запретило переводы на несколько биткоин-кошельков, заподозрив их владельцев в финансировании терроризма. При поддержке фирмы Chainalys, занимающейся отслеживанием подозрительных переводов по блокчейну, журналисты ProPublica доказали четыре случая, когда компания Proven Data переводила биткоины на эти кошельки. Вероятно, для получения ключей дешифровки данных клиентов. Как предположил Сторфер, значительная часть выкупов от вирусов-вымогателей может идти на финансирование организованной преступности или террористов.

Как говорит Сторфер, чаще всего атаки в США совершаются из России и восточной Европы, поэтому их инициаторов так сложно найти. Бывший работник Proven Data устроился в компанию через год после выпуска из колледжа, в 2017 году. Несмотря на отсутствие опыта в области кибербезопасности, его взяли на должность менеджера за 41 тысячу долларов в год.

Сторфер проработал в Proven Data полтора года, за это время наладив отношения с различными хакерами, в том числе авторами известного вируса-вымогателя SamSam. Между сторонами существовала своего рода партнёрская программа — порой злоумышленники советовали жертве обратиться за помощью в Proven Data, так как знали, что в этом случае гарантированно получат выкуп. В какой-то момент совесть вынудила Сторфера уйти, так как он устал обманывать клиентов и вести деловые отношения с неизвестными. С тех пор он трудится в сфере, не связанной с областью восстановления данных.

Если вы работаете в сфере кибербезопасности и хотите рассказать об этом (можно анонимно), то напишите на редакционную почту [email protected] или в Telegram — macon42.

#кибербезопасность #киберпреступность #мошенники #сша #лонгриды