В апреле хакеры потребовали выкуп у сети лондонских школ «Харрис». «Сперва я запаниковал», — признался исполнительный директор сэр Дэн Мойнихан (Dan Moynihan). Дело было не только в том, что перестали работать компьютеры: в некоторых из 50 школ физически не открывались электронные двери.
Взломщики потребовали 3 миллиона фунтов стерлингов. Мойнихан возразил через посредника, что для благотворительной образовательной организации эта сумма «совершенно безумная», но его не послушали. Хакеры парировали, что, если Харрис не заплатит, школы останутся без доступа к своим сетям, а конфиденциальные данные будут слиты в интернет.
Харрис стал жертвой преступников-вымогателей — это современная версия разбойников с большой дороги. Школы и благотворительные организации, компании, частные лица и правительство — уязвим любой, у кого есть компьютерная сеть. Это стало острой проблемой для всего Запада.
Атаки программ-вымогателей обсуждались на июньском саммите «Большой семерки», и в коммюнике саммита прозвучал призыв к действию. Президент Джо Байден недавно рассказал об усугубляющемся кризисе сотрудникам Управления национальной разведки. Правда, своим замечанием, что «если всё закончится настоящей перестрелкой с крупной державой, это станет следствием серьезной кибератаки», Байден выдал свое полное непонимание предмета. Он просто не понимает, как работает эскалация в киберпространстве. Но ясно одно: последствия вымогательских атак его администрацию волнуют всерьез.
Большинство атак происходят примерно под одному и тому же сценарию. Сначала хакер получает доступ в сеть, нередко через фишинговое письмо, которое кто-то открыл. Порой применяются более изощренные методы: создается впечатление, что письмо прислал коллега. Затем внедряется вредоносное программное обеспечение: это блокирует доступ пользователей к системе и позволяет красть данные.
Следующий шаг — требование выкупа в криптовалюте, нередко на плохом английском на уровне гугл-переводчика. Жертве могут даже прислать часть данных, чтобы показать, чтó конкретно хакеры предадут огласке, если захотят. Более искушенные хакеры обычно исследуют возможности той или иной компании. Некоторые даже взламывают ее политику безопасности. Затем жертве «предложат» «купить» ключ-дешифровщик, чтобы получить обратно доступ к своим данным.
Кибератаки чреваты хаосом. В прошлом месяце преступники взломали компанию по удаленному обслуживанию программного обеспечения в Майами под названием Kaseya и шантажировали свыше тысячи организаций по всему миру. В результате закрылись несколько школ в Новой Зеландии, а полтысяче магазинов шведской продуктовой сети Coop пришлось бесплатно раздавать свежие продукты, чтобы они не испортились: не работали кассы.
В мае трубопровод [Colonial Pipeline], через который на восточное побережье Америки поступает половина топлива, вышел из строя из-за вымогательской атаки. (Байден ввел чрезвычайное положение для обеспечения поставок.) В какой-то момент почти две трети заправочных станций в Северной Каролине вышли из строя, и выстроились очереди из перепуганных покупателей. Вскоре после этого Ирландия впервые пала жертвой точечной атаки на всю систему здравоохранения. Пришлось отменять плановые операции и откладывать терапию от рака. Единственное, что уцелело изо всей ирландской сети, — это база данных о вакцинации. Но, словно в доказательство, что и это не табу, на этой неделе пострадала итальянская система бронирования уколов.
Кто же стоит за атаками программ-вымогателей? Организованные преступники из России и других стран. В основном мужчины и притом сравнительно молодые, они нападают только на Запад. И они покупают и продают услуги друг у друга, устроив этакий антизападный междусобойчик. Некоторые работают втихую, другим, наоборот, нравится дурная слава.
Например, группа REvil (Р-Злой) даже отчитывается в своем «Счастливом блоге» о том, как хорошо налажено их «клиентское обслуживание», а также о том, какие данные уже слиты или будут выставлены на продажу. Зарабатывают они хорошо. Британская фирма Elliptic недавно подсчитала, что DarkSide, хакерская группировка, взломавшая трубопровод, только за девять месяцев получила выкупа на 90 миллионов долларов.
И в этом корень проблемы: кибервымогательство выгодно. Тому есть три причины. Во-первых, безопасную среду обеспечивает российское государство. На Западе бы REvil и DarkSide не выжили бы, но доколе хакеры не трогают «своих», то есть русских, и, когда попросят, сотрудничают с государством, им позволяют действовать безнаказанно. Россия их не выдаст, и поэтому мы ничего поделать не можем. Во-вторых, хакеры целятся в давнишние слабости в кибербезопасности западных организаций — слишком многие из них пренебрегают резервным копированием и защитой данных. В-третьих, заплатить легко, и люди часто соглашаются. Иногда расходы на избавление от вымогателей даже покрывает страховка, и, поскольку платежи производятся в криптовалюте, их очень трудно отследить.
Но всех проблем одним выкупом не решить. Программы-вымогатели бьют по компьютерам, поэтому тратить время и деньги на починку сетей жертве все равно придется. Более того, очень немногие ключи-дешифровщики работают гладко, а где-то 5% не работает в принципе.
Но ответный удар, возможно, уже наносится. «Большая семерка» уже продемонстрировала осознание проблемы. Великобритания крепит киберзащиту и работает с союзниками над дальнейшими улучшениями. Резервные копии в большинстве британских организаций сейчас в лучшем состоянии, чем пять лет назад, а значит, доступ в сети преступникам затруднен. Кроме того, Великобритания провела очистку цифровой среды: доля вредоносных сайтов, через которые загружаются вредоносные программы, упала с более чем 5% в 2016 году до примерно 2% сегодня.
Но еще более важно то, что делает против русских хакеров Америка. Администрация Байдена, похоже, сознает масштаб проблемы. На прошлой неделе была создана целевая группа по программам-вымогателям, которая получила 10 миллиардов долларов на улучшение кибербезопасности. Ясно, что Америка противодействует прямому разрушению цифровой инфраструктуры от преступных кибератак. Режим Путина настолько встревожился, что даже разработал антидемократический план, как отключить Россию от глобальной сети в случае кибер-кризиса, то есть наших ответных атак.
Еще одна задача для целевой группы Байдена — рассмотреть, как перекрыть преступникам приток денег. Это правильно. Мы должны подавить киберпреступников финансово точно так же, как после 11 сентября — террористов. Нельзя исключать никакие меры, вплоть до запрета на выплату выкупа и более жесткого регулирования криптовалют. Потребуется дополнительная государственная поддержка жертв, иначе налицо несоответствие: программы-вымогатели называются угрозой национальной безопасности, однако пострадавшим компаниям приходится принимать решения самостоятельно.
Есть признаки, что давление Байдена на Путина может сработать. После июньского саммита США и России в Женеве банда REvil таинственным образом перестала существовать. Может, потому, что они стали для Путина проблемой, а может, они попросту прикрыли лавочку на лето (для хакеров это не редкость). Время покажет.
А пока мы сидим и ждем, пока правительства осознают проблему и примут должные меры, этот год преподал нам главный урок о кибер-шантажистах. Вот тон: не платите им ни в коем случае. Компания Colonial Pipeline уплатила злоумышленникам 4,4 миллиона долларов. А затем выяснилось, что ключ не работает, и предстоят огромные расходы на восстановление. И глобальный бразильский продавец мяса JBS отчего-то решил заплатить REvil 11 миллионов долларов, хотя их системы даже не пострадали.
А вот сэр Дэн Мойнихан и его команда, наоборот, твердо вознамерились восстановить свои системы и данные. Вышло недешево — полмиллиона фунтов — но все же намного меньше, чем требовали преступники. Правительство Ирландии тоже не сдалось. В результате ни правительство, ни школа от серьезных утечек не пострадали. И, что очень важно, они не «спонсировали преступное предприятие», как выразился бывший глава американской службы кибербезопасности Крис Кребс (Chris Krebs). За это они заслуживают всяческих похвал, потому что единственное, что гарантирует уплаченный выкуп, — это новые программы-вымогатели.
Киран Мартин — профессор школы Блаватника при Оксфордском университете и бывший руководитель Национального центра кибербезопасности.
