Станция Colonial Pipeline Houston Station в Пасадене, недалеко от Хьюстона, штат Техас. Colonial Pipeline закрыла свою сеть 7 мая после атаки программы-вымогателя, затем заплатила выкуп и возобновила работу. После того, как исследователи нашли способ спасти жертв программ-вымогателей, объявление антивирусной фирмы насторожило хакеров.
11 января антивирусная компания Bitdefender заявила, что «рада объявить» о прорыве в борьбе с хакерскими атаками. Она обнаружила уязвимость в программе-вымогателе, которую банда, известная как DarkSide, использовала для замораживания компьютерных сетей десятков предприятий в США и Европе. Компании, сталкивающиеся с требованиями DarkSide, теперь могут бесплатно загрузить инструмент Bitdefender и не платить хакерам миллионы долларов выкупа. Но Bitdefender не был первой, кто обнаружил этот недостаток. Два других исследователя, Фабиан Восар и Майкл Гиллеспи , заметили уязвимость за месяц до того и начали незаметно искать жертв, чтобы помочь им.
Публикуя же свой инструмент, Bitdefender, фактически, предупредил DarkSide об ошибке, которая заключалась в повторном использовании одних и тех же цифровых ключей для блокировки и разблокировки нескольких жертв. На следующий день DarkSide заявила, что устранила проблему и что «новым компаниям не на что надеяться». «Особая благодарность BitDefender за помощь в решении наших проблем», – сказал DarkSide, – «Это сделает нас еще совершеннее».
DarkSide вскоре доказал, что это не блеф, и развязал серию атак. Тогда же он парализовал Colonial Pipeline Co, вызвав остановку трубопровода протяженностью 5500 миль, по которому транспортируется 45% топлива, используемого на восточном побережье США, за которым сразу же последовал рост цен на бензин, панические закупки газа на юго-востоке и закрытие тысяч АЗС.
В отсутствие объявления Bitdefender вполне возможно, что кризис удалось бы сдержать, и что Colonial могла бы незаметно восстановить свою систему с помощью инструмента дешифрования Wosar and Gillespie. Вместо этого Colonial заплатила DarkSide 4,4 миллиона долларов в биткойнах за ключ для разблокировки файлов. «Признаюсь, мне было неудобно видеть, как деньги уходят к таким людям», – сказал Wall Street Journal генеральный директор Джозеф Блаунт. Упущенная возможность была частью более широкой схемы неудачных или нерешительных ответов на растущую угрозу программ-вымогателей, которые во время пандемии выводили из строя предприятия, школы, больницы и правительственные учреждения по всей территории Соединенных Штатов.
Этот инцидент также показал, как антивирусные компании, стремящиеся сделать себе имя, иногда нарушают одно из основных правил кибервойны в кошки-мышки: не позволять своим оппонентам узнать, что вы выяснили. Во время Второй мировой войны, когда британская секретная служба узнала из расшифрованных сообщений, что гестапо планировало похитить и убить ценного двойного агента Джонни Джебсена, его куратору не разрешили предупредить этого агента, опасаясь раскрыть врагу его шифр.
Сегодня такие охотники за вымогателями, как Восар или Гиллеспи, пытаются продлить незнание злоумышленников о расшифровке их кодов, даже за счет меньшего количества контактов с жертвами. Рано или поздно, когда выплаты прекращаются, киберпреступники понимают, что что-то пошло не так. По словам Роба Маклеода, старшего директора подразделения реагирования на угрозы компании eSentire, занимающейся кибербезопасностью, решать о том, стоит ли рекламировать инструмент дешифрования – это «конкретное взвешенное решение».
Восар сказал, что публичный выпуск инструментов, как это сделал Bitdefender был очень рискованным шагом, поскольку выросли выкупы, а банды стали богаче и технически более подкованными. На заре программ-вымогателей, когда хакеры замораживали обычные домашние компьютеры на несколько сотен долларов, они часто не могли определить, что их код был взломан, если только им специально не указали на уязвимость. Сегодня создатели программ-вымогателей имеют доступ к реверс-инженерам и очень способным тестерам на проникновение. Именно так они и получают доступ к этим часто высокозащищенным сетям. Они загружают дешифратор, разбирают его, реконструируют и выясняют, почему мы смогли расшифровать их файлы. И через 24 часа все исправлено.
Это был не первый раз, когда Bitdefender провозгласил решение, хотя Восар или Гиллеспи нашли его раньше. Гиллеспи взломал код штамма вымогателя под названием GoGoogle и помогал жертвам без всякой помпы, в то время как Bitdefender выпустил инструмент дешифрования в мае 2020-го года. Некоторые другие компании также публично объявили о своих открытиях. «Люди отчаянно нуждаются в упоминании в новостях, а крупные охранные компании не заботятся о жертвах», – сказал Восар.
Богдан Ботезату, директор по исследованию угроз в Бухаресте, румынского отделения компании Bitdefender, сказал, что компания не знала о ранее достигнутых успехах в разблокировке файлов, зараженных DarkSide. Несмотря на это Bitdefender решил опубликовать свой инструмент, «потому что большинство жертв, попадающихся на удочку вымогателей, не имеют правильного контакта с группами поддержки вымогателей и не знают, куда обратиться за помощью, если они не имеют понятия о существовании инструментов из СМИ».
Bitdefender предоставляет бесплатную техническую поддержку более чем дюжине жертв DarkSide, и «мы считаем, что многие другие успешно использовали этот инструмент без нашего вмешательства», – сказал Ботезату. По его словам, на протяжении многих лет Bitdefender помогал частным лицам и компаниям не платить выкуп на сумму более 100 миллионов долларов. «Bitdefender признал, что DarkSide может исправить ошибку», – сказал Ботезату, – «Мы прекрасно понимаем, что злоумышленники гибки и адаптируются к нашим дешифраторам. Но DarkSide все равно «заметила проблему». Мы не верим в дешифраторы программ-вымогателей, которые могли бы быть доступны незаметно. Злоумышленники узнают об их существовании, выдавая себя за домашних пользователей или нуждающихся компаний, в то время как подавляющее большинство жертв не подозревают, что они могут вернуть свои данные бесплатно».
Нападение на Colonial Pipeline и последовавший за этим хаос на бензоколонках на юго-востоке страны, похоже, побудили федеральное правительство проявить бдительность. Президент Джо Байден издал распоряжение о повышении кибербезопасности и разработке плана федерального ответа на кибератаки. DarkSide тогда заявила, что закрывается под давлением правительства США, хотя известно, что команды вымогателей часто распускались, чтобы избежать проверки, а затем реформировались под новыми именами, или их участники создавали или присоединились к другим группам. «Какими бы искушенными они ни были, эти ребята снова появятся, и они будут намного умнее», – сказал Аарон Тантлефф, адвокат по кибербезопасности из Чикаго, который консультировал 10 компаний, атакованных DarkSide, – «Они вернутся с удвоенной силой».
По крайней мере, до сих пор частные исследователи и компании часто оказывались более эффективными, чем правительство, в борьбе с программами-вымогателями. В октябре прошлого года Microsoft нарушила инфраструктуру Trickbot сети из более чем миллиона зараженных компьютеров, которые распространяли печально известный штамм вымогателей Ryuk, отключив его серверы и средства связи. В том же месяце швейцарская почтовая служба ProtonMail закрыла 20 000 учетных записей, связанных с Ryuk.
Восар и Гиллеспи, которые принадлежат к всемирной группе добровольцев под названием «Группа охоты на вымогателей», взломали более 300 основных штаммов и разновидностей программ-вымогателей, избавив примерно 4 миллиона жертв от выплаты миллиардов долларов. Напротив, ФБР редко расшифровывает программы-вымогатели или арестовывает злоумышленников, которые обычно базируются в таких странах, как Россия или Иран, не имеющих соглашений об экстрадиции с США. Например, считается, что DarkSide работает за пределами России. Гораздо больше жертв обращаются за помощью к «Охотничьей команде» через веб-сайты, поддерживаемые ее членами, чем к ФБР.
Секретная служба США также расследует программы-вымогатели, которые входят в сферу ее компетенции по борьбе с финансовыми преступлениями. Но, особенно ее активность усиливается в годы выборов, хотя иногда она и переключает агентов с киберзаданий для выполнения своей более известной миссии по защите президентов, вице-президентов, кандидатов от основных партий и их семей. Европейские правоохранительные органы, особенно голландская национальная полиция, преуспели в задержании злоумышленников и захвате серверов гораздо больше, чем ФБР.
Точно так же, можно констатировать, что правительство США добилось лишь скромных успехов в том, чтобы подтолкнуть частный сектор, в том числе трубопроводные компании, к усилению защиты кибербезопасности. Надзор за кибербезопасностью разделен между несколькими агентствами, что затрудняет координацию. Так, министерство внутренней безопасности (DHS) само отдельно от других правительственных структур проводит оценку уязвимости критически важной инфраструктуры, в том числе трубопроводов. Оно анализировало работу Colonial Pipeline примерно в 2013-м году как часть исследования мест, где кибератака может вызвать катастрофу. По словам бывшего чиновника DHS, трубопровод был признан устойчивым, а это означает, что он может быстро восстановиться.
Пять лет спустя DHS разработало инициативу по обеспечению кибербезопасности конвейера, чтобы выявить слабые места в компьютерных системах конвейеров и рекомендовать стратегии их устранения. Участие является добровольным, и человек, знакомый с инициативой, сказал, что это более полезно для небольших компаний с ограниченным внутренним опытом в области ИТ, чем для крупных, таких как Colonial. Национальный центр управления рисками, который курирует эту инициативу, также занимается и другими сложными вопросами, такими как безопасность выборов.
Количество программ-вымогателей резко возросло с 2012-го года, когда появление биткойнов затруднило отслеживание или блокировку платежей. Тактика преступников эволюционировала от неизбирательных кампаний «распыляй и молись», требующих несколько сотен долларов за штуку, до нацеленных на конкретные предприятия, правительственные учреждения и некоммерческие группы с многомиллионными требованиями. В частности, во время пандемии увеличилось количество атак на предприятия энергетики, причем не только в США, но и в Канаде, Латинской Америке и Европе. По словам Маклеода, поскольку компании разрешили сотрудникам работать из дома, они ослабили некоторые меры безопасности.
С 2019-го года многочисленные банды усилили давление с помощью техники, известной как «двойное вымогательство». При входе в систему они крадут конфиденциальные данные перед запуском программы-вымогателя, которая кодирует файлы и делает невозможным выполнение повседневной работы больниц, университетов и городов. Если потеря доступа к компьютеру недостаточно пугает, они угрожают раскрыть конфиденциальную информацию, часто публикуя образцы в качестве рычага. Например, когда департамент полиции Вашингтона, округ Колумбия, не заплатил выкуп в размере 4 миллионов долларов, который требовала банда по имени Бабук, то она опубликовала брифинги разведки, имена подозреваемых в совершении преступлений и свидетелей, а также личные дела, от медицинской информации до проверки на полиграфе. результаты офицеров и кандидатов на работу.
DarkSide, появившийся в августе прошлого года, олицетворяет эту новую породу. Он выбирал цели на основе тщательного финансового анализа или информации, полученной из корпоративных электронных писем. Например, он атаковал одного из клиентов компании Тантлефф в течение недели, когда хакеры знали, что компания будет уязвима, потому что она переносила свои файлы в облако и не имела чистых резервных копий.
Чтобы проникнуть в целевые сети, банда использовала передовые методы, такие как «эксплойты нулевого дня», которые немедленно используют уязвимости программного обеспечения, прежде чем их можно будет исправить. Оказавшись внутри, они быстро продвигаются в поисках не только конфиденциальных данных, но и полиса киберстрахования жертвы, чтобы привязать свои требования к сумме покрытия. После двух-трех дней поисков DarkSide зашифровал все файлы.
«У них более быстрое окно атаки», – сказал Кристофер Баллод, заместитель управляющего директора по киберрискам в Kroll, фирме, занимающейся бизнес-расследованиями, которая консультировала полдюжины жертв DarkSide, – «Чем дольше вы живете в системе, тем больше вероятность, что вас поймают». Как правило, требования DarkSide были «на высоком уровне», от 5 миллионов долларов и выше, сказал Баллод. Одна пугающая тактика: если публично торгуемые компании не заплатят выкуп, DarkSide грозит делиться украденной у них информацией с короткими продажами, которые получат прибыль, если цена акций упадет после публикации.
Сайт DarkSide в темной сети идентифицировал десятки жертв и описал конфиденциальные данные, которые он, как утверждается, украл у них. Одним из них была новоорлеанская юридическая фирма Stone Pigman Walther Wittmann. «Это было большим раздражением», – сказал адвокат Фил Виттманн, имея в виду атаку DarkSide в феврале. «Мы им ничего не заплатили», –сказал Майкл Уолш-младший, председатель правления компании, отказавшись от дальнейших комментариев.
В ноябре прошлого года DarkSide приняла так называемую модель «программы-вымогателя как услуги». Согласно этой модели, он сотрудничал с аффилированными лицами, которые проводили атаки. Филиалы получили от 75% до 90% выкупа, а DarkSide оставляла себе оставшуюся часть. Как следует из этого партнерства, экосистема программ-вымогателей является искаженным зеркалом корпоративной культуры со всем, от собеседований до процедур разрешения споров. После закрытия DarkSide несколько человек, назвавшихся ее аффилированными лицами, пожаловались на форуме по разрешению споров на то, что они оказали им жесткое давление. «Цель нашей атаки заплатила выкуп, но я не получил свою долю», – написал один из них.
Сообщается, что вместе DarkSide и ее дочерние компании собрали не менее 90 миллионов долларов. Семь клиентов Тантлеффа, включая две компании в энергетической отрасли, заплатили выкуп в размере от 1,25 до 6 миллионов долларов, что отражает договорные скидки с первоначальных требований в размере от 7,5 до 30 миллионов долларов. Еще трое других клиентов, пострадавших от DarkSide, не заплатили. В одном из таких случаев хакеры потребовали 50 миллионов долларов. Переговоры были ожесточенными, и стороны не смогли договориться о цене.
По словам Тантлефф, представители DarkSide были осведомленными переговорщиками. Если жертва говорила, что не может позволить себе выкуп из-за пандемии, DarkSide всегда был готов к переговорам с данными, показывающими, что выручка компании выросла или что влияние Covid-19 было учтено в цене. Понимание политики DarkSide было менее продвинутым, чем подход к программам-вымогателям. Примерно в то же время, когда он принял партнерскую модель, он опубликовал сообщение о том, что планирует защищать информацию, украденную у жертв, путем хранения ее на серверах в Иране.
DarkSide, по-видимому, не понимал, что иранская связь осложнит сбор выкупа с жертв в США, где действуют экономические санкции, ограничивающие финансовые операции с Ираном. Хотя позже DarkSide отреагировал на это заявление, заявив, что рассматривал Иран только в качестве возможного местоположения, многие киберстраховщики были обеспокоены по поводу покрытия платежей группе. Coveware, фирма из Коннектикута, которая ведет переговоры с злоумышленниками от имени жертв, перестала иметь дело с DarkSide.
Баллод сказал, что, поскольку их страховщики не желают возмещать выкуп, ни один из его клиентов не платил DarkSide, несмотря на опасения по поводу раскрытия их данных. По его словам, даже если они уступят DarkSide и получат взамен гарантии от хакеров, что данные будут уничтожены, информация все равно может просочиться.
Во время перехода DarkSide на партнерскую модель в программу-вымогатель был внесен изъян. Уязвимость привлекла внимание членов команды по поиску программ-вымогателей. Созданная в 2016-м году команда, работающая только по приглашениям, состоит из примерно десятка волонтеров из США, Испании, Италии, Германии, Венгрии и Великобритании. Они работают в сфере кибербезопасности или в смежных областях. В свободное время они вместе занимаются поиском и расшифровкой новых штаммов вымогателей.
Некоторые члены, включая Восара, не имеют формального образования, но обладают способностями к программированию. Он борется с хакерами-вымогателями с 2012-го года, когда взломал штамм под названием ACCDFISA, что означает «Управление по борьбе с киберпреступностью Федерального агентства интернет-безопасности». Это вымышленное агентство уведомляло людей о том, что детская порнография заразила их компьютеры, и поэтому блокировало доступ к их файлам, если они не заплатят 100 долларов за удаление вируса. Хакер ACCDFISA в конце концов заметил, что штамм был расшифрован, и выпустил исправленную версию. Многие последующие триумфы Восара также были скоротечными. Он и его товарищи по команде пытались, как можно дольше держать преступников в неведении о том, что их штамм уязвим. Они оставляли загадочные сообщения на форумах, приглашая жертв обращаться к ним за помощью, или отправляли прямые сообщения людям, которые писали о том, что на них напали.
В ходе защиты от компьютерных вторжений аналитики антивирусных компаний иногда обнаруживали уязвимости программ-вымогателей и создавали инструменты дешифрования, хотя это не было их основной задачей. Иногда они сталкивались с Восаром. В 2014-м году он обнаружил, что штамм вымогателя под названием CryptoDefense скопировал и вставил из Microsoft Windows часть кода, который он использовал для блокировки и разблокировки файлов, не понимая, что тот же код был сохранен в папке на собственном компьютере жертвы. В их программе отсутствовал сигнал или «флаг», который обычно включается создателями программ-вымогателей для указания Windows не сохранять копию ключа. Восар быстро разработал инструмент дешифрования для извлечения ключа. «Мы столкнулись с интересной загадкой», – написала в блоге Emsisoft Сара Уайт, еще один член охотничьей команды, – «Как доставить наш инструмент как можно большему количеству жертв, не предупреждая разработчика вредоносного ПО о его ошибке?»
Восар незаметно разыскивал жертв CryptoDefense через форумы поддержки, волонтерские сети и объявления о том, куда обращаться за помощью. Он избегал описывать, как работает этот инструмент, или какую ошибку он использовал. Когда жертвы откликнулись, он предоставил исправление, очистив от программ-вымогателей как минимум 350 компьютеров. CryptoDefense в конце концов «поймал нас… но у него все еще не было доступа к дешифратору, который мы использовали, и он понятия не имел, как мы разблокируем файлы его жертв», –написала Уайт.
Но затем антивирусная компания Symantec обнаружила ту же проблему и похвасталась этим открытием в своем блоге, который «содержал достаточно информации, чтобы помочь разработчику CryptoDefense найти и исправить ошибку», –написала Уайт. В течение 24 часов злоумышленники начали распространять исправленную версию. Они изменили название на CryptoWall и заработали 325 миллионов долларов.
Symantec «предпочла быструю огласку помощи жертвам CryptoDefense в восстановлении их файлов», – написала Уайт, –«Иногда есть вещи, о которых лучше не говорить». Пресс-секретарь Broadcom, которая приобрела бизнес Symantec в области корпоративной безопасности в 2019-м году, отказалась от комментариев, заявив, что «члены команды, работавшие над этим инструментом, больше не работают в компании».
«У меня есть подтверждение, что DarkSide повторно использует свои ключи RSA», –написал Гиллеспи Hunting Team на своем канале Slack. Тип криптографии, RSA генерирует два ключа: открытый ключ для кодирования данных и закрытый ключ для их расшифровки. RSA используется на законных основаниях для защиты многих аспектов электронной коммерции, таких как защита кредитных номеров. Но его также использовали хакеры-вымогатели.
«Я заметил то же самое, поскольку смог расшифровать недавно зашифрованные файлы с помощью их дешифратора», – ответил Восар. Их анализ показал, что до принятия партнерской модели DarkSide использовала разные открытые и закрытые ключи для каждой жертвы. Восар подозревал, что во время этого перехода DarkSide внесла ошибку в свой партнерский портал, который использовался для создания вымогателей для каждой цели. Восар и Гиллеспи теперь смогли использовать ключ, извлеченный Восаром, для извлечения файлов с компьютеров Windows, захваченных DarkSide. Криптографическая ошибка не повлияла на операционные системы Linux.
«Мы чесали в затылках», – сказал Восар, –«Неужели они действительно так сильно облажались? DarkSide был одной из наиболее профессиональных схем, использующих программу-вымогатель как услугу. Для них такая огромная ошибка очень и очень редка». Уайт, изучавшая информатику в Royal Holloway, входящем в Лондонский университет, начала искать жертв DarkSide. Она связалась с фирмами, занимающимися цифровой криминалистикой и реагированием на инциденты. «Мы сказали им: – «Послушайте, если у вас есть жертвы DarkSide, скажите им, чтобы они обратились к нам, мы можем им помочь. Мы можем восстановить их файлы, и им не придется платить огромный выкуп», – утверждал Восар.
Хакеры DarkSide в основном отключили рождественский сезон. Гиллеспи и Восар ожидали, что, когда атаки возобновятся в новом году, их открытие поможет десяткам жертв. Но затем Bitdefender опубликовал свой пост под заголовком «Darkside Ransomware Decryption Tool». В канале обмена сообщениями с сообществом разработчиков программ-вымогателей кто-то спросил, почему Bitdefender предупреждает хакеров. «Публичность», – ответила Уайт. – «Выглядит неплохо. Хотя я могу гарантировать, что теперь они исправят это намного быстрее». Она была права. На следующий день DarkSide признал ошибку, которую Восар и Гиллеспи обнаружили до Bitdefender. «Из-за проблемы с генерацией ключей у некоторых компаний есть одни и те же ключи», – написали хакеры, добавив, что пострадали до 40% ключей. DarkSide высмеивал Bitdefender за выпуск дешифратора в «неподходящее время…, поскольку активность наших партнеров во время новогодних праздников самая низкая».
Восар обнаружил, что инструмент Bitdefender имеет свои недостатки. Используя дешифратор компании, он попытался разблокировать образцы, зараженные DarkSide, и обнаружил, что они были повреждены в процессе. «На самом деле они неправильно реализовали дешифрование», – сказал Восар, – «Это означает, что если жертвы действительно использовали инструмент Bitdefender, велика вероятность, что они повредили данные».
Отвечая на вопросы, Ботезату сказал, что восстановить данные сложно, и что Bitdefender «принял все меры предосторожности, чтобы убедиться, что мы не компрометируем данные пользователя», включая исчерпывающее тестирование и «код, который оценивает, является ли полученный расшифрованный файл действительным». По словам Восара и Гиллеспи, даже без Bitdefender DarkSide вскоре осознала бы свою ошибку. Например, при просмотре скомпрометированных сетей хакеры могли натолкнуться на электронные письма, в которых жертвы, которым помогала команда «Охоты», обсуждали уязвимость. «Они могут понять – это всегда возможно», – сказал Восар, – «Но это особенно болезненно, если уязвимость прожигается такой глупостью».
Инцидент привел к тому, что Hunting Team придумала термин для преждевременного выявления уязвимости в штамме вымогателя. «Внутри компании мы часто шутим: – «Да, они, вероятно, собираются вытащить Bitdefender», – сказал Восар.
ДАНИЭЛЬ ГОЛДЕН