В мае 2023 года работа городского правительства Далласа была серьезно подорвана в результате атаки вируса-вымогателя. Напомним, что так называемые Ransomware-атаки или проще говоря программы -вымогатели, представляют собой тип зловредного ПО, которое - в том числе - шифрует важные данные и требует от жертвы выкуп за их расшифровку.
Количество атак Ransomware растет и становится все более изощренным. Фотография представлена онлайн-изданием Asia Times / Shutterstock via The Conversation / JLStock
Атака в Далласе привела к остановке судебных процессов, слушаний и заседаний присяжных, а также к закрытию здания Далласского городского суда. Косвенно это отразилось и на деятельности полиции в целом: нехватка ресурсов негативно повлияла на возможность реализации, в частности, летних молодежных программ. Преступники угрожали опубликовать конфиденциальную информацию, включая персональные данные, материалы судебных дел, личные данные заключенных и правительственные документы.
Казалось бы, атака на городские власти и полицейские силы, вызвавшая масштабные и длительные нарушения в работе муниципалитета, должна вызвать серьезный общественный резонанс. Однако атаки с целью выкупа стали настолько привычными и обыденными, что в большинстве случаев на них просто не обращают внимания.
Заметным исключением из этой тенденции стал случай, произошедший в мае-июне 2023 года, когда хакеры воспользовались уязвимостью в приложении для передачи файлов Moveit, что привело к краже данных у сотен организаций по всему миру. Эта атака привлекла к себе повышенное внимание, возможно, потому, что ее жертвами стали такие известные компании, как British Airways, BBC и аптечная сеть Boots.
Согласно одному из последних исследований, за последний год объем выплат объем выплат кибермошенникам увеличился почти вдвое и достиг 1,5 миллиона долларов США, причем чаще всего злоумышленникам платят самые крупные организации. Британская компания Sophos, специализирующаяся на кибербезопасности, сообщила, что средний платеж за вымогательство в стране в прошлом году составил примерно 812 тыс. долл. Однако в 2023 году средний "платеж" британских организаций увеличился до 2,1 млн. долл. и оказался даже выше среднемирового показателя.
Мир потерял доверие к американской валюте: доллар США уходит в прошлое — западный эксперт
Тем временем в 2022 году Национальный центр кибербезопасности (National Cyber Security Centre, NCSC) выпустил новое руководство, призывающее организации усилить свою защиту на фоне угрозы новых кибератак, спонсируемых государством и связанных с конфликтом на Украине. Это произошло после целого ряда кибератак на Украине, к которым, как предполагается, была причастна Россия, хотя в Москве это отрицают.
Фактически ни проходит недели без атак, затрагивающих правительства, учебные заведения, больницы, предприятия и благотворительные организации по всему миру. Все это имеет серьезные финансовые и общественные последствия. Они могут затрагивать как малые предприятия, так и огромные корпорации, и могут быть крайне разрушительными для пострадавших. Сегодня Ransomware-атаки наконец-то стали восприниматься как серьезный вызов и угроза современному обществу.
А ведь еще десять лет назад это было не более чем "теоретической возможностью" и "нишевой угрозой". То, как быстро развивается кибермошенничество, финансируя преступность и нанося неисчислимый ущерб, должно вызывать серьезную озабоченность. Бизнес-модель "программ-вымогателей" становится все более изощренной, в том числе благодаря совершенствованию векторов атак, стратегий ведения диалога с жертвой и самой структуры преступного сообщества. Есть все основания полагать, что преступники будут продолжать адаптировать свои стратегии и наносить широкомасштабный ущерб еще долгие годы. Именно поэтому очень важно изучить угрозу вымогательства и работать на опережение, чтобы смягчить долгосрочную угрозу.
На протяжении многих лет исследования Cyber Security Ventures (CSV) были направлены на предотвращение растущей угрозы путем изучения новых стратегий, которые могут быть использованы злоумышленниками для вымогательства денежных средств у жертв. Цель состоит в том, чтобы предупредить и опередить события, не выявляя при этом специфических особенностей, которые могут быть использованы преступниками.
В своем последнем исследовании — которое прошло рецензирование и вскоре будет опубликовано в рамках Международной конференции по доступности, надежности и безопасности (ARES) — эксперты Cyber Security Ventures обнаружили новую угрозу, использующую уязвимости в криптовалютах.
Прогноз глобального ущерба от программ-вымогателей. Диаграмма представлена онлайн-изданием Asia Times / Cyber Security Ventures
Что такое ransomware?
В различных контекстах Ransomware может означать совершенно разные вещи. В 1996 году Адам Янг и Мордехай "Моти" Юнг из Колумбийского университета описали основную форму ransomware-атаки следующим образом:
Преступники взламывают систему кибербезопасности жертвы (либо с помощью тактики фишинговых писем, либо используя инсайдера/нелегального сотрудника). После того как преступники взломали защиту жертвы, они запускают программу-вымогатель. Основная задача этой программы - зашифровать файлы жертвы с помощью закрытого ключа (который можно представить в виде длинной строки символов), чтобы заблокировать доступ к файлам. На третьем этапе атаки преступник требует выкуп за этот ключ.
Согласно статистике, многие жертвы выплачивают выкуп, причем его сумма может исчисляться миллионами долларов.Используя такую базовую модель ransomware, можно выделить различные типы атак. С одной стороны, это атаки "низкого уровня", когда файлы не шифруются или преступники не пытаются получить выкуп. С другой стороны, злоумышленники прилагают немалые усилия, чтобы максимально разрушить систему и получить выкуп.
В качестве примера можно привести атаку с выкупом WannaCry в мае 2017 года. Эта атака, организованная по заказу правительства Северной Кореи, не имела реальных попыток получить выкуп с жертв. Тем не менее она привела к широкомасштабным авариям по всему миру, в том числе в системе NHS Великобритании. При этом некоторые организации, занимающиеся моделированием рисков кибербезопасности, даже заявили, что глобальный экономический ущерб от этой угрозы исчисляется миллиардами. В данном контексте сложно определить мотив, но в целом политические намерения или простая ошибка злоумышленников могут способствовать отсутствию последовательного извлечения стоимости путем вымогательства.
Исследование CSV было сосредоточено на второй разновидности ransomware-атак, когда преступники пытаются вымогать деньги у своих жертв. Впрочем, это не исключает наличия политических мотивов. Более того, имеются доказательства наличия контактов между крупными преступными кибергруппами и властями различных государств. Степень финансовой мотивации атак с целью выкупа зависит от усилий, затраченных на ведение диалога, готовности содействовать или способствовать выплате "выкупа", а также от участия в услугах по отмыванию денежных средств. Инвестируя в инструменты и сервисы, упрощающие получение и конвертацию выкупа в фиатную валюту, злоумышленники тем самым сигнализируют о своих финансовых мотивах.
Вооруженные Силы РФ "стерли в порошок" украинскую противовоздушную оборону — АТ
Последствия от кибератак
Как показала атака на городское правительство Далласа, финансовые и социальные последствия программ-вымогателей могут быть самыми разнообразными и весьма серьезными. Высокоэффективные атаки с целью выкупа, подобные той, что была совершена в мае 2021 года на компанию Colonial Oil и вывела из строя крупный топливопровод в США, безусловно, опасны для бесперебойной работы жизнеобеспечивающих служб.
Кроме того, в январе 2023 года была совершена атака на Королевскую почту Великобритании, которая привела к перебоям в доставке международных грузов. Для восстановления нормальной работы сервисов потребовалось более месяца. Эта атака нанесла "значительный удар" по доходам и репутации Королевской почты. Но еще важнее то, что она затронула огромное количество малых предприятий и простых людей, которые от нее зависят.
В мае 2021 года ирландская Национальная служба здравоохранения подверглась хакерской атаке. В результате пострадали практически все сферы обслуживания пациентов - пришлось даже массово отменять приемы. Премьер-министр Ирландии Мишель Мартин сказал: " Это вопиющая атака на службу здравоохранения, но в первую очередь на пациентов и ирландскую общественность". По имеющимся данным, перед этим произошла утечка конфиденциальной информации. Финансовые последствия этого киберпреступления превысили отметку в 100 млн. евро. И это, еще не считая медицинского и психологического вреда для пациентов и медиков, пострадавших в результате атаки.
Кроме здравоохранения, под ударом оказалось и система образования. Так, в январе 2023 года была атакована школа в Гилфорде (Великобритания), причем злоумышленники угрожали опубликовать конфиденциальные данные, включая отчеты об охране и информацию об сиротах и социально незащищенных детях. Преступники планируют свои атаки таким образом, чтобы максимально нарушить работу общеобразовательных учреждений. Например, в результате атаки на школу в Дорчестере (Великобритания) в июне 2023 г. ученики во время экзаменов не смогли воспользоваться электронной почтой и получить доступ к различным информационным ресурсам. Все это могло существенно повлиять на самочувствие детей и их успеваемость.
Все вышеперечисленные примеры далеко не исчерпывающие. К примеру, зачастую атакам подвергаются непосредственно предприятия или благотворительные организации, которые настолько малы, что не привлекают к себе внимание общественности. Воздействие на малый бизнес с точки зрения сбоев в работе, потери репутации и психологических издержек, связанных с последствиями атаки, может быть катастрофическим. Например, по данным исследования, проведенного в 2021 году, 34% британских компаний, подвергшихся атаке ransomware, впоследствии закрылись. При этом многие из тех предприятий, которые продолжали работать, были вынуждены сократить персонал.
Скриншот с сообщением после активации троянской программы-вымогателя AIDS Trojan Horse. Изображение представлено онлайн-изданием Asia Times / Википедия
Все началось с дискет
История возникновения программ-вымогателей обычно восходит к троянскому вирусу AIDS или PC Cyborg, появившемуся в 1980-х годах. Заражение вирусом происходило после того, как жертвы, вставляли дискету в компьютер, после чего их файлы шифровались и требовалась оплата.
Такие диски рассылались участникам и заинтересованным лицам на определенных конференциях, которые затем пытались получить доступ к диску для заполнения анкеты, а вместо этого заражались трояном.
Файлы на пораженных компьютерах шифровались с помощью ключа, хранящегося локально на каждой машине. В принципе, жертва могла восстановить доступ к своим файлам, используя этот ключ. Однако пострадавший мог и не знать, что это можно сделать, поскольку даже сейчас технические знания в области криптографии не распространены среди большей части пользователей ПК. В конце концов, правоохранительные органы вычислили по этим дискетам биолога-эволюциониста из Гарварда по имени Джозеф Попп, который в то время проводил исследования в области СПИДа. Он был арестован и обвинен в мошенничестве, причем многие эксперты считают именно его первым изобретателем программы ransomware. Неизвестно, что именно побудило Поппа совершить такой поступок.
Первые версии программ-вымогателей представляли собой довольно простые криптографические схемы, отличавшиеся тем, что в них легко было найти ключевую информацию, которую преступник пытался скрыть от жертвы. Это стало одной из причин, почему после атаки CryptoLocker в 2013 и 2014 годах программы ransomware стали по-настоящему популярными.
CryptoLocker стал первым "технически грамотным" вирусом-вымогателем, получившим массовое распространение. Тысячи жертв увидели, что их файлы зашифрованы программа-шантажистом, которые невозможно декодировать. Закрытые ключи, используемые при шифровании, находились у злоумышленника, и без них жертвы не могли восстановить доступ к своим файлам.
Выкуп составлял около 300-600 долларов США, и, по оценкам, злоумышленникам удалось заполучить порядка 3 млн. долларов. Cryptolocker удалось "изолировать" в 2014 году в результате операции «Tovar», в которой приняли участие многочисленные международные правоохранительные организации.
"Утилита" CryptoLocker сыграла важную роль, продемонстрировав концепцию, согласно которой преступники способны "зарабатывать" огромные деньги на программах-вымогателях. В дальнейшем наблюдался бурный рост числа новых вариантов и новых моделей. Значительно изменились и стратегии, используемые преступниками.
В Пентагоне заявили о готовности сбивать российские "Кинжалы", "Самраты" и "Авангарды" средствами РЭБ, беспилотниками и лазерами
Готовое ПО и двойное вымогательство
Одним из наиболее заметных событий стало появление ransomware-as-a-service — "программа-шантажист как услуга". Примерно так называется бизнес-модель в "темной паутине", когда злоумышленники могут получить и использовать "готовое" ПО для шантажа, не обладая при этом специальными навыками программирования, а поставщики такого ПО получают свою долю от прибыли.
Исследования показали, что Dark Web — это "неконтролируемый Дикий Запад Интернета" и безопасное убежище для преступников, где они общаются и обмениваются нелегальными товарами и услугами. Он легко доступен, а благодаря технологиям анонимизации и цифровым валютам в нем процветает глобальная "черная экономика". Только за первые девять месяцев 2019 года, согласно оценкам Агентства Европейского союза по охране правопорядка (Европол), объем незаконных операций в Dark Web составил около 1 млрд долл. Эксперты считают, что с появлением сервиса ransomware as a service (Raas) для начинающих киберпреступников снизился барьер входа как с точки зрения стоимости, так и с точки зрения квалификации.
В рамках модели Raas опытные программисты разрабатывают вредоносное ПО, в то время как сами злоумышленники зачастую не обладают достаточной квалификацией. Это также приводит к разделению рисков - арест киберпреступников, использующих ransomware, уже не угрожает всему механизму поставок, что позволяет продолжать атаки, осуществляемые другими преступными группировками.
Кроме того, эксперты по кибербезопасности наблюдают переход от массовых фишинговых атак, таких как CryptoLocker, охвативших более 250 тыс. систем, к более таргетированным операциям. Это говорит о том, что все большее внимание уделяется крупным компаниям, потенциально готовым заплатить большой выкуп. Главными объектами таких атак становятся транснациональные корпорации, юридические агентства, учебные заведения, университеты, больницы и медицинские учреждения, благотворительные организации. а также многочисленные предприятия малого и среднего бизнеса.
В последнее время в "утилитах" ransomware, таких как Netwalker, REvil/Sodinokibi, появилась новая угроза - двойное вымогательство. В этом случае преступники не только шифруют файлы, но и вымогают данные путем их копирования. После этого они могут слить в сеть потенциально секретную и важную информацию. Примером тому может служить случай, произошедший в 2020 году, когда одна из крупнейших компаний-разработчиков программного обеспечения Software AG подверглась двойной атаке вымогателя под названием Clop. Сообщалось, что в качестве выкупа злоумышленники запросили необычайно высокую сумму в 20 млн. долл., которую Software AG отказалась перечислять.
Следующей целью мошенников может стать криптовалюта. Изображение представлено онлайн-изданием Asia Times / Shutterstock via The Conversation / sundaemorning.
В результате злоумышленники выложили конфиденциальные данные компании в "темную паутину". Таким образом, преступники получили два рычага давления на жертву: они могут требовать выкуп за закрытый ключ для расшифровки файлов и за предотвращение слива конфиденциальной информации в сеть.
Двойное вымогательство коренным образом меняет бизнес-модель ransomware. В частности, при использовании стандартных программ-вымогателей у жертвы есть относительно простой стимул заплатить выкуп за доступ к закрытому ключу, если это позволит расшифровать содержимое файлов, и она не может получить доступ к файлам никаким другим способом. Жертве "всего лишь" нужно верить в то, что киберпреступник передаст ей ключ и что ключ будет работать.
Воровская честь?
С другой стороны, при эксфильтрации данных нет гарантии, что жертва, заплатив выкуп получит ключ. Преступники по-прежнему владеют конфиденциальными данными и могут опубликовать их в любое время. Более того, они могут и далее тянуть деньги из жертвы за отказ от публикации информации. Однако для того, чтобы эксфильтрация данных стала жизнеспособной бизнес-стратегией, преступникам необходимо соблюдать "честные" условия выкупа. Это, вероятно, и привело к формированию новой экосистемы ransomware.
К примеру, "переговорщики по выплатам" могут быть в том числе частными подрядчиками, и в некоторых случаях в рамках соглашения о киберстраховании они обязаны предоставлять экспертные услуги по урегулированию кризисных ситуаций, связанных с вирусами ransomware. Используя соответствующие инструкции, они участвуют в переговорном процессе с преступниками. В этой экосистеме некоторые преступные группировки, занимающиеся шантажом, создали себе репутацию "специалистов", которые не публикуют данные (или, по крайней мере, оттягивают публикацию), если за них заплачен выкуп.
В целом, шифрование, декодирование или утечка файлов, как правило, является сложной и дорогостоящей для преступников задачей. Гораздо проще удалить файлы, а затем заявить, что они были зашифрованы или эксфильтрированы, и потребовать за это выкуп.Однако если жертва подозревает, что не получит ключ дешифрования или зашифрованные данные обратно, то выкуп соответственно заплачен не будет. А те, кто все-таки заплатил выкуп и не получил ничего взамен, могут раскрыть этот факт. Это может повлиять на "репутацию" злоумышленника и вероятность получения денег за выкуп в будущем. Проще говоря, в мире вымогательства и атак на выкуп выгодно играть "по-честному".
Таким образом, менее чем за десять лет угроза вымогательства сильно эволюционировала и превратилась из относительно малораспространенного CryptoLocker в многомиллионный бизнес с участием организованных преступных группировок и сложных алгоритмов. Начиная с 2020 года количество инцидентов, связанных с ransomware, и последующих за этим убытков, похоже, увеличилось еще на порядок. Проблема Ransomware стала слишком масштабной, чтобы ее игнорировать, и теперь вызывает серьезную озабоченность у правительств и правоохранительных органов.
Почему поставки американских F-16 Киеву — дешевая попытка Запада усадить Москву за стол переговоров
Угрозы крипто-шантажа
Несмотря на разрушительный характер ransomware, эта угроза неизбежно будет развиваться и в будущем, поскольку преступники разрабатывают новые способы хищения средств. Как уже упоминалось, ключевой темой коллективных исследований CSV за последние десять лет были попытки предсказать возможные стратегии, которые могут быть использованы преступниками.
В настоящее время в центре внимания экспертов CSV - новые поколения программ-вымогателей, среди которых, судя по всему, будут присутствовать варианты, ориентированные на "механизмы консенсуса" используемые в криптовалютах. Механизм консенсуса — это любой метод (обычно алгоритмический), используемый для достижения согласия, доверия и безопасности в децентрализованной компьютерной сети.
В частности, в криптовалютах все чаще используется так называемый механизм консенсуса "proof-of-stake", при котором инвесторы вносят крупные суммы для подтверждения криптовалютных транзакций. Такие взносы "уязвимы" перед угрозой вымогательства со стороны злоумышленников, практикующих "утилиты" ransomware. Криптовалюты используют децентрализованный блокчейн, который обеспечивает прозрачную запись всех транзакций, совершенных с использованием данной денежной единицы. Блокчейн поддерживается одноранговой сетью, а не центральным органом (как в случае с конвенциональными средствами).
В принципе, записи о транзакциях, включенные в блокчейн, являются неизменяемыми, поддающимися проверке и надежно распределенными по сети, что дает пользователям полную свободу действий и возможность контролировать транзакции. Все эти свойства blockchain основаны на надежном "механизме консенсуса", при котором независимые узлы сети "одобряют" или "согласовывают", какие транзакции следует добавить в блокчейн.
До сих пор многие криптовалюты, в первую очередь Bitcoin, использовали так называемый механизм консенсуса "proof-of-work", при котором авторизация транзакций требует решения сложных математических задач (работы). В долгосрочной перспективе такой подход нерационален, поскольку приводит к дублированию операций и неизбежному масштабному потреблению энергии.
Альтернативой, которая сегодня становится вполне реальной, является механизм консенсуса "proof-of-stake". В этом случае транзакции одобряются валидаторами, которые вносят денежные ставки и получают финансовое вознаграждение за подтверждение сделок. Роль неэффективной работы заменяется финансовым участием. Да, с одной стороны, это решает энергетическую проблему, но с другой - для подтверждения криптовалютных транзакций необходимо "задействовать" значительные денежные ставки.
Ethereum
Существование денежных средств в виде ставок представляет собой новую угрозу для некоторых криптовалют, использующих принцип proof-of-stake. Особое место среди них занимает Ethereum - децентрализованная криптовалюта, создающая одноранговую сеть для безопасного выполнения и верификации кода приложения, называемого смарт-контрактом.
В основе Ethereum лежит токен Ether (ETH), который позволяет пользователям совершать сделки друг с другом с помощью таких смарт-контрактов. Проект Ethereum был основан Виталиком Бутериным в 2013 году для решения проблем, связанных с Bitcoin. 15 сентября 2022 года в результате слияния (The Merge) сеть Ethereum перешла от принципа proof-of-work к принципу proof-of-stake, став одной из первых известных криптовалют использующих механизм "доказательство доли владения".
Блок-схема, показывающая, насколько сложной может оказаться атака с целью вымогательства на валидаторы proof-of-stake, такие как Ethereum. Изображение представлено онлайн-изданием Asia Times / Alpesh Bhudia, CC BY-ND
Механизм консенсуса proof-of-stake в Ethereum опирается на "валидаторы", утверждающие транзакции. Для создания валидатора необходимо сделать минимальную ставку в 32ETH, что в настоящее время составляет около 60 000 долл. В соответствии с требованиями Ethereum валидаторы могут получать финансовый доход от своей доли за счет работы оператора. По состоянию на 30 августа 2023 года было задействовано более 900 000 валидаторов.
Большие надежды возлагаются на механизм подтверждения "stake", однако хакеры также не сидят сложа руки и пытаются изучить способы проникновения в эту систему. В рамках проекта, финансируемого Ethereum Foundation, экспертам Cyber Security Ventures удалось выяснить, как группы, занимающиеся кибер-шантажом, могут использовать новый механизм proof-of-stake в мошеннических целях.
Слэшинг
Специалисты CSV обнаружили, что злоумышленники могут использовать валидаторов с помощью процесса, называемого "slashing". Если валидаторы получают вознаграждение при соблюдении определенных правил, то для валидаторов, замеченных в недобросовестных действиях, предусмотрены финансовые санкции. Основная цель штрафов - предотвратить возможность использования децентрализованного блокчейна.
Существуют две формы штрафов, наиболее строгим из которых является слешинг. Урезание количества ETH на балансе валидатор происходит в случае действий, которые не должны происходить случайно и могут поставить блокчейн под угрозу. Например, за попытку добавить в блокчейн конфликтные блоки или за попытку изменить историю.
Наказания за "слэшинг" достаточно суровы: валидатор теряет значительную часть своей ставки, не менее 1ETH. В самом крайнем случае валидатор может потерять всю свою долю (32ETH). Кроме того, участник будет вынужден "выйти из игры и больше не выступать в качестве валидатора. Короче говоря, если валидатор "срезается", то это чревато серьезными финансовыми последствиями.
Для выполнения действий валидаторам присваиваются уникальные ключи подписи, которые, по сути, подтверждают, что они являются частью сети. Предположим, что преступник завладел ключом подписи? Тогда они могут шантажировать жертву, заставляя ее заплатить выкуп. Схема, показывающая, насколько сложной становится атака с целью вымогательства на валидаторы proof-of-stake, такие как Ethereum.
Экипажи фронтовых бомбардировщиков Cy-34 ракетно-бомбовым ударом уничтожили целый дивизион ЗPK C-З00 армии Украины.
Смарт-контракт
Жертва может отказаться платить выкуп, если у нее не будет гарантии, что преступники просто оставят деньги себе и не выдадут ключ. В конце концов, что может помешать злоумышленникам потребовать еще один выкуп? Одно из найденных специалистами CSV решений, подтверждающее тот факт, что программы-вымогатели фактически превратились в своеобразный бизнес, которым занимаются преступники, желающие доказать, что у них "честная" репутация, — это смарт-контракт.
Такой "интеллектуальный" контракт можно составить так, что процесс будет работать только в том случае, если обе стороны "выполнят" свою часть сделки. Таким образом, жертва может заплатить выкуп и быть уверенной, что это устранит непосредственную угрозу вымогательства. Такое возможно в Ethereum, поскольку все необходимые шаги публично наблюдаются на блокчейне - внесение депозита, метка выхода, отсутствие слэшинга и возврат ставки.
Функционально такие смарт-контракты представляют собой систему условного депонирования, в которой деньги могут храниться до выполнения заранее оговоренных условий. Например, если преступники принудительно запускают слэшинг до завершения работы валидатора, тогда, согласно контракту, сумма выкупа будет возвращена жертве.
Тем не менее, такие контракты уязвимы для манипуляций, и нет никакой гарантии, что контракту, составленному злоумышленниками, можно доверять. Потенциально существует возможность автоматизации контракта с полным доверием, однако такого "поведения" и появления таких систем пока не наблюдалось.
Стейкинг-пулы
Подобная стратегия pay and exit ("заплати и уходи") является эффективным способом вымогательства со стороны злоумышленников, если им удается получить ключи подписи валидаторов. Так какой же ущерб может нанести Ethereum подобная атака с целью выкупа? Если скомпрометирован один валидатор, то штраф за "сбой" - а значит, и максимальный размер выкупа - составит около 1ETH, то есть около 1800 долларов США. Поэтому для получения более крупных сумм преступникам необходимо нацелиться на организации или стакинг-пулы, которые отвечают за управление большим количеством валидаторов.
Следует помнить, что, учитывая высокую стоимость входа для индивидуальных инвесторов, большинство валидаторов в Ethereum будут управляться "стакинг-пулами". В таких пулах несколько инвесторов могут делать коллективные ставки. Для сравнения: крупнейший стакинг-пул в Ethereum - Lido - насчитывает около 127 тыс. валидаторов и 18% от общего объема ставок; второй по величине - Coinbase - 40 тыс. валидаторов и 6% от общего объема ставок. В общей сложности существует 21 стакинг-пул, оперирующий более чем 1 000 валидаторов. Любой из этих стабфондов отвечает за ставки в десятки миллионов долларов, поэтому и требования по выкупу могут исчисляться в миллионах.
Механизмы консенсуса Proof-of-stake пока еще слишком молоды, считаю эксперты CSV, чтобы судить о том, станет ли вымогательство ставочных пулов повседневной реальностью. Тем не менее общий урок эволюции ransomware заключается в том, что преступники тяготеют к стратегиям, стимулирующим оплату и увеличивающим их незаконную прибыль.
Что происходит, когда хакеры получают доступ к секретным ключам? Изображение представлено онлайн-изданием Asia Times / Alpesh Bhudia, CC BY-ND / Shutterstock via The Conversation / Andrii Yalanskyi.
Наиболее простым способом снижения угрозы вымогательства для инвесторов и операторов ставочных пулов является защита ключей подписи. Если злоумышленники не смогут получить доступ к ключам подписи, то и угрозы не будет в принципе. Если же злоумышленники получат доступ только к части ключей (для операторов с несколькими валидаторами), то уровень такой угрозы вряд ли будет высоким.
Поэтому ставочные пулы должны принимать меры по защите ключей подписи. Сюда можно включить следующие меры: разделение валидаторов на части, чтобы взлом повлиял только на небольшую часть; усиление кибербезопасности для предотвращения вторжений; надежные внутренние процессы для ограничения доступа к ключам подписи со стороны сотрудников.
Конкуренция на рынке стакинг-пулов для таких криптовалют, как Ethereum, достаточно высока. Существует множество стабфондов, предлагающих относительно аналогичные услуги и конкурирующих по цене за привлечение инвесторов. В условиях конкуренции и необходимости сокращения расходов они могут принимать недостаточные меры безопасности. Поэтому некоторые ставочные пулы могут стать довольно легкой добычей для злоумышленников. В конечном итоге решить эту проблему можно только с помощью регулирования, повышения информированности и требования инвесторов в букмекерские пулы высокого уровня безопасности для защиты своих ставок.
К сожалению, история с ransomware говорит о том, что для того, чтобы угроза стала восприниматься достаточно серьезно, должны произойти резонансные атаки. Было бы интересно взглянуть на последствия серьезной атаки на ставочные пулы. Можно предположить, в результате атаки сильно пострадает репутация такого фонда, а значит, и его жизнеспособность на конкурентном рынке окажется под вопросом. Атака также может иметь последствия для репутации валюты. В самом серьезном случае она может привести к обвалу курса. Когда такое происходит, как например, с FTX в 2022 году после очередной хакерской атаки, это имеет последствия для всей мировой экономики.
Они здесь, чтобы остаться
Ransomware будет оставаться проблемой еще долгие годы, если не десятилетия. Одним из возможных вариантов будущего является то, что ransomware просто станет частью нормальной экономической жизни, когда организации будут постоянно подвергаться угрозам атак, и это не будет иметь особых последствий для практически анонимных банд киберпреступников, стоящих за этими махинациями.
Чтобы предотвратить такие негативные последствия, необходимо повысить осведомленность об этих угрозах. Тогда инвесторы смогут принимать более взвешенные решения о том, в какие стакинг-пулы и валюты вкладывать средства. Также имеет смысл создать рынок с большим количеством стакинговых пулов, а не с доминированием нескольких крупных, так как это позволит защитить валюту от возможных атак.
Помимо криптовалют, превентивные меры подразумевают инвестиции в кибербезопасность в самых разных ее проявлениях - от обучения сотрудников и создания корпоративной культуры, поддерживающей информирование об инцидентах. Также необходимо инвестировать в механизмы защиты, в том числе в резервное копирование данных, привлечение экспертов, страхование и разработку надежных и проверенных планов действий в чрезвычайных ситуациях.
К сожалению, многие организации, как и следовало ожидать, даже не пытаются повышать качество кибербезопасности, что соответственно создает благоприятную среду для киберпреступников. По сути, для того чтобы иметь шанс противостоять новому поколению злоумышленников, использующих программы-вымогатели, каждому из нас необходимо научиться лучше скрывать и защищать свою конфиденциальную информацию и цифровые ключи.
