Интервью с Синтией Кайзер из Halcyon: если злоумышленники не знают, что делают, вы можете никогда не вернуть свои данные. Эксперт ФБР о росте угроз программ-вымогателей и атаках, нацеленных на уничтожение. — theregister.com
интервью Это самая большая угроза на сегодняшний день, но ей потребовалось время, чтобы осознать это. Проведя два десятилетия в ФБР, значительную часть которых она посвятила перехвату и пресечению киберугроз со стороны таких стран, как Китай и Россия, Синтия Кайзер, старший вице-президент (SVP) Центра исследований программ-вымогателей Halcyon, признается, что она стала «поздним приверженцем, по-настоящему сосредоточившимся на программах-вымогателях».
«Я была начальником отдела в ФБР, занималась анализом угроз со стороны государственных структур — то есть Северной Кореи, Ирана, Китая, России, — и в то время Китай размещал свои силы на нашей критической инфраструктуре, представляя экзистенциальную угрозу», — рассказала она изданию The Register во время интервью на конференции RSA.
«Программы-вымогатели для меня эволюционировали медленнее, чтобы я поняла, что именно они крадут у нас сегодня, что это за угроза, с которой мы сталкиваемся сегодня, — это не потенциальная катастрофическая угроза завтрашнего дня, — сказала Кайзер. — Я также очень зла из-за программ-вымогателей, потому что они нападают на больницы сегодня, они убивают людей сегодня».
В июне 2025 года Кайзер покинула свой пост заместителя помощника директора киберподразделения ФБР, чтобы возглавить новый Центр исследований программ-вымогателей в фирме безопасности Halcyon. Он был запущен месяцем позже на Black Hat, и центр стремится искоренить бедствие, вызванное программами-вымогателями, которое, наряду с прямыми актами вымогательства, обошлось американскому бизнесу и потребителям почти в 155 миллионов долларов в прошлом году.
За последние несколько месяцев ее команда расследовала заражения программами-вымогателями, начиная от атаки на американскую медицинскую организацию, приписываемой связанной с иранским правительством группе Pay2Key, до вторжений, осуществляемых гораздо менее изощренными, новыми операциями ransomware-as-a-service, такими как Sicarii.
Оба полюса спектра программ-вымогателей могут иметь катастрофические, разрушительные последствия для ведения бизнеса.
Связанная с Ираном банда вымогателей атаковала здравоохранение США
Заражение Pay2Key произошло в конце февраля, примерно в начале военных ударов США и Израиля по Ирану. Расследование Halcyon показало, что группа, поддерживаемая Ираном, получила доступ через скомпрометированную учетную запись администратора за несколько дней до атаки, а затем развернула программу-вымогатель и зашифровала среду всего за три часа.
«Они должны были находиться в сети до атаки, этот доступ уже существовал», — сказала Кайзер, добавив, что она не может однозначно связать заражение программой-вымогателем с войной на Ближнем Востоке.
«Это говорит о том, что существуют уже имеющиеся доступы, которые государственная группа, такая как Pay2Key, может использовать в любой момент, — сказала она. — И когда я смотрю на это, я вспоминаю атаки на Албанию в 2022 году». Правительство США ввело санкции против Министерства разведки и безопасности Ирана и его министра разведки в ответ на эти ранние кибератаки, которые парализовали онлайн-сервисы и веб-сайты Албании.
Существует действительно явная угроза программ-вымогателей, имеющая некоторые правительственные связи, и, похоже, в данном случае она была направлена скорее на уничтожение, чем просто на выкуп и получение финансовой выгоды
«Иран находился в этих сетях 14 месяцев, занимаясь шпионажем, собирая электронные письма, а затем передал этот доступ группе для проведения атаки», — сказала Кайзер о вторжении 2022 года.
В более недавней атаке Pay2Key на медицинскую организацию Кайзер отметила, что вариант программы-вымогателя, использованный группой, продемонстрировал огромный скачок по сравнению с их вторжениями в июле 2025 года, с лучшими встроенными возможностями противодействия обнаружению. Кроме того, нет никаких свидетельств того, что какие-либо данные были украдены во время этой атаки, что необычно для этой конкретной группы и противоречит более широкой, более прибыльной тенденции к заражениям программами-вымогателями с двойным вымогательством.
«Это показывает, что существует действительно явная угроза программ-вымогателей, имеющая некоторые правительственные связи, и, похоже, в данном случае она была направлена скорее на уничтожение, чем просто на выкуп и получение финансовой выгоды», — сказала Кайзер.
Тем временем изощренные мошенники, мотивированные финансово, такие как операторы программ-вымогателей Akira, становятся еще быстрее в своих атаках, переходя от первоначального доступа к шифрованию менее чем за один час. В большинстве из сотен компрометаций за последние 12 месяцев Akira тратила менее четырех часов от первоначального доступа до полного шифрования, согласно расследованиям Halcyon.
Кроме того, инструмент дешифрования операторов программ-вымогателей использует специальную систему «контрольных точек» для обеспечения возможности восстановления больших файлов даже при прерывании процесса шифрования, и это делает выплату выкупа более привлекательной для жертв.
Для защитников это означает, что «у вас больше нет времени нахождения в системе, как раньше», — сказала Кайзер. «Программы-вымогатели сегодня сильно отличаются от того, что было два года назад среди этих действительно изощренных групп злоумышленников».
И… подражатели
А есть еще операции с программами-вымогателями, такие как Sicarii. Эта преступная группа появилась в декабре, и наиболее примечательна она своим дефектным вредоносным ПО. Шифровальщик Sicarii генерирует новую пару криптографических ключей при каждом выполнении, но затем отбрасывает закрытый ключ, что означает отсутствие восстанавливаемого мастер-ключа, и жертвы могут или не могут расшифровать свои файлы.
«Чтобы программа-вымогатель была успешной, нужны три вещи. Вам нужен замок, вам нужен ключ — это то, за что платят жертвы, — и вы должны уметь вставить ключ в замок, — сказала Кайзер. — Они забыли сделать эту замочную скважину, так что теперь это destruction-ware (программа для уничтожения)».
Кайзер считает, что «подражатели программ-вымогателей», как она их называет, использовали ИИ, но это не помогло им написать лучший код или повысить изощренность их атак.
«Они, очевидно, использовали ИИ на каждом этапе, а затем уродливо связали это вместе — я не думаю, что они использовали агента, это было просто уродливое кодирование на каждом этапе», — сказала Кайзер, добавив, что это иллюстрирует риск того, что киберпреступники, и не только те, кто хорошо справляется со своей работой, включают ИИ в свои цепочки атак.
«Вы видите преступников, подражателей, в чьих руках ИИ даже страшнее, чем у изощренных злоумышленников, внедряющих какой-либо тип этой технологии, — сказала Кайзер. — У вас есть куча подражателей, и если они могут перейти от 0 процентов к 5 или 10 процентам эффективности, это здорово для них. Но для ИТ-специалистов и специалистов по безопасности внутри организаций самая большая угроза — это возросший объем этих ужасных, просто уродливых атак».
Эти атаки не очень скрытны, и они, вероятно, вызовут всевозможные оповещения служб безопасности. «Но если у вас такой огромный объем, с которым вы разбираетесь, и особенно если вы не используете автоматизацию в своей сети, то, пока вы с этим разбираетесь, какие еще изощренные угрозы проникают?» ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons