Согласно исследованиям аналитической фирмы Carbon Black, криминальная экономика наращивает объемы. Мировой рынок (объем предложений) вирусных программ- вымогателей за период 2016-2017 гг. вырос на 2500% с 250 тыс. долл. до 6,24 млн долл. Сегодня на рынке вирусного ПО сотни тысяч продавцов предлагают в «черном Интернете» более 45 тыс. вирусных продуктов, которые явно выигрывают по сравнению с легальными программными разработками, так как изначально «заточены» на конкретного целевого «клиента» и представляют собой решение «под ключ». И хотя цифры объема рынка получены из существующей базы предложений, реальный объем продаж оценить сложно, поскольку неизвестно, сколько и каких продуктов было продано в действительности.
Что касается создателей этих вирусов, то одни зарабатывают на ПО-вымогателях более 100 тыс. долл. в год, а другие едва сводят концы с концами. Обычно последние бессистемно выбирают свои цели в надежде получить платеж за причиненный ущерб. Разработчики ПО-вымогателей создают также и вирусы, удаляющие данные. Обычно это динамический функциональный набор программ, не требующий особых знаний, обучения и инфраструктуры, так называемое «решение под ключ», цель которого – получить реальные деньги жертвы.
Предложения криминального рынка очень разнообразны по стоимости: от простейших элементарных продуктов за 10 долл. до вирусов, настроенных на Android, за 250 долл. и даже спецпредложений по 1400 долл. Цена растет в зависимости от точности настройки на объект. Самый дорогой вирус, найденный аналитиками среди предложений, – 3 тыс. долл. Он описывался как функциональный набор «под ключ» для проведения кампаний-атак.
Функциональный набор настроек может включать такие возможности, как уровень шифровки файлов, целевые или копируемые файлы, умение удалять файлы при перезагрузке системы, стойкость к антивирусам и даже таймер, включаемый на удаление файлов каждые сутки «просрочки» требуемого платежа.
Рост рынка вирусов-вымогателей в определенной степени обязан этому широкому спектру опций. Другой катализатор рынка – доступность продуктов: вложив совсем немного средств, можно организовать вполне масштабную вирусную атаку. При этом нет никакого центра распространения или определенной геолокации источников вируса и продавцов. Еще один фактор, способствующий росту этого рынка – сами жертвы, которые платят вымогателям за восстановление файлов. Так, в 2016 г., по оценкам ФБР, компании заплатили таким хакерам более 1 млрд долл. По опросам Carbon Black, 52% респондентов заплатили бы вымогателям в случае такого инцидента.
Рынок ПО-вымогателей не отличается от традиционного рынка ПО. Разработчики вирусов не только продают отдельные программы и спецнаборы, но и, в соответствии с духом времени, предлагают «вирусы-вымогатели как сервис» (ransomware as a service, RaaS). Этот сервис делает барьер для вируса тонким, и только для управления вирусной атакой нужен квалифицированный специалист. Иногда хакеры предлагают покупателю заплатить предварительно некую сумму до организации массированной атаки и обеспечивают определенный уровень поддержки.
Существуют два уровня предоставления RaaS: проверенные клиенты (за которых могут поручиться коллеги хакеров) и остальные. Чем лучше у тебя репутация среди хакеров, тем больше будет твоя доля.
Большинство предложений RaaS поддерживает метрики, которые позволяют задать эффективность атаки и прибыль. В этом случае автор вируса обладает наибольшей защитой, а распространитель вируса несет наибольшие риски.
Чтобы остановить массовую атаку вируса-вымогателя достаточно разорвать одну связь в цепочке массированной атаки. Но поимка распространителей и операторов решает проблему лишь частично. Необходимо разрушить всю цепочку поставки вирусного ПО и лишить вирусописателей стимула. Ключ к решению проблемы – не платить!
www.networksasia.ne