Неизвестные хакеры, которые за последние годы отправили миллионы писем с вирусом-вымогателем пользователям в 31 стране мира, могут быть связаны с российской организованной преступностью. Шведская телевещательная компания SVT сообщила, что благодаря собственному расследованию и утечке информации ей удалось получить доступ к базе данных шантажистов.
Вредоносные программы, шифрующие данные на персональных компьютерах и ноутбуках, а затем требующие выкуп за раскодирование информации, известны специалистам с 2005 года. Однако в 2017-м распространение этого типа вирусов достигло невероятных масштабов. За последние полгода вирусы WannaCry, Petya и Bad Rabbit атаковали миллионы компьютеров по всему миру, вызвали серьёзные проблемы как у обычных пользователей, так и у крупных корпораций.
В ходе журналистского расследования программы Uppdrag Granskning на SVT её авторам якобы удалось получить доступ к «командному центру» злоумышленников, атаковавших компьютеры в десятках государств в 2015—2017 годах. По сообщению телеканала, репортёры получили доступ к исходному коду вируса и внутренней переписке злоумышленников.
«Невероятно редко удаётся получить подобную возможность увидеть, как работает современная киберпреступность. Это позволяет нам следить за её устройством изнутри», — рассказала американская журналистка Ким Зеттер, занимающаяся проблемами кибербезопасности.
В Швеции вирусная рассылка была замаскирована под электронные письма от телекоммуникационного гиганта Telia и национальной почтовой службы PostNord — их получили более 1,6 млн человек. Получателя письма просили перейти по ссылке, чтобы якобы скачать счёт-фактуру или накладную на посылку, после чего компьютер за считаные секунды блокировался. Для расшифровки своих данных жертва должна была перевести от четырёх до шести тысяч крон (27 800—41 700 рублей) в биткоинах на указанный счёт.
Всего же вирусная сеть атаковала компьютеры в 31 стране — от Испании и Турции до Австралии и Индии. Компания SVT напомнила, что Европол называет именно вирусы-вымогатели самой большой текущей угрозой в интернете.
«Действия вирусов-шифровальщиков могут повлечь за собой катастрофические последствия для жертв атаки, потому что в наше время в компьютерах заключена вся наша жизнь», — отметил эксперт по киберпреступности шведской полиции Андерс Альквист.
«Наверное, поэтому так много людей платят так быстро. Потому что это не так много денег. Вы паникуете, и это дешевле, чем покупать новый компьютер», — цитирует SVT одну из жертв вирусной атаки в Стокгольме.
Журналисты утверждают, что за атакой могут стоять хакеры из России. В ходе расследования они обнаружили переписку, которую взломщики, по словам журналистов, вели на русском языке. Также SVT пишет, что после шифрования данные отправлялись на сервер, якобы расположенный в России, а обнаруженный IP-адрес является доказательством того, что атаки велись из Санкт-Петербурга. Опрошенные газетой эксперты уверены, что за атакой стоит российская организованная преступность.
«Россия стала мировым центром киберпреступности. Именно здесь впервые появился вирус-вымогатель, а традиционная русская мафия теперь связана с хакерами, которые зарабатывают на вымогательствах большие деньги», — уверена Зеттер.
Привязка к IP-адресу, на которую ссылаются шведские журналисты, не говорит о том, что хакеры действительно были из России. Такого мнения придерживается генеральный директор компании Zecurion Алексей Раевский.
«Во-первых, можно использовать VPN-сервис. Мы можете включить его, зайти на какой-то сайт, и у вас будет IP-адрес страны, VPN-сервис которой вы используете. Во-вторых, никто не осуществляет такие взломы со своего домашнего компьютера. Обычно взламывают какой-то сервер и с него осуществляют атаку», — заявил в беседе с RT эксперт.
В мае при помощи вируса-шифровальщика WannaCry была произведена крупная атака на компьютеры под управлением ОС Windows. Тогда пострадали медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
В Microsoft подтвердили, что атака произошла отчасти по вине американских спецслужб: злоумышленники воспользовались инструментом EternalBlue, украденным у Агентства национальной безопасности (АНБ).
В июне произошла новая крупная кибератака. На этот раз за взлом отвечал вирус Petya, который также использовал инструмент EternalBlue. Оба вируса требовали у пользователей деньги в обмен на разблокировку компьютеров.
Раевский уверен, что рост количества атак подобных вирусов-вымогателей связан с публикацией уязвимостей из архива АНБ. По его словам, хакеры предположили, что не все успеют обновить программное обеспечение, в связи с чем большинство компьютеров останутся уязвимыми.
«Что касается последней атаки, то это, скорее, какое-то осеннее обострение. По-другому я не могу никак объяснить», — сказал он.
В то же время Раевский считает, что в будущем таких кибератак будет всё больше.
«Пока пользователи комьютеров будут беспечными, это всё будет продолжаться и приобретать всё большие масштабы», — заключил он.