Киберрэкет
Киберрэкет — это форма вымогательства, осуществляемая с использованием информационно-коммуникационных технологий, при которой злоумышленники под угрозой нанесения ущерба (блокировки данных, утечки конфиденциальной информации, нарушения работы систем) требуют от жертвы (физического или юридического лица) выполнения определённых условий, чаще всего — выплаты денежного вознаграждения. Киберрэкет является разновидностью киберпреступности и сочетает в себе признаки традиционного вымогательства (рэкета) и компьютерных атак.
История
Феномен киберрэкета начал формироваться с развитием интернета и цифровых технологий в конце XX века. Первые случаи вымогательства в сети были связаны с угрозами DDoS-атак (распределённых атак типа «отказ в обслуживании») на коммерческие сайты. В 1990-х годах такие атаки часто совершались одиночными хакерами или небольшими группами, требовавшими выкуп за прекращение атаки.
С начала 2000-х годов, с появлением и распространением криптовалют (например, Bitcoin, созданного в 2009 году), киберрэкет получил новый импульс. Криптовалюты обеспечили анонимность транзакций, что значительно усложнило отслеживание платежей и идентификацию преступников. В 2010-х годах широкое распространение получили программы-вымогатели (ransomware), которые шифруют файлы жертвы и требуют выкуп за ключ дешифровки. Одним из первых громких инцидентов стала атака вируса «CryptoLocker» в 2013 году, который заразил сотни тысяч компьютеров по всему миру.
В 2020-х годах киберрэкет стал индустрией с чёткой структурой, включающей разработчиков вредоносного ПО, операторов атак, посредников и службы поддержки жертв. Модель «Ransomware-as-a-Service» (RaaS, программа-вымогатель как услуга) позволяет даже технически неподготовленным злоумышленникам арендовать готовые инструменты для атак. По данным аналитических компаний, ущерб от киберрэкета в мире к середине 2020-х годов исчисляется десятками миллиардов долларов ежегодно.
Классификация
Киберрэкет можно классифицировать по нескольким признакам.
По способу воздействия
- Программы-вымогатели (Ransomware): Вредоносное ПО, которое шифрует данные на устройстве жертвы или блокирует доступ к системе. После заражения на экране отображается требование выкупа (обычно в криптовалюте) за расшифровку или разблокировку. Примеры: WannaCry (2017), NotPetya (2017), REvil.
- DDoS-вымогательство: Злоумышленники запускают мощную распределённую атаку на отказ в обслуживании (DDoS) на веб-сайт или онлайн-сервис жертвы, делая его недоступным для пользователей. Затем они требуют выкуп за прекращение атаки. Часто используется в отношении компаний электронной коммерции, игровых серверов и финансовых организаций.
- Угроза утечки данных (Data Leak Extortion): Преступники получают доступ к конфиденциальным данным (базы данных клиентов, коммерческая тайна, личная переписка) и угрожают их опубликовать или продать, если жертва не заплатит. Этот вид часто сочетается с программами-вымогателями (двойное вымогательство — double extortion), когда злоумышленники сначала похищают данные, а затем шифруют системы.
- Компрометация электронной почты (Business Email Compromise, BEC): Злоумышленники взламывают или подделывают корпоративные почтовые ящики (например, финансового директора или генерального директора) и от имени руководства требуют от сотрудников срочного перевода средств на подконтрольные счета. Хотя это не всегда классический рэкет, он основан на обмане и вымогательстве.
По целям
- Корпоративный киберрэкет: Нацелен на компании, организации, государственные учреждения. Суммы выкупа могут достигать миллионов долларов. Часто используется тактика двойного вымогательства.
- Индивидуальный киберрэкет: Нацелен на обычных пользователей. Суммы выкупа обычно невелики (от нескольких сотен до нескольких тысяч долларов), но массовость атак приносит злоумышленникам значительный доход. Примеры: блокировка экрана смартфона, шифрование личных файлов, угроза публикации компрометирующих материалов (сексторция).
Технические аспекты и методы
Векторы заражения
Основные способы проникновения вредоносного ПО в системы жертвы:
- Фишинг: Массовые или целевые (spear phishing) электронные письма с вредоносными вложениями (документы с макросами, исполняемые файлы) или ссылками на заражённые сайты.
- Эксплойты: Использование уязвимостей в программном обеспечении (операционных системах, браузерах, приложениях) для удалённого внедрения кода. Часто злоумышленники атакуют системы, не обновлённые до последних версий.
- Протокол удалённого рабочего стола (RDP): Подбор паролей или использование уязвимостей в службах RDP для получения доступа к корпоративным сетям.
- Вредоносные веб-сайты и реклама (malvertising): Посещение заражённых сайтов или клик по заражённой рекламе может привести к автоматической загрузке вредоносного ПО (drive-by download).
Инфраструктура киберрэкета
Современные киберрэкет-группировки используют сложную инфраструктуру:
- Серверы управления и контроля (C&C): Удалённые серверы, с которых злоумышленники управляют заражёнными устройствами.
- Торговые площадки в даркнете: Места для продажи похищенных данных, покупки инструментов для атак и найма исполнителей.
- Криптовалютные кошельки и миксеры: Для приёма выкупа и сокрытия следов транзакций.
- Службы поддержки: Некоторые группировки создают веб-сайты с инструкциями для жертв, как оплатить выкуп и получить ключ дешифровки.
Применение и значение
Киберрэкет представляет собой серьёзную угрозу для экономики, национальной безопасности и частной жизни. Его последствия включают:
- Финансовые потери: Прямые выплаты выкупа, затраты на восстановление систем, судебные издержки, штрафы регуляторов за утечку данных, потеря доходов из-за простоя.
- Репутационный ущерб: Утечка конфиденциальных данных подрывает доверие клиентов, партнёров и инвесторов.
- Операционные сбои: Блокировка критически важных систем (например, в больницах, на производстве, в транспортной инфраструктуре) может привести к остановке деятельности и даже угрозе жизни людей.
- Угроза национальной безопасности: Атаки на государственные учреждения, оборонные предприятия и объекты критической инфраструктуры могут быть использованы в гибридных войнах и шпионаже.
Борьба и противодействие
Противодействие киберрэкету ведётся на нескольких уровнях.
Технические меры
- Резервное копирование: Регулярное создание резервных копий данных и их хранение в автономном режиме (offline) или в защищённом облаке.
- Обновление ПО: Своевременная установка обновлений безопасности (патчей) для операционных систем и приложений.
- Антивирусное и антивирусное ПО: Использование современных решений для защиты от вредоносного ПО, включая системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS).
- Многофакторная аутентификация (MFA): Защита учётных записей от несанкционированного доступа.
- Сегментация сети: Разделение сети на изолированные сегменты для ограничения распространения вредоносного ПО.
- Обучение персонала: Повышение осведомлённости сотрудников о фишинге и других методах социальной инженерии.
Правовые и организационные меры
- Законодательство: В России киберрэкет квалифицируется по нескольким статьям Уголовного кодекса РФ, в частности, ст. 163 (Вымогательство), ст. 272 (Неправомерный доступ к компьютерной информации), ст. 273 (Создание, использование и распространение вредоносных компьютерных программ), ст. 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей). Ответственность предусматривает лишение свободы на срок до 10 лет и более в зависимости от тяжести последствий.
- Правоохранительные органы: В России борьбой с киберпреступностью занимаются подразделения МВД (Управление «К»), ФСБ и Следственный комитет. Международное сотрудничество (например, через Интерпол и Европол) позволяет отслеживать и пресекать деятельность транснациональных группировок.
- Рекомендации для жертв: Правоохранительные органы и эксперты по безопасности настоятельно рекомендуют не платить выкуп, так как это не гарантирует возврат данных и стимулирует дальнейшую преступную деятельность. Вместо этого следует немедленно сообщать об инциденте в полицию и обращаться к специалистам по кибербезопасности.
Критика и этические аспекты
Политика невыплаты выкупа подвергается критике со стороны некоторых представителей бизнеса, которые считают, что в случае с критически важными данными (например, медицинскими записями) выплата может быть единственным способом быстро восстановить доступ. Однако эта позиция спорна, так как финансирует преступность.
Этическая дилемма также возникает в отношении компаний, которые занимаются посредничеством в переговорах с вымогателями или помогают жертвам оплачивать выкуп. Такие фирмы, хотя и оказывают услугу, могут способствовать легализации преступных доходов.
Известные инциденты
- WannaCry (май 2017): Глобальная атака, затронувшая более 200 000 компьютеров в 150 странах, включая системы Национальной службы здравоохранения Великобритании. Требовался выкуп в биткоинах. Атака была остановлена благодаря обнаружению «аварийного выключателя» в коде вируса.
- NotPetya (июнь 2017): Атака, замаскированная под программу-вымогатель, но фактически являвшаяся очистителем данных (wiper). Нанесла колоссальный ущерб компаниям по всему миру, включая российские (например, «Роснефть»). Основной целью была Украина.
- Атака на Colonial Pipeline (май 2021): Атака программы-вымогателя DarkSide на крупнейший трубопровод для нефтепродуктов в США. Привела к остановке поставок топлива на восточное побережье страны. Компания выплатила выкуп в размере 4,4 миллиона долларов, часть которого позже была возвращена Министерством юстиции США.
- Атака на REvil (2021): Группировка REvil (Sodinokibi) атаковала множество компаний по всему миру, включая производителя мяса JBS (выплатила выкуп в 11 миллионов долларов) и поставщика IT-услуг Kaseya. В 2022 году инфраструктура REvil была нейтрализована российскими правоохранительными органами по запросу США.
Источники
- Уголовный кодекс Российской Федерации, статьи 163, 272, 273, 274.
- Отчёты компаний по кибербезопасности (Group-IB, Positive Technologies, Kaspersky Lab, CrowdStrike, Mandiant) за 2017–2024 годы.
- Материалы расследований Министерства юстиции США и ФБР по делам о киберрэкете.
- Публикации в научных журналах по информационной безопасности (например, «Вопросы кибербезопасности», «Journal of Cybersecurity»).
- Новостные сообщения информационных агентств (ТАСС, РИА Новости, Reuters, Associated Press) о крупных кибератаках.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →