Merck в 2017 году сообщил инвесторам, что подвергся атаке с использованием вируса-вымогателя Not Petya, и это, выражаясь корпоративным языком компании, «негативно сказалось на выручке», упавшей на двести шестьдесят миллионов долларов[126].
Сталкиваясь с такими затратами, некоторые компании решают, что лучше раскошелиться. Но разве это не рискованно? В конце концов, вирусы-вымогатели рассылают жулики – как можно быть уверенным, что преступники восстановят данные после получения выкупа? Подумав об этом, хакеры нашли хитрый способ подталкивать людей к оплате. Они разработали цифровую версию «доказательства жизни», которое используют при похищении людей с требованием выкупа, когда родственникам похищенного отправляют, например, его большой палец как свидетельство того, что человек находится в плену. Попав на компьютер, вирус-вымогатель часто бесплатно описывает жертве несколько случайным образом выбранных файлов, чтобы показать, что расшифровка данных в принципе возможна. Иногда подразнить человека видом восстановленных данных достаточно, чтобы он полез за кошельком.
В целом за последние несколько лет рассылка вирусов-вымогателей стала чрезвычайно прибыльным делом: криминальные группы пользуются разными штаммами вируса, подстраивая свою тактику для разных кампаний, которые они нередко ведут одновременно, подобно тому как рекламные агентства выпускают разные рекламные ролики, чтобы определить наиболее эффективный. Данные некоммерческой организации Cyber Threat Alliance, в работе которой участвует целый ряд компаний по обеспечению технологической безопасности, показали, что в январе 2015 года общая выручка от проведения одной-единственной кампании с использованием одного штамма вируса-вымогателя составила триста двадцать пять миллионов долларов[127]. Более того, благодаря биткоину (о котором вы еще услышите в этой главе) все вырученные деньги до последнего цента в таких случаях отправляются непосредственно киберпреступникам, которым не приходится полагаться на посредников и курьеров. Для жертв, которые не умели работать с новой валютой, в некоторых штаммах вируса даже была предусмотрена система онлайн-поддержки, где им объясняли, как совершать платежи в биткоинах.
Но жуликам, использующим вирусы-вымогатели, снова и снова приходилось решать непреходящую проблему: как устанавливать вирус на устройства жертв. Обычно вирусы рассылались по электронной почте. Но это причиняло хакерам большую головную боль: нужно было постоянно находить новые адреса для рассылок и постоянно вносить изменения в код вируса, чтобы его не засекали оперативно обновляемые защитные системы, например программы-антивирусы. Преступники искали новый, более удобный способ заражать компьютеры своих потенциальных жертв. Они нашли его в 2017 году, когда стало известно об уязвимости в компьютерах Microsoft, которую предположительно выявила одна из американских спецслужб.
Механика такова: представьте, что у вас в комнате стоит компьютер, на котором хранится вся ваша музыка, и вы хотите включить пару песен на ноутбуке в гостиной. Компьютеры Microsoft снабжены удобной функцией, которая позволяет двум устройствам делиться файлами. Утверждается, что в Агентстве национальной безопасности (АНБ) обнаружили, что описанную функцию можно также использовать для распространения вирусов. Похоже, сотрудники АНБ не поспешили сообщить Microsoft об уязвимости, чтобы компания исправила ошибку, а сохранили свое открытие в тайне (вероятно, чтобы этим могли пользоваться американские военные и разведчики). Также утверждается – и об этом среди прочих говорит даже президент Microsoft, – что впоследствии хакеры украли у АНБ программное обеспечение, необходимое, чтобы проворачивать этот тайный трюк с распространением вирусов[128]. В апреле 2017 года хакерская группа Shadow Brokers выставила на продажу способ эксплуатации этой уязвимости. Предполагается, что покупателей на него не нашлось, и поэтому вскоре хакеры выложили программу в свободный доступ[129]. Пока АНБ не делало публичных заявлений об этих утечках.
И снова произошло перекрестное опыление между мирами государственных хакеров и организованной киберпреступности.
Уязвимость с передачей файлов позволяла автоматически распространять вирусы от компьютера к компьютеру, и вскоре хакеры, использующие программы-вымогатели, это заметили. Злоумышленники поняли, что теперь, вместо того чтобы рассылать вирус по электронной почте, им достаточно установить его на один компьютер; после этого он будет распространяться самостоятельно, потенциально принося огромные прибыли при минимуме затрачиваемых усилий.
Но возникла другая проблема. Недостаточно установить на компьютер вредоносную программу – ее также необходимо как-то запустить. Раньше преступники обманом вынуждали получателей электронных писем кликать на ссылки и открывать приложенные к письмам файлы, тем самым активируя заражение системы. Так, например, Онель де Гусман распространял свой вирус Love Bug.
Чтобы получать максимальную отдачу при минимальных затратах, жуликам необходимо было придумать спусковой механизм для вируса, как только он попадает на новое устройство. И снова, как предполагается, им непреднамеренно помогло АНБ. В число функциональных хакерских инструментов, слитых группой Shadow Brokers, вошла вредоносная программа Double Pulsar, которая могла решить проблему с запуском вируса на каждом новом компьютере[130]. Теперь у хакеров появилась возможность повторить успех де Гусмана при распространении вируса, а также гарантировать, что он заразит поистине грандиозное число устройств, поскольку для активации программы не требуется вмешательство жертвы. Эта комбинация была настолько действенной, что после запуска вируса остановить его можно было лишь с помощью тщательной работы с кодом. Не стоит, пожалуй, удивляться, что этот аспект предприятия совсем не волновал киберпреступников, которые подготовили масштабную кампанию по заражению компьютерной инфраструктуры по всему миру.
В марте 2017 года, за месяц до утечки, организованной силами Shadow Brokers, компания Microsoft выпустила обновление системы, в котором уязвимость, связанная с совместным доступом к файлам, была устранена. Но многие пользователи не скачали это обновление (либо использовали старую версию Windows – XP, – которую тогда нельзя было обновить). Они-то и стали легкой добычей для хакеров.
В пятницу, 12 мая, началась летняя кампания с использованием вирусов-вымогателей, за которой закрепилось название Wanna Cry[131]. Менее чем за сутки при автоматизированной передаче с компьютера на компьютер вирус распространился из Южной Америки в Европу и Великобританию. Вскоре он проник в системы Национальной службы здравоохранения, и начался настоящий хаос.
В тот день, когда Патрик Уорд так и не дождался своей операции, в Национальном агентстве по борьбе с преступностью прошла первая из серии экстренных межведомственных встреч. Как только стало понятно, насколько серьезна эта атака, все планы на выходные были поспешно отменены. Недавно основанный в Великобритании Национальный центр кибербезопасности вместе с NCA и другими государственными организациями разрабатывал план по противодействию вирусной угрозе.
Этот вирус обладал кинетическим эффектом – так в технологической сфере называют способность программ оказывать влияние за пределами компьютеризированного мира: он воздействовал на материальную инфраструктуру больниц и на отдельных пациентов, которым отказывали в проведении долгожданных процедур. На следующий день после его появления пять отделений неотложной медицинской помощи были вынуждены перенаправлять пациентов в другие больницы. И сферой здравоохранения дело не ограничилось: под удар попали компании всех сортов, от автопроизводителей до логистических фирм.
«Они тоже подверглись атаке, однако по очевидным причинам не горели желанием сообщать об этом и содействовать следствию, – сказал представитель полиции. – Полагаю, они не хотели ударить в грязь лицом, ведь они создавали высокотехнологичные продукты, а сами при этом по-прежнему использовали [устаревшую] Windows XP».
Но в центре внимания большинства оказалась NHS – отчасти потому, что об этом трубили во всех новостях, хотя такое редко случается с киберпреступлениями. Телевизионные репортеры сталкиваются с огромными трудностями при освещении вопросов кибербезопасности: в этой сфере настолько мало драматичных кадров, что подобные новости просто не получают отклика. Но атака Wanna Cry наконец дала съемочным группам историю о кибербезопасности с приличным видеорядом и кучей потерпевших. Репортеры заняли позиции перед камерами у отделений неотложной помощи, где разворачивали приезжающие скорые, и брали интервью у возмущенных пациентов, которых больницы отказывались принимать.
Всего в Англии двести тридцать шесть больниц NHS, из которых тридцать семь оказались заражены, а еще сорок три испытали на себе влияние вируса, поскольку вынуждены были отключить компьютеры, чтобы защитить свои системы. Кроме того, заражению подверглись шестьсот других институтов NHS (например, поликлиник). В связи с этим пришлось отменить более семи тысяч записей к врачам, включая сотни срочных случаев раковых больных[132].
Почему именно эта организация оказалась задета в столь непропорционально высокой степени? Причин несколько.
Чтобы защититься от вируса Wanna Cry, владельцам компьютеров необходимо было установить обновление, которое компания Microsoft выпустила в марте 2017 года. Для этого требовалось перезагрузить компьютер, что не всегда легко сделать в больнице, где некоторое оборудование поддерживает пациентам жизнь. Кроме того, обновление систем требует времени и денег, а бюджеты NHS и без того ограничены.