Время бороться с киберпиратством

Программы-вымогатели действительно хороши для вымогательства денег, а также для извлечения геополитических уступок. 7 мая Colonial Pipeline заплатила почти 5 миллионов долларов за восстановление своих систем после того, как DarkSide использовала шифрование, чтобы заблокировать работу трубопровода, который поставляет почти половину топлива Восточного побережья 50 миллионам человек. Затем, в конце прошлого месяца, киберстраховая компания CNA выплатила выкуп в размере ошеломляющих 40 миллионов долларов. Проблема в том, что, хотя и утешительно верить в то, что эти события не имеют ничего общего с геополитикой, в следующий раз хакерам может понадобиться нечто большее, чем биткоины.

Многие эксперты согласны с тем, что принуждение в киберпространстве по своей сути сложно, но программы-вымогатели быстро становятся контрпримером. Программы-вымогатели смогли успешно вымогать у жертв средства благодаря использования криптовалюты, которую труднее отследить.

Что такое программы вымогатели?

Программа-вымогатель − это тип кибератаки, которая шифрует данные жертвы и предлагает расшифровать только после получения выкупа. Использование надежного необратимого шифрования − старая идея, восходящая к статье 1996 года Моти Юнга и Адама Янга. По мере того, как за последние два десятилетия все больше и больше критически важных систем подключались и зависели от цифровой информации, их отказ мог повлечь за собой все более высокие затраты, и хакеры начали использовать эту идею для получения финансовой выгоды за пределами теоретических размышлений.

Распространенность программ-вымогателей напоминает «золотой век пиратства». Это быстро становится одной из крупнейших киберугроз как в государственном, так и в частном секторах. Cybersecurity Ventures прогнозировала, что в 2021 году атаки программ-вымогателей будут происходить каждые 11 секунд, а общий экономический ущерб от атак программ-вымогателей составит 20 миллиардов долларов. Средний размер выплачиваемого выкупа также быстро растет − с 115 123 долларов в 2019 году до 312 493 долларов в 2020 году. Это число, вероятно, вырастет еще больше в 2021 году, поскольку компании часто выплачивают суммы выкупа в миллионах. В опросе 5000 ИТ-менеджеров из 26 стран 51 процент заявили, что подверглись атаке программ-вымогателей в течение прошлого года. Затронутые секторы также разнообразны: здравоохранение, образование, производство, розничную торговлю, энергетику и финансовые услуги. По любым меркам программы-вымогатели стали успешной бизнес-моделью для киберпреступников.

Захват “заложников” в киберпространстве

С помощью теории игр можно объяснить, почему хакеры выбрали шифрование, а не разрушительное вредоносное ПО для вымогательства жертв, и как стратегическая логика программ-вымогателей сравнивается с аналогичными ранее существовавшими технологиями, такими как осады и блокады. Программа-вымогатель решает ключевые проблемы с доверием и приверженностью, возникающие в других ситуациях с захватом заложников. Кроме того, потенциальные стратегические проблемы, такие как сложность надежного обещания расшифровать при оплате, могут иметь технические решения.

Во-первых, программы-вымогатели служат контрпримером к утверждениям о том, что принуждение сложно в киберпространстве, потому что оно позволяет обойти «проблему кибер-приверженности». Злоумышленники сталкиваются с компромиссом между необходимостью продемонстрировать способность проводить атаку и необходимостью поддерживать скрытое присутствие до тех пор, пока не будет сброшена последняя полезная нагрузка. Поскольку многие деструктивные кибероперации полагаются на использование уязвимости в системах цели, отказ от передачи информации о том, как злоумышленники могут реализовать свою угрозу, может заставить цель думать, что злоумышленник блефует. С другой стороны, передача слишком большого количества информации может легко побудить цель отключиться или исправить уязвимость.

Например, в 2014 году Северная Корея пригрозила начать кибератаку на электростанции Южной Кореи, если ее требования не будут выполнены к Рождеству. Но озвучивание этой угрозы привело к блокировке заводов, а также к круглосуточному мониторингу безопасности и учениям, что, по сути, назвало Северную Корею блефом. Однако программы-вымогатели полностью обходят этот компромисс, потому что злоумышленникам нужно только оставаться скрытыми до момента выполнения шифрования. Успешное шифрование данных служит окончательным достоверным сигналом о ее возможностях.

Во-вторых, шифрование позволяет злоумышленникам автоматически возлагать на жертву расходы, не неся при этом самим никаких затрат. Это отличается от других методов принуждения. Например, осада обходится дорого не только защищающемуся, но и атакующему, и, кроме того, у нападающего есть возможность пересматривать свое решение. Нападающий сталкивается с проблемой безвозвратного принятия решения о продолжительной осаде, чтобы заставить защищающегося решить, что не стоит ждать этого. С другой стороны, после выполнения шифрования злоумышленник не несет ежедневных затрат.

В-третьих, шифрование обратимо, что дает жертве дополнительный стимул уступить. Рассмотрим другой прием принуждения: кампанию бомбардировок. Каждое разрушенное здание исчезает навсегда и становится невозвратными затратами для жертвы. Самое большее, что может пообещать злоумышленник в обмен на уступки, − это надежда оставить остальную часть города нетронутой. Таким образом, по мере того, как кампания бомбардировок затягивается, стимул для защитника уступать уменьшается. Та же самая логика работает с деструктивными вредоносными программами, такими как wipers, которые уничтожают жесткий диск компьютера, стирая его данные. Каждая уничтоженная рабочая станция приводит к невозвратным последствиям. С другой стороны, расшифровка, по крайней мере теоретически, обеспечивает перспективу восстановления всего «города», если жертва уступит, и она не полагается на уничтожение частей активов, удерживаемых заложниками, для нанесения ущерба.

Наконец, помимо этих преимуществ, проблема приверженности в отношении обещания дешифровать (и никогда больше не возвращаться) является реальной, хотя и не такой серьезной, как предполагает общепринятое мнение. Это самая серьезная проблема для жертв: восстановит ли злоумышленник мои системы, если я заплачу? Что, если они снова зашифруют меня в следующем месяце, зная, что я готов платить?

Геополитические размеры программ-вымогателей

Одна из первых войн, которую вели Соединенные Штаты, была против «берберийских штатов» с 1801 по 1805 год из-за нарушения ими торгового судоходства США из-за пиратства. Макс Бут, описывая пиратство на Берберском побережье отмечает, что европейские государства часто платили дань или покупали «паспорта», чтобы обеспечить свободный проход в Средиземном море. Правители берберийских штатов Северной Африки использовали экономические выгоды от такой практики для сохранения своей политической власти.

Перенесемся в наши дни, и программы-вымогатели достигают того же эффекта, удерживая данные в заложниках, а не коммерческие поставки. По мере того как источник национального экономического процветания расширяется от морской торговли к информационной экономике, данные и системы, которые на них опираются, стали иметь значительную ценность. Таким образом, их отказ может повлечь за собой издержки, а способность отрицать их условно может быть использована для принуждения. Как чистое, так и условное отрицание экономической активности в киберпространстве имеет геополитические последствия.

Более очевидным геополитическим аспектом является то, что многие, хотя и не все, операторы программ-вымогателей являются русскоязычными киберпреступными группировками, и российские спецслужбы часто прямо или косвенно предоставляют убежище в обмен на исключение российских целей из их операций. Например, код DarkSide автоматически избегает шифрования системы, в которой есть языки, используемые в России и странах Восточной Европы. В результате такой защиты лишь горстка операторов программ-вымогателей может быть выдана и привлечена к ответственности. Подобно тому, как многие государства полагались на каперов при захвате грузов, иногда принадлежащих их стратегическому противнику, современное каперство в киберпространстве также переплетается со стратегической конкуренцией между государствами.

Тенденции в области программ-вымогателей показывают, что шифрование − это один из способов добиться отказа, и оно может существенно пересмотреть наше понимание того, как государства будут использовать киберпространство для достижения стратегических целей.

Как минимум, шифрование предлагает альтернативный способ прямого удержания средств противника под угрозой, без необходимости сначала побеждать в бою, чтобы захватить крупный город, разработать ядерную и ракетную программу или занять географическое узкое место. Это было бы особенно привлекательным вариантом для таких государств, как Иран или Северная Корея, у которых есть стратегические соперники, но в остальном у них нет достаточного обычного военного потенциала для достижения такого же эффекта.

Сила принуждения

Кибер-средства обеспечивают более дешевый и более низкий барьер для принуждения, чем обычное наращивание вооруженных сил, даже если оно может быть гораздо меньшим. Особенно в тех случаях, когда существующие структуры сдерживания делают эскалацию слишком дорогостоящей и, следовательно, маловероятной, государства могут попытаться осуществить такое мелкомасштабное принуждение. Например, в январе Иран захватил южнокорейский танкер и потребовал от Южной Кореи высвободить 7 миллиардов долларов иранских средств, которые его банки заморозили в 2019 году в соответствии с санкциями США. Южная Корея в конечном итоге разморозила 1 миллиард долларов в обмен на освобождение экипажа и в конечном итоге заплатила еще 100 тысяч долларов за освобождение корабля. Шифрование может не привести к большим уступкам, таким как безоговорочная капитуляция государства, но оно может заставить союзников прекратить сотрудничество с соблюдением санкций США.

Некоторые могут сказать, что государственные субъекты фундаментально отличаются от негосударственных преступных субъектов и поэтому не будут использовать программы-вымогатели для получения политических уступок. Однако такое утверждение должно исследовать, имеют ли эти различия какое-то значение, которое конкретно подрывает вышеупомянутую стратегическую логику шифрования. Например, некоторые могут возразить, что взаимодействие с государством имеет более длительную «тень будущего», и поэтому государство, которое подвергается принуждению, несет большие репутационные издержки. Однако ученые утверждают, что даже в обычных кризисных ситуациях репутационные издержки можно предвидеть и, следовательно, компенсировать за счет дополнительных выплат или меньших требований.

Заключение

Вопрос не в том, будет ли шифрование когда-либо использоваться для геополитической выгоды, а в том, когда и как. В краткосрочной перспективе недавно сформированная рабочая группа по программам-вымогателям − партнерство между правительством США и частным сектором − должна продолжать координировать политические решения в отношении программ-вымогателей. Например, большему количеству провайдеров киберстрахования следует прекратить покрывать выплаты и вместо этого следует активно стимулировать жертв развивать системы защиты и отказаться от оплаты, покрывая расходы на восстановление системы без расшифровки. По возможности резервное копирование в реальном времени или офлайн следует субсидировать или включать в страховое покрытие. В долгосрочной перспективе директивным органам следует способствовать сотрудничеству в области исследований между практиками и учеными, чтобы определить сценарии, в которых противники могут принудительно использовать шифрование, какие системы будут наиболее уязвимы для такой попытки.

Больше интересных статей о киберрисках и киберстраховании на нашем ресурсе:

Оставайтесь с нами на Calmins.com!

Calmins.com ©

Источники: us-cert.cisa.gov, virusbulletin.com, warontherocks.com, bloomberg.com