Переговорщик с хакерами — это новая профессия Откуда она взялась и почему кибервымогатели начали жертвовать на благотворительность. Пересказ текста The New Yorker
Кибервымогательство — самый распространенный сегодня вид интернет-преступности. В компьютерную систему жертвы загружается вредоносная программа, доступ к системе блокируется, а чтобы восстановить его, от жертвы требуют перевести хакерам определенную сумму в криптовалюте. Каждый год специалисты по кибербезопасности отмечают сотни миллионов попыток вымогательства, цели становятся все крупнее, а суммы выкупа — все больше. Если раньше счет шел на тысячи или десятки тысяч долларов, то в мае 2021 года пять миллионов долларов за разблокировку своей компьютерной инфраструктуры пришлось выплатить американской трубопроводной компании Colonial Pipeline. Для жертв вымогателей — а ими становятся как крупные компании, так и небольшие бухгалтерские фирмы или даже школы — выплата выкупа часто единственный способ восстановить работоспособность. Поэтому на рынке кибербезопасности появилась новейшая крайне востребованная услуга — специалист по переговорам с цифровыми вымогателями. Журнал The New Yorker побеседовал с одним из таких переговорщиков и узнал, как устроен этот рынок. А «Медуза» пересказала для вас этот материал.
Незадолго до Дня благодарения в конце ноября 2020 года специалист по кибербезопасности Кертис Майндер получил сообщение от хозяина небольшой строительной компании в штате Нью-Йорк. Сеть его организации взломали хакеры и требовали выкуп — фирма Кертиса GroupSense получает такие взволнованные сообщения достаточно регулярно. Часто жертвами становится малый и средний бизнес: пивоварня, типография или студия веб-дизайна, сотрудники которых приходят однажды утром на работу и обнаруживают, что их компьютеры заблокированы, а на экране висит требование о выкупе в криптовалюте. К нему обычно прилагается ссылка на сайт в даркнете, и когда жертва проходит по ней, на сайте включается счетчик обратного отсчета, как таймер на бомбе в боевиках.
Проблема кибервымогательства в США стала настолько серьезной, что в декабре 2020 года глава федерального Агентства по кибербезопасности и инфраструктуре назвал ее надвигающимся национальным бедствием. В новостях описываются только самые громкие и скандальные инциденты, вроде взлома трубопровода Colonial Pipeline, за который компания заплатила хакерам из группировки DarkSide около пяти миллионов долларов. Но на каждый такой случай приходится множество других, о которых их жертвы стараются не распространяться, по-тихому улаживая вопрос выкупа с вымогателями.
Вообще-то ФБР рекомендует жертвам кибервымогательства не вступать в переговоры с преступниками. Но что еще им остается делать? В 2018 году мэрия Атланты попыталась последовать этому совету и отказалась выплачивать выкуп в 50 тысяч долларов. В итоге им пришлось потратить более двух миллионов на восстановление своих сетей, юридические консультации и прочее. А если в результате хакерской атаки произошла утечка пользовательских данных, то жертве придется еще и выплачивать штраф за это. Поэтому у Майндера, представителя одной из новейших профессий, телефон звонит постоянно. Специалистов по переговорам с кибервымогателями в США сейчас менее десятка, но спрос на их услуги постоянно растет — несмотря на то, что их обвиняют в потворстве преступникам.
Первый зарегистрированный случай кибервымогательства произошел в 1989 году, когда 20 тысяч исследователей в сфере здравоохранения получили по почте дискету, якобы содержавшую важную информацию о СПИД. На этой дискете была вредоносная программа, и после того, как жертва перезагрузила свой компьютер в 90-й раз, на экране появилось предупреждение о том, что ее компьютер заблокирован, а принтер распечатал листок с инструкциями о переводе выкупа в 180 долларов на анонимный счет в панамском банке. Эту программу разработал эволюционный биолог из Гарварда Джозеф Попп, который после ареста был признан невменяемым, таким образом избежав суда.
Способ, к которому прибег Попп — рассылка вредоносной программы, которая зашифровывала файлы на компьютере жертвы до выплаты выкупа, — популярен среди современных кибервымогателей. Но в 2000-х его коллеги часто применяли другую тактику: на компьютере жертвы выскакивали многочисленные предупреждения о заражении вирусом, избавиться от которого можно было только покупкой «антивирусной программы» за несколько сотен долларов у вымогателей. Жертвы выплачивали выкуп через предоплаченные карточки, которые преступникам помогали обналичивать посредники, забиравшие себе большую часть средств.
Все изменилось с появлением в 2009 году биткоина. Когда деньги стало возможно отправлять и принимать анонимно, кибервымогательство стало менее рискованным и гораздо более выгодным занятием. Когда Кертис Майндер основал свою компанию по кибербезопасности в 2014 году, основной угрозой была кража данных — пользовательских, банковских и так далее. Он нанял людей со знанием русского, украинского и урду, которые прочесывали хакерские форумы в даркнете в поисках объявлений о продаже краденых данных. Но уровень защиты корпоративных сетей с тех пор значительно вырос, поэтому сетевые преступники переключились на вымогательство. По оценке ФБР, в 2015 году в США происходило не меньше тысячи кибератак с элементом вымогательства, а уже на следующий год — в четыре раза больше.
Кибервымогатели сочетают в себе подростковую браваду (в названиях их группировок часто встречаются слова типа evil — зло — и отсылки к видеоиграм) с острыми деловыми инстинктами. Их бизнес постоянно развивается и диверсифицируется: крупные группировки содержат целые колл-центры, сотрудники которых помогают жертвам разобраться в сложном процессе покупки криптовалюты для выкупа. Другие продают что-то вроде франшизы — инструменты для взлома в обмен на часть выкупа, а также предоставляют услуги на аутсорсе, типа ведения переговоров с жертвами.
Многие из киберпреступных синдикатов работают с территории России или бывших республик СССР — а их программы в поисках жертвы избегают компьютеров, на которых рабочим языком операционной системы установлен русский или украинский. Некоторые члены таких синдикатов имеют армейский опыт, но деньги, похоже, их интересуют больше, чем геополитические соображения.
Одни киберпреступные группировки выбирают в качестве цели целые сектора экономики по нескольким параметрам. В первую очередь это слабая защита, низкий порог устойчивости к перебоям в работе и самый напряженный период работы — поэтому жертвами часто становятся школы в августе незадолго до возвращения учеников к урокам после каникул или бухгалтерские фирмы в сезон уплаты налогов. Другие «работают» исключительно по крупным целям, разрабатывая вредоносные программы специально для взлома их сетей.
Переговорщиком с такими вымогателями Майндер стал почти случайно. К нему обратилась за помощью компания, которая подозревала, что стала жертвой взлома. Но было уже поздно, и хакеры к тому времени уже успели отправить сообщение с требованием выкупа, угрожая в случае неповиновения выложить в открытый доступ внутренние документы. Руководство компании обратилось к Кертису с просьбой помочь им в переговорах, и он посоветовал им для начала сообщить хакерам о том, что их требования получены, чтобы получить немного времени, а сам начал изучать тактику ведения бизнес-переговоров и советы специалистов по освобождению заложников. Так, он узнал, что лучше встречное предложение о сумме предлагать не круглой цифрой, а на уступки не идти без веского основания. В ходе общения с хакером Майндер выяснил, что он не принадлежит ни одному из крупных синдикатов, похвалил его техническую подкованность и наконец договорился о сумме выкупа, которая устраивала руководство компании.
Клиенты Кертиса Майндера часто сами осложняли ему работу: начав переговоры без него, они отчитывали вымогателей, провоцируя их на повышение требований. Майндер действовал более мягко, выигрывая время и пытаясь выйти на более высокопоставленного члена синдиката. Он стал применять тактику «зеркальной эмпатии», повторяя за хакерами их собственные слова. В этом ему помогала подруга, свободно владеющая русским, украинским, румынским и немного литовским языками: по ее совету Кертис называл некоторых своих собеседников kuznechik.
Сначала Майндер вел все переговоры лично — сотрудники его компании, программисты, просто не обладали нужными навыками общения. Но вскоре, когда стало понятно, что спрос на переговоры с кибервымогателями растет, он нанял еще двух специалистов, один из которых, Майк Фаулер, бывший полицейский по борьбе с наркотиками, имел опыт внедрения в преступные группировки. Фаулер обратил внимание на ряд фирм, которые предлагали услуги по расшифровке данных, заблокированных хакерами. Они уверяли, что могут разблокировать информацию, не выплачивая требуемый преступниками выкуп, даже если плата за такие услуги превышала саму сумму выкупа.
Крупных клиентов такой вариант с точки зрения пиара устраивает больше, чем перспектива переговоров с криминальными организациями: лучше они заплатят фирме во Флориде, чем международному преступному синдикату. Но такие компании, похоже, просто договариваются с хакерами о выплате выкупа и разблокировке информации, забирая остаток гонорара себе. Говорить с журналистами и раскрывать свои методы клиентам они отказываются, говоря: «Не ваше дело, как мы добиваемся своей цели, — главное, что вы восстанавливаете доступ к своей информации». А кибервымогатели понимают, что подобные компании — их надежный партнер; некоторые даже предлагают скидки на выкуп для фирм, занимающихся «восстановлением утерянной информации».
В октябре 2020 года Агентство по кибербезопасности и инфраструктуре выпустило предупреждение для переговорщиков, страховщиков от киберугроз и компаний, занимающихся восстановлением информации, о том, что при подозрении в сотрудничестве с киберпреступниками их могут подвергнуть штрафу. И в последней четверти года количество выплаченных выкупов пошло на убыль.
В поисках комплексного решения власти США — ФБР, министерство юстиции и другие силовые ведомства — вместе с лидерами индустрии кибербезопасности начали разрабатывать рекомендации по снижению рисков от кибервымогательства. Среди этих рекомендаций были, например, обязательство сообщать властям о выплате выкупа, а также создание фонда поддержки компаний, которые отказываются выполнять требования преступников. В свою очередь, хакеры начали задумываться о своем публичном имидже: например, взломавшая трубопровод Colonial Pipeline группировка DarkSide объявила об отказе от атак на школы и больницы, извинилась за сбой общественно важной инфраструктуры и пожертвовала десять тысяч долларов в криптовалюте двум благотворительным организациям. Группировка REvil также заявила, что больше не будет вымогать деньги у государственных, образовательных и медицинских учреждений.
Возможно, так они просто пытаются снизить интенсивность внимания к себе силовиков — но в любом случае такие заявления могут быть признаком того, что рынок саморегулируется. Вряд ли кибервымогательство исчезнет — но, по крайней мере, оно может снизиться до такого уровня, который примерно всех устраивает.