Член горсовета КаШамба Миллер-Андерсон сначала подумала, что это розыгрыш, но электронная почта, телефоны и базы данных Ривьеры-Бич продолжали бездействовать, и она поняла, что это не шутка. В то лето городок был далеко не единственной жертвой заморских вымогателей: в их лапы попали судебная база данных в Джорджии и компьютеры казенных школ Оклахомы, пожарных управлений в Род-Айленде и объектов в Теннесси, Западной Вирджинии, Северной Каролине, Техасе и т.д. Их жители больше не могли вызвать полицию, пожарных и неотложку.
Сейчас это в порядке вещей, но в 2019 году было в новинку.
Жертвы вымогателей приходили к выводу, что откупиться будет гораздо дешевле, и часто платили. ФБР рекомендует этого не делать, поскольку каждый выкуп окрыляет преступников и готовит почву для новых наездов. «Всякий раз, когда это получает огласку, всякий раз, когда кто-то платит выкуп в сотни тысяч долларов, это вдохновляет хакеров на то, чтобы продолжать в том же духе, — сказал газете Адам Майерс, вице-президент известной фирмы «КраудСтрайк», занимающейся кибербезопасностью. — Вот почему они наезжают на органы власти, которым нужно, чтобы полиция, пожарные и скорая помощь работали бесперебойно».
У местных властей финансы часто ограничены, и они не могут позволить себе более современные средства киберзащиты. Их персонал обычно плохо разбирается в этом вопросе. К тому же их информационные системы нередко построены таким образом, чтобы облегчить перескок из одного ведомства в другое. Как пишет «Вашингтон пост», если хакер вломился, скажем, в компьютеры бухгалтерии вашего городка, ему легко будет проникнуть оттуда в отдел водоснабжения или в местные суды.
Горсовет Ривьеры-Бич повел себя почти образцово: после того, как его айтишник предупредил в феврале 2019 года, что компьютерная сеть курорта безнадежно устарела, отцы города ассигновали 798 419 долларов на закупку новой сети. Но к моменту взлома старой новую так и не установили, и перед Миллер-Андерсон и другими членами горсовета встал вопрос: платить выкуп или не платить?
Потерпевшие часто решают, что быстрее всего проблему можно устранить, заплатив выкуп. Проблема в отсутствии гарантий, что хакеры после этого сдержат слово. Наиболее респектабельные взломщики не только не обманывают, но даже вызываются дать потерпевшим советы, как им избежать наездов в будущем. И выкуп обычно гораздо дешевле, чем попытки устранить блокировку компьютеров. Нередко второй вариант обходится в миллионы долларов.
Отцы (или матери) городов платят охотнее, чем коммерческие учреждения. Как объясняет аналитик компании «Рекордед фьючер» Аллан Лиска, «в отличие от банка или больницы, это не их деньги. Это деньги налогоплательщиков».
На счастье Ривьеры-Бич, городок был застрахован от кибер-ЧП, поведала газете Миллер-Андерсон. Страховка покрыла выкуп в искомые 600 тысяч, а город заплатил лишь 25 тысяч безусловной франшизы (deductible).
Вскоре после этого другой флоридский город, Лейк-Сити, согласился выложить вымогателям 460 тысяч долларов, большая часть которых тоже была покрыта страховкой. Но в 2018 году Атланта гордо отказалась платить хакерам запрошенную ими 51 тысячу долларов. Город сам вызволил полоненные компьютеры, но стоило это 7,2 млн долларов.
Ликвидация последствий кибератаки в Балтиморе, имевшей место в мае 2019 года, обошлась городу в 18 млн долларов. Вымогатели требовали у него всего лишь около... 57 тысяч долларов биткоинами, но отцы города уперлись.
Цитировавшийся выше Алан Лиска составил по сообщениям прессы список атак кибервымогателей на органы власти городов и штатов и насчитал 169 штук, имевших место с ноября 2013-го по апрель 2019 года.
Не все они имели такой масштаб, как атаки на Ривьеру-Бич, Атланту или Балтимор. Вымогатели атаковали объекты помельче, такие как школьные округа, библиотеки или жилуправления. Лиска нашел небольшой район Аляски, в котором компьютеры бездействовали так долго, что служащим пришлось достать из кладовых запыленные пишущие машинки и работать на них.
Притом Лиска не имел понятия, о каком проценте инцидентов становится известно. «Я не знаю, зафиксировали ли мы 50% их общего числа или 10%», — сказал он «Вашингтон пост».
С тех пор атаки лишь участились. Активизировалась и борьба с кибервымогателями, излюбленным оружием которых называют «Трикбот», троянский вирус, который раньше использовался для взлома банковских компьютеров с целью хищения финансовой информации, денег и личных данных, а затем стал применяться для внедрения в чужие компьютеры программ-вымогателей.
Впервые «Трикбот» был зафиксирован аналитиками в ноябре 2015 года, а в ноябре 2020 года киберподразделения ФБР и частные эксперты нанесли ему массированный удар, который, однако, оказался не смертельным, и проделки хакеров возобновились. Как сообщил в начале этого года Нинад Мишра на сайте «Хэк репорт», хакеры скоро разродились «новой и более эффективной версией этого вредоносного ПО». До сих пор неясно, возможно ли будет вывести эту заразу полностью.
Усилия киберсыщиков, впрочем, приносили плоды, и в начале года власти сообщили, что они выявили 17 членов шайки вымогателей, разрабатывающих и применяюших ПО, которыми инфицируются компьютеры потерпевших. 6 февраля в Майами была арестована первая из подозреваемых, гражданка Латвии Алла Витте.
Девичья фамилия программистки, которая родилась в Ростове-на-Дону, — Климова. Выйдя замуж, она взяла фамилию Витте и несколько лет прожила в Амстердаме. Она часто появлялась в соцсетях под своим девичьим именем. «Аргументы и факты» упоминают ролик 2019 года на YouTube, носящий название Alla Klimova Suriname. «В нем, — пишет АиФ, — Алла на русском языке делится впечатлениями о некоторых курсах программирования, в которых якобы участвовала».
«Я хочу быть классным программистом, кто делает эксклюзивные штучки, — писала в соцсети «ВКонтакте» выпускница Латвийского университета, где она изучала прикладную математику. — Летаю по клиентам в разные страны. Работаю на себя и клиентов просто немерено».
Есть мнение, что ФБР вышло на Витте отчасти благодаря ее активности в соцсетях.
Как говорилось в пресс-релизе Минюста США, 55-летняя программистка якобы состояла в указанной шайке и писала код для управления «Трикботом» и внедрения вредоносной программы-вымогателя в компьютеры намеченных жертв. Минюст утверждал, что шайка была сформирована в ноябре 2015 года и что Витте пользовалась в ней псевдонимом Макс, который, возможно, был позаимствован из боевика «Миссия невыполнима» (1996 г.). Под этим именем действовала в нем злодейка Мицополис, чью роль исполняла Ванесса Редгрейв.
Считается, что «Трикбот» родился на руинах шайки хакеров, применявших вредоносное ПО по имени «Дайр» (Dyre), но распавшейся в 2015 году в результате серии провалов. Место «Дайра» занял «Трикбот». Если операторы «Дайра» занимались в основном рассылкой спама, который обманом побуждал пользователей загружать в свои компьютеры зловредное ПО, то «Трикбот» был поначалу классическим банковским троянцем, который позволял хакерам манипулировать счетами вкладчиков банка. Где-то в 2017 году его операторы переключились на внедрение в компьютеры потерпевших вредоносных программ, в том числе и чужих, хозяева которых платили за эту услугу.
С годами операторы «Трикбота» создали гигантский ботнет, то есть сеть зараженных вирусом компьютеров, которые втайне от своих законных владельцев выполняли задания хакеров. Например, внедряли программы-вымогатели, самыми известными из которых являются «Рюк» (Ryuk) и «Конти» (Conti). Шайка заразила вредоносным ПО буквально десятки миллионов компьютеров по всему миру.
Шайка орудовала в России, Беларуси, Украине и Суринаме, где Витте проживала до последнего времени в его столице г. Парамарибо. Ее арест явился первой знаковой победой над «Трикботом» созданной при Минюсте США рабочей группы по борьбе с программами-вымогателями и цифровым вымогательством.
По словам прокуроров Северного округа Огайо, Витте и ее сообщники «похищали при помощи вредоносного ПО «Трикбот» деньги и конфиденциальную информацию у ничего не подозревавших потерпевших, в том числе бизнесов и финансовых учреждений в США, Австралии, Бельгии, Канаде, Германии, Индии, Италии, Мексике, Испании и России».
Дело Витте рассматривается в федеральном суде Кливленда, Огайо, которому выпало заниматься всей шайкой. Минюст объясняет это тем, что ряд потерпевших находятся в этом штате. Фамилии других фигурантов были замазаны в ее уголовном деле черной тушью. На прошлой неделе была рассекречена вторая из них: Минюст объявил, что из Южной Кореи был экстрадирован в США 38-летний житель Якутской области Владимир Дунаев, задержанный по американскому ордеру в аэропорту Инчон.
Как говорится в одном из пресс-релизов американских киберсыщиков, хакеры часто прибегают к фишингу (пишется phishing), посылая своим жертвам имейлы с фиктивными извещениями о нарушении ими правил движения и прилагая в доказательство фотографии. Кликая на фото, потерпевшие, не зная того, загружают в свой компьютер вредоносные JavaScript-файлы. Если их открыть, они автоматически сносятся с командным сервером хакера и загружают «Трикбот» в систему жертвы.
В пресс-релизе Минюста по поводу экстрадиции Дунаева утверждается, что россиянин и его сообщники похищали деньги и конфиденциальную информацию и портили компьютерные системы потерпевших, включавших частных лиц, финансовые учреждения, школьные округа, поставщиков коммунальных услуг, правительственные учреждения и частные бизнесы. Дунаев обвиняется в целом ряде преступлений, от банковского мошенничества и отмывания денег до хищения личных данных с отягчающими обстоятельствами. Ему теоретически грозит до 60 лет тюрьмы.
Витте, которая виновной себя не признала, грозит еще больший срок. Тоже теоретически.
