Сервисы электронной почты, облачные хранилища для фото котиков, службы бесполезных петиций — все они давно применяют многофакторную авторизацию. И в то же время ключи к криптокошелькам, на которых хранятся внушительные суммы, могут лежать на незашифрованном накопителе без средств защиты, с отключенным обновлением операционной системы и регулярным входом в интернет через открытый wi-fi в каких-нибудь городских кафе. Что-то внутри шепчет вам, что именно ваш кошелек никому не нужен, а потому и доставлять себе неудобства лишними мерами безопасности не стоит: если проблемы и свалятся на голову, то кому-то другому. Но они валятся на головы всем, и с каждым годом сыплют все гуще, так что давно пора разобраться, как это происходит и что делать.
Атаки против лени и беспечности
Криптовалюты надежно защищены принципами их устройства. Крепкая криптография обеспечивает ведение реестра транзакций, который практически невозможно подделать или изменить задним числом. Единственное уязвимое место системы проистекает из ее анонимности и распределенности — это приватный ключ, дающий полный контроль над кошельком его обладателю, который может ошибаться, не очень удачно планировать свои действия, поддаваться на обман и вымогательство.
На вымогательстве специализируются вирусы-блокировщики, которые шифруют, либо делают вид, что шифруют, накопители компьютеров и предлагают вернуть над ними контроль за выкуп. Эта разновидность мошенничества известна на протяжении десятилетий, но не имела по-настоящему широкого распространения из-за специфики монетизации. С одной жертвы не получить много денег, а для массового шантажа требовался канал передачи средств, который не могла бы отследить полиция. Такой канал появился с приходом криптовалют, и благодаря им блокировщики переживают ренессанс. В 2017 году на них приходится до 60% от всех вирусов, находящихся в обращении. Они же удерживают первое место по количеству пострадавших (по итогам первой половины года, атакам подверглись почти 2,5 млн компьютеров) и нанесенному ущербу (по прогнозу, превысит $5 млрд в этом году).
Пять самых разрушительных вирусов-блокировщиков в 2017 году
| Имя гада | Поражено устройств | Оценка ущерба |
| WannaCry | 250 000 | $4 млрд |
| NotPetya | 600 000 | $650 млн |
| Locky | 400 000 | $110 млн |
| Jaff | 120 000 | $80 млн |
| Cerber | 700 000 | $65 млн |
С блокировщиками пытаются совладать полицейские подразделения по борьбе с киберпреступностью. Во-первых, они пропагандируют своевременное обновление операционных систем и программного обеспечения, а также разумные практики для интернета и сервисов вроде электронной почты: не ходить по странным ссылкам, не загружать приложения из подозрительных писем и т.д. Во-вторых, совместно с производителями антивирусных систем бесплатно распространяют средства снятия блокировки. Но чтобы победить вирусы-вымогатели, бороться нужно с человеческими ленью и беспечностью. Не верите, что проблема именно в них? По статистике, блокировщики — это проблема развитых стран (49% приходится на Европу, еще 33% — на Северную Америку), в которых владельцам устройств проще заплатить пару сотен долларов, чем усложнять себе жизнь мерами информационной гигиены. В разгар блокировок был зафиксирован пик поисковых запросов на тему, как купить биткоины, чтобы расплатиться со злоумышленниками. Ну что тут еще скажешь?
Атаки против ключей
Всегда существовала элитная ниша хакерских атак и вирусных заражений, которые нацеливались на банковские клиенты, реквизиты и пароли от соответствующих служб. На них приходятся считанные проценты, если не доли процентов от общего объема преступлений в информационной сфере. Только теперь к списку того, за чем идет охота, добавились ключи от криптокошельков, а среди функций вредоносного кода появилось слежение за буфером обмена, чтобы вовремя подменить адрес кошелька, куда должна пойти оплата, на другой, принадлежащий разработчикам вируса. Способ оказался удивительно эффективным. Некоторые вирусы сумели собрать токенов на сотни тысяч долларов. В отдельных случаях (вроде прошлогоднего CryptXXX) вредоносный код, который ищет ключи и подменяет адреса, шел второй волной за блокировщиками: заплатив выкуп, жертва получала доступ к сайту, с которого нужно было скачать дешифровщик. В процессе сканирования накопителей он примечал все, что могло относиться к криптовалютам, и вдобавок устанавливал программу, которая скрытно отслеживала нажатия клавиш, посещения сайтов и буфер обмена.
Индивидуальные атаки с той же целью могут быть нацелены на домашние или корпоративные маршрутизаторы, хакеры могут попробовать взломать почту или мессенджеры, но соблюдение мер информационной гигиены должно усложнить им задачу настолько, чтобы они отправились искать жертву полегче. Идеально было бы выделить отдельное устройство для работы с криптокошельком, с которого бы вы не ходили по сомнительным сайтам, не сохраняли и не запускали непонятные приложения из почты, не играли бы в игры и единственное, что делали бы, помимо проведения транзакций, это устанавливали обновления операционной системы.
Атаки против мощностей
Антивирусные лаборатории регулярно публикуют статистику о том, что творится в устройствах, на которых установлено ее антивирусное ПО. Последние несколько лет туда попадает и такая категория, как вирусы с функцией майнинга. За весь 2016 год у Касперского, например, их обнаружили на 1,8 млн устройств, в этом же году прошлогодние показатели были побиты еще в августе. Учитывая динамику роста курса криптовалют, не очень удивлюсь, если по итогам года они одолеют и 3 миллиона. Однако в последнее время появились новые векторы атаки, их сложнее учесть производителям антивирусного ПО и они более прибыльны для злоумышленников. Речь идет о заражении мобильных устройств. Современные смартфоны и планшеты с многоядерными процессорами имеют приличную производительность. При этом подкинуть в них вредоносный майнер можно и без вирусных ухищрений: даже из официальных апп-сторов регулярно вычищают приложения, в которые подобный код встроен их разработчиками. Кроме того, значительная часть (больше на Андроиде, меньше — на iOS) владельцев смартфонов подгружает себе приложения из сторонних апп-сторов или вообще берет их на форумах энтузиастов либо пиратов. На некоторых рынках, включая такие огромные, как Индия, Индонезия и Китай, такими источниками пользуется подавляющее большинство владельцев смартфонов. Эксперты по компьютерной безопасности консервативно оценивают долю мобильных устройств с хотя бы одним вредоносным приложением в 2-3%. Под одним Андроидом сейчас работает около полутора миллиардов устройств, что дает нам до 50 млн майнеров, рассованных по смартфонам и планшетам. Три миллиона персоналок с вирусами уже не кажутся большой проблемой, не так ли? Рецепт в этом случае: смартфон от надежного производителя со свежей версией операционной системы и своевременными патчами, использование официального апп-стора и все предыдущие методы гигиены.
Еще одна перспективная хакерская ниша — взлом и вирусное заражение ферм для майнинга, по крайней мере, реализованных в любительском масштабе, где техобслуживание ложится на плечи владельца нескольких серверов с мощными видеокартами. На форумах майнеров время от времени обнаруживают попытки включить вредоносный код в утилиты или патчи, но насколько велика эта проблема, еще предстоит выяснить. Кто-то может заметить, что мобильные платформы и любительские фермы сужают поле зловредного майнинга до тех альткоинов, которые все еще имеет смысл добывать на обычных процессорах или GPU. Действительно, вирусный код обычно обсчитывает Monero или ZCash (у которых к тому же есть дополнительные средства анонимизации транзакций), но BTC или ETH также могут присоединиться к этой компании. Специализированные ASIC-майнеры имеют свои уязвимости, а массовое производство некоторых популярных моделей привело к тому, что у хакеров появилась мотивация их исследовать и применить полученные знания для взлома веб-интерфейсов и, допустим, смены реквизитов кошелька. Даже если слабые места не найдутся сразу, какой-нибудь процент владельцев этих майнеров оставит пароль от административной панели, который стоял по умолчанию. Потому что люди — это люди, и большинство их предпочитает не думать о проблемах до того момента, когда они уже прибыли.
