Сколько человек нужно, чтобы…

Сегодня о троянцах-шифровальщиках наслышаны даже многие далекие от вопросов информационной безопасности люди. А между тем история этого вида вредоносов едва превышает 10 лет (PDF). Они лидируют по суммам причиненного ущерба и пасут задних в рейтинге наиболее распространенных угроз. В отличие от других видов зловредного ПО, запустить эпидемию шифровальщика непросто, а извлечь из этого финансовую выгоду еще сложнее.

Первый вирусный инцидент с троянцами семейства Trojan.Encoder был зафиксирован в мае 2005 г. Но простой алгоритм шифрования не сделал его особо эффективным и поврежденные файлы восстанавливались достаточно легко. Следующие три года появление различных вариаций было, скорее, «пробой пера» злоумышленников, постоянно находившихся в поиске новых методов атак на ПК и сети. Только с 2012 г. количество шифровальщиков стало довольно быстро расти. Все дело в том, что для создания шифровальщика и организации массового его распространения требуются серьезные знания и навыки в области криптографии, социальной инженерии и т.п. Именно поэтому в первую очередь в таких эпидемиях подозревают государственные структуры.

Сколько же злоумышленников требуется, чтобы создать подобие WannaCry или NotPetya? Чтобы написать собственно троянца, необходим специалист по криптографии, который воплотит в коде определенный алгоритм шифрования. Затем нужен программист, который обеспечит скрытность действий энкодера в системе и защиту от антивирусов. Также для отладки кода может пригодиться тестировщик. Для использования уязвимостей (а в идеале и для поиска брешей нулевого дня) и организации распространения вредоноса в локальной сети не обойтись без отдельного специалиста, а то и нескольких.

Троянец не вирус и сам размножаться не умеет. Поэтому для организации эпидемии понадобится знаток социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишингового сайт. Далее, веб-дизайнер, который реализует его. Затем спамер с обширными базами для рассылки, лучше всего – четко таргетированными. А также специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступной группы.

Итого получается до десятка специалистов высокой квалификации. Конечно, один человек может обладать несколькими из перечисленных навыков или можно привлечь «фрилансера» с соответствующим опытом. Можно модифицировать уже существующего троянца и запустить его по новой или купить готовый зловред. Вариантов много, но, как показывает история, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит – это результат работы целой группы квалифицированных специалистов.