Недавно Ярослав Железняк, первый заместитель председателя Комитета по вопросам финансов, налоговой и таможенной политики, рассказал о том, что количество атак с использованием ransomware увеличилось на 70% в 2023 году. Только в США убытки от этого вида кибермошенничества превысили $4 млрд в 2022 году, при этом хакеры получили $1,1 млрд.
Учитывая тот факт, что схема становится все более опасной и распространенной, предлагаем вам подробнее ознакомиться с ней, чтобы иметь возможность защитить свои данные и кошелек
Ярослав Железняк на своем Telegram канале, со ссылкой на материал эксперта по киберпреступности Ника Шаха на The Economist, написал, что реальный уровень угрозы от ransomware значительно выше, чем отмечается в отчетах, потому что только об около 10% инцидентов сообщается. Сегодня это одна из самых распространенных и опасных угроз в сфере кибербезопасности.
«Главная причина успеха таких атак заключается в человеческих ошибках, халатности и недостаточном уровне защиты. В результате компании, правительственные учреждения и отдельные лица по всему миру становятся жертвами хакеров, что заставляет их платить выкупы, чтобы избежать еще больших убытков или огласки конфиденциальной информации», — пишет украинский экономист и народный депутат Верховной Рады IX созыва.
Он пояснил, что ransomware, это когда хакеры или воруют, или зашифровывают данные и за их возвращение или сохранение в секрете, требуют значительные деньги.
Что такое ransomware (также программы-вымогатели)?
Это вредоносное программное обеспечение, предназначенное для того, чтобы заблокировать пользователю или организации доступ к файлам на компьютере / сервере. Шифруя эти файлы и требуя выкуп за ключ к расшифровке, кибератаки ставят людей и организации в ситуацию, когда уплата выкупа — самый простой и дешевый способ получить доступ к своим материалам. Некоторые варианты программ-вымогателей имеют дополнительную функциональность, например, кражу данных — для того, чтобы дополнительно стимулировать жертв к уплате выкупа.
Программы-вымогатели быстро стали наиболее известным и заметным типом вредоносного программного обеспечения. Недавние атаки вирусов-вымогателей повлияли на способность больниц предоставлять жизненно важные услуги, нарушили работу государственных служб в городах и нанесли значительный ущерб различным организациям.
«Преступления по ransomware обычно совершают очень организованные группы. Они работают как настоящие корпорации с четкими структурами и иерархиями, имеют человеческие ресурсы, бюрократические процедуры, а также службы поддержки для своих жертв. Их сайты значительно юзерфрендли и автор статьи (Ник Шах) утверждает, что сервис для жертв более удобен чем поддержка Apple», — объясняет Ярослав Железняк.
Он отмечает, что в 2019 году, когда количество атак значительно возросло, многие из этих групп базировались в рф и Украине. С началом пандемии в 2020 году, когда большинство бизнесов перешло на онлайн-формат, возможности для таких атак выросли еще больше.
По словам нардепа, полномасштабная война несколько снизила количество атак, поскольку хакеры из обеих стран были вовлечены в кибервойска. Несмотря на это, многие хакерские группы остаются активными, и появляются новые центры ransomware, включая Иран, Бразилию, Индию, Северную Корею, Китай и Перу.
Интересное по теме: Сколько похитили криптомошенники во II-м квартале 2024 года — исследование
Почему появляются атаки с требованиями?
Современное «увлечение» программами-вымогателями началось со вспышки вируса WannaCry в 2017 году. Эта масштабная и широко разрекламированная атака продемонстрировала, что ransomware возможны и потенциально прибыльные. С тех пор были разработаны десятки вариантов программ-вымогателей, которые использовались в различных атаках.
Пандемия COVID-19 также способствовала недавнему росту количества программ-вымогателей. Поскольку организации быстро переходили на удаленную работу, в их киберзащите образовались пробелы. Киберпреступники воспользовались этими уязвимостями для доставки вирусов, что привело к всплеску атак.
В эпоху, когда доминируют цифровые риски, потрясающий 71% компаний сталкивались с атаками программ-вымогателей, что привело к многомиллиардным финансовым потерям.
Только в 2023 году попытки атак с использованием программ-вымогателей были направлены на 10% организаций по всему миру. Это значительный рост по сравнению с 7% организаций, которые столкнулись с подобными угрозами в 2022 году.
Ярослав Железняк отметил, что одна из причин роста таких хакерских атак — страховые компании.
«Многие компании покупают полисы киберстрахования, которые покрывают риски, связанные с киберпреступностью, включая ransomware. Такие полисы могут покрывать расходы на восстановление данных, урегулирование выкупа, юридическую помощь и PR-услуги для сохранения репутации, — объясняет нардеп. — Также страховые компании координируют действия различных специалистов, включая технические команды для устранения угрозы, юристов для обеспечения конфиденциальности переговоров, и кризисных менеджеров для управления ситуацией».
По его словам, если компания вынуждена заплатить выкуп, страховая может покрыть часть или всю сумму выплаты, в зависимости от условий полиса. Они также компенсируют другие расходы, связанные с атакой, например, потери от остановки бизнеса или расходы на восстановление данных.
«Страховые компании работают с юридическими фирмами, чтобы сохранить все переговоры и детали атаки конфиденциальными. Это помогает избежать огласки информации, которая может навредить репутации компании», — добавил Железняк.
Как работают программы-вымогатели
Для успешной работы ransomware необходимо получить доступ к целевой системе, зашифровать файлы и требовать выкуп от жертвы. Хотя детали реализации зависят от разновидности вируса-вымогателя, все они состоят из трех основных этапов:
Этап 1. Заражение и векторы распространения
Вымогатели, как и любое другое вредоносное ПО предпочитают несколько конкретных векторов заражения. Один из них — фишинговые электронные письма и социальная инженерия. Вредоносное электронное письмо может содержать ссылку на веб-сайт, на котором можно загрузить вредоносное программное обеспечение, или вложение, которое имеет встроенную функцию загрузчика. Также популярны «фальшивые рекламные объявления» (отображается на реальных вебсайтах, на которых размещен набор эксплойтов).
Еще один популярный вектор заражения вирусом-вымогателем использует такие сервисы, как протокол удаленного рабочего стола (RDP). С помощью RDP злоумышленник, похитивший или угадавший учетные данные для входа в систему сотрудника, может использовать их для аутентификации и удаленного доступа к компьютеру в корпоративной сети. Имея такой доступ, злоумышленник может непосредственно загрузить вредоносное ПО и запустить его на компьютере под своим контролем.
Другие могут пытаться заразить системы напрямую, как это сделал WannaCry, воспользовавшись уязвимостью EternalBlue. Большинство вариантов программ-вымогателей имеют несколько векторов заражения.
Шаг 2. Шифрование данных
После того, как программа-вымогатель получила доступ к системе, она может начать шифровать файлы. Поскольку функция шифрования встроена в операционную систему, для этого достаточно получить доступ к документам, зашифровать их с помощью ключа, контролируемого злоумышленником, и заменить оригиналы зашифрованными версиями. Большинство вариантов программ-вымогателей осторожно подходят к выбору файлов для шифрования, чтобы обеспечить стабильность системы. Некоторые варианты также принимают меры для удаления резервных и теневых копий файлов, чтобы затруднить восстановление без ключа расшифровки.
Шаг 3. Требование выкупа
После завершения шифрования файлов программа-вымогатель готова потребовать выкуп. Различные варианты программ-вымогателей реализуют это разными способами, но нередко фон дисплея меняется на требование выкупа или текстовые файлы размещаются в каждой зашифрованной директории, содержащей требование выкупа. Обычно такие записки требуют определенную сумму криптовалюты в обмен на доступ к файлам жертвы.
Если выкуп уплачен, оператор программы-вымогателя предоставляет ключи доступа. Они могут быть введены в программу-дешифровщик (также предоставленную киберпреступником).
Хотя эти три основных этапа присущи всем разновидностям программ-вымогателей, разные программы-вымогатели могут включать различные реализации или дополнительные этапы. Например, такие разновидности вирусов-вымогателей, как Maze, перед шифрованием выполняют сканирование файлов, информации из реестра и похищение данных, а WannaCry ищет другие уязвимые устройства для заражения и шифрования.
Читайте популярное: Правда ли, что AML больше не панацея от мошенничества — обзор
Типы атак программ-вымогателей
За последние несколько лет программы-вымогатели значительно эволюционировали. Ниже приведены некоторые их типы и связанные с ними угрозы:
- Двойное вымогательство: ransomware с двойным вымогательством, такие как Maze, сочетают шифрование данных с их кражей. Этот метод был разработан в ответ на то, что организации отказывались платить выкуп и вместо этого восстанавливали данные из резервных копий. Похищая данные организации, киберпреступники могут угрожать их утечкой, если жертва не заплатит.
- Тройное вымогательство: к двойному вымогательству добавляется третий шаг, часто это может быть требование выкупа от клиентов или партнеров жертвы, или проведение распределенной DDoS-атаки на компанию.
- Locker ransomware: это программы-вымогатели, которые не шифруют файлы на компьютере жертвы. Вместо этого он блокирует компьютер, делая его непригодным для использования жертвой до тех пор, пока не будет уплачен выкуп.
- Криптографические программы-вымогатели: в этом случае выкуп требуется именно в крипте, так как она не контролируется традиционной финансовой системой и такие транзакции сложнее отследить.
- Wiper (или очиститель): это разновидность вредоносного программного обеспечения, которая связана с программами-вымогателями, но отличается от них. Хотя они могут использовать те же методы шифрования, их цель — навсегда запретить доступ к зашифрованным файлам, что может включать удаление единственной копии ключа шифрования.
- Программы-вымогатели как услуга (RaaS): это модель распространения вредоносного ПО, в рамках которой банды злоумышленников предоставляют «аффилированным лицам» доступ к своему вредоносному программному обеспечению. Эти лица заражают цели и делят любые платежи за выкуп с разработчиками программ-вымогателей.
Разработчики относительно мало рискуют, а их клиенты выполняют большую часть работы. Некоторые экземпляры «ransomware RaaS» используют подписку, а другие требуют регистрации для получения доступа к ПО.
- Программы-вымогатели, похищающие данные: некоторые варианты ransomware сосредоточены на краже данных, полностью отказываясь от их шифрования. Одна из причин этого — шифрование может занять много времени и его легко обнаружить, что дает организации возможность прекратить заражение и защитить некоторые файлы.
Популярные варианты программ-вымогателей
Существуют десятки разновидностей ransomware, каждый из которых имеет свои уникальные характеристики. Однако некоторые группы вирусов-вымогателей были более плодотворными и успешными, чем другие, что выделяло их среди других.
- Ryuk
Это пример очень целенаправленного варианта вируса-вымогателя. Обычно он распространяется через фишинговые электронные письма или с использованием скомпрометированных учетных данных пользователя для входа в корпоративные системы с помощью протокола удаленного рабочего стола (RDP). После заражения системы Ryuk шифрует определенные типы файлов (избегая тех, что имеют решающее значение для работы компьютера), а затем выдвигает требование выкупа.
Ryuk известен как один из самых дорогих типов программ-вымогателей из всех существующих. Он требует выкуп в среднем более $1 млн. Как следствие, киберпреступники, стоящие за Ryuk, в первую очередь сосредотачиваются на предприятиях, которые имеют ресурсы, необходимые для удовлетворения их требований.
- Maze
Программа-вымогатель Maze известна тем, что стала первым вариантом вируса, который соединил в себе шифрование файлов и кражу данных. Когда жертвы начали отказываться платить выкуп, Maze начал собирать конфиденциальные данные с компьютеров жертв, прежде чем зашифровать их. Если требование выкупа не было выполнено, эти данные были бы обнародованы или проданы тому, кто предложил самую высокую цену. Потенциальная возможность дорогостоящей утечки данных использовалась как дополнительный стимул для уплаты выкупа.
Группа, стоявшая за созданием программы-вымогателя Maze, официально прекратила свою деятельность. Однако это не означает, что угроза распространения вируса-вымогателя уменьшилась. Некоторые филиалы Maze перешли на использование вируса-вымогателя Egregor, а варианты Egregor, Maze и Sekhmet, как полагают, имеют общий источник.
- REvil (Sodinokibi)
Группа REvil (также известная как Sodinokibi) — это еще один вариант вируса-вымогателя, который нацелен на крупные организации.
REvil — одно из самых известных семейств программ-вымогателей в сети. С 2019 года русскоязычная группа, управляющая этим вирусом, ответственна за многие крупные нарушения, такие как «Kaseya» и «JBS». В течение последних нескольких лет она конкурировала с Ryuk за звание самого дорогого варианта вируса-вымогателя. Известно, что REvil требовал выкуп в размере $800 000.
Хотя REvil начинал как традиционный вариант программы-вымогателя, со временем он эволюционировал. Преступники используют технику двойного вымогательства для похищения данных с предприятий, одновременно шифруя файлы.
Также стоит упомянуть о:
- Lockbit (RaaS);
- DearCry (использует уязвимости в Microsoft);
- Lapsus$ (южноамериканская группировка, связанная с кибератаками на некоторые важные объекты, в частности, известна атаками на Nvidia, Samsung, Ubisoft и других).
Читайте также: Какие деньги чаще всего подделывают мошенники в 2024 году — НБУ
Как программы-вымогатели влияют на бизнес?
Успешная атака вируса-вымогателя может иметь различные последствия для бизнеса. Некоторые из самых распространенных рисков включают:
- финансовые потери (это могут быть, в частности, расходы на юридические услуги);
- потеря данных;
- утечка данных;
- простои (программы-вымогатели шифруют критические данные, а атаки с тройным вымогательством могут включать DDoS-атаки. Обе эти угрозы могут привести к простою в работе организации);
- ущерб бренду (такие атаки могут навредить репутации организации среди клиентов и партнеров);
- правовые и регуляторные санкции (важно, что атаки с требованием выкупа могут быть вызваны халатностью в сфере безопасности и включать утечку конфиденциальных данных. Это может привести к судебным искам или штрафным санкциям со стороны регуляторных органов, что особенно актуально для платежных компаний).
Как защититься от программ-вымогателей
Надлежащая подготовка. Внедрение приведенных ниже вариантов может уменьшить уязвимость организации к программам-вымогателям и минимизировать их последствия:
- тренинги и обучение по кибербезопасности;
- постоянное резервное копирование данных;
- установка обновлений и исправлений в системе: киберпреступники часто ищут уязвимости, через которые и загружают вирусы;
- аутентификация пользователей: доступ к таким сервисам, как RDP, с похищенными учетными данными пользователя — излюбленный прием злоумышленников.
Важно: защитите свои резервные копии. Убедитесь, что ваши скопированные данные недоступны для изменения или удаления из систем, где они хранятся. Программы-вымогатели будут искать их и шифровать или удалять, чтобы их невозможно было восстановить, поэтому используйте системы резервного копирования, которые не позволяют прямой доступ к файлам резервных копий.
Уменьшение «площади атаки». Учитывая высокую потенциальную стоимость заражения вирусом-вымогателем, лучшей стратегией борьбы с ним является профилактика и усиление защиты. Это и надежный антивирусник, и систематический анализ системы на наличие уязвимостей, и частая смена паролей и тому подобное.
Также существуют отдельные решения для защиты от программ-вымогателей. Такое ПО может быстро выявлять угрозы (имея в базе данных соответствующие узкоспециализированные индикаторы), автоматически восстанавливать файлы в случае атаки (в частности за счет механизма «теневого копирования») и т.д.
Моделирование ситуации с вымогательством. Это один из лучших, интересных и информативных способов повысить осведомленность о рисках, связанных с ransomware. Он также может помочь определить, кто из работников больше всего подвергается риску атак злоумышленников, а также где в системе есть «слабые места».
Симуляции в реальном времени обучают конечных пользователей и улучшают понимание атак с требованиями в масштабах всей организации. Люди воочию видят, как легко можно обманом установить вредоносное программное обеспечение с требованиями на свои компьютеры и мобильные устройства.
Популярное по теме: В мире произошел массовый IT-сбой: причины и последствия
Как удалить программы-вымогатели и что делать в случае возникновения проблемы?
Многие успешные атаки вирусов-вымогателей обнаруживаются лишь после того, как шифрование данных завершено, а на экране зараженного компьютера появилось требование о выкупе. На этом этапе зашифрованные файлы, скорее всего, не подлежат восстановлению, но следует немедленно принять определенные меры:
- Поместите компьютер на карантин: некоторые варианты программ-вымогателей будут пытаться распространиться на подключенные диски и другие компьютеры. Ограничьте распространение вредоносного программного обеспечения, закрыв доступ к другим потенциальным целям.
- Не выключайте компьютер: шифрование файлов может привести к нестабильной работе компьютера и к потере оперативной памяти.
- Создайте резервную копию: расшифровка файлов для некоторых вариантов программ-вымогателей возможна без уплаты выкупа. Сделайте копию зашифрованных файлов на съемный носитель на случай, если решение станет доступным в будущем или неудачная попытка расшифровки повредит файлы.
- Проверьте наличие дешифровальщиков: некоторые эксперты уже имеют базу подобных программ, также некоторые из них доступны в открытом доступе, в частности, на сайте проекта No More Ransom. Если вам удалось найти нужную программу, ее можно проверить на копиях зашифрованных данных.
- Попросите о помощи: эксперты по цифровой криминалистике могут восстановить некоторые копии данных, если они не были удалены вредоносным ПО.
- Удаление и восстановление: восстановите компьютер из чистой резервной копии или установки операционной системы. Это гарантирует, что вредоносное программное обеспечение будет полностью удалено с устройства.
Стоит помнить, что лучшая защита от киберпреступников — комплексная. Во-первых, используйте только лицензионное ПО и надежные антивирусные системы. Во-вторых, ознакомьтесь с возможными киберугрозами и способами защиты, постоянно обновляйте базу знаний. В-третьих, избегайте сомнительных ссылок и сайтов, с осторожностью относитесь к флеш-накопителям и дискам (особенно найденным), сторонних Wi-Fi сетей и тому подобное. В-четвертых, создайте резервную копию важных файлов и постоянно ее обновляйте, не позволяйте редактировать с устройства, которое хотите защитить.
Ознакомьтесь с другими популярными материалами:
Мошенники научились зарабатывать на стейблкоине PayPal: Как не угодить в их ловушку
Сколько денег украли финансовые мошенники за 2023 год
Вспомогательные материалы: checkpoint.com, terranovasecurity.com, trellix.com.