Чим небезпечні кіберзлочини через ransomware та як захиститися від програм-вимагачів

Нещодавно Ярослав Железняк, перший заступник голови Комітету з питань фінансів, податкової та митної політики, розповів про те, що кількість атак із використанням ransomware збільшилася на 70% у 2023 році. Лише у США збитки від цього виду кібершахрайства перевищили $4 млрд у 2022 році, при цьому хакери отримали $1,1 млрд.

Враховуючи той факт, що схема стає дедалі небезпечнішою та поширенішою, пропонуємо вам детальніше ознайомитись з нею, щоб мати змогу захистити свої дані та гаманець

Чим небезпечні кіберзлочини через ransomware та як захиститися від програм-вимагачів Фото: freepik.com

Ярослав Железняк на своєму Telegram каналі, з посиланням на матеріал експерта з кіберзлочинів Ніка Шаха на The Economist, написав, що реальний рівень загрози від ransomware значно вищий, ніж зазначається у звітах, бо лише про близько 10% інцидентів повідомляється. Сьогодні це одна з найпоширеніших і найнебезпечніших загроз у сфері кібербезпеки.

«Головна причина успіху таких атак полягає у людських помилках, недбальстві та недостатньому рівні захисту. Внаслідок цього компанії, урядові установи та окремі особи по всьому світу стають жертвами хакерів, що змушує їх платити викупи, щоб уникнути ще більших збитків або розголосу конфіденційної інформації», — пише український економіст та народний депутат Верховної Ради IX скликання.

Він пояснив, що ransomware, це коли хакери або крадуть, або зашифровують дані та за їх повернення або збереження в секреті, вимагають значні гроші.

Що таке ransomware (також програми-вимагачі або здирники)?

Це шкідливе програмне забезпечення, призначене для того, щоб заблокувати користувачеві або організації доступ до файлів на комп’ютері / сервері. Шифруючи ці файли та вимагаючи викуп за ключ до розшифрування, кібератаки ставлять людей та організації в ситуацію, коли сплата викупу є найпростішим і найдешевшим способом отримати доступ до своїх матеріалів. Деякі варіанти програм-здирників мають додаткову функціональність, наприклад, крадіжку даних — для того, щоб додатково стимулювати жертв до сплати викупу.

Програми-здирники швидко стали найбільш відомим і помітним типом шкідливого програмного забезпечення. Нещодавні атаки вірусів-здирників вплинули на здатність лікарень надавати життєво важливі послуги, порушили роботу державних служб у містах і завдали значної шкоди різним організаціям.

«Злочини по ransomware зазвичай роблять дуже організовані групи. Вони працюють як справжні корпорації з чіткими структурами та ієрархіями, мають людські ресурси, бюрократичні процедури, а також служби підтримки для своїх жертв. Їх сайти значно юзерфрендлі і автор статті (Нік Шах) стверджує, що сервіс для жертв більш зручний ніж підтримка Apple», — пояснює Ярослав Железняк.

Він зазначає, що у 2019 році, коли кількість атак значно зросла, багато з цих груп базувались у рф та Україні. З початком пандемії у 2020 році, коли більшість бізнесів перейшла на онлайн-формат, можливості для таких атак зросли ще більше.

За словами нардепа, повномасштабна війна дещо знизила кількість атак, оскільки хакери з обох країн були залучені у кібервійська. Попри це, багато хакерських груп залишаються активними, і з’являються нові центри ransomware, включаючи Іран, Бразилію, Індію, Північну Корею, Китай та Перу.

Цікаве по темі: Скільки викрали криптошахраї у ІІ-у кварталі 2024 року — дослідження

Чому з’являються атаки з вимогами?

Сучасне «захоплення» програмами-вимагачами почалося зі спалаху вірусу WannaCry у 2017 році. Ця масштабна і широко розрекламована атака продемонструвала, що ransomware можливі і потенційно прибуткові. З того часу було розроблено десятки варіантів програм-здирників, які використовувалися в різноманітних атаках.

Пандемія COVID-19 також сприяла нещодавньому зростанню кількості програм-вимагачів. Оскільки організації швидко переходили на віддалену роботу, в їхньому кіберзахисті утворилися прогалини. Кіберзлочинці скористалися цими вразливостями для доставлення вірусів, що призвело до сплеску атак.

В епоху, коли домінують цифрові ризики, приголомшливий 71% компаній стикалися з атаками програм-вимагачів, що призвело до багатомільярдних фінансових втрат.

Лише у 2023 році спроби атак з використанням програм-вимагачів були спрямовані на 10% організацій по всьому світу. Це значне зростання порівняно з 7% організацій, які зіткнулися з подібними загрозами у 2022 році.

Ярослав Железняк зазначив, що одна з причин росту таких хакерських атак — страхові компанії.

«Багато компаній купують поліси кіберстрахування, які покривають ризики, пов’язані з кіберзлочинністю, включаючи ransomware. Такі поліси можуть покривати витрати на відновлення даних, врегулювання викупу, юридичну допомогу та PR-послуги для збереження репутації, — пояснює нардеп. — Також страхові компанії координують дії різних спеціалістів, включаючи технічні команди для усунення загрози, юристів для забезпечення конфіденційності переговорів, та кризових менеджерів для управління ситуацією».

За його словами, якщо компанія змушена заплатити викуп, страхова може покрити частину або всю суму виплати, залежно від умов поліса. Вони також компенсують інші витрати, пов’язані з атакою, наприклад, втрати від зупинки бізнесу або витрати на відновлення даних.

«Страхові компанії працюють з юридичними фірмами, щоб зберегти всі переговори та деталі атаки конфіденційними. Це допомагає уникнути розголосу інформації, що може зашкодити репутації компанії», — додав Железняк.

Чим небезпечні кіберзлочини через ransomware та як захиститися від програм-вимагачів Фото: freepik.com

Як працюють програми-здирники

Для успішної роботи ransomware необхідно отримати доступ до цільової системи, зашифрувати файли та вимагати викуп від жертви. Хоча деталі реалізації залежать від різновиду вірусу-здирника, всі вони складаються з трьох основних етапів:

Етап 1. Зараження та вектори розповсюдження

Вимагачі, як і будь-яке інше шкідливе ПЗ надають перевагу кільком конкретним векторам зараження. Один з них — фішингові електронні листи та соціальна інженерія. Шкідливий електронний лист може містити посилання на вебсайт, на якому можна завантажити шкідливе програмне забезпечення, або вкладення, яке має вбудовану функцію завантажувача. Також популярні «фальшиві рекламні оголошення» (відображається на реальних вебсайтах, на яких розміщено набір експлойтів).

Ще один популярний вектор зараження вірусом-здирником використовує такі сервіси, як протокол віддаленого робочого столу (RDP). За допомогою RDP зловмисник, який викрав або вгадав облікові дані для входу в систему співробітника, може використовувати їх для аутентифікації та віддаленого доступу до комп’ютера в корпоративній мережі. Маючи такий доступ, зловмисник може безпосередньо завантажити шкідливе ПЗ та запустити його на комп’ютері під своїм контролем.

Інші можуть намагатися заразити системи безпосередньо, як це зробив WannaCry, скориставшись вразливістю EternalBlue. Більшість варіантів програм-здирників мають кілька векторів зараження.

Крок 2. Шифрування даних

Після того, як програма-здирник отримала доступ до системи, вона може почати шифрувати файли. Оскільки функція шифрування вбудована в операційну систему, для цього достатньо отримати доступ до документів, зашифрувати їх за допомогою ключа, контрольованого зловмисником, і замінити оригінали зашифрованими версіями. Більшість варіантів програм-здирників обережно підходять до вибору файлів для шифрування, щоб забезпечити стабільність системи. Деякі варіанти також вживають заходів для видалення резервних і тіньових копій файлів, щоб ускладнити відновлення без ключа розшифровки.

Крок 3. Вимога викупу

Після завершення шифрування файлів програма-здирник готова вимагати викуп. Різні варіанти програм-здирників реалізують це різними способами, але нерідко фон дисплея змінюється на вимогу викупу або текстові файли розміщуються в кожній зашифрованій директорії, що містить вимогу викупу. Зазвичай такі записки вимагають певну суму криптовалюти в обмін на доступ до файлів жертви.

Якщо викуп сплачено, оператор програми-здирника надає ключі доступу. Вони можуть бути введені в програму-дешифрувальник (також надану кіберзлочинцем).

Хоча ці три основні етапи притаманні всім різновидам програм-здирників, різні програми-здирники можуть включати різні реалізації або додаткові етапи. Наприклад, такі різновиди вірусів-здирників, як Maze, перед шифруванням виконують сканування файлів, інформації з реєстру та викрадення даних, а WannaCry шукає інші вразливі пристрої для зараження та шифрування.

Читайте популярне: Чи правда, що AML більше не панацея від шахрайства — огляд

Типи атак програм-вимагачів

За останні кілька років програми-здирники значно еволюціонували. Нижче наведено деякі типи програм-вимагачів та пов’язані з ними загрози:

1. Подвійне вимагання: ransomware з подвійним вимаганням, такі як Maze, поєднують шифрування даних з їх крадіжкою. Цей метод був розроблений у відповідь на те, що організації відмовлялися платити викуп і замість цього відновлювали дані з резервних копій. Викрадаючи дані організації, кіберзлочинці можуть погрожувати їх витоком, якщо жертва не заплатить.
2. Потрійне вимагання: до подвійного вимагання додається третій крок, часто це може бути вимога викупу від клієнтів або партнерів жертви, або проведення розподіленої DDoS-атаки на компанію.
3. Locker ransomware: це програми-вимагачі, які не шифрують файли на комп’ютері жертви. Замість цього він блокує комп’ютер, роблячи його непридатним для використання жертвою до тих пір, поки не буде сплачено викуп.
4. Криптографічні програми-здирники: у цьому випадку викуп вимагається саме в крипті, бо вона не контролюється традиційною фінансовою системою і такі транзакції складніше відстежити.
5. Wiper (або очисник): це різновид шкідливого програмного забезпечення, який пов’язаний з програмами-вимагачами, але відрізняється від них. Хоча вони можуть використовувати ті самі методи шифрування, їхня мета — назавжди заборонити доступ до зашифрованих файлів, що може включати видалення єдиної копії ключа шифрування.
6. Програми-вимагачі як послуга (RaaS): це модель розповсюдження шкідливого ПЗ, в рамках якої банди зловмисників надають «афілійованим особам» доступ до свого шкідливого програмного забезпечення. Ці особи заражають цілі і ділять будь-які платежі за викуп з розробниками програм-вимагачів.

Розробники відносно мало ризикують, а їхні клієнти виконують більшу частину роботи. Деякі екземпляри «ransomware RaaS» використовують підписку, а інші вимагають реєстрації для отримання доступу до ПЗ.

7. Програми-здирники, що викрадають дані: деякі варіанти ransomware зосереджені на крадіжці даних, повністю відмовляючись від їх шифрування. Одна з причин цього —шифрування може зайняти багато часу і його легко виявити, що дає організації можливість припинити зараження і захистити деякі файли.

Чим небезпечні кіберзлочини через ransomware та як захиститися від програм-вимагачів Фото: freepik.com

Популярні варіанти програм-здирників

Існують десятки різновидів ransomware, кожен з яких має свої унікальні характеристики. Однак деякі групи вірусів-здирників були більш плідними та успішними, ніж інші, що виділяло їх з-поміж інших.

1. Ryuk

Це приклад дуже цілеспрямованого варіанту вірусу-здирника. Зазвичай він поширюється через фішингові електронні листи або з використанням скомпрометованих облікових даних користувача для входу в корпоративні системи за допомогою протоколу віддаленого робочого столу (RDP). Після зараження системи Ryuk шифрує певні типи файлів (уникаючи тих, що мають вирішальне значення для роботи комп’ютера), а потім висуває вимогу викупу.

Ryuk відомий як один з найдорожчих типів програм-вимагачів з усіх існуючих. Він вимагає викуп у середньому понад $1 млн. Як наслідок, кіберзлочинці, які стоять за Ryuk, в першу чергу зосереджуються на підприємствах, які мають ресурси, необхідні для задоволення їхніх вимог.

2. Maze

Програма-здирник Maze відома тим, що стала першим варіантом вірусу, який поєднав у собі шифрування файлів і крадіжку даних. Коли жертви почали відмовлятися платити викуп, Maze почав збирати конфіденційні дані з комп’ютерів жертв, перш ніж зашифрувати їх. Якщо вимога викупу не була виконана, ці дані були б оприлюднені або продані тому, хто запропонував найвищу ціну. Потенційна можливість дорогого витоку даних використовувалася як додатковий стимул для сплати викупу.

Група, яка стояла за створенням програми-вимагача Maze, офіційно припинила свою діяльність. Однак це не означає, що загроза поширення вірусу-здирника зменшилася. Деякі філії Maze перейшли на використання вірусу-здирника Egregor, а варіанти Egregor, Maze і Sekhmet, як вважають, мають спільне джерело.

3. REvil (Sodinokibi)

Група REvil (також відома як Sodinokibi) — це ще один варіант вірусу-здирника, який націлений на великі організації.

REvil — одне з найвідоміших сімейств програм-вимагачів в мережі. З 2019 року російськомовна група, яка керує цим вірусом, відповідальна за багато великих порушень, таких як «Kaseya» та «JBS». Протягом останніх кількох років вона конкурувала з Ryuk за звання найдорожчого варіанту вірусу-здирника. Відомо, що REvil вимагав викуп у розмірі $800 000.

Хоча REvil починав як традиційний варіант програми-вимагача, з часом він еволюціонував. Злочинці використовують техніку подвійного вимагання для викрадення даних з підприємств, одночасно шифруючи файли.

Також варто згадати про:

• Lockbit (RaaS);
• DearCry (використовує вразливості в Microsoft);
• Lapsus$ (південноамериканське угруповання, пов’язане з кібератаками на деякі важливі об’єкти, зокрема, відоме атаками на Nvidia, Samsung, Ubisoft та інших).

Читайте також: Які гроші найчастіше підробляють шахраї у 2024 році — НБУ

Як програми-здирники впливають на бізнес?

Успішна атака вірусу-здирника може мати різні наслідки для бізнесу. Деякі з найпоширеніших ризиків включають:

• фінансові втрати (це можуть бути, зокрема, витрати на юридичні послуги);
• втрата даних;
• витік даних;
• простої (програми-здирники шифрують критичні дані, а атаки з потрійним вимаганням можуть включати DDoS-атаки. Обидві ці загрози можуть призвести до простою в роботі організації);
• збиток бренду (такі атаки можуть нашкодити репутації організації серед клієнтів та партнерів);
• правові та регуляторні санкції (важливо, що атаки з вимогою викупу можуть бути спричинені недбалістю у сфері безпеки та включати витік конфіденційних даних. Це може призвести до судових позовів або штрафних санкцій з боку регуляторних органів, що особливо актуально для платіжних компаній).

Як захиститися від програм-здирників

Належна підготовка. Впровадження наведених нижче варіантів може зменшити вразливість організації до програм-вимагачів та мінімізувати їхні наслідки:

• тренінги та навчання з кібербезпеки;
• постійне резервне копіювання даних;
• встановлення оновлень та виправлень у системі: кіберзлочинці часто шукають вразливості, через які й завантажують віруси;
• аутентифікація користувачів: доступ до таких сервісів, як RDP, з викраденими обліковими даними користувача — улюблений прийом зловмисників.

Важливо: захистіть свої резервні копії. Переконайтеся, що ваші скопійовані дані недоступні для зміни або видалення з систем, де вони зберігаються. Програми-вимагачі шукатимуть їх і шифруватимуть або видалятимуть, щоб їх неможливо було відновити, тому використовуйте системи резервного копіювання, які не дозволяють прямий доступ до файлів резервних копій.

Зменшення «площі атаки». Зважаючи на високу потенційну вартість зараження вірусом-здирником, найкращою стратегією боротьби з ним є профілактика та посилення захисту. Це і надійний антивірусник, і систематичний аналіз системи на наявність уразливостей, і часта зміна паролей тощо.

Також існують окремі рішення для захисту від програм-здирників. Таке ПЗ може швидко виявляти загрози (маючи у базі даних відповідні вузькоспеціалізовані індикатори), автоматично відновлювати файли в разі атаки (зокрема за рахунок механізму «тіньового копіювання») тощо.

Моделювання ситуації з вимаганням. Це один із найкращих, цікавих та інформативних способів підвищити обізнаність про ризики, пов’язані з ransomware. Він також може допомогти визначити, хто з працівників найбільше наражається на ризик атак зловмисників, а також де у системі є «слабкі місця».

Симуляції в реальному часі навчають кінцевих користувачів і покращують розуміння атак з вимогами в масштабах всієї організації. Люди на власні очі бачать, як легко можна обманом встановити шкідливе програмне забезпечення з вимогами на свої комп’ютери та мобільні пристрої.

Популярне по темі: У світі стався масовий IT-збій: причини та наслідки

Як видалити програми-вимагачі та що робити у разі виникнення проблеми?

Багато успішних атак вірусів-здирників виявляються лише після того, як шифрування даних завершено, а на екрані зараженого комп’ютера з’явилася вимога про викуп. На цьому етапі зашифровані файли, швидше за все, не підлягають відновленню, але слід негайно вжити певних заходів:

1. Помістіть комп’ютер на карантин: деякі варіанти програм-здирників намагатимуться поширитися на підключені диски та інші комп’ютери. Обмежте поширення шкідливого програмного забезпечення, закривши доступ до інших потенційних цілей.
2. Не вимикайте комп’ютер: шифрування файлів може призвести до нестабільної роботи комп’ютера та до втрати оперативної пам’яті.
3. Створіть резервну копію: розшифровка файлів для деяких варіантів програм-вимагачів можлива без сплати викупу. Зробіть копію зашифрованих файлів на знімний носій на випадок, якщо рішення стане доступним у майбутньому або невдала спроба розшифрування пошкодить файли.
4. Перевірте наявність дешифрувальників: деякі експерти вже мають базу подібних програм, також деякі з них доступні у відкритому доступі, зокрема, на сайті проєкту No More Ransom. Якщо вам вдалося знайти потрібну програму, її можна перевірити на копіях зашифрованих даних.
5. Попросіть про допомогу: експерти з цифрової криміналістики можуть відновити деякі копії даних, якщо вони не були видалені шкідливим ПЗ.
6. Видалення та відновлення: відновіть комп’ютер з чистої резервної копії або інсталяції операційної системи. Це гарантує, що шкідливе програмне забезпечення буде повністю видалено з пристрою.

Варто пам’ятати, що найкращий захист від кіберзлочинців — комплексний. По-перше, використовуйте лише ліцензійне ПЗ і надійні антивірусні системи. По-друге, ознайомтеся з можливими кіберзагрозами та способами захисту, постійно оновлюйте базу знань. По-третє, уникайте сумнівних посилань та сайтів, з обережністю відносьтесь до флеш-накопичувачів та дисків (особливо знайденим), сторонніх Wi-Fi мереж тощо. По-четверте, створіть резервну копію важливих файлів та постійно її оновлюйте, не дозволяйте редагувати з пристрою, який хочете захистити.

Ознайомтеся з іншими популярними матеріалами:

Шахраї навчилися заробляти на стейблкоїні PayPal: Як не потрапити в їхню пастку

Скільки грошей вкрали фінансові шахраї за 2023 рік

Смак вкрадених грошей: Як найбільші шахраї світу дурили і обкрадали мільярдерів і банки

Допоміжні матеріали: checkpoint.com, terranovasecurity.com, trellix.com.