Подробно рассматриваем типы вымогательского софта, популярные векторы заражения и методы предотвращения деструктивного воздействия.
Организации в любой сфере деятельности, малые и крупные предприятия, могут запросто стать объектами киберпреступлений с целью получения прибыли. В данной статье мы поговорим о типах программ-вымогателей, принципе их работы, способах обнаружения, предотвращения шифрования, восстановления данных, а также о плюсах и минусах уплаты выкупа злоумышленникам.
Программы-вымогатели — это подмножество вредоносных программ, которые могут похищать, блокировать и шифровать данные на целевом компьютере. Когда деструктивные действия проведены, злоумышленники уведомляют жертву о произошедшем и требуют денежный выкуп для разблокировки данных или их удаления, если речь идёт о публикации конфиденциальной информации в открытый доступ. Методы злоумышленников, как правило, отличаются в зависимости от предпочтений самой группировки и конкретного случая, но абсолютно всегда успешная вымогательская атака несёт за собой долгие и дорогостоящие манипуляции для восстановления утраченного доступа, файлов и покрытия прочих рисков, по типу утечки клиентских данных.
Программы-вымогатели бывают нескольких типов. Традиционными являются «Crypto» и «Locker». Относительно новыми — «Двойное вымогательство» и «RaaS».
Программы-вымогатели проникают в организации по трём самым распространенным каналам: фишинг, протокол удаленного рабочего стола (RDP) со злоупотреблением учётными данными, а также уязвимые рабочие места. Рассмотрим каждый из каналов подробнее.
• Фишинг
Фишинг, нацеленный на ту или иную организацию путем отправки зловредных писем по электронной почте, остаётся одним из самых популярных способов доставки вредоносного софта на целевые компьютеры. Фишинговые электронные письма с годами стали гораздо более изощренными и позволяют обмануть даже самых опытных пользователей, побуждая их перейти по вредоносной ссылке или запустить зловредное вложение.
• RDP и злоупотребление учётными данными
Киберпреступники могут внедрять вредоносное ПО через RDP, фирменный протокол Microsoft для безопасного удалённого доступа к серверам и рабочим столам. Когда целевой компьютер остаётся без контроля со стороны пользователя, злоумышленники получают доступ к нему с помощью брут-форса (грубого перебора), либо действительных учётных данных, приобретенных на криминальных форумах или бесплатно слитых в открытый доступ другими киберпреступниками.
• Уязвимые рабочие места
Злоумышленники часто ищут уязвимости, которые они могут использовать для доступа к рабочим местам определённого предприятия. Неисправленные системы обычно являются самой привлекательной точкой входа. Уязвимые и неактуальные с точки зрения безопасности веб-сайты, плагины, программное обеспечение сторонней разработки — позволяют злоумышленникам скрытно внедрять вредоносное ПО на целевые компьютеры.
Наиболее частые отрасли для атак программ-вымогателей
Хотя кажется, что ни одна отрасль не защищена от программ-вымогателей на 100%, некоторые из них более восприимчивы к подобным атакам, чем другие. Ниже перечислены отрасли, организации в которых чаще остальных становятся жертвами программ-вымогателей:
Размер организации не всегда является определяющим фактором для атаки. Вместо этого, злоумышленники, чтобы извлечь максимальный финансовый эффект от своих вредоносных действий, ищут такие организации, которые с большей вероятностью согласятся заплатить денежный выкуп.
Атаки программ-вымогателей однозначно сложно обнаружить, поскольку их вредоносный код зачастую скрыт в законном программном обеспечении, таком как скрипты PowerShell, VBScript, Mimikatz и PsExec.
«На глаз» начальный вектор заражения может определить только очень опытный пользователь, который заподозрит, что сомнительное вложение в письме или фишинговая ссылка явно дело рук мошенников. Но далеко не все сотрудники любого рода предприятий — это опытные пользователи. При массовой рассылке тех же фишинговых писем, кто-нибудь всё равно активирует на своём компьютере вредоносную программу, а с учётом связи всех компьютеров большинства организаций в одну единую сеть, очень быстро вымогательский софт поразит и все остальные устройства компании.
Чтобы эффективно противостоять программам-вымогателям и предотвратить их деструктивную деятельность, организации должны использовать комбинацию автоматизированных средств безопасности и анализа вредоносных программ. Современные EDR-решения в сочетании с классическими антивирусными системами, как правило, способны обеспечить приемлемый уровень безопасности.
Организации могут снизить свою уязвимость к атакам программ-вымогателей и ограничить наносимый ими ущерб, выполнив следующие рекомендации:
С почтовыми сервисами тоже можно поработать, чтобы, например, любые подозрительные письма сначала попадали на проверку в службу безопасности, и лишь с их одобрения, если всё в порядке, уходили уже адресату.
Как только в организации был замечен первый случай вымогательской атаки (скорее всего, его обнаружит EDR ещё до этапа шифрования данных), нужно следовать, в идеале, по чёткому, уже отработанному заранее плану на такие случаи. Но даже если плана нет, вот то, что необходимо сделать в первую очередь:
Средства обнаружения и удаления программ-вымогателей могут помочь автоматизировать или, по крайней мере, ускорить процесс восстановления устройства. Они могут удалить все вредоносные программы на заражённом компьютере, чтобы убедиться, что его больше неопасно использовать.
Если предотвратить атаку не получилось, и злоумышленники успешно поразили компьютеры организации, логичным этапом станет обсуждение с руководством компании, платить ли денежный выкуп. Здесь нельзя дать какого-то универсального совета, ведь всё индивидуально для каждой организации.
Ниже перечислены некоторые распространенные причины в пользу того, чтобы всё же заплатить выкуп злоумышленникам:
Компании могут решить отказаться от уплаты выкупа, и это тоже будет допустимым вариантом. Эксперты отрасли считают, что передача выкупа лишь привлекает внимание других злоумышленников к платёжеспособной компании. Да и нет никакой гарантии, что данные действительно будут восстановлены. Кроме того, уплата выкупа может вызвать у компании ряд юридических проблем.
Если компании не уверены в принимаемых решениях или своих коммуникативных навыках, они могут воспользоваться услугами опытного переговорщика. Переговорщики также могут использоваться непосредственно для взаимодействия с вымогателями и оказания помощи в определении суммы выкупа. Договоры киберстрахования, как правило, целиком покрывают услуги переговорщиков.
Вообще, киберстрахование — это отдельная тема для обсуждения со своими нюансами. Важно упомянуть лишь то, что каждый руководитель, который решил озаботиться вопросами безопасности своей организации, должен заранее заключить договор киберстрахования и чётко понимать, на какие компенсации можно рассчитывать в случае реальной атаки.
На нашем портале мы регулярно пишем о разрушительных последствиях различных вымогательских атак. Прошедшая не так давно серия кибернападений на американские города показывает, что при желании злоумышленники могут поразить даже инфраструктуру целого мегаполиса, затруднив работу десятков городских служб на длительный срок.
Подобные события подчеркивают важность эффективных мер по предотвращению программ-вымогателей как для компаний, так и для частных лиц. Поскольку частота атак программ-вымогателей лишь продолжает расти, а их последствия становятся всё серьёзнее, жизненно необходимо, чтобы специалисты по безопасности предпринимали все необходимые меры для защиты своих организаций и данных, которые в них сосредоточены.
Спойлер: она начинается с подписки на наш канал