Программы-вымогатели: как распознать их и обезопасить своё предприятие?

Организации в любой сфере деятельности, малые и крупные предприятия, могут запросто стать объектами киберпреступлений с целью получения прибыли. В данной статье мы поговорим о типах программ-вымогателей, принципе их работы, способах обнаружения, предотвращения шифрования, восстановления данных, а также о плюсах и минусах уплаты выкупа злоумышленникам.

Что вообще такое программа-вымогатель?

Программы-вымогатели — это подмножество вредоносных программ, которые могут похищать, блокировать и шифровать данные на целевом компьютере. Когда деструктивные действия проведены, злоумышленники уведомляют жертву о произошедшем и требуют денежный выкуп для разблокировки данных или их удаления, если речь идёт о публикации конфиденциальной информации в открытый доступ. Методы злоумышленников, как правило, отличаются в зависимости от предпочтений самой группировки и конкретного случая, но абсолютно всегда успешная вымогательская атака несёт за собой долгие и дорогостоящие манипуляции для восстановления утраченного доступа, файлов и покрытия прочих рисков, по типу утечки клиентских данных.

Типы программ-вымогателей

Программы-вымогатели бывают нескольких типов. Традиционными являются «Crypto» и «Locker». Относительно новыми — «Двойное вымогательство» и «RaaS».

• Locker не шифрует данные, а просто блокирует доступ к компьютеру, требуя оплату за разблокировку доступа. Даже начинающий специалист по кибербезопасности без большого труда сможет в короткие сроки восстановить работоспособность повреждённого компьютера. Однако если таких компьютеров на предприятии сотни или тысячи, процесс может существенно затянуться.
• Crypto шифрует вообще все данные, содержащиеся на целевом устройстве или же ограничивается некоторыми конкретными типами файлов, представляющих наибольший интерес. За денежное вознаграждение злоумышленники, как правило, обещают передать жертве ключ разблокировки, который позволит запустить процесс быстрого восстановления данных сразу на всех затронутых компьютерах.
• Двойное вымогательство подразумевает предварительное похищение файлов жертвы и выгрузку их на удалённый сервер злоумышленника. Затем, когда все нужные данные успешно похищены, запускается привычный процесс шифрования. В конце концов, киберпреступники предлагают жертве выбор: оплатить только восстановление зашифрованных данных, только предотвращение публикации в Интернете, или и то, и другое сразу.
• RaaS («Ransomware-as-a-Service» или «Программа-вымогатель как услуга») подразумевает доступ к вымогательского софту непрофессиональных киберпреступников или частных лиц. Они просто оплачивают доступ к функционалу программы и указывают на жертву, а профессионалы-операторы делают всю «грязную работу» самостоятельно. По итогу, заказчик может получить желаемое даже без какого-либо опыта в киберпреступной деятельности.

Векторы атак программ-вымогателей

Программы-вымогатели проникают в организации по трём самым распространенным каналам: фишинг, протокол удаленного рабочего стола (RDP) со злоупотреблением учётными данными, а также уязвимые рабочие места. Рассмотрим каждый из каналов подробнее.

• Фишинг

Фишинг, нацеленный на ту или иную организацию путем отправки зловредных писем по электронной почте, остаётся одним из самых популярных способов доставки вредоносного софта на целевые компьютеры. Фишинговые электронные письма с годами стали гораздо более изощренными и позволяют обмануть даже самых опытных пользователей, побуждая их перейти по вредоносной ссылке или запустить зловредное вложение.

• RDP и злоупотребление учётными данными

Киберпреступники могут внедрять вредоносное ПО через RDP, фирменный протокол Microsoft для безопасного удалённого доступа к серверам и рабочим столам. Когда целевой компьютер остаётся без контроля со стороны пользователя, злоумышленники получают доступ к нему с помощью брут-форса (грубого перебора), либо действительных учётных данных, приобретенных на криминальных форумах или бесплатно слитых в открытый доступ другими киберпреступниками.

• Уязвимые рабочие места

Злоумышленники часто ищут уязвимости, которые они могут использовать для доступа к рабочим местам определённого предприятия. Неисправленные системы обычно являются самой привлекательной точкой входа. Уязвимые и неактуальные с точки зрения безопасности веб-сайты, плагины, программное обеспечение сторонней разработки — позволяют злоумышленникам скрытно внедрять вредоносное ПО на целевые компьютеры.

Наиболее частые отрасли для атак программ-вымогателей

Хотя кажется, что ни одна отрасль не защищена от программ-вымогателей на 100%, некоторые из них более восприимчивы к подобным атакам, чем другие. Ниже перечислены отрасли, организации в которых чаще остальных становятся жертвами программ-вымогателей:

• образование;
• розничная торговля;
• деловые, профессиональные и юридические услуги;
• правительство (включая федеральное и международное);
• IT;
• производство;
• энергетическая и коммунальная инфраструктура;
• здравоохранение;
• местное самоуправление;
• финансовые услуги.

Размер организации не всегда является определяющим фактором для атаки. Вместо этого, злоумышленники, чтобы извлечь максимальный финансовый эффект от своих вредоносных действий, ищут такие организации, которые с большей вероятностью согласятся заплатить денежный выкуп.

Как распознать атаку программы-вымогателя

Атаки программ-вымогателей однозначно сложно обнаружить, поскольку их вредоносный код зачастую скрыт в законном программном обеспечении, таком как скрипты PowerShell, VBScript, Mimikatz и PsExec.

«На глаз» начальный вектор заражения может определить только очень опытный пользователь, который заподозрит, что сомнительное вложение в письме или фишинговая ссылка явно дело рук мошенников. Но далеко не все сотрудники любого рода предприятий — это опытные пользователи. При массовой рассылке тех же фишинговых писем, кто-нибудь всё равно активирует на своём компьютере вредоносную программу, а с учётом связи всех компьютеров большинства организаций в одну единую сеть, очень быстро вымогательский софт поразит и все остальные устройства компании.

Чтобы эффективно противостоять программам-вымогателям и предотвратить их деструктивную деятельность, организации должны использовать комбинацию автоматизированных средств безопасности и анализа вредоносных программ. Современные EDR-решения в сочетании с классическими антивирусными системами, как правило, способны обеспечить приемлемый уровень безопасности.

Как предотвратить атаки программ-вымогателей

Организации могут снизить свою уязвимость к атакам программ-вымогателей и ограничить наносимый ими ущерб, выполнив следующие рекомендации:

• поддерживать во всей организации программу комплексной защиты;
• внедрить передовые технологии безопасности, такие как принцип нулевого доверия, использование изолированных сред и применение EDR-решений;
• регулярно рассказывать сотрудникам о рисках социальной инженерии;
• регулярно устанавливать последние обновления и исправления к используемым программным продуктам;
• регулярно выполнять резервное копирование критически важных данных, но не полагаться исключительно на резервные копии.

С почтовыми сервисами тоже можно поработать, чтобы, например, любые подозрительные письма сначала попадали на проверку в службу безопасности, и лишь с их одобрения, если всё в порядке, уходили уже адресату.

Как правильно реагировать на атаки программ-вымогателей и не допускать их распространения

Как только в организации был замечен первый случай вымогательской атаки (скорее всего, его обнаружит EDR ещё до этапа шифрования данных), нужно следовать, в идеале, по чёткому, уже отработанному заранее плану на такие случаи. Но даже если плана нет, вот то, что необходимо сделать в первую очередь:

1. Изолировать зараженное устройство. Сделать это можно, банально отключив его от внутренней сети, выдернув патч-корд при проводном подключении или отключив Wi-Fi при беспроводном. Однако, если заражение было обнаружено ещё до завершения шифрования, наилучшим решением будет максимально быстрое выключение затронутого компьютера путём его полного обесточивания.
2. Если это возможно, необходимо выявить тип программы-вымогателя, чтобы определить сценарий её работы и лучше понять ущерб, который вредонос уже мог успеть нанести. Если программа завершила свою работу и выдала записку о выкупе, то выявить её тип будет нетрудно. А если зловредная активность была зафиксирована на раннем этапе, изолированный компьютер необходимо передать специалисту, который запустит его в безопасном режиме и выявит попавший в систему штамм вредоносного ПО.
3. Удалить программу-вымогатель при помощи специализированного софта, просканировать остальные компьютеры организации, и предупредить всех сотрудников о попытке компрометации.
4. Восстановить систему на затронутом устройстве, произведя откат до момента атаки и повторное сканирование на предмет прочих угроз.

Средства обнаружения и удаления программ-вымогателей могут помочь автоматизировать или, по крайней мере, ускорить процесс восстановления устройства. Они могут удалить все вредоносные программы на заражённом компьютере, чтобы убедиться, что его больше неопасно использовать.

Согласование денежного выкупа

Если предотвратить атаку не получилось, и злоумышленники успешно поразили компьютеры организации, логичным этапом станет обсуждение с руководством компании, платить ли денежный выкуп. Здесь нельзя дать какого-то универсального совета, ведь всё индивидуально для каждой организации.

Ниже перечислены некоторые распространенные причины в пользу того, чтобы всё же заплатить выкуп злоумышленникам:

• быстрое время восстановления при уплате выкупа;
• чрезмерные затраты на восстановление без уплаты выкупа;
• возможный ущерб бизнесу при длительном простое;
• защита данных клиентов или сотрудников от дальнейших утечек.

Компании могут решить отказаться от уплаты выкупа, и это тоже будет допустимым вариантом. Эксперты отрасли считают, что передача выкупа лишь привлекает внимание других злоумышленников к платёжеспособной компании. Да и нет никакой гарантии, что данные действительно будут восстановлены. Кроме того, уплата выкупа может вызвать у компании ряд юридических проблем.

Если компании не уверены в принимаемых решениях или своих коммуникативных навыках, они могут воспользоваться услугами опытного переговорщика. Переговорщики также могут использоваться непосредственно для взаимодействия с вымогателями и оказания помощи в определении суммы выкупа. Договоры киберстрахования, как правило, целиком покрывают услуги переговорщиков.

Вообще, киберстрахование — это отдельная тема для обсуждения со своими нюансами. Важно упомянуть лишь то, что каждый руководитель, который решил озаботиться вопросами безопасности своей организации, должен заранее заключить договор киберстрахования и чётко понимать, на какие компенсации можно рассчитывать в случае реальной атаки.

Последние новости и тенденции в области программ-вымогателей

На нашем портале мы регулярно пишем о разрушительных последствиях различных вымогательских атак. Прошедшая не так давно серия кибернападений на американские города показывает, что при желании злоумышленники могут поразить даже инфраструктуру целого мегаполиса, затруднив работу десятков городских служб на длительный срок.

Подобные события подчеркивают важность эффективных мер по предотвращению программ-вымогателей как для компаний, так и для частных лиц. Поскольку частота атак программ-вымогателей лишь продолжает расти, а их последствия становятся всё серьёзнее, жизненно необходимо, чтобы специалисты по безопасности предпринимали все необходимые меры для защиты своих организаций и данных, которые в них сосредоточены.