Что такое Ransomware? Как оно работает и как его избежать

Ransomware - это самый распространенный и разрушительный тип вредоносных программ, существующий в настоящее время. Одна атака может нанести ущерб в миллионы долларов и потребовать сотни часов восстановления, прежде чем жертва сможет снова начать пользоваться зараженными устройствами.

Эта статья представляет собой введение в ransomware и опасность программ-вымогателей. Мы объясним, что это за вредоносное ПО и как оно работает, рассмотрим текущий ландшафт ransomware и дадим советы о том, как лучше всего противостоять этой киберугрозе.

Определение Ransomware

Ransomware - это постоянно развивающееся вредоносное ПО, которое блокирует доступ к файлам или устройствам до тех пор, пока жертва не заплатит выкуп. Большинство программ-выкупов используют шифрование, чтобы сделать данные непригодными для использования, что позволяет злоумышленникам требовать деньги в обмен на ключ для расшифровки. Если жертва игнорирует требование, злоумышленник удаляет ключ и, как следствие, делает все зашифрованные данные бесполезными.

Ransomware может заразить один компьютер или мобильное устройство, но атака может быть направлена и на целую сеть. Мотив обычно денежный, но некоторые атаки направлены в первую очередь на саботаж цели. Последствия ransomware могут быть сокрушительными и привести к:

  • Потеря данных о бизнесе и клиентах.
  • Юридические последствия за допущение утечки данных.
  • Длительный простой.
  • Удар по репутации, который приводит к потере клиентов.
  • Дорогостоящий процесс восстановления, который занимает недели, чтобы вернуть сеть в состояние, предшествовавшее атаке.
  • Долгосрочный ущерб инфраструктуре.

Запросы на выкуп варьируются от нескольких сотен долларов до миллионов. Большинство злоумышленников требуют оплату в биткойнах - валюте, которая позволяет преступнику оставаться анонимным после получения денег.

Хакеры используют ransomware для атак на малый и средний бизнес, предприятия, общественные организации и индивидуальных пользователей. Этот тип вредоносного ПО также представляет опасность для всех ОС, включая Windows, Linux и Mac. Ни одна компания или система не находится в безопасности, поэтому предотвращение ransomware должно быть частью каждой стратегии кибербезопасности.

Современное состояние Ransomware

Ransomware продолжает развиваться, поскольку преступники разрабатывают новые тактики использования достижений в области облачных вычислений, виртуализации и пограничных вычислений. Ниже перечислены наиболее заметные тенденции, которые в настоящее время формируют ландшафт ransomware:

  • Давление на MSP: Преступники нацеливаются на поставщиков управляемых услуг (MSP) больше, чем когда-либо прежде. Взлом одного MSP создает возможность заражения клиентов и позволяет злоумышленникам атаковать несколько целей одним взломом.
  • Более эффективная защита: Компании пытаются опередить хакеров с помощью новых тактик. Улучшенная эвристика, анализ поведения и файлы-приманки помогают компаниям прогнозировать атаки вместо того, чтобы реагировать на опасность.
  • Нацеленность на компании, работающие на дому: Хакеры продолжают атаковать команды, работающие удаленно. Сотрудники, использующие личные устройства для работы из дома, являются главной мишенью.
  • Ориентация на отрасли, находящиеся в беспорядке: Злоумышленники продолжают охотиться на отрасли, пострадавшие от пандемии. Наиболее уязвимы учреждения здравоохранения и образования, поскольку преступники знают, что их данные ценны и, скорее всего, плохо защищены.
  • RaaS больше, чем когда-либо: Ransomware-as-a-Service - это "услуга", предоставляемая по подписке, которая позволяет хакерам использовать сторонние инструменты для проведения атак. Создатели инструментов получают процент от каждого успешного взлома, а "клиенты" полностью сосредотачиваются на распространении вредоносного ПО.
  • Самые большие угрозы: В 2021 году наиболее известными программами-вымогателями станут Conti, Avvadon, REvil (бывший Sodinokibi), Netwalker и Babuk. Наиболее распространенными векторами атак остаются фишинговые письма, RDP-эксплойты и слабые места в программном обеспечении.

Как работает Ransomware?

Все атаки ransomware начинаются с первоначального заражения, когда вредоносная полезная нагрузка попадает в систему. Как только программа попадает в систему, ransomware выполняет вредоносный двоичный файл. В зависимости от типа вредоносного ПО, целью полезной нагрузки является:

  • Автоматический поиск целевых данных (документов Microsoft Word, изображений, баз данных и т.д.) и начало шифрования.
  • Подключение к C&C-серверу хакера и предоставление прямого контроля над системой.
  • Автоматически блокировать операционную систему и устройство.
  • Поиск ценных данных и организация процесса эксфильтрации.

Как только программа выполнит свою задачу, пользователь теряет доступ к файлам или ко всему компьютеру. На экране устройства появляется сообщение о том, что система стала жертвой ransomware и что единственный способ восстановить контроль или получить данные - заплатить выкуп. Программы отображают это сообщение двумя распространенными способами:

  • Фон, который меняется на надпись о выкупе.
  • Текстовые файлы в каждом зашифрованном каталоге.

Как правило, каждый выкуп имеет два крайних срока, чтобы оказать давление на жертву. Первый крайний срок - это когда хакер угрожает удвоить выкуп, а второй - когда злоумышленник планирует удалить ключ дешифровки.

Большинство программ-выкупов используют асимметричное шифрование. Этот тип криптографии использует пару уникальных ключей для шифрования и расшифровки данных. Один ключ шифрует файлы жертвы, а единственный способ получить данные - использовать ключ, хранящийся на сервере хакера. Большинство программ-вымогателей используют разные ключи расшифровки для каждого целевого файла.

Как распространяется Ransomware?

Вот наиболее распространенные методы, которые используют преступники для распространения ransomware:

  • Фишинговые кампании по электронной почте, которые распространяют поврежденную ссылку или вложение.
  • Целенаправленная фишинговая атака.
  • Различные формы социальной инженерии (приманка, пугающие программы, предлог, уловки в социальных сетях и т.д.).
  • Наборы эксплойтов на вредоносных веб-сайтах.
  • Пользовательский червь, использующий слабые места системы (например, неправильную настройку RDP или недостатки из-за плохого управления сервером).
  • Зараженное оборудование (например, USB-накопители и ноутбуки).
  • Нежелательные дополнения при загрузке.

Большинство высококлассных программ-вымогателей могут распространяться по сети после заражения первой жертвы. Во многих случаях зараженное устройство является конечной точкой, а не целью атаки. Типичными целями являются базы данных и серверы, поэтому большинство программ используют самораспространяющиеся механизмы для распространения на другие системы.

На кого нацелены программы Ransomware?

Преступники, использующие Ransomware, атакуют всех, кого могут, но их основными целями являются компании, готовые быстро заплатить крупный выкуп. Большинство атак направлено на жертв, которые:

  • Хранят ценные данные клиентов (например, банки или юридические фирмы).
  • Требуют немедленного доступа к файлам (больницы и клиники).
  • Имеют незаменимые данные (правительственные учреждения).
  • Полагаются на неукомплектованную команду безопасности (государственные учреждения и малые и средние предприятия).
  • Имеют разрозненную базу пользователей и часто обмениваются файлами (университеты).

Не чувствуйте себя в безопасности, если ваш бизнес не попадает под эти критерии. Преступники беспринципны и не упустят шанс добраться до любого уязвимого места. Кроме того, некоторые программы-вымогатели распространяются по Интернету автоматически, поэтому каждая компания является потенциальной мишенью, независимо от размера, отрасли или уровня дохода.

Сколько существует типов Ransomware?

Хотя все программы ransomware действуют по схожему плану, существует два основных типа этих кибератак:

  • Locker ransomware (компьютерный замок): Тип вредоносного ПО, которое блокирует доступ пользователей к своему устройству и не дает компьютеру загрузиться. Как правило, заблокированная система предоставляет ограниченный доступ, чтобы жертва могла взаимодействовать с хакером.
  • Crypto ransomware (data locker): Атака, которая шифрует ценные данные, не блокируя пользователя от устройства. Обычные цели - финансовые данные, частная информация о клиентах, крупные рабочие проекты, фотографии, налоговая информация, видео и т.д.
  • Locker ransomware - это менее опасный тип, поскольку такие атаки не перемещаются по сети и не повреждают файлы. Это вредоносное ПО также легче удалить без уплаты выкупа, поэтому хакеры-блокировщики часто выступают в роли полицейских, чтобы заставить жертву быстро заплатить.

Когда компании стали полагаться на более надежное резервное копирование данных, преступники начали работать над новым вариантом ransomware. Атака Doxware направлена на эксфильтрацию данных из целевой системы. Если программа похищает данные, злоумышленник требует выкуп с угрозой утечки файлов или продажи их тому, кто больше заплатит.

Некоторые программы могут сначала эксфильтрировать данные, а затем шифровать файлы. Сочетание возможностей криптовалют и Doxware позволяет злоумышленнику использовать обе тактики вымогательства.

Как избежать Ransomware?

Ransomware трудно остановить, но сочетание осведомленности сотрудников, проактивного планирования ответных действий и соблюдения базовой гигиены безопасности может помочь. Ниже перечислены лучшие методы, которые следует применять каждому предприятию для защиты от ransomware:

  • Поддерживайте устройства и системы в актуальном состоянии с помощью последних исправлений безопасности.
  • Убедитесь, что команда использует надежные методы защиты электронной почты.
  • Организуйте обучение по вопросам безопасности, чтобы сотрудники знали, как работает ransomware.
  • Используйте сегментацию сети для предотвращения латерального перемещения между системами.
  • Убедитесь, что сотрудники знают, как использовать антивирусные программы и антивирусные решения.
  • Подчеркните важность безопасного серфинга, чтобы избежать вредоносной рекламы и попутных загрузок.
  • Повышайте общую безопасность сети.
  • Используйте политики нулевого доверия и многофакторную аутентификацию для защиты жизненно важных систем и баз данных.
  • Отслеживайте сетевую активность на предмет подозрительного поведения.
  • Убедитесь, что конечные точки не станут точкой входа, с помощью регулярных обновлений и мониторинга трафика.
  • Создайте план реагирования на инциденты.

Лучший способ минимизировать угрозу ransomware - использовать неизменяемые резервные копии. Этот тип резервных копий не подлежит редактированию, поэтому злоумышленники не могут зашифровать, удалить или изменить информацию. Создавайте резервные копии данных несколько раз в день, чтобы свести к минимуму риск потери данных в случае нападения ransomware.

Что делать в случае заражения Ransomware?

Даже самой лучшей защиты от ransomware иногда бывает недостаточно для предотвращения атаки. Если вы подверглись атаке, выполните следующие действия, чтобы минимизировать ущерб и быстро вернуться к привычной работе:

  1. Изолируйте проблему. Отключите зараженное устройство от сети и выключите сеть. Программа, скорее всего, ищет другие устройства и диски, поэтому устраните возможность латерального перемещения.
  2. Оцените ущерб. Осмотрите каждое подозрительное устройство. Проверьте наличие зашифрованных данных, файлов со странными расширениями и сообщений о том, что у пользователей возникли проблемы с открытием файлов. Составьте список всех пострадавших систем, включая сетевые устройства, облачные хранилища, внешние жесткие диски, ноутбуки, ПК, портативные устройства и т.д.
  3. Найдите нулевого пациента. Вы должны определить источник атаки. Ищите предупреждения от антивирусных и вредоносных программ, системы EDR и платформы мониторинга.
  4. Определите выкупающее ПО. Вам необходимо определить тип ransomware, атаковавшей вашу компанию. В большинстве записок о выкупе указывается злоумышленник, но вы также можете ввести текст сообщения в поисковую систему и определить злоумышленника таким образом.
  5. Свяжитесь с властями. Полиция может помочь установить личность злоумышленника, кроме того, есть вероятность, что у полицейских есть ключ для дешифровки данной программы.
  6. Используйте резервные копии для восстановления данных. Восстановите каждую зараженную систему из резервной копии. Если у вас есть неизменяемые резервные копии, атака не могла повлиять на файл резервной копии, поэтому восстановите каждое устройство до последнего безопасного состояния. Затем используйте решение для защиты от вредоносного ПО для сканирования устройств на наличие "черных ходов".

Если у вас нет надежной резервной копии, а полиция не располагает ключом для расшифровки, вам остается либо заплатить выкуп, либо понести потери. Однако платить выкуп может быть не самой лучшей идеей, о чем мы расскажем ниже.

Должны ли компании платить выкуп?

Если у компании нет резервного копирования данных и ей предстоит несколько недель или месяцев восстановления, заплатить выкуп очень заманчиво. Однако прежде чем принять решение, подумайте о следующем:

  • Существует вероятность того, что вы никогда не получите ключ для расшифровки. Многие жертвы платили выкуп, но ничего не получали взамен.
  • Ключ расшифровки может не сработать. Создатели Ransomware не занимаются восстановлением файлов, поэтому преступники не тратят много времени на то, чтобы расшифровка сработала.
  • Ваши файлы могут быть слишком повреждены. Некоторые программы-вымогатели повреждают файлы до невозможности восстановления, чтобы шифрование происходило как можно быстрее. В этом случае даже ключ дешифрования не сможет восстановить файлы.
  • Вы становитесь выгодной мишенью. Компания, которая уже платила выкуп, является привлекательной целью для новой атаки. Та же команда может нанести новый удар в будущем или дать знать своим коллегам о том, какие компании готовы удовлетворить требования.
  • Преступники все еще могут утечь ваши данные. Если злоумышленники утекут ваши данные, ничто не помешает им продать их тому, кто больше заплатит, даже если вы заплатите выкуп.

Вместо того чтобы раздумывать, платить выкуп или нет, убедитесь, что ваша компания сможет справиться с атакой ransomware. При соблюдении надлежащих мер предосторожности и создании резервных копий вы никогда не окажетесь в ситуации, когда вам придется задуматься о выплате выкупа.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий