Вирус шифровальщик: Как защититься от вирусов-шифровальщиков: пять советов

Содержание

Как защититься от вирусов-шифровальщиков: пять советов

Программы-шифровальщики за последние годы из экзотики превратились в проблему, с которой уже столкнулись сотни тысяч людей — и может столкнуться каждый. Кибервымогательство стало целой массовой индустрией, в которой даже сформировалось разделение труда: одни преступники пишут вредоносный код, а другие выбирают цели и используют этот код для их заражения, получая процент от выкупа.

В последние пару лет вымогатели сосредоточились на организациях, но это не значит, что обычные пользователи могут забыть об угрозе — по-прежнему есть шанс «попасть под раздачу», в том числе случайно. Так что если вы не хотите остаться без любимых фотографий, важных документов или других файлов, вам не обойтись без навыков защиты от шифровальщиков. Рассказываем о них подробнее.

Что такое вирус-шифровальщик

Это вредоносная программа, которая ищет на диске ценную для пользователя информацию, например документы, таблицы, изображения и базы данных, и шифрует все, что сумела найти.

Зашифрованные файлы невозможно открыть и использовать. После этого шифровальщик выводит на экран сообщение с требованием выкупа за восстановление вашей информации.

Дальше бывает несколько вариантов:

  • Иногда злоумышленники действительно высылают ключ и инструкции по расшифровке.
  • Бывает, что преступники не заморачиваются такими мелочами и просто собирают деньги с жертв, ничего не отдавая взамен.
  • Иногда злоумышленники в принципе не могут восстановить данные жертвы — некоторые зловреды повреждают файлы таким образом, что вернуть их уже не получится.

Вирус-шифровальщик может попасть на ваш компьютер разными путями — к примеру, если вы подобрали и подключили чью-то флешку или скачали что-то с незнакомого сайта. Чаще всего для заражения используют электронные письма с опасными вложениями или ссылками на вредоносные сайты. Самое неприятное, что многие шифровальщики могут распространяться среди подключенных к единой сети устройств. Это значит, что поймав зловреда на домашний компьютер, ожидайте атаки и на ноутбук.

А один шифровальщик на рабочем устройстве может привести к коллапсу всех коммуникаций компании.

Что делать, если ваши данные зашифровали

Если случилось страшное и ваши данные зашифровали, не паникуйте. Стать жертвой программы-шифровальщика крайне неприятно, но, возможно, вам еще удастся восстановить свои файлы. Вот несколько советов в этой ситуации:

  • Ни в коем случае не платите вымогателям. Каждый выкуп — это финансовый вклад в развитие зловредов и сигнал злоумышленникам о том, что продолжать в том же духе выгодно. Кроме того, даже выполнив требования злоумышленников, вы можете ничего не получить взамен.
  • На специальном сайте No More Ransom с помощью сервиса «Крипто-шериф» узнайте, какой зловред поразил ваш диск. Возможно, для него уже существует программа-декриптор, с помощью которой можно бесплатно восстановить данные.
  • Десятки декрипторов выложены на том же сайте No More Ransom. Ресурс поддерживают Европол и десятки компаний, которые профессионально борются с киберпреступностью.
  • Если вы не нашли декриптор для того шифровальщика, который на вас напал, не отчаивайтесь и следите за новостями — возможно, его скоро выпустят.
  • Как не стать жертвой шифровальщика

Теперь, когда вы знаете врага в лицо, самое время выучить несколько правил информационной гигиены, которые помогут вам не стать жертвой вымогателей.

1. Делайте резервные копии

Регулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск. Если фото можно бэкапить раз в неделю или даже в месяц, то важные документы, над которыми вы работаете прямо сейчас, хорошо бы копировать раз в пару дней или даже каждый день. Долго и лениво? У нас есть советы по автоматизации бэкапов. Только не откладывайте это важное дело: резервная копия поможет и в случае атаки шифровальщика, и если ваш отчет случайно удалит прогулявшийся по клавиатуре кот — но только если копии свежие.

Для успешного бэкапа не забывайте пару важных правил. Во-первых, подключайте резервный жесткий диск, только когда копируете или считываете что-то с него: если он окажется соединен с компьютером в момент нападения шифровальщика, его тоже зашифруют, так что вся затея с бэкапом потеряет смысл. Во-вторых, защитите доступ к облачным хранилищам надежным паролем и двухфакторной аутентификацией, чтобы никто не смог в них набезобразничать.

2. Будьте осторожны с сообщениями

Как мы уже говорили, чаще всего трояны-шифровальщики прячутся во вложениях писем или на зараженных сайтах. Поэтому относитесь к каждому неожиданному письму или сообщению как к потенциальному источнику опасности.

Прежде всего убедитесь, что знаете отправителя. В письмах (впрочем, и в сообщениях в мессенджерах, соцсетях и на форумах) от незнакомцев с максимальным скепсисом оцените содержание и приложенные файлы или ссылки. При малейших сомнениях отправляйте послание в спам — особенно если вам сулят нежданные выплаты и выигрыши.

Чтобы пореже сталкиваться с такими письмами, настройте спам-фильтр и включите проверку почтового трафика в защитном решении, если она там есть.

Если подозрительную ссылку или файл прислал знакомый, хотя вы ни о чем не просили, — свяжитесь с ним по телефону или в другом мессенджере: его аккаунт или почтовый ящик могли взломать.

3. Избегайте подозрительных сайтов

Чтобы заставить жертву скачать троян, киберпреступники используют внушительный арсенал уловок, не ограничиваясь ссылками в сообщениях. Так что если после клика на баннер появляется совсем не тот веб-ресурс, который вы ожидали, или на экране вдруг возникает предложение загрузить что-то на ваш компьютер — немедленно закрывайте страницу. Скорее всего, ваш компьютер пытаются заразить.

4. Вовремя обновляйте программы

Чтобы проникнуть на устройства, злоумышленники часто эксплуатируют известные уязвимости, для которых разработчики программ уже выпустили заплатки. Поэтому те, кто забывает обновлять программы, находятся в зоне особого риска. Включите автоматическое обновление везде, где это можно сделать, и регулярно проверяйте наличие апдейтов для приложений, которые не имеют такой функции.

5. Установите защитное решение

Современные защитные решения умеют распознавать и оперативно блокировать вредоносные программы. К примеру, Kaspersky Internet Security включает целый спектр средств для защиты от шифровальщиков. Даже если особенно хитрый зловред проберется через файловый антивирус, то он не сможет сделать свое черное дело: специальная система анализирует действия запущенных файлов и блокирует попытки шифровать файлы — или отменяет действия вредоносных программ, если они все же успели как-то навредить данным.

Советы

Продавцы воздуха в онлайн-магазинах

Рассказываем, как мошенники обманывают пользователей известного маркетплейса с помощью поддельной страницы оплаты товара.

Подпишитесь на нашу еженедельную рассылку
  • Email*
  • *
    • Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.

Шифровальщики: кто, как и зачем использует их в 2021 году

Этой весной мы во второй раз отмечаем День борьбы с шифровальщиками. Стоит признать, что именно этот вид вредоносного ПО чаще всего вспоминают, когда идет речь о киберугрозах. И не без причин — хотя кибератаки с целью вымогательства происходят давно, за прошедшие годы их характер сильно изменился. Киберпреступники стали смелее, их методы — совершеннее, а список жертв не перестает пополняться. Большинство СМИ, рассказывая о шифровальщиках, уделяют основное внимание пострадавшим от них компаниям, однако в этом отчете мы хотели бы отвлечься от актуальной новостной повестки и рассказать о том, как устроена сама экосистема преступного сообщества.

Мы начнем с разоблачения трех основных мифов, мешающих правильному пониманию феномена шифровальщиков. Затем погрузимся в глубины теневого интернета — увидим, как преступники взаимодействуют друг с другом и какие услуги предлагают. И наконец, расскажем о двух крупных операторах шифровальщиков — REvil и Babuk.

Чтобы создать этот отчет, мы проделали большую работу. Мы хотим, чтобы он помог вам защититься от киберугроз, и просим начать с простого шага: перед тем как приступить к чтению, убедитесь, что ваши данные надежно защищены с помощью резервного копирования.

Часть I. Три мифа о шифровальщиках

Миф 1: банды кибервымогателей — это автономные группировки

2020 год был отмечен ростом числа кампаний «охоты на крупную дичь» (целенаправленного вымогательства значительных сумм у компаний, способных их выплатить). Тогда же мы узнали о появлении нескольких группировок, использующих шифровальщики для проведения таких высокоприбыльных операций. Преступники обнаружили, что жертвы охотнее платят группировкам с репутацией. Чтобы никто не усомнился в их возможности восстановить зашифрованные файлы, они активно расширяют свое онлайн-присутствие, публикуют пресс-релизы, добиваясь, чтобы их имя стало известно всем потенциальным жертвам.

Кроме того, фокусируя внимание на себе, такие группы одновременно отвлекают его от стоящей за ними сложной экосистемы. Кажется, что они действуют как самостоятельные единицы, но на самом деле это лишь верхушка айсберга. В большинстве атак задействовано множество участников, которые оказывают друг другу услуги на площадках теневого интернета.

Например, владельцы бот-сетей и продавцы учетных данных обеспечивают первоначальный доступ к целевой сети, который другие преступники (здесь мы будем называть их red team — это термин из сферы тестирования на проникновение, означающий команду атакующих испытываемую систему) используют для получения полного контроля над ней. В процессе они собирают информацию о жертве и похищают внутренние документы. Эти данные они могут передать внешним аналитикам, чтобы узнать текущие финансовые показатели жертвы и определить максимально возможную сумму выкупа. Аналитики способны добыть и другую конфиденциальную или компрометирующую информацию для более эффективного шантажа и давления на ключевых сотрудников атакуемой организации. Подготовившись к атаке, red team приобретает программу-шифровальщик у разработчиков в теневом интернете — как правило, в обмен на часть выкупа. Еще один возможный участник операции — упаковщик, который добавит программе дополнительные уровни защиты. Это усложнит ее обнаружение и даст преступникам время, необходимое для шифрования целой сети. Переговоры с жертвой может вести еще одна команда, а затем, когда преступники получат выкуп, им понадобятся навыки отмывания полученной криптовалюты.

Интересно, что участники этой «цепочки создания ценности» чаще всего не знают друг друга лично. Они общаются в интернете, скрываясь за псевдонимами, а за услуги расплачиваются криптовалютой. Поэтому задержание участников одной из группировок хоть и будет полезно для устрашения других преступников, но почти не скажется на работе системы в целом. Личности сообщников установить не получится, а освободившееся место сразу же займут новые поставщики услуг.

Таким образом, шифровальщики — это часть целой экосистемы. Единственная возможность разрушить ее — перекрыть циркулирующий внутри денежный поток. А значит, прежде всего не платить злоумышленникам.

Миф 2: цели вымогательских атак определяются заранее

По приведенному выше описанию экосистемы шифровальщиков можно сделать некоторые важные выводы о том, как преступники выбирают жертву. Да, они действуют все более смело и стремятся получить все больше денег. Но все же в атаках вымогателей есть элемент случайности — объекты для шантажа они ищут не в рейтингах Forbes.

Как ни странно, люди, получающие первоначальный доступ к сети жертвы, — совсем не те, кто затем развертывает в ней вредоносное ПО. Сбор данных для проникновения — это отдельный бизнес. И чтобы оставаться рентабельным, он нуждается в регулярных поставках «товара». Какой смысл тратить недели на заведомо сложную цель — например, компанию из списка Fortune 500 — если успех не гарантирован? Вместо этого продавцы доступа выбирают объекты попроще. Вот два основных источника, из которых вымогатели получают данные для доступа к потенциальным целям:

  • Владельцы бот-сетей. Используя известные семейства вредоносного ПО, они организуют масштабные атаки, цель которых — создание сети зараженных компьютеров. Какое-то время зловред в них остается неактивным. Затем владелец бот-сети (бот-мастер) продает доступ к ней как к ресурсу для монетизации: организации DDoS-атак, рассылки спама или, в случае с шифровальщиками, для внедрения в сеть потенциальной жертвы с помощью этого первоначального заражения.
  • Продавцы доступа. Эти злоумышленники отслеживают публично раскрытые уязвимости ПО (уязвимости первого дня), имеющего выход в интернет, — например, VPN-устройств или почтовых шлюзов. Узнав об уязвимости, они стараются скомпрометировать как можно больше серверов до выхода обновления, которое ее устранит.

Пример предложения доступа к корпоративным ресурсам через удаленные рабочие столы (RDP)

В обоих случаях злоумышленники только после вторжения понимают, кого им удалось взломать и могут ли они рассчитывать на получение выкупа.

Поэтому их атаки лишь условно можно считать целевыми: вымогатели редко выбирают в качестве жертв конкретные организации. Все это еще раз подчеркивает, как важно своевременно обновлять сервисы, имеющие выход в интернет, и выявлять неактивные заражения до того, как их могут использовать злоумышленники.

Миф 3: киберпреступники — это компьютеризированные уголовники

Да, формально это так. Но экосистема шифровальщиков обширна, и в ней присутствуют не самые очевидные участники. Есть подтвержденные свидетельства ее связи с другими видами преступной деятельности, такими как кардинг и взлом платежных терминалов. Однако в ней замешан и криминалитет другого сорта. В прошлом крупномасштабные атаки с использованием шифровальщиков применялись в деструктивных целях. Вполне вероятно, что некоторые APT-группы до сих пор используют подобную тактику для дестабилизации конкурирующих экономических систем, но скрывают свою причастность к таким кампаниям.

В прошлом году мы выпустили отчет о группировке Lazarus, которая решила попробовать свои силы в «охоте на крупную дичь», а компания ClearSky рассказала об аналогичной активности APT-группы Fox Kitten. По наблюдениям экспертов, прибыльность атак с использованием шифровальщиков привлекла внимание некоторых злоумышленников, имеющих государственную поддержку, которые используют такие атаки для обхода международных санкций.

По нашим данным, такие инциденты составляют лишь малую часть от общего числа атак вымогателей. Нельзя сказать, что для защиты от них компаниям нужны какие-то специальные средства, но само их существование создает дополнительные риски. 1 октября 2020 года Управление по контролю за иностранными активами Министерства финансов США выпустило бюллетень, уточняющий, что перед переводом денег вымогателям компании должны убедиться, что получателя нет в санкционных списках. Это заявление уже оказало заметное влияние на рынок шифровальщиков. Однако нельзя не отметить, что аудит операторов вредоносного ПО — задача нетривиальная.

Часть II. Махинации в теневом интернете

Вдоль рыночных рядов

Большая часть объявлений о продаже незаконных продуктов или услуг в теневом интернете размещается на нескольких крупных площадках, хотя существует и множество мелких тематических ресурсов. Мы проанализировали три основных форума, на которых предлагают услуги, связанные с использованием шифровальщиков. На этих площадках киберпреступники общаются и заключают сделки. Из сотен размещенных там объявлений мы выбрали для анализа несколько десятков — опубликованных известными группировками и прошедших проверку администрации форума. Это были самые разные сообщения: от предложений по продаже исходного кода до регулярно обновляемых объявлений о вакансиях на русском и английском языках.

Виды предложений

Как мы уже сказали, экосистема шифровальщиков состоит из участников, выполняющих разные функции. Форумы теневого интернета частично отражают это положение вещей, несмотря на то что большая часть сообщений там — это объявления о продаже или вакансиях. Как и на любой торговой площадке, их авторы регулярно обновляют актуальные сообщения, а неактуальные — удаляют. Предложения разработчиков и операторов партнерских программ «шифровальщик как услуга» (RaaS) обычно являются:

  • приглашениями для операторов присоединиться к партнерским сетям или партнерским программам;
  • рекламой исходного кода или программ для сборки шифровальщиков.

Первый тип объявлений предполагает долговременное сотрудничество между оператором группировки, использующей шифровальщик, и ее партнером. Обычно оператор получает от 20% до 40% прибыли, тогда как остальные 60–80% достаются партнеру.

Примеры объявлений с указанием условий партнерской программы

Пока одни операторы ищут партнеров, другие занимаются продажей исходного кода или создают пакеты для самостоятельной сборки шифровальщиков. Цены на такие продукты варьируются от 300 до 5000 долларов США.

Продажа исходного кода или образцов вредоносного ПО, полученных в результате утечки, — это самый простой способ заработать на шифровальщиках, не требующий специальных технических навыков или больших усилий. Правда, не очень прибыльный, поскольку и код, и образцы быстро теряют свою ценность. Существует два типа таких предложений — с технической поддержкой и без нее. Если шифровальщик приобретается без поддержки, то, как только его обнаружат защитные решения, покупателю придется самостоятельно перепаковывать его или искать кого-то, кто сможет это сделать, — но в любом случае это слабо защитит от повторных обнаружений.

Предложения с технической поддержкой (более распространенные на рынке вредоносного ПО для финансовых систем) включают регулярные обновления для шифровальщиков.

В этом смысле ситуация на форумах теневого интернета мало изменилась по сравнению с 2017 годом.

Некоторые разработчики предлагают покупателям только исходный код и программы для сборки без дальнейшей технической поддержки

Предложение оформить подписку на шифровальщик очень похоже на рекламу легитимного программного продукта с указанием предлагаемых услуг и цен

Не всех крупных игроков можно встретить в теневом интернете

Ассортимент предложений на рынках теневого интернета хоть и довольно велик, но все же не отражает все разнообразие экосистемы шифровальщиков. Некоторые крупные группировки вымогателей находят партнеров самостоятельно (так, по нашим данным, Ryuk получала доступ к системам некоторых жертв после заражения их вирусом Trickbot, что указывает на потенциальную связь между двумя группами). В результате на форумах в основном можно встретить менее крупных игроков — операторов RaaS-сервисов, продавцов исходного кода и новичков.

Правила партнерства в теневом интернете

Рынок программ-шифровальщиков закрытый, поэтому операторы очень осторожно выбирают, с кем работать. Это видно из размещаемых ими объявлений и требований, которые предъявляются к потенциальным партнерам.

Первое и главное из них касается географических ограничений: оператор не позволяет партнерам использовать шифровальщики в зоне юрисдикции того государства, где он базируется. За выполнением этого правила строго следят. Партнеры, нарушившие его, немедленно теряют доступ к предоставленным им программам.

Кроме того, операторы тщательно изучают потенциальных контрагентов, чтобы отсеять сотрудников спецслужб, работающих под прикрытием: например, проверяют, насколько хорошо те знают историю страны, которую называют родной (см. пример ниже). Они также могут установить национальные ограничения на основе собственных политических взглядов (опять же из соображений безопасности).

Участники этой группировки проверяют новых партнеров, задавая им вопросы о странах бывшего СНГ, ответить на которые могут только жители этих стран

Группа Avaddon готова рассмотреть кандидатуры англоязычных партнеров при наличии хорошей репутации или депозита

Крупные игроки

Для подробного разбора мы выбрали двух наиболее интересных участников «охоты на крупную дичь» в 2021 году. Первый из них — группировка REvil (также известная как Sodinokibi). Она начала предлагать свои услуги на теневых форумах в 2019 году, и сегодня их RaaS-сервис пользуется отличной репутацией на рынке. Название группировки часто мелькает в новостных заголовках публикаций, связанных с информационной безопасностью. Именно операторы REvil запрашивали самые высокие суммы выкупа в 2021 году.

Другая известная группировка — Babuk. Шифровальщик Babuk стал первой из новых RaaS-угроз, обнаруженных в 2021 году, и используется очень активно.

REvil

Реклама партнерской программы REvil, размещенная на теневом форуме

REvil — один из самых успешных RaaS-сервисов. Активность группировки была впервые замечена в апреле 2019 года, после прекращения работы GandCrab — еще одной, уже несуществующей группы вымогателей.

Для его распространения REvil использует партнеров, найденных на теневых форумах.  Распространители получают 60–75% выкупа, который назначается на основании данных о годовом доходе жертвы. Расчеты ведутся в криптовалюте Monero (XMR). По словам оператора REvil, в 2020 году группировка заработала 100 млн долларов США.

Разработчики регулярно обновляют шифровальщик REvil, чтобы защитить его от обнаружения и повысить эффективность следующих атак. Информация о масштабных обновлениях и новых вакансиях в партнерской программе размещается в тематических ветках на теневых форумах. 18 апреля 2021 года разработчики объявили о проведении закрытого тестирования *nix-реализации шифровальщика.

REvil сообщает о внутреннем тестировании *nix-реализации шифровальщика

Технические подробности

REvil использует симметричный поточный алгоритм Salsa20 для шифрования содержимого файлов, а для ключей к шифру — асимметричный алгоритм на основе эллиптических кривых. Образец вредоносного ПО содержит зашифрованный раздел конфигурации со множеством полей, который позволяет атакующим индивидуально настраивать полезную нагрузку. Исполняемый файл способен завершать перед началом шифрования процессы, внесенные в черный список, извлекать базовую информацию о хосте, шифровать файлы и каталоги на локальных устройствах и в общих сетевых папках, не включенные в белый список. Более подробная информация о технических возможностях REvil доступна в наших приватном и общедоступном отчетах.

Сейчас шифровальщик распространяется в основном путем компрометации RDP-доступа, через уязвимости ПО и с помощью фишинга. Партнеры должны самостоятельно получить первоначальный доступ к корпоративным сетям и внедрить вредоносную программу — это стандартная практика для RaaS-сервисов. Стоит отметить, что у REvil очень высокие требования к новым контрагентам: группировка нанимает исключительно русскоязычных квалифицированных специалистов, имеющих опыт получения доступа к сетям.

За успешным взломом следует повышение привилегий, сбор информации и распространение заражения. Затем операторы оценивают, извлекают и шифруют конфиденциальные файлы. Следующий этап — проведение переговоров с пострадавшей компанией. Если жертва отказывается платить, операторы REvil начинают выкладывать ее конфиденциальную информацию на onion-сайте Happy Blog. В последнее время такая тактика — публиковать похищенные данные на специальных сайтах в качестве меры воздействия на жертву — распространена среди участников «охоты на крупную дичь».

Записи в блоге REvil, содержащие похищенные данные жертв

Примечательно, что в последнее время вымогатели начали использовать голосовые звонки деловым партнерам и журналистам, а также DDoS-атаки, чтобы заставить пострадавших платить. По словам представителя REvil, в марте 2021 года группировка запустила бесплатный партнерский сервис для связи со СМИ и контрагентами жертвы в целях оказания дополнительного давления на нее, а также начала оказывать платные услуги по организации DDoS-атак уровней L3 и L7.

REvil сообщает о новых возможностях шантажа — звонках в прессу и партнерам жертвы

По данным нашего предыдущего исследования, от шифровальщика REvil пострадало около 20 отраслей. Больше всего жертв (30%) пришлось на инженерно-производственный сектор. Далее следуют финансовые организации (14%), поставщики услуг (9%), юридические фирмы (7%) и компании, работающие в сфере IT и телекоммуникаций (7%).

В списке пострадавших оказались Travelex, Brown-Forman Corp, группа фармацевтических компаний Pierre Fabre, а также юридическая фирма Grubman Shire Meiselas & Sacks, обслуживающая звезд шоу-бизнеса. В марте 2021 года группировка атаковала компанию Acer, запросив рекордно большой выкуп — 50 млн долларов США.

18 апреля участники REvil написали, что готовы заявить о своей самой крупномасштабной атаке, на форуме, где киберпреступники набирают новых партнеров. 20 апреля группа опубликовала на сайте Happy Blog ряд документов, которые, по утверждению REvil, являлись чертежами устройств Apple. По словам злоумышленников, данные были похищены из корпоративной сети тайваньской компании Quanta Computer — одного из партнеров Apple. Первоначальный размер выкупа, который преступники потребовали от Quanta, составил 50 млн долларов США.

За последние несколько кварталов группировка REvil стала проводить целевые атаки значительно активнее

REvil — характерный пример группы «охотников на крупную дичь». В 2021 году мы наблюдаем тенденцию к увеличению размеров выкупа, который преступники запрашивают за конфиденциальную информацию скомпрометированных компаний. Появление новых методов давления на жертв, активная разработка вредоносного ПО для других платформ помимо Windows и регулярная вербовка новых партнеров говорят о том, что частота и масштаб атак вымогателей будут только расти.

Babuk

Еще один участник «охоты на крупную дичь» — группировка Babuk. В начале 2021 года мы наблюдали несколько инцидентов с участием ее шифровальщика.

В конце апреля 2021 года участники группы Babuk объявили о прекращении работы, заявив, что собираются сделать исходный код зловреда общедоступным и создать «что-то вроде RaaS с открытыми исходниками». Если менее крупные группировки смогут использовать этот код для своих операций, нас, вероятно, ждет новая волна атак вымогателей. Подобное уже случалось с другими проектами RaaS («шифровальщик как услуга») и MaaS («вредоносное ПО как услуга») — достаточно вспомнить прошлогодний пример с банковским Android-троянцем Cerberus.

Babuk объявляет о прекращении работы

Участники группировки конфигурируют каждый экземпляр программы под конкретную жертву: в нем содержится название компании, индивидуальное сообщение с требованием выкупа и список расширений для зашифрованных файлов. Babuk также использует модель RaaS. Перед заражением партнеры или операторы компрометируют целевую сеть, проводя разведку. Это помогает им решить, как эффективнее внедрить шифровальщик и выбрать наиболее ценные конфиденциальные данные для шантажа. Участники группировки называют себя «киберпанками», которые «проверяют на прочность защиту случайно выбранных корпоративных сетей», используя RDP как вектор заражения. 80% прибыли группировка отдает партнерам.

Реклама партнерской программы Babuk

Babuk рекламирует свои услуги на русскоязычных и англоязычных теневых форумах. В начале января 2021 года участник одного из этих форумов объявил о разработке нового шифровальщика Babuk. Следующие сообщения были посвящены обновлениям и поиску партнеров.

Сообщение для прессы, в котором участники Babuk рассказывают о стратегии группировки и выборе жертв

Белый список группировки включает Китай, Вьетнам, Кипр, а также Россию и другие страны СНГ. Кроме того, операторы отказываются атаковать больницы, некоммерческие благотворительные организации, а также компании с годовым доходом менее 30 млн долларов США по данным ZoomInfo. Чтобы присоединиться к партнерской программе, потенциальные контрагенты должны пройти собеседование, посвященное гипервизорам Hyper-V и ESXi.

Babuk попала в новостные заголовки как первая группировка операторов шифровальщиков, открыто выступающая против ЛГБТ-сообщества и движения Black Lives Matter (BLM). Такой вывод был сделан в связи с тем, что Babuk исключила поддерживающие их организации из своего белого списка. Однако в отчете об итогах работы за два месяца, размещенном на сайте для публикации скомпрометированных данных, преступники сообщили, что изменили свое решение и не будут атаковать фонды и благотворительные организации, помогающие ЛГБТ и BLM.

Технические подробности

Babuk использует симметричный алгоритм шифрования в сочетании с протоколом Диффи — Хеллмана на эллиптических кривых (ECDH). В каждой из обработанных папок зловред оставляет сообщение в формате TXT с заголовком How To Restore Your Files.txt («Как восстановить ваши файлы»). Помимо текста, она содержит ссылки на скриншоты похищенных данных. Это доказывает, что образец вредоносного ПО создается уже после похищения данных, — как мы уже упоминали, каждый экземпляр программы конфигурируется с учетом особенностей конкретной цели.

В записке преступники также предлагают жертве начать переговоры в закрытом чате. Подобные требования характерны не только для группировки Babuk, но и для всех «охотников на крупную дичь». Интересно, что в тексте также есть приватная ссылка на публикацию на onion-сайте, недоступная с его главной страницы. По ссылке злоумышленники размещают несколько скриншотов, текстовое описание украденных данных и угрозы общего характера в адрес жертвы. Если она решает не вступать в переговоры, ссылку делают общедоступной.

Сайт группировки Babuk для публикации скомпрометированных данных

Целями Babuk обычно становятся крупные промышленные организации в Европе, США и Океании: транспортные предприятия, учреждения здравоохранения, поставщики промышленного оборудования и др. Однако недавние события говорят о том, что Babuk расширяет зону своих интересов. Так, 26 апреля о взломе сообщил полицейский департамент округа Колумбия. Ответственность за инцидент взяли на себя операторы Babuk, рассказав о результатах атаки на собственном onion-сайте.

Сообщение Babuk об успешной атаке на полицейский департамент округа Колумбия

По словам участников группировки, им удалось похитить более 250 ГБ данных из внутренней сети департамента. На момент создания этого отчета полицейским оставалось три дня, чтобы начать переговоры, — злоумышленники пообещали, что в противном случае начнут передавать похищенные данные преступным группировкам. Они также предупредили, что продолжат атаки на государственный сектор США.

Скриншоты файлов, украденных из сети полицейского департамента округа Колумбия, размещенные операторами Babuk на сайте для публикации скомпрометированных данных в теневом интернете

Заключение

23 апреля 2021 года мы опубликовали отчет об активности шифровальщиков. Из него следует, что пользователей, столкнувшихся с этим видом угрозы, стало намного меньше. Однако эти данные нужно правильно интерпретировать: для частных лиц вероятность стать жертвой шифровальщика действительно снизилась, но для компаний этот риск как никогда высок.

Аппетиты преступников растут, поэтому экосистема шифровальщиков продолжает развиваться и уже представляет собой серьезную угрозу для корпораций по всему миру.

Малым и средним компаниям тоже стоит быть начеку. Раньше им не приходилось всерьез беспокоиться об информационной безопасности: они были недостаточно крупными, чтобы привлечь внимание APT-групп, и при этом вполне могли защититься от типовых и случайных атак. Но все изменилось. Сегодня любой бизнес должен быть готов дать отпор преступным группировкам. К счастью, большинство злоумышленников предпочитают легкие цели, поэтому для защиты от них достаточно основных процедур.

12 мая, в День борьбы с шифровальщиками, «Лаборатория Касперского» призывает соблюдать правила безопасности, которые помогут защитить ваш бизнес от вымогателей:

  • Своевременно обновляйте ПО на всех устройствах, чтобы злоумышленники не могли использовать его уязвимости для проникновения в сеть.
  • В своей стратегии защиты сфокусируйтесь на том, чтобы не допустить распространения вредоносного ПО и утечки данных в интернет. Отслеживайте исходящий трафик, чтобы выявить несанкционированные подключения. Сохраняйте резервные копии своих данных в офлайн-хранилища — так преступники не смогут добраться до них. Обеспечьте быстрый доступ к ним на случай экстренной ситуации.
  • Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform. Бесплатное занятие на тему защиты от шифровальщиков доступно здесь.
  • Проводите аудиты кибербезопасности, устраняйте уязвимости периметра и сетей.
  • Обеспечьте все рабочие места защитой от шифровальщиков. Бесплатная утилита Kaspersky Anti-Ransomware для бизнеса защищает компьютеры и серверы от шифровальщиков и других видов вредоносного ПО и предотвращает эксплойты. При этом она не будет конфликтовать с уже установленными защитными решениями.
  • Установите решения для контроля рабочих мест и защиты от целевых атак с функциями обнаружения продвинутых угроз, расследования инцидентов и ликвидации последствий атак. Обеспечьте сотрудникам своего центра мониторинга и реагирования (SOC) доступ к актуальным данным по угрозам и регулярно повышайте их квалификацию. Если вам не хватает собственных специалистов по ИБ, обратитесь за помощью к поставщику MDR-сервисов — управляемых услуг непрерывного поиска, обнаружения и устранения угроз, направленных на ваше предприятие. Решение Kaspersky Expert Security может предоставить все перечисленные возможности.
  • Если вы стали жертвой вымогателей, ни в коем случае не платите им. Выкуп — это поддержка преступного бизнеса, но не гарантия того, что вы вернете доступ к своим данным. Лучше сообщите об инциденте в правоохранительные органы и попробуйте найти дешифратор в интернете, например на сайте https://www. nomoreransom.org/ru/index.html

Объяснение программ-вымогателей: как они работают и как их удалить

В центре внимания ОГО: программы-вымогатели

Несмотря на недавний спад, программы-вымогатели по-прежнему представляют серьезную угрозу. Вот все, что вам нужно знать о вредоносном ПО для шифрования файлов и о том, как оно работает.

Соавтор, ОГО |

Андрей Попов / Getty Images

В центре внимания ОГО: программы-вымогатели

  • Объяснение программ-вымогателей: как это работает и…
  • Как программы-вымогатели бегают по подполью…
  • 4 самых опасных новых вируса-вымогателя…
  • Группа вымогателей OnePercent атаковала…
  • Восстановление программ-вымогателей: 8 шагов к. ..

Показать больше

Определение программы-вымогателя

Программы-вымогатели – это форма  вредоносного ПО  , которое шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп, чтобы после оплаты восстановить доступ к данным.

Пользователям показываются инструкции о том, как заплатить за получение ключа дешифрования. Затраты могут варьироваться от нескольких сотен долларов до тысяч и выплачиваться киберпреступникам в биткойнах.

Как работает программа-вымогатель

Есть несколько путей, по которым программа-вымогатель может получить доступ к компьютеру. Одной из самых распространенных систем доставки является фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому следует доверять. После загрузки и открытия они могут завладеть компьютером жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей разрешить административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в системе безопасности для заражения компьютеров, не обманывая пользователей.

После захвата компьютера жертвы вредоносное ПО может выполнить несколько действий, но наиболее частым действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, Infosec Institute подробно изучил, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое главное, что нужно знать, это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователю предоставляется сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику платеж в биткойнах, который невозможно отследить.

В некоторых формах вредоносных программ злоумышленник может представиться правоохранительным органом, который выключает компьютер жертвы из-за наличия на нем порнографии или пиратского программного обеспечения и требует уплаты «штрафа», возможно, для того, чтобы жертвы меньше скорее всего, сообщит о нападении властям. Но большинство атак не заботятся об этом предлоге. Существует также вариант, называемый Leakware или Doxware , в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет выплачен выкуп. Но поскольку поиск и извлечение такой информации является очень сложной задачей для злоумышленников, программы-вымогатели с шифрованием, безусловно, являются наиболее распространенным типом.

Кто является целью программ-вымогателей?

Злоумышленники выбирают организации, на которые они нацелены с помощью программ-вымогателей, несколькими способами. Иногда это вопрос возможности: например, злоумышленники могут нацеливаться на университеты, потому что они, как правило, имеют небольшие группы безопасности и разрозненную пользовательскую базу, которая активно обменивается файлами, что облегчает проникновение в их защиту.

С другой стороны, некоторые организации являются заманчивыми целями, потому что они, скорее всего, быстро заплатят выкуп. Например, правительственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить за то, чтобы скрывать новости о компрометации, и эти организации могут быть особенно чувствительны к атакам с использованием программ утечки.

Но не думайте, что вы в безопасности, если вы не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.

Как предотвратить заражение программами-вымогателями

Существует ряд защитных мер, которые можно предпринять для предотвращения заражения программами-вымогателями. Эти шаги, безусловно, являются хорошей практикой безопасности в целом, поэтому их выполнение улучшит вашу защиту от всех видов атак:0061 , чтобы уменьшить количество уязвимостей, которые можно использовать.

  • Не устанавливайте программное обеспечение и не предоставляйте ему права администратора, если вы точно не знаете, что это такое и для чего оно предназначено.
  • Установите  антивирусное программное обеспечение , которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и  программное обеспечение для внесения в белый список , , которое в первую очередь предотвращает запуск несанкционированных приложений.
  • И, конечно, создавайте резервные копии ваших файлов, часто и автоматически! Это не остановит атаку вредоносного ПО, но может значительно уменьшить ущерб, нанесенный ею.

    • Удаление программы-вымогателя

    Если ваш компьютер заражен программой-вымогателем, вам необходимо восстановить контроль над вашей машиной. У CSO Стива Рэгана есть отличное видео, демонстрирующее, как это сделать на компьютере с Windows 10:

    В видео есть все подробности, но важные шаги:

    • Перезагрузка Windows 10 на безопасный режим
    • Установить антивирусное программное обеспечение
    • Просканируйте систему , чтобы найти программу-вымогатель
    • Восстановление компьютера до предыдущего состояния

    Но важно помнить: хотя выполнение этих шагов может удалить вредоносное ПО с вашего компьютера и вернуть его под ваш контроль, оно не будет расшифровывать ваши файлы. Их трансформация в нечитаемость уже произошла, и если вредоносное ПО будет достаточно изощренным, расшифровать их без доступа к ключу, которым владеет злоумышленник, будет математически невозможно. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления ваших файлов, заплатив злоумышленникам требуемый выкуп.

    Программы-вымогатели в фактах и ​​цифрах

    Программы-вымогатели — это большой бизнес. В программах-вымогателях много денег, и рынок быстро расширялся с начала десятилетия. В 2017 году программы-вымогатели привели к убыткам в размере 5 миллиардов долларов как с точки зрения выплаченных выкупов, так и с точки зрения потерь времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году. В первом квартале 2018 года только один вид программ-вымогателей, SamSam, собрал 1 миллион долларов выкупа.

    Некоторые рынки особенно подвержены атакам программ-вымогателей и выплате выкупа. Многие громкие атаки программ-вымогателей произошли в больницах или других медицинских организациях, которые становятся заманчивыми целями: злоумышленники знают, что, когда буквально на кону стоят жизни, эти предприятия, скорее всего, просто заплатят относительно небольшой выкуп, чтобы решить проблему. . По оценкам, 45% атак программ-вымогателей нацелены на организации здравоохранения, и, наоборот, 85% заражений вредоносными программами в организациях здравоохранения являются программами-вымогателями. Еще одна заманчивая отрасль? Сектор финансовых услуг, в котором, как однажды заметил Уилли Саттон, находятся деньги. Подсчитано, что 9В 2017 г. 0 процентов финансовых учреждений подверглись атакам программ-вымогателей.   

    Антивредоносное ПО не обязательно защитит вас. Программы-вымогатели постоянно пишутся и настраиваются разработчиками, поэтому их сигнатуры часто не обнаруживаются обычными антивирусными программами. На самом деле, целых 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах современные средства защиты конечных точек.

    Программы-вымогатели уже не так распространены, как раньше. Если вы хотите немного хороших новостей, вот что: количество атак программ-вымогателей после взрыва в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высоки, чтобы они все еще были. Но в первом квартале 2017 года атаки программ-вымогателей составили 60% полезной нагрузки вредоносных программ; теперь он снизился до 5 %.

    Число программ-вымогателей сокращается?

    Что стоит за этим большим провалом? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойн. Получение выкупа от жертвы всегда было удачным или неудачным; они могут не решить платить, или даже если они захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как на самом деле это сделать.

    Как отмечает «Лаборатория Касперского», сокращение программ-вымогателей сопровождалось ростом числа так называемых вредоносных программ , занимающихся криптомайнингом , которые заражают компьютер жертвы и используют его вычислительную мощность для создания (или майнинга, на языке криптовалют) биткойнов без хозяин знает. Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет избежать большинства трудностей, связанных с получением выкупа, и стал еще более привлекательным в качестве кибератаки, поскольку цена биткойна резко выросла в конце 2017 года9. 0003

    Однако это не означает, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «товарные» атаки, которые пытаются без разбора заразить компьютеры одним лишь объемом и включают так называемые платформы «программы-вымогатели как услуга», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации. Вы должны быть начеку, если вы относитесь к последней категории, независимо от того, прошел ли большой бум программ-вымогателей.

    В связи с падением цены биткойна в течение 2018 года анализ затрат и выгод для злоумышленников может измениться. В конечном счете, использование программ-вымогателей или вредоносных программ для криптомайнинга является бизнес-решением для злоумышленников, говорит Стив Гробман, главный технический директор McAfee. «Поскольку цены на криптовалюту падают, естественно наблюдать возврат [к программам-вымогателям]» 9.0003

    Должны ли вы платить выкуп?

    Если ваша система была заражена вредоносным ПО, и вы потеряли жизненно важные данные, которые вы не можете восстановить из резервной копии, должны ли вы платить выкуп?

    Теоретически большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям, исходя из логики, что это только поощряет хакеров создавать больше программ-вымогателей. Тем не менее, многие организации, пострадавшие от вредоносного ПО, быстро перестают думать с точки зрения «большего блага» и начинают проводить анализ затрат и выгод, сопоставляя цену выкупа со стоимостью зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний говорят что они никогда не будут платить выкуп из принципа, на практике 65 процентов действительно платят выкуп, когда их бьют.

    Злоумышленники с программами-вымогателями удерживают цены на относительно низком уровне — обычно от 700 до 1300 долларов — сумму, которую компании обычно могут позволить себе заплатить в короткие сроки. Некоторые особо сложные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют выкуп в соответствии с экономикой этой страны, требуя больше от компаний в богатых странах и меньше от компаний в бедных регионах.

    За быстрые действия часто предлагаются скидки, чтобы побудить жертв платить быстро, прежде чем слишком много думать об этом. Как правило, цена устанавливается таким образом, чтобы она была достаточно высокой, чтобы оправдать затраты времени преступника, но достаточно низкой, чтобы она часто была дешевле, чем та, которую жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных. Имея это в виду, некоторые компании начинают включать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в остальном не связаны с криптовалютой, держат немного биткойнов в резерве специально для выплаты выкупа.

    Здесь нужно помнить о паре каверзных моментов, учитывая, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, программа-вымогатель может вообще не шифровать ваши данные; убедитесь, что вы не имеете дело с так называемым «пугающим ПО», прежде чем отправлять кому-либо деньги. Во-вторых, оплата злоумышленникам не гарантирует, что вы вернете свои файлы. Иногда преступники просто берут деньги и убегают, а в вредоносные программы могут даже не встраиваться функции расшифровки. Но любая такая вредоносная программа быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — Гэри Сокрайдер, главный специалист по безопасности в Arbor Networks, оценивает от 65 до 70 процентов времени — мошенники проникают внутрь, и ваши данные восстанавливаются. .

    Примеры программ-вымогателей

    Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярными только в последние пять лет или около того, в основном из-за доступности неотслеживаемых способов оплаты, таких как Биткойн. Вот некоторые из самых злостных нарушителей:

    • CryptoLocker , атака 2013 года, запустившая современную эпоху программ-вымогателей и заразившая до 500 000 машин на пике своего развития.
    • TeslaCrypt нацелен на игровые файлы и постоянно совершенствуется во время своего террора.
    • SimpleLocker была первой широко распространенной атакой программы-вымогателя, нацеленной на мобильные устройства
    • WannaCry распространялся автономно с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ и затем украденного хакерами.
    • NotPetya также использовал EternalBlue и мог быть частью направленной Россией кибератаки на Украину.
    • Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известную банковскую программу Dridex». Вариант, Osiris , распространялся посредством фишинговых кампаний.
    • Leatherlocker впервые был обнаружен в 2017 году в двух приложениях для Android: Booster & Cleaner и Wallpaper Blur HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран, чтобы предотвратить доступ к данным.
    • Wysiwye, , также обнаруженный в 2017 году, сканирует Интернет в поисках открытых серверов протокола удаленного рабочего стола (RDP). Затем он пытается украсть учетные данные RDP для распространения по сети.
    • Цербер оказался очень эффективным, когда он впервые появился в 2016 году, принеся злоумышленникам 200 000 долларов в июле того же года. Он воспользовался уязвимостью Microsoft для заражения сетей.
    • BadRabbit распространился среди медиакомпаний Восточной Европы и Азии в 2017 году.
    • SamSam существует с 2015 года и нацелен в основном на организации здравоохранения.
    • Ryuk впервые появился в 2018 году и используется в целевых атаках на уязвимые организации, например больницы. Он часто используется в сочетании с другими вредоносными программами, такими как TrickBot.
    • Maze — относительно новая группа программ-вымогателей, известная тем, что публикует украденные данные, если жертва не платит за их расшифровку.
    • RobbinHood — еще один вариант EternalBlue, который в 2019 году поставил на колени город Балтимор, штат Мэриленд.
    • GandCrab может быть самой прибыльной программой-вымогателем. Его разработчики, продавшие программу киберпреступникам, заявляют, что по состоянию на июль 2019 года жертвам было выплачено более 2 миллиардов долларов.
    • Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Это связано с GandCrab
    • Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа, использующая метод RIPlace, который может обойти большинство методов защиты от программ-вымогателей.

    Этот список будет продолжаться. Следуйте приведенным здесь советам, чтобы защитить себя.

    Связанное видео:

    Связанный:

    • Программа-вымогатель
    • Вредоносное ПО
    • Безопасность

    Copyright © 2020 IDG Communications, Inc.

    7 горячих тенденций кибербезопасности (и 2 уходят в тень)

    Атака программ-вымогателей

    — что это такое и как это работает?

    Почему возникают атаки программ-вымогателей?

    Современное увлечение программами-вымогателями началось со вспышки вируса WannaCry в 2017 году. Эта крупномасштабная и получившая широкую огласку атака продемонстрировала, что атаки программ-вымогателей возможны и потенциально прибыльны. С тех пор были разработаны десятки вариантов программ-вымогателей, которые использовались в различных атаках.

    Пандемия COVID-19 также способствовала недавнему всплеску программ-вымогателей. Поскольку организации быстро перешли на удаленную работу, в их киберзащите образовались бреши. Киберпреступники использовали эти уязвимости для доставки программ-вымогателей, что привело к всплеску атак программ-вымогателей. В третьем квартале 2020 года количество атак программ-вымогателей увеличилось на 50% по сравнению с первой половиной того же года.

    Популярные варианты программ-вымогателей

    Существуют десятки вариантов программ-вымогателей, каждый со своими уникальными характеристиками. Однако некоторые группы программ-вымогателей оказались более плодовитыми и успешными, чем другие, что выделяет их из толпы.

    1. Ryuk

    Ryuk является примером узкоспециализированного варианта программы-вымогателя. Обычно он доставляется через фишинговые электронные письма или с использованием скомпрометированных учетных данных пользователя для входа в корпоративные системы с использованием протокола удаленного рабочего стола (RDP). Как только система заражена, Рюк шифрует определенные типы файлов (избегая тех, которые имеют решающее значение для работы компьютера), а затем предъявляет требование о выкупе.

    Ryuk хорошо известен как один из самых дорогих существующих типов программ-вымогателей. Рюк требует выкуп, который в среднем превышает 1 миллион долларов. В результате киберпреступники, стоящие за Ryuk, в первую очередь сосредотачиваются на предприятиях, у которых есть ресурсы, необходимые для удовлетворения их требований.

    2. Maze

    Программа-вымогатель Maze известна тем, что является первым вариантом программы-вымогателя, сочетающим шифрование файлов и кражу данных. Когда жертвы начали отказываться платить выкуп, Maze начал собирать конфиденциальные данные с компьютеров жертв, прежде чем шифровать их. Если требования о выкупе не будут выполнены, эти данные будут обнародованы или проданы тому, кто предложит самую высокую цену. Возможность дорогостоящей утечки данных была использована в качестве дополнительного стимула для оплаты.

    Группа разработчиков программы-вымогателя Maze официально прекратила свою деятельность. Однако это не означает, что угроза программ-вымогателей уменьшилась. Некоторые филиалы Maze перешли на использование программы-вымогателя Egregor, и считается, что варианты Egregor, Maze и Sekhmet имеют общий источник.

    3. REvil (Sodinokibi)

    Группа REvil (также известная как Sodinokibi) — еще один вариант программы-вымогателя, предназначенный для крупных организаций.

    REvil — одно из самых известных семейств программ-вымогателей в сети. Группа вымогателей, которой с 2019 года управляет русскоязычная группа REvil, несет ответственность за множество крупных взломов, таких как «Kaseya» и «JBS»

    . Последние несколько лет она конкурировала с Ryuk за звание самый дорогой вариант вымогателя. Известно, что REvil потребовала выкуп в размере 800 000 долларов.

    Хотя REvil начинался как традиционный вариант программы-вымогателя, со временем он эволюционировал.03:00 Они используют метод двойного вымогательства, чтобы украсть данные у предприятий, а также зашифровать файлы. Это означает, что помимо требования выкупа за расшифровку данных, злоумышленники могут угрожать раскрыть украденные данные, если второй платеж не будет произведен.

     

    4. Lockbit

    LockBit — вредоносное ПО для шифрования данных, работающее с сентября 2019 года, и недавняя программа-вымогатель как услуга (RaaS). Эта часть программы-вымогателя была разработана для быстрого шифрования больших организаций, чтобы предотвратить ее быстрое обнаружение устройствами безопасности и командами ИТ / SOC.

    5. DearCry

    В марте 2021 года Microsoft выпустила исправления для четырех уязвимостей на серверах Microsoft Exchange. DearCry — это новый вариант программы-вымогателя, предназначенный для использования четырех недавно обнаруженных уязвимостей в Microsoft Exchange

    Программа-вымогатель DearCry шифрует определенные типы файлов. Как только шифрование будет завершено, DearCry покажет сообщение о выкупе, в котором пользователям будет предложено отправить электронное письмо операторам программ-вымогателей, чтобы узнать, как расшифровать их файлы.

    6. ​​Lapsus$

    Lapsus$ — южноамериканская банда вымогателей, которая была связана с кибератаками на некоторые известные цели. Кибербанда известна вымогательством, угрожая раскрытием конфиденциальной информации, если ее жертвы не предъявляют требования. Группа может похвастаться проникновением в Nvidia, Samsung, Ubisoft и другие. Группа использует украденный исходный код, чтобы замаскировать вредоносные файлы под заслуживающие доверия.

    Как работает программа-вымогатель

    Чтобы добиться успеха, программа-вымогатель должна получить доступ к целевой системе, зашифровать находящиеся там файлы и потребовать от жертвы выкуп.
    Хотя детали реализации варьируются от одного варианта программы-вымогателя к другому, все они имеют одну и ту же основную три стадии

    • Шаг 1. Векторы заражения и распространения

    Программа-вымогатель, как и любая другая вредоносная программа, может получить доступ к системам организации различными способами. Однако операторы программ-вымогателей, как правило, предпочитают несколько конкретных векторов заражения.

    Одно из них — фишинговые письма. Вредоносное электронное письмо может содержать ссылку на веб-сайт, на котором размещена вредоносная загрузка, или вложение со встроенными функциями загрузчика. Если получатель электронной почты попадает под фишинг, программа-вымогатель загружается и запускается на его компьютере.

    Другой популярный вектор заражения программами-вымогателями использует преимущества таких служб, как протокол удаленного рабочего стола (RDP). С помощью RDP злоумышленник, который украл или угадал учетные данные сотрудника, может использовать их для аутентификации и удаленного доступа к компьютеру в корпоративной сети. Имея такой доступ, злоумышленник может напрямую загрузить вредоносное ПО и запустить его на машине, находящейся под его контролем.

    Другие могут попытаться заразить систему напрямую, например, как WannaCry использовал уязвимость EternalBlue. Большинство вариантов программ-вымогателей имеют несколько векторов заражения.

    • Шаг 2. Шифрование данных

     После того как программа-вымогатель получила доступ к системе, она может начать шифрование своих файлов. Поскольку функции шифрования встроены в операционную систему, это просто включает в себя доступ к файлам, их шифрование с помощью ключа, контролируемого злоумышленником, и замену оригиналов зашифрованными версиями. Большинство вариантов программ-вымогателей осторожны в выборе файлов для шифрования, чтобы обеспечить стабильность системы. Некоторые варианты также предпримут шаги для удаления резервных и теневых копий файлов, чтобы затруднить восстановление без ключа дешифрования.

    • Этап 3. Требование выкупа

    После завершения шифрования файла программа-вымогатель готова потребовать выкуп. Различные варианты программ-вымогателей реализуют это различными способами, но нередко фон дисплея меняется на заметку о выкупе или текстовые файлы, помещенные в каждый зашифрованный каталог, содержащий заметку о выкупе. Как правило, эти заметки требуют определенной суммы криптовалюты в обмен на доступ к файлам жертвы. Если выкуп уплачен, оператор программы-вымогателя предоставит либо копию закрытого ключа, используемого для защиты симметричного ключа шифрования, либо копию самого симметричного ключа шифрования. Эта информация может быть введена в программу-дешифратор (также предоставленную киберпреступником), которая может использовать ее для отмены шифрования и восстановления доступа к файлам пользователя.

    Хотя эти три основных шага присутствуют во всех вариантах программ-вымогателей, разные программы-вымогатели могут включать разные реализации или дополнительные шаги. Например, такие разновидности программ-вымогателей, как Maze, выполняют сканирование файлов, информации реестра и кражу данных перед шифрованием данных, а программа-вымогатель WannaCry сканирует другие уязвимые устройства для заражения и шифрования.

     

    Как защититься от программ-вымогателей

    Надлежащая подготовка может значительно снизить стоимость и последствия атаки программ-вымогателей. Применение следующих передовых методов может снизить подверженность организации программам-вымогателям и свести к минимуму их воздействие:

    1. Обучение кибербезопасности и Обучение: Программа-вымогатель часто распространяется с помощью фишинговых сообщений электронной почты. Обучение пользователей тому, как выявлять потенциальные атаки программ-вымогателей и избегать их, имеет решающее значение. Поскольку многие из современных кибератак начинаются с целевого электронного письма, которое даже не содержит вредоносного ПО, а представляет собой только сообщение с социальной инженерией, побуждающее пользователя щелкнуть вредоносную ссылку, обучение пользователей часто считается одним из наиболее важных средств защиты. организация может развернуть.
    2. Непрерывное резервное копирование данных:  В определении программы-вымогателя говорится, что это вредоносное ПО, предназначенное для того, чтобы уплата выкупа была единственным способом восстановить доступ к зашифрованным данным. Автоматизированное защищенное резервное копирование данных позволяет организации восстанавливаться после атаки с минимальной потерей данных и без уплаты выкупа. Поддержание регулярных резервных копий данных в качестве рутинного процесса является очень важной практикой для предотвращения потери данных и возможности их восстановления в случае повреждения или неисправности дискового оборудования. Функциональные резервные копии также могут помочь организациям восстановиться после атак программ-вымогателей.
    3. Установка исправлений: Установка исправлений является важнейшим компонентом защиты от атак программ-вымогателей, поскольку киберпреступники часто ищут последние раскрытые эксплойты в доступных исправлениях, а затем атакуют системы, на которые еще не установлены исправления. Таким образом, организациям крайне важно убедиться, что на все системы установлены последние исправления, поскольку это уменьшает количество потенциальных уязвимостей в бизнесе, которыми может воспользоваться злоумышленник.
    4. Аутентификация пользователя: Доступ к таким службам, как RDP, с украденными учетными данными пользователя — излюбленный метод злоумышленников-вымогателей. Использование строгой аутентификации пользователя может затруднить злоумышленнику использование угаданного или украденного пароля
      5. .

    При высокой потенциальной стоимости заражения программами-вымогателями профилактика является лучшей стратегией борьбы с программами-вымогателями. Этого можно достичь, уменьшив поверхность атаки, обратившись:

    1. Фишинговые сообщения
    2. Неисправленные уязвимости
    3. Решения для удаленного доступа
    4. Мобильное вредоносное ПО

     

    Необходимость шифрования всех файлов пользователя означает, что программы-вымогатели имеют уникальный отпечаток пальца при работе в системе. Решения для защиты от программ-вымогателей созданы для идентификации этих отпечатков пальцев. Общие характеристики хорошего решения для защиты от программ-вымогателей включают:

    • Обнаружение широкого спектра
    • Быстрое обнаружение
    • Автоматическое восстановление
    • Механизм восстановления не основан на обычных встроенных инструментах (таких как «Теневое копирование», на которое нацелены некоторые варианты программ-вымогателей)

    Как удалить программы-вымогатели?

    Никто не хочет видеть сообщение с требованием выкупа на своем компьютере, поскольку оно показывает, что заражение программой-вымогателем прошло успешно. На этом этапе можно предпринять некоторые шаги, чтобы отреагировать на активное заражение программой-вымогателем, и организация должна сделать выбор, платить выкуп или нет.

    • Как смягчить активное заражение программами-вымогателями

    Многие успешные атаки программ-вымогателей обнаруживаются только после завершения шифрования данных и отображения на экране зараженного компьютера примечания о выкупе. На данный момент зашифрованные файлы, скорее всего, невозможно восстановить, но следует немедленно предпринять некоторые шаги:

    1. Поместить машину в карантин: Некоторые варианты программ-вымогателей пытаются распространиться на подключенные диски и другие машины. Ограничьте распространение вредоносного ПО, удалив доступ к другим потенциальным целям.
    2. Оставить компьютер включенным: Шифрование файлов может сделать компьютер нестабильным, а отключение компьютера может привести к потере энергозависимой памяти. Держите компьютер включенным, чтобы максимизировать вероятность восстановления.
    3. Создать резервную копию: Расшифровка файлов для некоторых вариантов программ-вымогателей возможна без уплаты выкупа. Сделайте копию зашифрованных файлов на съемном носителе на случай, если решение появится в будущем или неудачная попытка расшифровки повредит файлы.
    4. Проверить наличие дешифраторов: Проверить с помощью No More Ransom Project, доступен ли бесплатный дешифратор. Если это так, запустите его на копии зашифрованных данных, чтобы посмотреть, сможет ли он восстановить файлы.
    5. Обратитесь за помощью: Компьютеры иногда хранят резервные копии хранящихся на них файлов. Эксперт по цифровой криминалистике может восстановить эти копии, если они не были удалены вредоносным ПО.
    6. Очистка и восстановление: Восстановление машины из чистой резервной копии или установки операционной системы. Это гарантирует полное удаление вредоносного ПО с устройства

    Как Check Point может помочь

    Технология защиты от программ-вымогателей Check Point использует специально созданный механизм, который защищает от самых изощренных, уклончивых вариантов программ-вымогателей нулевого дня и безопасно восстанавливает зашифрованные данные, обеспечивая непрерывность бизнеса и производительность. Наша исследовательская группа ежедневно проверяет эффективность этой технологии и неизменно демонстрирует отличные результаты в выявлении и отражении атак.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *