Программы-вымогатели — это разновидность вредоносного программного обеспечения, которое захватывает контроль над данными или устройством жертвы и ставит ей ужасный ультиматум: либо заплатить выкуп, либо столкнуться с последствиями. Будь то длительная изоляция или массовая утечка данных, угроза почти всегда достаточно высока, чтобы убедить жертв заплатить деньги.
Команда Индекс анализа угроз IBM Security X-Force 2023 года показывает, что в прошлом году атаки с использованием программ-вымогателей составили почти четверть всех кибератак. Популярность программ-вымогателей является результатом широкомасштабных глобальных социально-экономических факторов, каждый из которых в совокупности создает постоянную угрозу для вашей организации.
Этапы атаки программы-вымогателя
От сверхсложных атак до использования простых упущений — почти каждая атака с помощью программы-вымогателя состоит из четырех-пяти важных этапов.
Этап 1. Использование уязвимости
Будь то уязвимость в какой-либо части вашего технологического стека или единичная оплошность сотрудника, основным этапом каждой атаки программы-вымогателя является тот или иной вектор доступа. Зачастую слабым звеном могут быть ваши коллеги (или даже вы сами!). Фишинг — один из наиболее распространенных способов взлома безопасных организаций; именно это позволило злоумышленникам организовать атаку с использованием программы-вымогателя на британскую газету The Guardian в начале 2023 года.
Другие попытки проникновения используют вредоносные веб-сайты или напрямую атакуют уязвимости программного обеспечения.
Этап 2: Дайте волю КРЫСЕ
Удаленный доступ чаще всего рассматривается в контексте технической поддержки — если он включен, ваша ИТ-команда сможет помогать коллегам в выполнении повседневных вычислительных задач. Удаленная поддержка позволяет другим пользователям получить полные административные привилегии, предоставляя им полный контроль над каждым процессом на вашем компьютере. RAT искажает это, будучи установленным на компьютер без ведома пользователя.
Злоумышленники обычно используют RAT как способ обойти установленные меры безопасности: в то время как антивирусные решения могут идентифицировать программы-вымогатели с помощью простого обнаружения сигнатур файлов, троян удаленного доступа труднее обнаружить до внедрения. Используя вполне законные файлы, такие как пакеты программного обеспечения и видеоигры, RAT предлагает различные пути любому коварному злоумышленнику, прокладывая путь к следующему этапу атаки.
Этап 3: Разведка
Закрепившись в системе жертвы, злоумышленник может начать шпионить за ней. Основное внимание уделяется пониманию локальных систем, а также домена, к которому они в настоящее время имеют доступ. Оттуда они могут начать двигаться вбок. Именно здесь кроется основная слабость системы безопасности по периметру; если полагаться только на одну линию защиты, боковое движение становится намного проще, а в конечном итоге атака становится более масштабной. Однако на этом этапе злоумышленник активно расширяет свой контроль над системой и компрометирует все более привилегированные учетные записи, оставаясь при этом максимально скрытным.
Этап 4: Эксфильтрация
На этом этапе злоумышленник проник в максимально возможное количество областей организации. Однако только сейчас были предприняты какие-либо действия, которые принесли бы прямую выгоду атакующей группе. Фокус переключается на выявление и извлечение данных – чем более конфиденциальны, тем лучше. Рост числа совместных атак с использованием программ-вымогателей и программ-вымогателей обусловлен сегодняшней ситуацией в области управления угрозами. Утечка данных влечет за собой огромные штрафы и шквал плохого пиара; с точки зрения злоумышленника, эти данные также могут быть проданы другим частям машины киберпреступности. К этому моменту злоумышленники заявили о еще одной жертве. Независимо от последующего заключительного этапа, они, скорее всего, смогут заработать те деньги, которые им нужны.
Этап 5: Шифрование
Наконец, после тайной перекачки терабайт данных компании – включая учетные данные для входа, личную информацию клиентов и интеллектуальную собственность – киберпреступники могут нанести последний удар. Криптографические программы-вымогатели пробираются через каждый файл, к которому они могут получить доступ через затронутые сети, шифруя их по мере их поступления. Усовершенствованные формы некоторых разновидностей программ-вымогателей идут еще дальше: они отключают функции, позволяющие выполнить последнее восстановление системы, и удаляют все резервные копии в зараженной сети. Однако не все программы-вымогатели шифруют: некоторые блокируют экран устройства или даже заваливают пользователя бесконечным шквалом всплывающих окон.
Наконец, как только устройство и связанные с ним файлы становятся недоступными, жертва информируется о своей злосчастной судьбе посредством записки о выкупе. Часто это происходит в виде файла .txt, размещаемого на рабочем столе компьютера и содержащего инструкции о том, как заплатить выкуп.
Кто является целью программ-вымогателей?
С каждой успешной атакой злоумышленник-вымогатель становится все смелее, нацеливаясь на отрасли таким образом, чтобы причинить как можно больше страданий. В последние годы одна область подверглась особенно жестоким нападениям: критическая инфраструктура.
Атака на поставщика энергии может привести к сбою в сети или нестабильной подаче энергии в дома, коммерческие здания или другие поставщики критически важных услуг. Электростанции, водоочистные сооружения, транспортные системы и сети связи в последние несколько лет были областями особого внимания. Во многом это является результатом серьезных недостатков, скрытых глубоко в промышленных системах управления, которые используются для мониторинга и управления этими критически важными компонентами инфраструктуры.
Schneider Electric и Siemens — два решения для промышленного управления, которые уже предложили злоумышленникам многоцепочечные пути атаки. Одним из недавних примеров является дефект, затронувший измерители мощности ION и PowerLogic компании Schneider Electric. Они обеспечивают энергетический мониторинг организациям производственного, энергетического и водного секторов; Этот эксплойт, отмеченный как CVE-2022-46680, получил серьезную оценку CVSS 8.8 из 10 и позволяет злоумышленникам получить доступ к учетным данным, которые помогут им изменить настройки конфигурации и модифицировать прошивку.
Почему распространяются атаки программ-вымогателей?
Число атак программ-вымогателей продолжает стремительно расти – отчасти из-за изменений в мировой экономике. Поскольку программы-вымогатели — это атака, которая часто имеет сильно финансовую мотивацию, важную роль в ее популярности играют социально-экономические проблемы, такие как бедность и имущественное неравенство. За последние несколько лет этот процесс ускорился – отчасти потому, что программы-вымогатели сейчас стали наиболее доступными за всю историю. Начинающим киберпреступникам больше не требуется глубокое понимание сетевой безопасности. Вместо этого некоторые разработчики программ-вымогателей предпочитают делиться своим вредоносным кодом по схеме «программа-вымогатель как услуга» (RaaS). В этой схеме киберпреступник действует как партнер, используя заранее написанный код и делясь частью выкупа жертвы с первоначальным разработчиком. Эти симбиотические отношения оказываются взаимовыгодными: филиалы могут пожинать плоды вымогательства без необходимости разрабатывать собственное вредоносное ПО, а разработчики могут увеличить свою прибыль, не ставя себя на передовую.
Последней причиной роста числа случаев использования программ-вымогателей является геополитическая напряженность. Это движущая сила таких масштабных кампаний против инфраструктурных тяжеловесов. Раньше идея поддерживаемого государством хакера была изолирована для атаки на субъектов, которые напрямую финансировались злонамеренными государствами. Теперь времена изменились. В связи с вторжением России в Украину и растущей доступностью программ-вымогателей к делу с пылким энтузиазмом подключились независимые субъекты, представляющие угрозы. Критическая инфраструктура, такая как железные дороги, была с гордостью остановлена – как, например, взлом белорусских железных дорог киберпартизанами, который был организован в попытке предотвратить передвижение российских солдат.
История атак программ-вымогателей
Начиная с экспериментальной дискеты, программам-вымогателям потребовалось много времени, чтобы превратиться в сверхагрессивные атаки, с которыми сегодня сталкиваются организации.
1989: Начало низкотехнологичных технологий. Самым первым документально подтвержденным вирусом-вымогателем был троян СПИД. Рождение программ-вымогателей, распространяемых через дискеты, имеет поразительно низкотехнологичные корни. Каталоги файлов на компьютере жертвы были скрыты до того, как всплывающее окно программы-вымогателя потребовало 189 долларов за их раскрытие. Однако, поскольку он шифровал имена файлов, а не сами файлы, пользователи в конечном итоге смогли самостоятельно устранить ущерб.
2005: Появление новых стилей шифрования. После относительно небольшого количества атак программ-вымогателей в начале 2000-х годов начался всплеск заражений, сконцентрированный в основном в России и Восточной Европе. Появились первые варианты, в которых использовалось асимметричное шифрование. Поскольку новые программы-вымогатели предлагали более эффективные методы вымогательства денег, все большее число киберпреступников начало распространять программы-вымогатели по всему миру.
2009: Неотслеживаемые платежи вступают в бой. Появление криптовалюты, в частности Биткойна, предоставило киберпреступникам возможность получать неотслеживаемые выкупные платежи, что привело к следующей волне активности программ-вымогателей.
2013: CryptoLocker доказывает свою эффективность. Современная эра программ-вымогателей начинается с появлением CryptoLocker, ознаменовав появление сценариев программ-вымогателей, основанных на шифровании, которые после развертывания требуют от жертвы произвести оплату в криптовалюте.
2015: Рождение RaaS. Вариант программы-вымогателя Tox является пионером в модели «программа-вымогатель как услуга» (RaaS), позволяющей другим киберпреступникам легко получать доступ к программам-вымогателям и развертывать их в своих злонамеренных целях.
2017: WannaCry попадает в Национальную систему здравоохранения. Появление WannaCry означает появление первых широко используемых самовоспроизводящихся крипточервей, обеспечивающих быстрое распространение программ-вымогателей по сетям и системам.
2018: Рюк нацелен на Wall Street Journal и LA Times. Рюк набирает популярность и внедряет концепцию охоты на крупную дичь посредством атак программ-вымогателей, нацеленных на крупные организации с целью получения более крупных выплат выкупа.
2019: Двойное вымогательство становится нормой. Начинают расти двойные атаки программ-вымогателей. Большинство инцидентов с программами-вымогателями, которыми занимается группа реагирования на инциденты безопасности IBM, теперь связаны как с шифрованием данных, так и с угрозой их раскрытия, если выкуп не будет выплачен.
2023: Перехват тредов стал популярен. Перехват потоков становится распространенным вектором распространения программ-вымогателей, когда киберпреступники вмешиваются в онлайн-разговоры своих жертв, чтобы облегчить распространение программ-вымогателей и повысить свои шансы на успешное вымогательство.
Почему не стоит просто платить выкуп
В 2019 году большинство жертв программ-вымогателей заплатили злоумышленникам. Однако в первом квартале 2022 года этот показатель снизился. Отчасти это связано с огромным количеством причин, препятствующих выплате столь важного выкупа.
Вы не можете получить ключ дешифрования
В среднем в 2021 году организации, заплатившие выкуп, получили только 61% своих данных. Число организаций, которые заплатили и впоследствии получили все свои данные, составило всего лишь 4%. После того как хакеры получили выкуп, ваши данные по-прежнему будут для них стоить денег — их продажа и утечка принесут им еще большую отдачу от инвестиций.
Вы можете неоднократно получать требования о выкупе
Подавляющее большинство жертв, которые платят деньги, в дальнейшем подвергаются новым атакам с целью получения выкупа. Ведущий отчет 2022 года проанализировали, что происходит после того, как организация просто платит злоумышленникам, и обнаружили ужасно высокий уровень повторных правонарушений. Из всех жертв, которые признались в уплате выкупа, 80% из них позже пострадали во второй раз, причем 68% из них подверглись атакам в том же месяце с более высоким требованием выкупа. Одной из причин этого является тот факт, что те, кто предпочитает платить, рассматриваются как уязвимые цели. 9% заплатили в третий раз.
Вскоре вы можете нарушить закон
Министерство финансов США уже выпустило предупреждение о будущих юридических проблемах. Участие в платежах с помощью программ-вымогателей — будь то в качестве жертвы, страховой компании или финансового учреждения — потенциально может нарушить законы, касающиеся международной безопасности. Во многом это благодаря последнему пункту, который подчеркивает экономические реалии программ-вымогателей.
Вы финансируете преступную деятельность
С каждой платящей жертвой хакерские группы могут разрабатывать еще более продвинутые методы использования вредоносного ПО для проникновения в более уязвимые предприятия. Выплата выкупа не только ухудшает саму программу-вымогатель, но и напрямую финансирует агрессивные национальные государства, которые часто финансируют такие публичные и разрушительные атаки.
С другой стороны, чем с большим количеством препятствий хакеры сталкиваются в своей преступной деятельности, тем меньше вероятность того, что они смогут и дальше причинять вред другим компаниям.
Различные типы программ-вымогателей
Программы-вымогатели часто принимают самые разные формы, и хотя программы-вымогатели на основе шифрования являются одним из наиболее распространенных типов, шифрование конфиденциальных данных — не единственный способ держать данные организаций под угрозой.
Scareware
Scareware — это низкотехнологичный родственник программ-вымогателей. Часто они видят, как вредоносная полезная нагрузка загружает сообщение, которое якобы исходит от правоохранительных органов или даже от законного вирусного заражения. Это может указать пользователю на поддельное антивирусное программное обеспечение, заставляя жертв платить за возможность загрузить собственную программу-вымогатель.
Блокировщики экрана
Эта форма программ-вымогателей блокирует доступ пользователей не с помощью шифрования, а просто не позволяя пользователю взаимодействовать с любым из своих файлов. Блокировка всего устройства жертвы обычно достигается путем блокировки доступа к операционной системе. Вместо того, чтобы загружаться как обычно, устройство просто отображает требование выкупа.
Стеклоочиститель
В то время как программы-вымогатели на основе шифрования часто заманивают жертв, обещая, что все вернется в норму, вайперы применяют более агрессивный подход. Записка о выкупе будет угрожать уничтожением всех данных, если она останется неоплаченной. Даже в тех случаях, когда жертвы платят деньги, данные часто все равно удаляются. Явный разрушительный потенциал «дворников» делает их особенно хорошо используемым инструментом для представителей национальных государств и хактивистов.
Популярные варианты программ-вымогателей
В запутанном, постоянно развивающемся мире программ-вымогателей варианты могут быть здесь в один момент и исчезнуть в следующий момент. За последнее десятилетие на сцену вышли четыре крупных игрока, каждый из которых сыграл уникальную роль в продвижении незаконной индустрии на новые территории.
WannaCry
WannaCry был первым ярким примером крипточервя – типа программы-вымогателя, способной распространяться на другие устройства в сети. Он атаковал более 200,000 150 компьютеров в XNUMX странах, используя уязвимость EternalBlue в Microsoft Windows, которую администраторы не смогли исправить. Помимо шифрования ценных данных, программа-вымогатель WannaCry также представляла угрозу уничтожения файлов, если оплата не была получена в течение семи дней.
Атака WannaCry является одним из крупнейших инцидентов с программами-вымогателями, зарегистрированными на сегодняшний день, с предполагаемыми затратами. достигнет 4 миллиардов долларов США. Его широкомасштабное воздействие и быстрое распространение подчеркнули серьезные последствия, которые могут иметь неисправленные уязвимости и халатность системных администраторов перед лицом таких киберугроз.
Revil
REvil, также известный как Sodin или Sodinokibi, сыграл значительную роль в популяризации модели распространения программ-вымогателей «Вымогатели как услуга» (RaaS). Такой подход позволяет другим киберпреступникам получать доступ к программе-вымогателю REvil и использовать ее для своих вредоносных действий. REvil получила известность благодаря участию в охотничьих атаках на крупную дичь и тактике двойного вымогательства.
В 2021 году REvil был ответственен за заметные атаки на JBS USA и Kaseya Limited. JBS, известная компания по переработке говядины в США, столкнулась с сбоем, который привел к выплате выкупа в размере 11 миллионов долларов США. Атака повлияла на операции JBS по переработке говядины на всей территории США. Компания Kaseya Limited, поставщик программного обеспечения, зафиксировала, что более тысячи клиентов пострадали из-за значительного простоя, вызванного атакой.
В начале 2022 года Федеральная служба безопасности России заявила, что распустила REvil и начала предъявлять обвинения нескольким ее членам за совершенные ими прошлые преступления.
Ryuk
Впервые обнаруженная в 2018 году программа-вымогатель Ryuk возглавила атаки «вымогателей для крупных игр», нацеленные конкретно на дорогостоящие объекты; их требования о выкупе регулярно превышали один миллион долларов. Ryuk способен атаковать такие успешные организации благодаря своей агрессивной способности идентифицировать и отключать файлы резервных копий и функции восстановления системы. В 2021 году был идентифицирован новый штамм Ryuk, обладающий возможностями крипточервя, что еще больше повысило его способность к быстрому и обширному заражению.
DarkSide
DarkSide — это вариант программы-вымогателя, которым, как полагают, управляет группа, предположительно базирующаяся в России. 7 мая 2021 года DarkSide осуществила масштабную кибератаку на Колониальный трубопровод США, которая на данный момент считается самой серьезной кибератакой на критически важную инфраструктуру в США. В результате нападения трубопровод, по которому на восточное побережье США поставлялось около 45 процентов топлива, был временно остановлен.
Группа DarkSide не только проводит прямые атаки с использованием программ-вымогателей, но также лицензирует использование программ-вымогателей другим филиалам киберпреступников, что позволяет группе расширить сферу своего влияния и прибыль.
Как защититься от программ-вымогателей
Крайне важно тщательно исследовать источник атаки программы-вымогателя и принять соответствующие меры для решения этой проблемы. Если атака произошла из-за того, что сотрудник нажал на опасную ссылку, важно улучшить обучение сотрудников выявление фишинговых атак и подчеркните важность использования безопасных уникальных паролей, таких как парольные фразы. Внедрение программного обеспечения двухфакторной аутентификации для всех устройств и сотрудников может обеспечить дополнительный уровень защиты.
Регулярное обновление программного и аппаратного обеспечения необходимо для устранения потенциальных уязвимостей. Укрепление вашей инфраструктуры кибербезопасности необходимо, чтобы идти в ногу с постоянно меняющимися тактиками, используемыми злоумышленниками. Регулярная настройка вашей сети может помочь перехватывать вредоносный трафик и усложнить действия преступников по атаке на вашу организацию.
Крайне важно выявлять любые пробелы в безопасности и оперативно их устранять. Каждый инцидент безопасности следует рассматривать как возможность получить представление об уязвимостях инфраструктуры и улучшить общее состояние безопасности. Безопасность — это непрерывный процесс, который требует постоянного тестирования и совершенствования, чтобы опережать потенциальные угрозы.
Как LayerX защищает от программ-вымогателей
По мере того, как тактика программ-вымогателей становится все более сильной, уязвимости, открывающие путь злоумышленникам, изменились. В то же время браузер стал ключевым компонентом современного рабочего пространства, как и приложения, от управляемых до полностью несанкционированных. Между безопасной средой защищенной конечной точки и всемирной паутиной находится уникальное пересечение этих приложений и слабое место многих организаций.
LayerX защищает активы, находящиеся вне контроля службы безопасности предприятия, путем введения глубокой детализации. Это позволяет выделить любые действия, которые могут привести к риску загрузки программ-вымогателей или RAT. Акцент на локальной защите позволяет развертывать LayerX с помощью расширения для браузера, быстро устанавливаемого на уровне профиля пользователя. Видимость, ориентированная на пользователя, сочетается с ведущим в отрасли анализом на переднем крае интеллектуального облака угроз LayerX. При упреждающем выявлении элементов высокого риска элементы обеспечения безопасности LayerX действуют решительно, нейтрализуя любую угрозу широко распространенного шифрования без угрозы нарушения работы пользователей. С помощью LayerX организации могут развернуть полную защиту в любом месте, где пользователи получают доступ к Интернету.