Ежедневно специалисты по кибербезопасности обнаруживают более 200 000 новых штаммов вымогателей. Это означает, что каждая минута приносит не менее 140 штаммов, способных избежать обнаружения и нанести непоправимый ущерб. Но что же такое в итоге вымогатель? Вкратце, программы-вымогатели — одна из самых распространенных и самых опасных киберугроз на сегодняшний день, имеющая пагубные последствия как для частных лиц, так и для предприятий.
В этой статье я объясню, что такое программы-вымогатели, как они используются.
Что такое программы-вымогатели?
Программы-вымогатели - это сложное вредоносное ПО, которое шифрует все данные на ПК или мобильном устройстве жертвы, блокируя доступ к ним владельца данных. После заражения жертвы получают сообщение о том, что необходимо заплатить определенную сумму денег (обычно в биткойнах), чтобы получить ключ дешифрования. Обычно существует ограничение по времени для завершения платежа, в противном случае файлы могут быть потеряны безвозвратно. Следует отметить, что нет никакой гарантии, что даже если жертва заплатит выкуп, она получит ключ дешифрования.
Как работает программа-вымогатель?
Операторам программ-вымогателей необходимо выполнить три шага, чтобы получить доступ к компьютеру жертвы, а затем захватить его.
1. Доставка и развертывание программ-вымогателей
Киберпреступники просто ищут самый простой способ заразить систему или сеть и используют этот бэкдор для распространения вредоносного контента. Тем не менее, это наиболее распространенные методы заражения, используемые злоумышленниками:
- Рассылки спама, содержащие вредоносные ссылки или вложения (существует множество форм, которые вредоносное ПО может использовать для маскировки в Интернете);
- Эксплойты безопасности в уязвимом ПО;
- Перенаправление интернет-трафика на вредоносные сайты;
- Легальные веб-сайты, на веб-страницы которых внедрен вредоносный код;
- Попутные загрузки;
- Рекламные кампании;
- SMS-сообщения (при таргетинге на мобильные устройства);
- Ботнеты;
- Самораспространение (распространение с одного зараженного компьютера на другой);
- Партнерские схемы в рамках программы-вымогателя как услуги (по сути, разработчик программы-вымогателя получает часть прибыли каждый раз, когда пользователь платит выкуп).
2. Шифрование
Программы-вымогатели - это практически комбинация криптографии с вредоносными программами. Операторы программ-вымогателей используют асимметричное шифрование, также известное как криптография с открытым ключом, - процесс, который использует набор ключей (один открытый ключ и один закрытый ключ) для шифрования и дешифрования файла и защиты его от несанкционированного доступа или использования. Ключи генерируются уникальным образом для жертвы и становятся доступными только после уплаты выкупа.
Расшифровать файлы, хранящиеся для выкупа, без доступа к закрытому ключу практически невозможно. Однако некоторые типы программ-вымогателей можно расшифровать с помощью специальных дешифраторов программ-вымогателей.
Есть два известных типа программ-вымогателей:
- Шифровальщики. Программы-вымогатели, использующие передовые алгоритмы шифрования. Они предназначены для блокировки системных файлов и требования оплаты, чтобы предоставить жертве ключ, который может расшифровать заблокированный контент. Примеры включают CryptoLocker, Locky , CrytpoWall и многое другое.
- Программа-вымогатель Locker, которая блокирует доступ жертвы к операционной системе, делая невозможным доступ к рабочему столу и любым приложениям или файлам. В этом случае файлы не шифруются, но злоумышленники по-прежнему требуют выкуп, чтобы разблокировать зараженный компьютер. Примеры включают программу-вымогатель на тему полиции или Winlocker.
- Некоторые версии шкафчиков могут даже заразить основную загрузочную запись (MBR). MBR - это загрузочный раздел жесткого диска ПК. При атаке программы-вымогателя MBR процесс загрузки не может завершиться как обычно, и на экране отображается сообщение о выкупе. Примеры включают семьи Satana и Petya. Крипто-вымогатели, как обычно называются шифровальщики, являются наиболее распространенными из них.
3. Платежное требование
После шифрования на экране появляется предупреждение с инструкциями по оплате ключа дешифрования. Все происходит всего за несколько секунд, поэтому жертвы совершенно ошарашены, недоверчиво уставившись на записку о выкупе.
Источник
Появление Биткойна и развитие алгоритмов шифрования помогли превратить программы-вымогатели из незначительной угрозы, используемой в кибервандализме, в полноценную машину для зарабатывания денег. Обычно злоумышленники запрашивают оплату в биткойнах, потому что эту криптовалюту не могут отследить исследователи кибербезопасности или правоохранительные органы.
Основные цели для программ-вымогателей
Вскоре киберпреступники поняли, что компании и организации были намного более прибыльными, чем пользователи, поэтому стали преследовать более крупные цели: полицейские управления , городские советы и даже школы и больницы. Чтобы дать вам некоторую перспективу, почти 70% зараженных предприятий решили заплатить выкуп и восстановить свои файлы. Более чем половине этих предприятий пришлось заплатить выкуп в размере от 10 000 до 40 000 долларов, чтобы восстановить свои данные. А пока давайте выясним, как онлайн-преступники нацелены на различные типы интернет-пользователей. Это может помочь вам лучше понять, почему все происходит именно так, как сейчас.
Государственные учреждения
Государственные учреждения, такие как правительственные агентства, управляют огромными базами данных личной и конфиденциальной информации, которую киберпреступники могут продавать, что делает их фаворитом среди операторов программ-вымогателей. Поскольку персонал не обучен обнаруживать кибератаки и избегать их, а государственные учреждения часто используют устаревшее программное обеспечение и оборудование, это означает, что их компьютерные системы заполнены дырами в безопасности, которые просто необходимо использовать.
К сожалению, успешное заражение оказывает большое влияние на повседневную деятельность, вызывая огромные сбои. Наконец, успешные атаки на государственные учреждения подпитывают эго киберпреступников (они могут больше всего хотеть денег, но они без колебаний укрепят свои позиции в сообществе в отношении атаки на высокопоставленную цель).
При таких обстоятельствах жертвы программ-вымогателей несут финансовый ущерб, либо получая крупные выплаты от программ- вымогателей, либо неся плату за восстановление после этих атак.
Бизнесы
Короче, потому что там деньги. Злоумышленники знают, что успешное заражение может привести к серьезным сбоям в работе, что увеличит их шансы на получение оплаты. Поскольку компьютерные системы в компаниях часто бывают сложными и подвержены уязвимостям, их можно легко использовать с помощью технических средств. Кроме того, человеческий фактор по-прежнему является серьезным препятствием, которое также можно использовать с помощью тактики социальной инженерии. Малые предприятия часто не готовы противостоять продвинутым кибератакам и придерживаются расслабленной политики BYOD (принесите собственное устройство).
Стоит отметить, что программы-вымогатели могут поражать не только компьютеры, но также серверы и облачные системы обмена файлами, глубоко проникая в ядро бизнеса. Киберпреступники знают, что предприятия предпочитают не сообщать о заражении, опасаясь юридических последствий и ущерба для бренда.
Домашние пользователи
Поскольку у них обычно нет резервных копий данных , домашние пользователи являются целью номер один для операторов программ-вымогателей. У них мало или совсем нет образования в области кибербезопасности, что означает, что они будут нажимать практически на все, что делает их уязвимыми для манипуляций со стороны кибер-злоумышленников. Они также не инвестируют в необходимые решения по кибербезопасности и не обновляют свое программное обеспечение. Наконец, из-за огромного количества пользователей Интернета, которые могут стать потенциальными жертвами, большее количество зараженных компьютеров означает больше денег для банд вымогателей.
Основные цели программ-вымогателей по отраслям
1. Правительство
Согласно отчету SonicWall о киберугрозах за 2021 год , государственных заказчиков было атаковано гораздо больше, чем в любой другой отрасли. К июню государственные заказчики «получали примерно в 10 раз больше попыток вымогательства, чем в среднем».
Еще в мае SEPE, испанское государственное агентство по трудовым системам, было закрыто после атаки программы-вымогателя.
2. Образование
В первой половине 2021 года в сфере образования было зарегистрировано даже больше попыток вымогательства, чем в государственном секторе. В марте киберотдел ФБР выпустил экстренное предупреждение, чтобы предупредить об увеличении числа атак с использованием программ-вымогателей, нацеленных на государственные учреждения, образовательные учреждения, частные компании и сектор здравоохранения. Месяц спустя банда вымогателей Conti зашифровала системы государственных школ округа Бровард, пригрозив раскрыть конфиденциальные личные данные учащихся и сотрудников, если округ не заплатит огромный выкуп в размере 40 миллионов долларов.
3. Здравоохранение
Медицинские организации - новые излюбленные цели атак программ-вымогателей. Больницы стали постоянными целями кибератак, в том числе UC San Diego Health, Scripps Health, SalusCare, больница Нью-Гэмпшира и государственная больница Атаскадеро. Как указывалось ранее, поставщики медицинских услуг теряют в среднем 7% своих клиентов из-за утечки данных или атаки программ-вымогателей, что является самым высоким показателем по сравнению с другими отраслями.
4. Розничная торговля
Операторы программ-вымогателей, похоже, часто нацелены на предприятия розничной торговли, потому что «они редко хорошо защищены, а выгоды легко монетизировать». Специалисты по безопасности SonicWall обнаружили поразительный всплеск вымогателей среди предприятий розничной торговли (264%). Буквально в прошлом месяце сети супермаркетов Coop пришлось закрыть 500 своих магазинов из-за атаки программы-вымогателя Kaseya.
.png)