Программы-вымогатели — это «монстр под кроватью» для команд по кибербезопасности. Излюбленный инструмент киберпреступников, программы-вымогатели используются как государственными злоумышленниками, так и небольшими бандами.

Это универсальное оружие можно использовать для нарушения инфраструктуры, как мы недавно видели в случае с Colonial Pipeline, а также для остановки заводского производства, шифрования систем и кражи данных. По оценкам, 61% организаций во всем мире стали жертвами инцидентов с использованием программы-вымогателя в 2020 году, что на 20% больше, чем за тот же период в 2019 году. Успешная атака программы-вымогателя неизбежно является дорогостоящей и разрушительной катастрофой, и темпы ее развития не снижаются. Убытки от таких атак в 2021 году уже увеличились более чем на 300% по сравнению с аналогичным периодом прошлого года, превысив рекордные темпы 2020 года.

 

Определения: что такое программы-вымогатели?

Программа-вымогатель предназначена для шифрования данных и/или систем, чтобы предотвратить доступ жертвы к этим ресурсам. В наиболее часто используемом типе атаки злоумышленники шифруют файлы жертвы и запрашивают выкуп за их расшифровку или восстановление. Банды программ-вымогателей обычно требуют оплаты в виде биткойнов (не отслеживаемой цифровой валюте). Программы-вымогатели также могут использоваться для закрытия заводов, перехвата или остановки коммунальных предприятий, вмешательства в отгрузку и транспортировку, кражи исследований и формул и причинения другого вреда.

 

Что такое базовый набор программ-вымогателей?

Существует бесконечное множество разновидностей программ-вымогателей, чтобы удовлетворить мечту каждого киберпреступника, но, как правило, они выполняют свою грязную работу по одному из двух основных профилей.

 

1) Крипто-вымогатели (Crypto Ransomware)

Крипто-вымогатель шифрует данные, такие как файлы на компьютере, делая их недоступными. Затем киберпреступники предлагают жертве продать свой ключ дешифрования. Этот тип программ-вымогателей влияет не на машины, на которых они используются, а только на данные.

 

2) Вымогатели-блокировщики (Locker Ransomware)

Вымогатель-блокировщик делает непригодными для использования устройства, например компьютеры или оборудование. После выплаты выкупа злоумышленники предложат разблокировать пораженные устройства. Этот тип программ-вымогателей обычно используется в атаках на инфраструктуру или атаках на производственные объекты.

Программа-вымогатель обычно начинается с электронного письма, тщательно разработанного для того, чтобы обмануть цель и заставить ее взаимодействовать с ним. Как только эта цель проглотит приманку, загрузив файл или щелкнув ссылку на веб-сайт, вымогатель заражает ваши системы и начинает выполнять свою неприятную работу. Вот типичный жизненный цикл атаки программы-вымогателя:

  • Киберпреступники решают атаковать вашу компанию и планируют захватить ваши данные и системы в заложники.
  • Они используют информацию, собранную из многих источников (включая дарквеб), чтобы тщательно составить фишинговое письмо, которое будет особенно привлекательно для ваших сотрудников.
  • Электронное письмо проходит мимо вашей системы безопасности и попадает в почтовые ящики ваших сотрудников.
  • Один из ваших сотрудников клюет на наживку, открывает электронное письмо и взаимодействует с ним, посещая зараженный веб-сайт или загружая испорченное вложение.
  • Вредоносная программа заражает этот компьютер с помощью клиента-вымогателя, который берет на себя управление.
  • Затем зараженный компьютер устанавливает соединение с сетью киберпреступников, чтобы начать замораживание ваших систем или шифрование ваших данных.
  • Киберпреступники связываются с вами, предлагая ключ шифрования, который разблокирует ваши системы и данные — по цене, подлежащей оплате в криптовалюте.
  • У вас есть два варианта: заплатить выкуп или восстановить данные и системы другим способом.

 

Каков наиболее вероятный механизм работы программ-вымогателей?

У каждой киберпреступной банды есть свой секретный соус — это фирменная разновидность программ-вымогателей. Это хороший аргумент для крупных организаций, занимающихся киберпреступностью, при наборе партнеров — как правило, филиалы имеют доступ к технологиям банды боссов. Но то, как эта программа-вымогатель делает свою грязную работу, может иметь множество вариаций.

 

Двойное вымогательство

Программы-вымогатели с двойным вымогательством — восходящая звезда, поскольку киберпреступники удваивают свои атаки, чтобы удвоить свою прибыль, требуя от своих жертв дважды заплатить: один раз за обычный код дешифрования и отдельную плату, чтобы банда не копировала зашифрованные данные. Практикующие эту тактику были ответственны за более чем 50% всех атак с использованием программ-вымогателей в 2020 году.

 

Тройное вымогательство

Тройное вымогательство начинает набирать популярность. Добавляя еще один шаг к традиционному танцу двойного вымогательства, программа-вымогатель с тройным вымогательством не только требует от компаний оплаты ключа дешифрования и возврата их нескопированных данных, но также включает оплату, чтобы избежать другого разрушительного эффекта, такого как DDoS-атака.

 

Целевые программы-вымогатели

Целевые программы-вымогатели в тренде, и они стремительно набирают обороты. В этом стиле атаки злоумышленники не создают фишинговые письма, предназначенные для многих целей; вместо этого они разрабатывают целевое фишинговое электронное письмо, предназначенное для привлечения нескольких очень конкретных целей, часто руководителей, или ИТ-менеджеров, или людей с широким кругом полномочий и доступов в организации, чтобы повысить вероятность того, что сообщение пройдет через систему безопасности и не вызовет подозрений.

 

Оригинал материала

6 ноября, 2021