Программы-вымогатели — это «монстр под кроватью» для команд по кибербезопасности. Излюбленный инструмент киберпреступников, программы-вымогатели используются как государственными злоумышленниками, так и небольшими бандами.
Это универсальное оружие можно использовать для нарушения инфраструктуры, как мы недавно видели в случае с Colonial Pipeline, а также для остановки заводского производства, шифрования систем и кражи данных. По оценкам, 61% организаций во всем мире стали жертвами инцидентов с использованием программы-вымогателя в 2020 году, что на 20% больше, чем за тот же период в 2019 году. Успешная атака программы-вымогателя неизбежно является дорогостоящей и разрушительной катастрофой, и темпы ее развития не снижаются. Убытки от таких атак в 2021 году уже увеличились более чем на 300% по сравнению с аналогичным периодом прошлого года, превысив рекордные темпы 2020 года.
Определения: что такое программы-вымогатели?
Программа-вымогатель предназначена для шифрования данных и/или систем, чтобы предотвратить доступ жертвы к этим ресурсам. В наиболее часто используемом типе атаки злоумышленники шифруют файлы жертвы и запрашивают выкуп за их расшифровку или восстановление. Банды программ-вымогателей обычно требуют оплаты в виде биткойнов (не отслеживаемой цифровой валюте). Программы-вымогатели также могут использоваться для закрытия заводов, перехвата или остановки коммунальных предприятий, вмешательства в отгрузку и транспортировку, кражи исследований и формул и причинения другого вреда.
Что такое базовый набор программ-вымогателей?
Существует бесконечное множество разновидностей программ-вымогателей, чтобы удовлетворить мечту каждого киберпреступника, но, как правило, они выполняют свою грязную работу по одному из двух основных профилей.
1) Крипто-вымогатели (Crypto Ransomware)
Крипто-вымогатель шифрует данные, такие как файлы на компьютере, делая их недоступными. Затем киберпреступники предлагают жертве продать свой ключ дешифрования. Этот тип программ-вымогателей влияет не на машины, на которых они используются, а только на данные.
2) Вымогатели-блокировщики (Locker Ransomware)
Вымогатель-блокировщик делает непригодными для использования устройства, например компьютеры или оборудование. После выплаты выкупа злоумышленники предложат разблокировать пораженные устройства. Этот тип программ-вымогателей обычно используется в атаках на инфраструктуру или атаках на производственные объекты.
Программа-вымогатель обычно начинается с электронного письма, тщательно разработанного для того, чтобы обмануть цель и заставить ее взаимодействовать с ним. Как только эта цель проглотит приманку, загрузив файл или щелкнув ссылку на веб-сайт, вымогатель заражает ваши системы и начинает выполнять свою неприятную работу. Вот типичный жизненный цикл атаки программы-вымогателя:
- Киберпреступники решают атаковать вашу компанию и планируют захватить ваши данные и системы в заложники.
- Они используют информацию, собранную из многих источников (включая дарквеб), чтобы тщательно составить фишинговое письмо, которое будет особенно привлекательно для ваших сотрудников.
- Электронное письмо проходит мимо вашей системы безопасности и попадает в почтовые ящики ваших сотрудников.
- Один из ваших сотрудников клюет на наживку, открывает электронное письмо и взаимодействует с ним, посещая зараженный веб-сайт или загружая испорченное вложение.
- Вредоносная программа заражает этот компьютер с помощью клиента-вымогателя, который берет на себя управление.
- Затем зараженный компьютер устанавливает соединение с сетью киберпреступников, чтобы начать замораживание ваших систем или шифрование ваших данных.
- Киберпреступники связываются с вами, предлагая ключ шифрования, который разблокирует ваши системы и данные — по цене, подлежащей оплате в криптовалюте.
- У вас есть два варианта: заплатить выкуп или восстановить данные и системы другим способом.
Каков наиболее вероятный механизм работы программ-вымогателей?
У каждой киберпреступной банды есть свой секретный соус — это фирменная разновидность программ-вымогателей. Это хороший аргумент для крупных организаций, занимающихся киберпреступностью, при наборе партнеров — как правило, филиалы имеют доступ к технологиям банды боссов. Но то, как эта программа-вымогатель делает свою грязную работу, может иметь множество вариаций.
Двойное вымогательство
Программы-вымогатели с двойным вымогательством — восходящая звезда, поскольку киберпреступники удваивают свои атаки, чтобы удвоить свою прибыль, требуя от своих жертв дважды заплатить: один раз за обычный код дешифрования и отдельную плату, чтобы банда не копировала зашифрованные данные. Практикующие эту тактику были ответственны за более чем 50% всех атак с использованием программ-вымогателей в 2020 году.
Тройное вымогательство
Тройное вымогательство начинает набирать популярность. Добавляя еще один шаг к традиционному танцу двойного вымогательства, программа-вымогатель с тройным вымогательством не только требует от компаний оплаты ключа дешифрования и возврата их нескопированных данных, но также включает оплату, чтобы избежать другого разрушительного эффекта, такого как DDoS-атака.
Целевые программы-вымогатели
Целевые программы-вымогатели в тренде, и они стремительно набирают обороты. В этом стиле атаки злоумышленники не создают фишинговые письма, предназначенные для многих целей; вместо этого они разрабатывают целевое фишинговое электронное письмо, предназначенное для привлечения нескольких очень конкретных целей, часто руководителей, или ИТ-менеджеров, или людей с широким кругом полномочий и доступов в организации, чтобы повысить вероятность того, что сообщение пройдет через систему безопасности и не вызовет подозрений.
