Программы-вымогатели — это «монстр под кроватью» для команд по кибербезопасности. Излюбленный инструмент киберпреступников, программы-вымогатели используются как государственными злоумышленниками, так и небольшими бандами.

Это универсальное оружие можно использовать для нарушения инфраструктуры, как мы недавно видели в случае с Colonial Pipeline, а также для остановки заводского производства, шифрования систем и кражи данных. По оценкам, 61% организаций во всем мире стали жертвами инцидентов с использованием программы-вымогателя в 2020 году, что на 20% больше, чем за тот же период в 2019 году. Успешная атака программы-вымогателя неизбежно является дорогостоящей и разрушительной катастрофой, и темпы ее развития не снижаются. Убытки от таких атак в 2021 году уже увеличились более чем на 300% по сравнению с аналогичным периодом прошлого года, превысив рекордные темпы 2020 года.

 

Определения: что такое программы-вымогатели?

Программа-вымогатель предназначена для шифрования данных и/или систем, чтобы предотвратить доступ жертвы к этим ресурсам. В наиболее часто используемом типе атаки злоумышленники шифруют файлы жертвы и запрашивают выкуп за их расшифровку или восстановление. Банды программ-вымогателей обычно требуют оплаты в виде биткойнов (не отслеживаемой цифровой валюте). Программы-вымогатели также могут использоваться для закрытия заводов, перехвата или остановки коммунальных предприятий, вмешательства в отгрузку и транспортировку, кражи исследований и формул и причинения другого вреда.

 

Что такое базовый набор программ-вымогателей?

Существует бесконечное множество разновидностей программ-вымогателей, чтобы удовлетворить мечту каждого киберпреступника, но, как правило, они выполняют свою грязную работу по одному из двух основных профилей.

 

1) Крипто-вымогатели (Crypto Ransomware)

Крипто-вымогатель шифрует данные, такие как файлы на компьютере, делая их недоступными. Затем киберпреступники предлагают жертве продать свой ключ дешифрования. Этот тип программ-вымогателей влияет не на машины, на которых они используются, а только на данные.

 

2) Вымогатели-блокировщики (Locker Ransomware)

Вымогатель-блокировщик делает непригодными для использования устройства, например компьютеры или оборудование. После выплаты выкупа злоумышленники предложат разблокировать пораженные устройства. Этот тип программ-вымогателей обычно используется в атаках на инфраструктуру или атаках на производственные объекты.

Программа-вымогатель обычно начинается с электронного письма, тщательно разработанного для того, чтобы обмануть цель и заставить ее взаимодействовать с ним. Как только эта цель проглотит приманку, загрузив файл или щелкнув ссылку на веб-сайт, вымогатель заражает ваши системы и начинает выполнять свою неприятную работу. Вот типичный жизненный цикл атаки программы-вымогателя:

  • Киберпреступники решают атаковать вашу компанию и планируют захватить ваши данные и системы в заложники.
  • Они используют информацию, собранную из многих источников (включая дарквеб), чтобы тщательно составить фишинговое письмо, которое будет особенно привлекательно для ваших сотрудников.
  • Электронное письмо проходит мимо вашей системы безопасности и попадает в почтовые ящики ваших сотрудников.
  • Один из ваших сотрудников клюет на наживку, открывает электронное письмо и взаимодействует с ним, посещая зараженный веб-сайт или загружая испорченное вложение.
  • Вредоносная программа заражает этот компьютер с помощью клиента-вымогателя, который берет на себя управление.
  • Затем зараженный компьютер устанавливает соединение с сетью киберпреступников, чтобы начать замораживание ваших систем или шифрование ваших данных.
  • Киберпреступники связываются с вами, предлагая ключ шифрования, который разблокирует ваши системы и данные — по цене, подлежащей оплате в криптовалюте.
  • У вас есть два варианта: заплатить выкуп или восстановить данные и системы другим способом.

 

Каков наиболее вероятный механизм работы программ-вымогателей?

У каждой киберпреступной банды есть свой секретный соус — это фирменная разновидность программ-вымогателей. Это хороший аргумент для крупных организаций, занимающихся киберпреступностью, при наборе партнеров — как правило, филиалы имеют доступ к технологиям банды боссов. Но то, как эта программа-вымогатель делает свою грязную работу, может иметь множество вариаций.

 

Двойное вымогательство

Программы-вымогатели с двойным вымогательством — восходящая звезда, поскольку киберпреступники удваивают свои атаки, чтобы удвоить свою прибыль, требуя от своих жертв дважды заплатить: один раз за обычный код дешифрования и отдельную плату, чтобы банда не копировала зашифрованные данные. Практикующие эту тактику были ответственны за более чем 50% всех атак с использованием программ-вымогателей в 2020 году.

 

Тройное вымогательство

Тройное вымогательство начинает набирать популярность. Добавляя еще один шаг к традиционному танцу двойного вымогательства, программа-вымогатель с тройным вымогательством не только требует от компаний оплаты ключа дешифрования и возврата их нескопированных данных, но также включает оплату, чтобы избежать другого разрушительного эффекта, такого как DDoS-атака.

 

Целевые программы-вымогатели

Целевые программы-вымогатели в тренде, и они стремительно набирают обороты. В этом стиле атаки злоумышленники не создают фишинговые письма, предназначенные для многих целей; вместо этого они разрабатывают целевое фишинговое электронное письмо, предназначенное для привлечения нескольких очень конкретных целей, часто руководителей, или ИТ-менеджеров, или людей с широким кругом полномочий и доступов в организации, чтобы повысить вероятность того, что сообщение пройдет через систему безопасности и не вызовет подозрений.

 

Оригинал материала

6 ноября, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных