Що таке програма-вимагач? Все, що вам потрібно знати про одну з найбільших загроз в Інтернеті

Фото:
Що таке програма-вимагач? Все, що вам потрібно знати про одну з найбільших загроз в Інтернеті
Тип статті:
Переклад

Що таке програма-вимагач?

Програма-вимагач, або програма-шантажист - це одна з найбільших проблем безпеки в Інтернеті та одна з найбільших форм кіберзлочинності, з якою сьогодні стикаються організації. Програма-вимагач — це форма шкідливого програмного забезпечення — зловмисного програмного забезпечення, яке шифрує файли та документи на починаючи від одного ПК і аж до цілої мережі, включаючи сервери. Часто жертвам залишається лише кілька варіантів: вони можуть відновити доступ до своєї мережі, заплативши викуп злочинцям, які стояли за програмою, або відновитись за допомогою резервного копіювання, або сподіватися, що у розпорядженні є ключ розшифровки.

Деякі зараження програмами-вимагачами починаються з того, що хтось натискає на посилання, що виглядає як невинний додаток, яке, відкриваючись, завантажує шкідливі файли і шифрує мережу.

Інші, значно більші кампанії, що розробляють програми-вимагачі, використовують недоліки, зламані паролі та інші вразливості, щоб отримати доступ до організацій, які використовують слабкі місця, такі як сервери з інтернетом або вхід на віддалений робочий стіл для отримання доступу. Перш ніж шифрувати все, що можуть, зловмисники ходять по мережі, поки не отримають максимальний контроль над даними.

Це може стати головним болем для компаній всіх розмірів, якщо важливі файли і документи, мережі або сервери раптово зашифровані і недоступні. Гірше того, після того, як на вас нападуть з шифруванням файлів, злочинці нахабно оголосять, що тримають ваші корпоративні дані в заручниках, поки ви не заплатите викуп, щоб повернути їх.

Це може здатися занадто простим, але це працює.

Історія програм-шантажистів

Минулого року використання програм-вимагачів зросло на 748%, але це не новий метод: перший випадок використання програми-шпигуна було зафіксовано ще у 1989 році.

Відомий як СНІД або ПК Кіборг Троян, вірус був відправлений жертвам — в основному в сфері охорони здоров'я — на дискеті. Програма викупу рахувала кількість разів завантаження комп'ютера: як тільки було досягнуто 90, він зашифрував машину та файли на ній і зажадав від користувача оновити свою ліцензію з «РС Cyborg Corporation» відправивши 189$ або 378$ на поштову скриньку в Панамі.

Як розвивались програми-вимагачі

Перші програми-шантажисти були відносно простими конструкціями, які використовували базову криптографію, яка в основному просто змінювала назви файлів, що робило її відносно легкою для протидії.

Це запустило нову галузь комп'ютерної злочинності, яка повільно, але вірно росла. До того, як хакери почали використовувати просунуту криптографію для виявлення корпоративних мереж, вони націлювалися на інтернет-користувачів з програмами-шантажистами.

Одним з найбільш успішних варіантів є «поліцейський викуп», який намагається вимагати гроші, стверджуючи, що комп'ютер був зашифрований правоохоронними органами. Він блокує екран повідомленням про викуп, що попереджає користувача, що ніби той зробив незаконну онлайн-активність, через що його можуть посадити в тюрму.

Однак, якщо жертва платить штраф, поліція «дозволяє порушнику вислизнути і відновити доступ до комп'ютера, передавши ключ розшифровки». Звичайно, це не мало ніякого відношення до правоохоронних органів — таким чином злочинці експлуатували невинних людей.

Незважаючи на деякий успіх, ці форми викупу часто просто накладають їх повідомлення 'попередження' на дисплей користувача — і перезавантаження машини може позбутися проблеми і відновити доступ до файлів, які ніколи не були зашифровані. Злочинці дізналися з цього і тепер більшість схем викупу використовують просунуту криптографію, щоб по-справжньому ізолювати заражений комп'ютер і файли на ньому.

Які основні типи програм-вимагачів існують?

Програми-вимагачі постійно розвиваються, нові варіанти постійно з'являються і створюють нові загрози для бізнесів. Однак існують певні види програм-вимагачів, які виявилися набагато успішнішими, ніж інші.

Найбільш прибутковий тип програм-вимагачів у 2020 році — Sodinokibi, яка переслідувала організації по всьому світу з моменту виникнення в квітні 2019 року.

Також відома як Revil, ця програма була відповідальна за шифрування мереж великого числа відомих організацій, включаючи Travelex і нью-йоркську юридичну фірму з відомими широкому загалу клієнтами.

Банда, що стоїть за Sodinokibi, приділяє багато часу, закладаючи основу для атаки, приховано переміщаючись через скомпрометовану мережу, щоб переконатися, що все, що тільки можливо, може бути зашифровано до початку атаки з викупом.

Ті, хто стоїть за Sodinokibi, як відомо, вимагають виплати мільйонів доларів в обмін на розшифровку даних. І враховуючи, що хакери часто отримують повний контроль над мережею, ті організації, які відмовляються платити викуп після того, як вони стали жертвою Sodinokibi, також знаходять банду, яка загрожує оприлюднити вкрадену інформацію, якщо викуп не буде сплачено.

Sodinokibi не єдина кампанія з викупу, яка загрожує витоком даних жертв в якості додаткового важеля для вимагання грошей; такі банди, як Мейз, Доппелпаймер і Рагнарлокер, також загрожують опублікувати вкрадену інформацію, якщо жертва не заплатить.

Постійно з'являються нові компанії програм-вимагачів, в той час як інші раптово зникають, або виходять з моди, з новими варіаціями, постійно з'являються на форумах. Будь-яка з кращих програм-вимагачів може стати вчорашньою новиною всього через кілька місяців.

Наприклад, Locky колись була найвідомішою програмою-шантажувальником, створювала хаос в організаціях по всьому світу протягом 2016 року, поширюючись через фішингові електронні листи. Locky залишалася успішною, тому що ті, хто за нею, регулярно оновлювали код, щоб уникнути виявлення. Вони навіть оновили його новими функціональними можливостями, включаючи можливість пред'являти вимоги про викуп на 30 мовах, так що злочинці можуть легко нападати на жертв по всьому світу. У якийсь момент Locky стала настільки успішною, що стала однією з найпоширеніших форм шкідливого ПЗ. Однак через рік вона, виявляється, зникла, і з тих пір про цю програму нічого не відомо.

У наступному році Cerber стала найбільш домінуючою програмою-вимагачем, складаючи 90% атак на Windows з метою викупу в квітні 2017 року. Однією з причин, чому Cerber став таким популярним, був спосіб його поширення як «ransomware-as-a-service», що дозволяє користувачам без технічного ноу-хау проводити атаки в обмін на частину прибутку, що повертається початковим авторам.

У той час як Cerber, здавалося, зник до кінця 2017 року, він став піонером моделі «as-a-service», яка користується популярністю з багатьма формами програм-вимагачів і сьогодні.

Іншою успішною формою програми-вимагача у 2017 і 2018 роках була Samsam, яка стала однією з перших типів програм, що стали відомі не тільки за стягування викупу в десятки тисяч доларів за ключ розшифровки, а й за використання незабезпеченого інтернет-доступу протидії системам як засобу інфікування і поширення по мережі.

У листопаді 2018 року міністерство юстиції США звинуватило двох хакерів, які працювали за межами Ірану, в створенні програми-вимагача Samsam, яка, за повідомленнями, виплатила понад 6 мільйонів доларів викупу протягом року. Незабаром після цього Samsam перестала бути активною формою викупу.

Протягом 2018 і 2019 років ще однією групою програм-вимагачів, яка виявилася проблематичною як для бізнесу, так і для домашніх користувачів, була Gandcrab, яку Європол описли як «одну з найагресивніших форм програм-вимагачів» в той час. Gandcrab працював «as-a-service» і отримував регулярні оновлення, що означало, що навіть коли дослідники безпеки зламали його і змогли випустити ключ розшифровки, нова версія програми з новим методом шифрування з'являлася незабаром після цього.

Зокрема, дуже успішні в першій половині 2019 року творці Gandcrab несподівано оголосили про закриття операції, стверджуючи, що заробили 2,5 мільйона доларів за тиждень від здачі в оренду іншим кібер-злочинцям. Gandcrab зник кілька тижнів по тому, хоча здається, що нападники могли просто переключити свою увагу на іншу кампанію; дослідники припустили сильну схожість в коді Gandcrab та Sodinokibi, який усе ще набирає силу в 2020 році.

Що за програма WannaCry?

Найбільшою атакою з метою викупу на сьогоднішній день є програма WannaСry — також відома як Wannacrypt і Wcry — викликла хаос по всьому світу через атаку, яка почалася в п'ятницю 12 травня 2017 року. Wannacrypt вимагає викуп у 300 біткоїнів за розблокування зашифрованих файлів — ця ціна, подвоюється через три дні. Користувачі також піддаються загрозам, за допомогою записки про викуп на екрані, з видаленням всіх їх файлів назавжди, якщо викуп не буде виплачений протягом тижня.

Більш 300000 людей у більш ніж 150 країнах стали жертвами програми протягом одних вихідних, від неї постраждали підприємства, уряд та окремі особи по усьому світі.

Медичні організації по всьому Сполученому Королівству мали системи, відключені в результаті нападу з метою отримання викупу, що змушувало скасовувати зустрічі з пацієнтами і призводило до того, що лікарні радили людям уникати відвідування відділень швидкої допомоги і нещасних випадків, якщо це не було абсолютно необхідно.

З усіх країн, які постраждали від цього нападу, Росія, за даними дослідників у галузі безпеки, постраждала найбільше: шкідливе ПЗ WannaСry зруйнувало російські банки, телефонні оператори і навіть ІТ-системи, що підтримують транспортну інфраструктуру. Китай також сильно постраждав від цього нападу, в цілому 29000 організацій стали жертвами цієї особливо підступної програми.

Інші відомі цілі включали в себе виробника автомобілів Renault, який був змушений зупинити виробничі лінії в декількох місцях, оскільки програма наробила хаосу з системами.

Програма настільки сильна, тому що використовує відому уразливість програмного забезпечення під назвою EternalBlue. Це дефект Windows який, мабуть, був відомий NSA — до того, як він був злитий групою Shadow Brokers hacking collective. Microsoft випустив програму від вразливості у цьому році — але тільки для найновіших операційних систем.

У відповідь на атаку Microsoft зробила безпрецедентний крок з випуску програм для підтримуються операційних систем для захисту від шкідливого ПЗ.

З тих пір служби безпеки США і Великобританії вказували на Північну Корею, як на винуватця нападу  WannaСry, а Білий дім офіційно оголосив Пхеньян джерелом епідемії.

Однак Північна Корея назвала «абсурдними» звинувачення у тому, що вона стоїть за WannaCry.

Незалежно від того, хто в кінцевому підсумку стоїть за WannaСry, якщо метою схеми було зробити великі суми грошей, вона провалилася — було виплачено тільки близько 100000 доларів. Минуло майже три місяці, перш ніж нападники WannaСry нарешті зняли гроші з біткоїн-гаманців WannaСry — вони отримали в цілому 140000 доларів завдяки коливанням вартості біткоїнів.

Але незважаючи на те, що виправлення доступні для захисту систем від Wannacry та інших атак, що використовують уразливість SMB, велике число організацій, мабуть, вирішили не застосовувати оновлення.

Вважається, що саме через це LG постраждали від WannaСry в серпні — через три місяці після першого спалаху. З тих пір компанія заявила, що були вжиті відповідні заходи.

Публічний дампінг EternalBlue WannaСry привів до різних хакерських груп, які намагаються використовувати його, щоб посилити своє власне шкідливе ПЗ. Дослідники навіть задокументували, як кампанія, орієнтована на європейські готелі APT28 — російська група хакерів, пов'язана з втручанням в президентські вибори США — зараз використовується вразливість NSA.

Що за програма NotPetya?

Трохи більше місяця тому після спалаху WannaСry, світ був вражений ще однією глобальною атакою програм-шантажувальників.

Ця кібератака першою вразила Україну, включаючи її Національний банк, головний міжнародний аеропорт і навіть Чорнобильську ядерну установку, перш ніж швидко поширилася по всьому світу, заразивши організації по всій Європі, Росії, США та Австралії.

Після деякої плутанини щодо того, що це розповсюдження шкідливих програм — деякі сказали, що це був Петя, деякі казали, що це була інша програма, звідси і назва NotPetya — дослідники в Bitdefender прийшли до висновку, що у всьому винна модифікована версія Petya, у якій зкомбіновані елементи GoldenЕye — особливо небезпечного родича Petya і WannaСry.

Цей тип програм також використовує той же Eternalblue Windows, який надав WannaСry функцію поширення через мережі (не просто через електронну пошту, як це часто буває) і вразив 300000 комп'ютерів по всьому світу.

Проте, NotPetya набагато небезпечніша атака. Вона не тільки шифрує файли, але і шифрує всі жорсткі диски, прописуючи в основному записі перезавантаження, не дозволяючи комп'ютеру завантажувати операційну систему або щось робити.

Зловмисники вимагали викуп у розмірі 300 доларів США для відправки на конкретну адресу електронної пошти, який був закритий хостом служби електронної пошти. Програма була складною, але оснащена дуже простими, неавтоматизованими функціями для отримання викупу.

Це змусило багатьох повірити, що записка про викуп була просто прикриттям реальної мети вірусу — викликати хаос, стираючи назавжди дані заражених машин.

Незалежно від мети нападу, це істотно позначилося на фінансах організацій, які стали інфікованими. Британська фірма по виробництву споживчих товарів Reckitt Benckiser заявила, що вона втратила 100 мільйонів фунтів стерлінгів в результаті падіння Petya.

Але це відносно скромна втрата в порівнянні з іншими жертвами нападу: судноплавний оператор та постачальник Maersk і компанія доставки товарів Fedex оцінили втрати в 300 мільйонів доларів через вплив Petya.

У лютому 2018 року уряди Великобританії, США, Австралії та інших країн офіційно оголосили, що NotРetya це робота російських військових. Росія заперечує будь-яку причетність.

Що таке Bad Rabbit?

У жовтні 2017 року сталась третя резонансна атака, коли організації в Росії і Україні стали жертвами нового шкідливого ПЗ Petya.

Bad Rabbit заразив щонайменше три російських ЗМІ, а також проник в мережі декількох українських організацій, включаючи Київський метрополітен і Одеський міжнародний аеропорт — в той час в аеропорту заявили, що вони стали жертвами атаки хакерів.

На початковому етапі Bad Rabbit отримувався через завантажування драйверу на зламаних сайтах — деякі з них були зламані з червня. Відвідувачі повинні були встановити фальшиве оновлення Flash.

Як і NotРetya до цього, Bad Rabbit поширювався по мережах з використанням хакерського інструменту SMB — але на цей раз це було через уразливість Eternalromance SMB, а не Eternalblue.

Аналіз BadRabbit показав, що він ділив більшу частину свого коду — щонайменше 67% — з Petya і дослідники з Cisco Talos прийшли до висновку, що це в поєднанні з використанням SMB, означає, що є висока ймовірність у зв'язку між двома програмами і що вони можуть навіть мати одного і того ж автора.

BadRabbit був названий на честь тексту, який з'явився у верхній частині веб-сайту Тоr, на якому було розміщено повідомлення про викуп. Деякі дослідники безпеки жартували, що його слід було назвати на честь рядків в коді, що вказують на персонажів з Ігри престолів.

Скільки вам буде коштувати атака?

Очевидно, що безпосередньо вартість пов'язана із зараженням програмою — якщо її сплачено — це вимога викупу, яка може залежати від типу викупу або розміру вашої організації. 

Атаки з вимогою викупу можуть варіюватися в розмірах, але все частіше хакерські банди вимагають мільйони доларів для відновлення доступу до мережі. І причина, по якій хакери можуть вимагати стільки грошей проста: тому що багато організацій заплатять.

Це особливо важливо в тому випадку, якщо мережа заражена шкідливою програмою, це означає, що організація не може займатися бізнесом — вони можуть втрачати великі доходи кожного дня, можливо, навіть за кожної години, адже мережа недоступна. За оцінками атака NotРetya обійшлася судноплавній фірмі Maersk в 300 мільйонів доларів.

Якщо організація вирішить не платити викуп, то не тільки втратить дохід за період, який може тривати тижнями, а можливо і місяцями, вони, швидше за все, виявлять, що платять більшу суму за те, щоб охоронна компанія прийшла і відновила доступ до мережі. У деяких випадках це може коштувати дорожче, ніж вимога викупу, але принаймні в даному випадку платіж піде законному бізнесу, а не на фінансування злочинців.

Незалежно від того, яким чином організація впорається з такою атакою, це також матиме фінансові наслідки в майбутньому; тому що для захисту від нової жертви, організація повинна буде інвестувати в свою інфраструктуру безпеки, навіть якщо це означає розрив старої мережі і побудова нової.

Крім того, існує ризик втрати довіри клієнтів до бізнесу через погану кібербезпеку.

Чому бізнес має турбуватися про програми-вимагачі?

Простими словами, програма може зруйнувати ваш бізнес. Навіть якщо ви будете заблоковані шкідливим ПЗ в своїх файлах на один день, це вплине на ваш дохід. Але з огляду на те, що програма забирає у більшості жертв мережу принаймні на тиждень, а то й місяці, втрати можуть бути значними. Системи так довго відключаються не тільки через те, що система блокується за допомогою програми, але і через усі зусилля, які необхідні для очищення та відновлення мереж.

І шкоди бізнесу завдасть не тільки негайний фінансовий удар, якого завдає програма-вимагач; споживачі починають побоюватися надавати свої дані організаціям, які вважають ненадійними.

Чому малі підприємства стають мішенню для програм-вимагачів?

Малі та середні підприємства є популярною мішенню, оскільки вони, як правило, мають слабшу кібербезпеку, ніж великі організації. Незважаючи на це, багато малих бізнесів помилково вважає, що вони занадто малі, щоб стати мішенню — але навіть невеликий викуп в кілька сотень доларів все ще дуже вигідний для кіберзлочинців.

Чому програми-вимагателі такі успішні?

Можна сказати, що є одна ключова причина, по якій бум таких програм стався: тому що це працює. Усе, що потрібно для отримання викупу - отримати вхід в вашу мережу, тобто щоб лише один користувач запустив шкідливий додаток з електронної пошти, або повторно використав слабкий пароль.

Якби організації не давали викуп, злочинці перестали б використовувати ці програми. Але бізнесу потрібен доступ до даних, щоб працювати, тож багато людей готові заплатити викуп і покінчити з цим.

Тим часом, для злочинців це дуже простий спосіб заробити гроші. Навіщо витрачати час і зусилля на розробку складного коду або створення підроблених кредитних карт з вкраденими банківськими реквізитами, якщо запуск програми може привести до миттєвої виплати сотень або навіть тисяч доларів від великих груп компаній одночасно?

Яке відношення біткоїни та інші криптовалюти мають до зростання програм-вимагачів?

Зростання криповалют, таких як біткоїн, полегшив кіберзлочинцям таємне отримання платежів за допомогою такого роду шкідливого ПЗ без ризику того, що влада зможе ідентифікувати злочинців.

Безпечний метод оплати, який не піддається відстеженню (жертв просять зробити платіж на біткоїн-адресу) робить біткоїн ідеальною валютою для злочинців, які хочуть, щоб їх фінансова діяльність залишалася прихованою.

Кібер-злочинні банди постійно стають більш професійними — багато хто навіть пропонує обслуговування клієнтів і допомогу жертвам, які не знають, як придбати або відправити біткоїни, бо який сенс вимагати викуп, якщо користувачі не знають, як платити? Деякі організації навіть накопичили частину криптовалюти на випадок, якщо вони заразяться, або їх файли будуть зашифровані і їм доведеться швидко платити біткоїни.

Як запобігти атаці шахраїв?

З великою кількістю атак з програм, починаючи з хакерів, які використовують небезпечні порти і віддалені протоколи робочого столу, одна з ключових речей, які організація може зробити для запобігання атак, це забезпечення відключення портів від інтернету, якщо немає необхідності в їхній постійній роботі.

Коли ж робота віддалених портів необхідна, організації мають переконатися, що облікові дані логіна мають складний пароль, щоб захиститись від злочинців, які прагнуть встановити програму, захиститись від можливості зламати прості паролі, використовуючи грубі силові атаки для спроби входу. Застосування двофакторної аутентифікації до цих облікових записів також може стати перешкодою для атак, оскільки буде попередження про спроби несанкціонованого доступу.

Організаціям також слід стежити за тим, щоб мережа була забезпечена останніми оновленнями в області безпеки, оскільки багато програм і іншого шкідливого ПЗ поширюється з використанням загальновідомих вразливостей.

EternalBlue (помилка в системі, яка живила WannaСry і NotPetya) як і раніше є одним з найбільш поширених вразливостей, які використовуються для поширення атак — незважаючи на те, що додаток безпеки для захисту від нього був доступний більше трьох років.

Коли справа доходить до зупинки атак по електронній пошті, ви повинні навчити співробітників виявленню вхідного шкідливого ПЗ. Навіть пошук по таким маленьким індикаторами, як погане форматування, або те, що електронний лист нібито від 'Microsoft Security' приходить з незрозумілої адреси, який навіть не містить слова Microsoft всередині, може врятувати вашу мережу від інфекції. Ті ж самі заходи безпеки, які захищають вас від атак шкідливого ПЗ в цілому, будуть в деякій мірі перешкоджати тому, щоб шкідливі програми не створювали хаосу для вашого бізнесу.

Є також методи, які дозволяють співробітникам вчитися на помилках у безпечних умовах. Наприклад, одна фірма розробила інтерактивне відеоопитування, яке дозволяє співробітникам приймати рішення по ряду подій, а потім з'ясувати наслідки цих подій в кінці. Це дозволяє їм вчитися на своїх помилках без реальних наслідків.

З технічної точки зору позбавлення співробітників можливості включати макроси є великим кроком до забезпечення того, щоб вони не могли ненавмисно запускати файл зі шкідливим ПЗ. Microsoft Office 2016, а тепер і Microsoft Office 2013, мають функції, що дозволяють відключати макроси. Принаймні, роботодавці повинні інвестувати в антивірусне програмне забезпечення і оновлювати його, щоб воно могло попереджати користувачів про потенційно шкідливі файли. Резервне копіювання важливих файлів і забезпечення того, щоб ці файли не могли бути скопійовані під час атаки за допомогою іншого ключа.

Скільки часу потрібно, щоб оговтатися від атаки?

Програма може пошкодити всю організацію — зашифрована мережа некорисна і мало що можна зробити, поки системи не будуть відновлені.

Якщо ваша організація має резервні копії, системи можуть бути повернуті в онлайн в той час, коли потрібно, хоча в залежності від розміру компанії, це може варіюватися від декількох годин до декількох днів.

Однак, в той час як відновлення функціональності можливе в короткостроковій перспективі, може статись так, що організації боротимуться за те, щоб всі системи були відновлені і запущені — про що свідчить атака Petya.

Через місяць після спалаху Reckitt Benckiser підтвердив, що деякі з його операцій все ще перериваються і не будуть повністю розпочаті до двох місяців з початку спалаху Petya.

Програма також може мати безпосередній вплив на мережу і може привести до постійного фінансового удару. Будь-який час офлайн погано для бізнесу, оскільки це в кінцевому підсумку означає, що організація не може надавати послуги і не може заробляти гроші.

Це якщо ваші клієнти захочуть мати з вами справу: у деяких секторах той факт, що ви стали жертвою кібератаки, потенційно може відштовхнути клієнтів.

Як видалити програму-вимагача?

Ініціатива «No More Ransom», заснована у липні 2016 року Європолом та Голландською Національною Поліцією у співпраці з низкою компаній кібербезпеки, включаючи Лабораторію Касперски і Макафі — пропонує безкоштовні засоби дешифрування для варіантів викупу, щоб допомогти жертвам отримати їх зашифровані дані без задоволення вимог кібервимагачів.

Портал пропонує чотири засоби дешифрування сімей програм-симагачів — Shade, Rannoh, Rakhn і Coinvault — і регулярно додається більше інструментів дешифрування для ще більшої кількості версій шкідливих програм.

Портал, який також містить інформацію та поради про те, як уникнути попадання на вимагання викупу оновлюється частіше для забезпечення наявності інструментів для боротьби з останніми версіями програм.

У даний час платформа доступна на десятках мов і її підтримують понад 100 партнерів з державного та приватного секторів.

Окремі охоронні компанії також регулярно випускають засоби дешифрування, щоб протистояти поточній еволюції програм — багато хто з них публікуватимуть оновлення про ці інструменти у своїх блогах, як тільки вони зламають код.

Інший спосіб роботи зі шкідливими програмами, полягає в тому, щоб забезпечити регулярне резервне копіювання даних в автономному режимі. Може знадобитися деякий час, щоб перевести резервні файли на нову машину, але якщо комп'ютер заражений і у вас є резервні копії, то буде можливість просто ізолювати цей підрозділ і продовжити вести бізнес. Просто переконайтеся, що шахраї не зможуть зашифрувати і резервні копії.

Чи варто заплатити викуп?

Є ті, хто говорить, що жертви повинні просто заплатити викуп, посилаючись на те, що це найшвидший і простий спосіб отримати свої зашифровані дані — і багато організацій платять, навіть якщо правоохоронні органи попереджають не робити цього.

Але попереджаємо: якщо стане відомо, що ваша організація — легка мішень для кіберзлочинців, тому що вона заплатила викуп, ви можете опинитися під прицілом інших кіберзлочинців, які хочуть скористатися вашою слабкою безпекою. І пам'ятайте, що ви маєте справу зі злочинцями і їхні природа означає, що вони можуть не стримати свого слова: немає гарантії, що ви коли-небудь отримаєте ключ розшифровки, навіть якщо він у них є. Розшифровка навіть не завжди можлива.

Наприклад, вид викупу, спрямований на Linux, виявлений раніше у цьому році, зажадав біткоїн-оплати, але не зберігав ключі шифрування локально або через сервер управління. Це в кращому випадку робить виплату викупу марною.

Чи можна підчепити програму-вимагача на смартфоні?

Так. Атаки з метою викупу на пристроях Android значно почастішали, оскільки кіберзлочинці розуміють, що багато людей не знають, що смартфони можуть бути атаковані, а вміст (часто більш особисте, ніж те, що ми зберігаємо на ПК) зашифровано для отримання викупу шкідливим кодом. Таким чином, з'явилися різні форми викупу на Android пристроях, щоб створити проблеми для користувачів мобільних пристроїв.

Насправді, будь-який пристрій, підключений до Інтернету, є потенційною метою для отримання викупу. Такі випадки уже були помічені при блокуванні смарт-телевізорів.

Програми-вимагачі та Інтернет речей

Інтернет речей (концепція мережі, що складається із взаємозв'язаних фізичних пристроїв, які мають вбудовані давачі, а також програмне забезпечення, що дозволяє здійснювати передачу і обмін даними між фізичним світом і комп'ютерними системами в автоматичному режимі, за допомогою використання стандартних протоколів зв'язку. Окрім давачів, мережа може мати виконавчі пристрої, вбудовані у фізичні об'єкти і пов'язані між собою через дротові чи бездротові мережі. Ці взаємопов'язані пристрої мають можливість зчитування та приведення в дію, функцію програмування та ідентифікації, а також дозволяють виключити необхідність участі людини, за рахунок використання інтелектуальних інтерфейсів.пристроїв вже має погану репутацію для безпеки.) По мірі того, як все більше і більше з них виходять на ринок, вони будуть надавати мільярди нових векторів атаки для кібер-злочинців, потенційно дозволяючи хакерам утримувати ваш приєднаний будинок або підключену до нього машину в заручниках. Зашифрований файл — це одне: але як щодо того, щоб знайти записку про викуп на вашому смарт-холодильнику або тостері?

У березні 2018 року дослідники з IOActive зробили ще один крок вперед, продемонструвавши, як комерційно доступний робот може піддатися атаці з метою викупу. На додаток до того, що робот усно вимагає оплати, щоб бути повернутим у нормальний стан, дослідники також змушують його видавати загрози і клястися.

У міру того як програми-вимагачі продовжують розвиватися, дуже важливо, щоб ваші співробітники розуміли загрозу, яку вони представляють, і щоб організації робили все можливе, щоб уникнути інфекції.

RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|