Что такое программы-вымогатели? Определение, профилактика и многое другое

Программы-вымогатели — это тип вредоносного программного обеспечения (вредоносного ПО), которое угрожает опубликовать или блокирует доступ к данным или компьютерной системе, обычно путем их шифрования, до тех пор, пока жертва не заплатит выкуп злоумышленнику. Во многих случаях требование выкупа сопровождается крайним сроком. Если жертва не заплатит вовремя, данные исчезнут навсегда или выкуп увеличится.

В наши дни атаки программ-вымогателей слишком распространены. Жертвами этого стали крупные компании как в Северной Америке, так и в Европе. Киберпреступники атакуют любого потребителя или любой бизнес, а жертвы приходят из всех отраслей.

Несколько правительственных агентств, в том числе ФБР, советуют не платить выкуп, чтобы не поощрять цикл вымогателей, как и проект No More Ransom Project. Кроме того, половина жертв, которые платят выкуп, вероятно, пострадают от повторных атак программ-вымогателей, особенно если они не будут удалены из системы.

Программы-вымогатели постоянно совершенствуются и становятся все более и более сложными с момента первого зарегистрированного случая в 1989 году. В то время как простые форматы, как правило, не являются шифровальщиками-вымогателями, современные используют методы криптографии для шифрования файлов, делая их недоступными. Программа-вымогатель с шифрованием также может использоваться на жестких дисках как способ полной блокировки операционной системы компьютера, предотвращая доступ к ней жертвы. Конечная цель — убедить жертв заплатить выкуп за расшифровку, который обычно запрашивается в цифровых валютах, которые трудно отследить (например, биткойн или другие криптовалюты). Однако нет гарантии, что злоумышленники выполнят платежи.

История атак программ-вымогателей

История программ-вымогателей восходит к 1989 году, когда «вирус СПИДа» использовался для вымогательства денежных средств у получателей вымогателей. Оплата за эту атаку производилась по почте в Панаму, после чего пользователю также был отправлен ключ дешифрования.

В 1996 году программа-вымогатель была известна как «криптовирусное вымогательство», введенное Моти Юнгом и Адамом Янгом из Колумбийского университета. Эта идея, родившаяся в академических кругах, проиллюстрировала прогресс, силу и создание современных криптографических инструментов. Янг и Юнг представили первую криптовирологическую атаку на конференции IEEE Security and Privacy в 1996 году. Их вирус содержал открытый ключ злоумышленника и зашифровал файлы жертвы. Затем вредоносная программа побуждала жертву отправить злоумышленнику асимметричный зашифрованный текст для расшифровки и возврата ключа дешифрования — за определенную плату.

Злоумышленники с годами проявили изобретательность, требуя платежей, которые практически невозможно отследить, что помогает киберпреступникам оставаться анонимными. Например, печально известная мобильная программа-вымогатель Fusob требует, чтобы жертвы платили подарочными картами Apple iTunes вместо обычной валюты, такой как доллары.

Популярность атак программ-вымогателей стала расти вместе с ростом криптовалют, таких как биткойны. Криптовалюта — это цифровая валюта, в которой используются методы шифрования для проверки и защиты транзакций и управления созданием новых единиц. Помимо Биткойна, существуют и другие популярные криптовалюты, которые злоумышленники предлагают жертвам использовать, например Ethereum, Litecoin и Ripple.

Программы-вымогатели атаковали организации практически во всех сферах, одним из самых известных вирусов является Пресвитерианский мемориальный госпиталь. Эта атака высветила потенциальный ущерб и риски программ-вымогателей. Пострадали лаборатории, аптеки и отделения неотложной помощи.

Со временем злоумышленники, использующие методы социальной инженерии, стали более изобретательными. The Guardian писал о ситуации, когда новых жертв вымогателей попросили, чтобы двое других пользователей установили ссылку и заплатили выкуп, чтобы их файлы были расшифрованы.

Примеры программ-вымогателей

Узнав об основных атаках программ-вымогателей ниже, организации получат прочную основу для тактики, эксплойтов и характеристик большинства атак программ-вымогателей. Хотя по-прежнему существуют вариации в коде, целях и функциях программ-вымогателей, инновации в атаках программ-вымогателей обычно носят постепенный характер.

WannaCry — мощный эксплойт Microsoft был использован для создания всемирного червя-вымогателя, который заразил более 250 000 систем, прежде чем был задействован killswitch, чтобы остановить его распространение. Proofpoint участвовал в поиске образца, использованного для поиска Killswitch, и в разборке программы-вымогателя. Узнайте больше об участии Proofpoint в остановке WannaCry.

CryptoLocker — это была одна из первых программ-вымогателей текущего поколения, которая требовала для оплаты криптовалюту (биткойны) и шифровала жесткий диск пользователя и подключенные сетевые диски. Cryptolocker был распространен по электронной почте с вложением, в котором утверждалось, что это уведомления об отслеживании FedEx и UPS. Инструмент дешифрования был выпущен для этого в 2014 году. Но различные отчеты предполагают, что CryptoLocker вымогал более 27 миллионов долларов.

NotPetya — считается одной из самых разрушительных атак программ-вымогателей, NotPetya использовал тактику своего тезки, Petya, такую ​​как заражение и шифрование основной загрузочной записи системы на базе Microsoft Windows. NotPetya использовал ту же уязвимость от WannaCry для быстрого распространения, требуя оплаты в биткойнах для отмены изменений. Некоторые классифицируют его как средство очистки, поскольку NotPetya не может отменить свои изменения в основной загрузочной записи и делает целевую систему невосстановимой.

Bad Rabbit — считающийся двоюродным братом NotPetya и использующий аналогичный код и эксплойты для распространения, Bad Rabbit представлял собой видимую программу-вымогатель, нацеленную на Россию и Украину, в основном затрагивая там медиакомпании. В отличие от NotPetya, Bad Rabbit позволял расшифровывать данные, если выкуп был уплачен. Большинство случаев указывают на то, что оно было распространено через поддельное обновление Flash-плеера, которое может воздействовать на пользователей через накопитель в результате атаки.

Программа-вымогатель, распространявшаяся как поддельное обновление Adobe Flash, загруженное с взломанных веб-сайтов. Большинство зараженных компьютеров находились в России, и заражение зависело от установки файла .exe вручную. Цена на расшифровку в то время составляла примерно 280 долларов США (0,05 BTC).

REvil — REvil создан группой финансово мотивированных злоумышленников. Он извлекает данные перед их шифрованием, так что целевые жертвы могут быть шантажированы для оплаты, если они решат не отправлять выкуп. Атака была вызвана скомпрометированным программным обеспечением для управления ИТ, которое использовалось для исправления инфраструктуры Windows и Mac. Злоумышленники взломали программное обеспечение Kaseya, используемое для внедрения вымогателя REvil в корпоративные системы.

Ryuk — Ryuk — это программа-вымогатель, распространяемая вручную, в основном, для целевого фишинга. Цели тщательно выбираются с помощью разведки. Электронные сообщения отправляются выбранным жертвам, а затем все файлы, размещенные в зараженной системе, шифруются.

Locky (2016) — Обычно рассылается по электронной почте в виде счета-фактуры, который содержит зараженные вложения и требует оплаты. В 2016 году Пресвитерианский медицинский центр Голливуда был заражен Локки и заплатил выкуп в размере 40 BTC (17000 долларов США на тот момент), чтобы восстановить доступ к компьютерным системам больницы.

GrandCrab (2018) — Программа-вымогатель, впервые появившаяся в январе 2018 года, принесла более 50 000 жертв менее чем за месяц, прежде чем была прервана работой румынских властей вместе с Bitdefender и Европолом (доступен бесплатный комплект для восстановления данных). GrandCrab распространялся через вредоносную рекламу и фишинговые электронные письма и был первым известным вымогателем, требующим выкуп в криптовалюте DASH. Первоначальный выкуп варьировался от 300 до 1500 долларов США.

WannaCry (2017) — Всемирная кибератака, в результате которой за 4 дня было заражено более 300 000 компьютеров. WannaCry распространялся через эксплойт, известный как EternalBlue, и был нацелен на операционные системы Microsoft Windows (большинство пораженных компьютеров работали под управлением Windows 7). Атака была остановлена ​​благодаря экстренным исправлениям, выпущенным Microsoft. Американские эксперты по безопасности заявили, что ответственность за атаку несет Северная Корея, хотя никаких доказательств представлено не было.

Как совершаются жертвы?

• Фишинг: повторяющаяся форма социальной инженерии. В контексте программ-вымогателей фишинговые электронные письма являются одной из наиболее распространенных форм распространения вредоносных программ. Жертвы обычно заражаются через скомпрометированные вложения электронной почты или ссылки, замаскированные под законные. В сети компьютеров одной-единственной жертвы может быть достаточно, чтобы скомпрометировать всю организацию.

• Комплекты эксплойтов: пакет, состоящий из различных вредоносных инструментов и предварительно написанного кода эксплойта. Эти комплекты предназначены для использования проблем и уязвимостей в программных приложениях и операционных системах в качестве способа распространения вредоносных программ (наиболее распространенными целями являются небезопасные системы с устаревшим программным обеспечением).

• Вредоносная реклама: злоумышленники используют рекламные сети для распространения программ-вымогателей.

Пример атаки вымогателя

Как программа-вымогатель пытается обманом заставить жертву установить ее

Жертвы часто получают уведомление на экране блокировки (общее как для шифровальщиков, так и для шкафчиков экрана) о покупке криптовалюты, например биткойнов, для уплаты выкупа. После уплаты выкупа клиенты получают ключ дешифрования и могут попытаться расшифровать файлы. Расшифровка не гарантируется, так как несколько источников сообщают о разной степени успеха при расшифровке после уплаты выкупа. Иногда жертвы так и не получают ключи. Некоторые атаки устанавливают вредоносное ПО в компьютерную систему даже после уплаты выкупа и разглашения данных.

Первоначально шифрование программ-вымогателей было ориентировано в основном на персональные компьютеры, но все чаще они нацелены на бизнес-пользователей, поскольку компании часто будут платить больше за разблокировку критически важных систем и возобновление повседневных операций, чем отдельные лица.

Заражение корпоративными программами-вымогателями или вирусами обычно начинается с вредоносного электронного письма. Ничего не подозревающий пользователь открывает вложение или щелкает URL-адрес, который является вредоносным или был взломан.

На этом этапе устанавливается агент-вымогатель, который начинает шифрование ключевых файлов на компьютере жертвы и всех прикрепленных файловых ресурсах. После шифрования данных программа-вымогатель отображает сообщение на зараженном устройстве. В сообщении объясняется, что произошло и как заплатить злоумышленникам. Если жертвы заплатят, программа-вымогатель обещает, что они получат код для разблокировки их данных.

Кто в опасности?

Любое устройство, подключенное к Интернету, рискует стать следующей жертвой программы-вымогателя. Программа-вымогатель сканирует локальное устройство и любое подключенное к сети хранилище, что означает, что уязвимое устройство также делает локальную сеть потенциальной жертвой. Если локальная сеть — это бизнес, программа-вымогатель может зашифровать важные документы и системные файлы, которые могут остановить работу служб и повысить производительность.

Если устройство подключается к Интернету, оно должно быть обновлено с использованием последних исправлений безопасности программного обеспечения и на нем должно быть установлено средство защиты от вредоносных программ, которое обнаруживает и останавливает программы-вымогатели. Устаревшие операционные системы, такие как Windows XP, которые больше не обслуживаются, подвергаются гораздо большему риску.

Влияние программ-вымогателей на бизнес

Бизнес, ставший жертвой программ-вымогателей, может потерять тысячи долларов за счет производительности и потери данных. Злоумышленники, имеющие доступ к данным, будут шантажировать жертв, заставляя их заплатить выкуп, угрожая раскрыть данные и раскрыть утечку данных, поэтому организации, которые не платят достаточно быстро, могут столкнуться с дополнительными побочными эффектами, такими как ущерб бренду и судебные тяжбы.

Программы-вымогатели снижают продуктивность, поэтому первым шагом является их сдерживание. После сдерживания организация может либо восстановить данные из резервных копий, либо заплатить выкуп. Правоохранительные органы участвуют в расследованиях, но отслеживание авторов программ-вымогателей требует времени на исследование, которое лишь задерживает восстановление. Анализ первопричин выявляет уязвимость, но любые задержки в восстановлении влияют на производительность и доход бизнеса.

Почему распространяется программа-вымогатель?

Поскольку все больше людей работают из дома, злоумышленники все чаще используют фишинг. Фишинг — это основная отправная точка для заражения программами-вымогателями. Фишинговое письмо нацелено на сотрудников, как пользователей с низким, так и с высоким уровнем привилегий. Электронная почта недорога и проста в использовании, поэтому злоумышленники могут легко распространять программы-вымогатели.

Документы обычно передаются по электронной почте, поэтому пользователи ничего не думают об открытии файла во вложении электронной почты. Вредоносный макрос запускается, загружает программу-вымогатель на локальное устройство, а затем доставляет свои полезные данные. Простота распространения программ-вымогателей по электронной почте — вот почему это обычная атака вредоносных программ.

Кто такие злоумышленники?

В сложных атаках могут использоваться программы-вымогатели, авторы которых создают свои собственные версии. Варианты используют кодовую базу из существующей версии программы-вымогателя и изменяют ровно столько функций, чтобы изменить полезную нагрузку и метод атаки. Авторы программ-вымогателей могут настроить свои вредоносные программы для выполнения любых действий и использовать предпочитаемый шифр шифрования.

Злоумышленники не всегда являются авторами. Некоторые авторы программ-вымогателей продают свое программное обеспечение другим или сдают его в аренду. Программы-вымогатели можно арендовать как «вредоносное ПО как услуга» (MaaS), когда клиенты проходят аутентификацию на информационной панели и запускают свою собственную кампанию. Поэтому злоумышленники не всегда являются кодировщиками и экспертами по вредоносному ПО. Это также люди, которые платят авторам за аренду их программ-вымогателей.

Почему не стоит платить за программы-вымогатели

После того, как вымогатель зашифровывает файлы, он показывает пользователю экран, на котором сообщается, что файлы зашифрованы, и указывается сумма денег, которую необходимо заплатить. Обычно жертве дается определенное время, чтобы заплатить, или выкуп увеличивается. Злоумышленники также угрожают разоблачить предприятия и публично заявить, что они стали жертвами программ-вымогателей.

Самый большой риск оплаты — это никогда не получить ключи шифрования для расшифровки данных. У организации кончились деньги, и у нее по-прежнему нет ключей дешифрования. Большинство экспертов не рекомендуют платить выкуп, чтобы злоумышленники перестали получать денежные выгоды, но многие организации остаются без выбора. Авторы программ-вымогателей требуют платежей в криптовалюте, поэтому перевод денег невозможно отменить.

Шаги по реагированию на атаку, как защититься от атак программ-вымогателей?

• Используйте внешние источники для регулярного резервного копирования файлов, чтобы вы могли восстановить их после удаления потенциального заражения;

• Будьте осторожны с вложениями и ссылками в сообщениях электронной почты. Избегайте нажатия на объявления и веб-сайты с неизвестным источником;

• Установите надежный антивирус и обновляйте свои программные приложения и операционную систему;

• Включите опцию «Показывать расширения файлов» в настройках Windows, чтобы вы могли легко проверять расширения ваших файлов. Избегайте таких расширений файлов, как .exe, .vbs и .scr;

• Избегайте посещения веб-сайтов, которые не защищены протоколом HTTPS (т. Е. URL-адресов, начинающихся с «https: //»). Однако имейте в виду, что многие вредоносные веб-сайты реализуют протокол HTTPS, чтобы запутать жертв, и сам по себе протокол не гарантирует, что веб-сайт является законным или безопасным.

• Посетите NoMoreRansom.org, веб-сайт, созданный правоохранительными органами и компаниями, занимающимися ИТ-безопасностью, которые работают над уничтожением программ-вымогателей. Веб-сайт предлагает бесплатные инструменты дешифрования для зараженных пользователей, а также советы по профилактике.

Полезная нагрузка от программы-вымогателя появляется немедленно. Вредоносная программа отображает сообщение пользователю с инструкциями по оплате и информацией о том, что случилось с файлами. Для администраторов важно быстро отреагировать, поскольку некоторые программы-вымогатели пытаются распространиться в другие места в сети и находить важные файлы при дополнительном сканировании. Вы можете предпринять несколько основных шагов, чтобы правильно отреагировать на программы-вымогатели, но учтите, что обычно требуется вмешательство специалиста для анализа первопричин, очистки и расследования.

• Определите, какие системы затронуты. Вы должны изолировать системы, чтобы они не могли повлиять на остальную среду. Этот шаг является частью сдерживания, которое минимизирует ущерб окружающей среде.
• Отключите системы и выключите их, если необходимо. Программы-вымогатели быстро распространяются по сети, поэтому любые системы необходимо отключать, отключив доступ к сети или выключив их.
• Сделайте восстановление систем приоритетным, чтобы наиболее важные из них можно было быстрее вернуть в нормальное состояние. Обычно приоритет основан на производительности и влиянии на доход.
• Устраните угрозу из сети. Злоумышленники могут использовать бэкдоры, поэтому их устранение должно выполняться надежным экспертом. Эксперту необходим доступ к журналам, чтобы анализ первопричин выявил уязвимость и все затронутые системы.
• Попросите профессионала проверить среду на предмет возможных обновлений безопасности. Жертва программы-вымогателя часто становится целью второй атаки. Если уязвимость не обнаружена, ее можно использовать снова.

Новые угрозы программ-вымогателей

Авторы постоянно меняют код в новые варианты, чтобы избежать обнаружения. Администраторы и разработчики средств защиты от вредоносных программ должны не отставать от этих новых методов, чтобы обнаружение угроз происходило быстро, прежде чем они распространятся по сети. Вот несколько новых угроз:

• Загрузка со стороны DLL. Вредоносное ПО пытается скрыться от обнаружения с помощью библиотек DLL и служб, которые выглядят как законные функции.
• Веб-серверы как цели. Вредоносное ПО в среде общего хостинга может повлиять на все сайты, размещенные на сервере. Такие программы-вымогатели, как Ryuk, нацелены на размещенные сайты, в основном с помощью фишинговых писем.
• Целевой фишинг предпочтительнее стандартного фишинга. Вместо того, чтобы отправлять вредоносное ПО тысячам целей, злоумышленники проводят разведку потенциальных целей для получения доступа к сети с высокими привилегиями.
• Программа-вымогатель как услуга (RaaS) позволяет пользователям запускать атаки без каких-либо знаний о кибербезопасности.

Внедрение RaaS привело к увеличению атак программ-вымогателей.

Основная причина увеличения количества угроз с использованием программ-вымогателей — удаленная работа. Пандемия представила новый способ работы во всем мире. Домашняя рабочая сила гораздо более уязвима для угроз. Домашние пользователи не имеют кибербезопасности корпоративного уровня, необходимой для защиты от изощренных атак, и многие из этих пользователей объединяют свои личные устройства с рабочими устройствами. Поскольку программы-вымогатели сканируют сеть на наличие уязвимых устройств, персональные компьютеры, зараженные вредоносным ПО, также могут заразить подключенные к сети бизнес-машины.

Предотвращение и обнаружение программ-вымогателей

Предотвращение атак программ-вымогателей обычно включает в себя настройку и тестирование резервных копий, а также применение защиты от программ-вымогателей в средствах безопасности. Инструменты безопасности, такие как шлюзы защиты электронной почты, являются первой линией защиты, а конечные точки — вторичной защитой. Системы обнаружения вторжений (IDS) иногда используются для обнаружения программ-вымогателей с контролем и предупреждением о том, что система вымогателей обращается к серверу управления. Обучение пользователей важно, но обучение пользователей — это лишь один из нескольких уровней защиты от программ-вымогателей, и он вступает в игру после доставки программы-вымогателя через фишинговую рассылку по электронной почте.

Резервной мерой на случай отказа других средств защиты от программ-вымогателей является накопление биткойнов. Это более распространено, когда непосредственный ущерб может повлиять на клиентов или пользователей в затронутой фирме. Больницы и гостиничный бизнес подвергаются особому риску заражения программами-вымогателями, поскольку это может повлиять на жизнь пациентов или люди могут быть заблокированы в учреждениях или за их пределами.

Статистика программ-вымогателей

Следующая статистика программ-вымогателей иллюстрирует рост эпидемии и миллиардные убытки, которые она принесла жертвам. Чтобы быть в курсе последних статистических данных о программах-вымогателях, вы также можете заглянуть в блог Proofpoint.

• 4 000 — Ежедневно происходит в среднем 4000 эпизодов программ-вымогателей. Источник: Отчет ФБР о преступлениях в Интернете.
• 39% — Программы-вымогатели — это основная разновидность вредоносного ПО, обнаруживаемая в 39% случаев обнаружения вредоносных программ. Источник: Отчет Verizon о расследовании утечек данных за 2018 год.
• 46% — В нашем последнем отчете State of the Phish ™ Report только 46% респондентов смогли правильно определить программу-вымогатель.
• 42% — респондентов из США в отчете о пользовательских рисках за 2017 год не смогли правильно определить, что такое программа-вымогатель.

Обложка руководства по выживанию от программ-вымогателей

Руководство по выживанию от программ-вымогателей

Злоумышленники-вымогатели собрали в среднем 115 123 долларов США за один инцидент в 2019 году, но в 2020 году расходы выросли до 312 493 долларов США. Одно зарегистрированное событие обошлось организации в 30 миллионов долларов. Помимо самого выкупа, эти атаки могут повлечь за собой большие расходы: нарушение работы бизнеса, затраты на исправление и уменьшение бренда.

Видео

Ru
Программы-вымогатели/Ransomware

Ru
История вируса WinLocker — Как DUMBAZZ «взламывает» школьников в csgo через termux