Как не стать заложником программ-вымогателей

Что такое программа-вымогатель

Программа-вымогатель – это тип вредоносного ПО, которое не позволяет пользователю или организации получить доступ к файлам на их компьютере. Хакеры используют программу-вымогатель для блокировки или шифрования файлов на зараженных устройствах,  после чего требуют выкуп за ключ расшифровки.

Обычно целью атаки программ-вымогателей является финансовая нажива, но иногда хакеры, в результате остановки нормальной работы компании-жертвы, довольствуются нанесением ущерба её репутации.

Согласно отчету Агентства Европейского союза по кибербезопасности (ENISA) «Ландшафт угроз за 2022 год», программы-вымогатели были главной киберугрозой в 2021 и 2022 годах. Мировая статистика подтверждает эти выводы: в 2022 году около 68% кибератак, произошедших по миру, были связаны с программами-вымогателями (всего было зарегистрировано 155 миллионов случаев). Заражение программой-вымогателем по-прежнему остается одной из главных киберугроз для компаний и частных лиц.

Схема проведения атаки программой-вымогателем

Существуют сотни разновидностей программ-вымогателей, каждая из которых сложнее другой. Однако атака обычно проводится в определенной последовательности. Во-первых, получение доступа к файлам жертвы. Во-вторых, их шифрование, и, наконец, запрос выкупа в обмен на ключ расшифровки.

Программы-вымогатели обычно используют асимметричное шифрование – криптографический метод, основанный на паре ключей для шифрования и дешифрования файлов. Киберпреступник генерирует пару ключей для жертвы – открытый и закрытый ключ. Закрытый ключ для расшифровки файлов хранится на сервере злоумышленника. Разработчики программ-вымогателей используют надежные алгоритмы шифрования, которые жертва практически не может расшифровать без ключа.

Вот как обычно проходит атака программой-вымогателем:

1. 1.Исследование. Злоумышленник собирает информацию о потенциальной цели и выявляет уязвимости в программном обеспечении.
2. 2.Заражение. Преступник внедряет программу-вымогатель в систему жертвы, обманом заставляя ничего не подозревающего пользователя загрузить вредоносный файл или перейти по ссылке. Это происходит в результате фишинговой атаки (фишинговые электронные письма с зараженными вложениями и ссылками, целевой фишинг) или путем использования уязвимостей программного обеспечения. Злоумышленники также могут использовать методы социальной инженерии, такие как маскировка программ-вымогателей под обновления программ и убеждение сотрудников компании-жертвы их установить.
3. 3.Шифрование. Получив доступ к компьютеру или сети жертвы, вредоносный софт начинает шифровать файлы. Они становятся нечитаемыми без ключа расшифровки.
4. 4.Расширение. Проникнув в систему жертвы, злоумышленник может исследовать сеть в поисках других систем для компрометации и распространения вредоносного кода.
5. 5.Сообщение с требованием выкупа. Как только программа-вымогатель зашифрует файлы, на экране зараженного компьютера появится сообщение с требованием выкупа. Жертву информируют о блокировке файлов и объясняют, как заплатить выкуп, чтобы получить ключ расшифровки.
6. 6.Требование выкупа. Уведомление о выкупе обычно содержит требование об оплате, часто в криптовалюте, потому что ее труднее отследить. Преступники также устанавливают крайний срок для оплаты. Сообщение может содержать угрозу взлома или уничтожения зашифрованных данных или ключа дешифрования, если выкуп не будет уплачен вовремя.
7. 7.Выплата выкупа (не рекомендуется). Некоторые жертвы программ-вымогателей платят хакерам в надежде восстановить свои файлы. Однако нет никакой гарантии, что преступники восстановят к ним доступ.

Что программа-вымогатель делает с конечным устройством? Она шифрует на нем файлы, делая их недоступными, и нарушает нормальную работу устройства. Если вовремя не обнаружить активную программу-вымогатель, она может распространиться на подключенные устройства и сети.

Жертвы атак программ-вымогателей

Жертвами программ-вымогателей становятся как частные лица, так и организации. Согласно глобальным данным Statista об атаках программ-вымогателей, киберпреступники в основном нацелены на компании и организации критически важных отраслей, таких как здравоохранение, финансы, производство и правительственные организации. Эти организации, как правило, обладают как ценными данными, так и большими финансовыми ресурсами и с большей вероятностью заплатят значительный выкуп.

Компании

Излюбленными целями злоумышленников-вымогателей являются компании и корпорации различного размера. Хакеры знают, что эти организации обладают ценными данными, информацией о клиентах и интеллектуальной собственностью, которые они захотят вернуть.

В 2020 году компания Garmin, производящая носимые устройства и GPS-навигаторы, подверглась масштабной атаке программ-вымогателей и была вынуждена заплатить выкуп в размере 10 миллионов долларов. В 2023 году 72% компаний по всему миру пострадали от атак программ-вымогателей. Это самый высокий показатель за последние пять лет, что свидетельствует о тенденции роста числа атак программ-вымогателей на компании.

Организации здравоохранения и критически важная инфраструктура

По меркам киберпреступников медицинские организации хранят прибыльные данные – высокочувствительную и жизненно важную информацию о пациентах, в результате чего, к сожалению, атаки на больницы бывают смертельными. В случае с критически важной инфраструктурой, такой как электросети и транспортные системы, целенаправленное на них воздействие может привести к широкомасштабным сбоям.

Согласно отчету Федерального бюро расследований США об интернет-преступлениях, в 2021 году в США наиболее уязвимой для программ-вымогателей была сфера здравоохранения. В том же году Министерство здравоохранения и социальных служб США сообщило, что в среднем у больниц требуют выкуп в размере около 131 000 долларов.

Частные пользователи

Помимо организаций, киберпреступники атакуют и отдельных пользователей. Люди тоже имеют на устройствах важную информацию, которую захотят восстановить, например, финансовая информация, семейные фотографии и личные документы. Статистика атак программ-вымогателей на отдельных пользователей менее однозначна, поскольку они с меньшей вероятностью обратятся в правоохранительные органы.

Ущерб от атак программ-вымогателей

Атаки программ-вымогателей наносят компаниям финансовый, репутационный и юридический ущерб. Даже если организация не заплатит выкуп, расходы, которые она понесет из-за простоя и ущерба репутации, могут быть значительными.

Финансовые затраты

Жертвы программ-вымогателей могут серьезно пострадать финансово, если решат заплатить выкуп. Отчет ENISA приводит тревожные данные о ЕС: суммы выкупа выросли с 13 миллионов евро в 2019 году до 62 миллионов евро в 2021 году, а средняя сумма выплачиваемого выкупа удвоилась с 71 000 евро в 2019 году до 150 000 евро в 2020 году. По данным Statista во втором квартале 2023 года средняя сумма выплаченного выкупа по миру превысила 740 000 долларов.

Даже если компания не платит выкуп, заражение программой-вымогателем обычно приводит к дорогостоящему простою. J.P. Morgan цитирует отчет американской страховой компании AIG по анализу претензий за 3 квартал 2020 года, в котором говорится, что обычная продолжительность простоя в американских компаниях, подвергшихся атаке программ-вымогателей в 2020 году, составляла от 7 до 10 дней.

Помимо простоев, процесс восстановления может быть длительным и дорогостоящим. Компания должна расследовать факт взлома, улучшить защиту от киберпреступников и восстановить системы и данные. Опубликованное в J.P.Morgan ежегодное исследование IBM «Затраты на утечку данных в 2020 году» отмечает, что средняя стоимость устранения последствий от атаки программой-вымогателем во всех отраслях составила 1,27 миллиона долларов.

Ущерб репутации

Ущерб репутации – еще одно серьезное последствие программ-вымогателей, поскольку такая атака подрывает доверие общественности. Клиенты могут потерять уверенность в способности организации защитить их конфиденциальные данные, что приведет к потере бизнеса и потенциальному долгосрочному ущербу репутации бренда.

• Например, в 2021 году злоумышленники-вымогатели похитили у страховой компании CNA Financial огромное количество данных, включая данные клиентов. Функционирование компании приостановилось, и её репутация пострадала. Даже если хакеры не украдут никаких конфиденциальных данных, ставший известным широкой общественности факт атаки программой-вымогателем может вызвать сомнения у клиентов и партнеров в отношении способности организации защитить себя.

Правовые и нормативные последствия

Заражение программой-вымогателем может привести к серьезным юридическим и нормативным последствиям, включая штрафы за неспособность защитить конфиденциальные данные. Организации должны соблюдать законы о защите данных, такие как Общие правила защиты данных (GDPR) в Европе и Калифорнийский закон о защите прав потребителей (CCPA) в Соединенных Штатах.

Несвоевременное сообщение об утечке данных и непринятие надлежащих мер безопасности может привести к штрафам и судебным искам. Например, в 2018 году  у British Airways произошла утечка данных, которая затронула около 500 000 клиентов. Регулирующий орган провел расследование, и компания получила штраф от Управления Комиссара по информации Великобритании (ICO) в соответствии с правилами GDPR.

Как предотвратить атаки программ-вымогателей

Успешная модель предотвращения атак программ-вымогателей предполагает принятие упреждающих мер. К ним относятся:

• Регулярное резервное копирование данных. Атака программ-вымогателей не будет эффективной, если жертва сохранит доступ к своим данным после взлома. Вот почему важно иметь безопасное решение для резервного копирования данных, такое как средства восстановления системы на основе программного обеспечения как услуги (SaaS), чтобы потери данных в результате атаки программ-вымогателей были минимальными или вообще отсутствовали. Очень важно, чтобы преступники не смогли зашифровать резервные копии данных. Обязательно сохраните их в формате, доступном только для чтения, который не может быть модифицирован программой-вымогателем. Храните резервные копии данных в автономном режиме или в защищенной облачной среде, обеспечивая управление версиями для сохранения нескольких копий файлов и периодического тестирования резервных копий для подтверждения их целостности.
• Обучение сотрудников и повышение осведомленности о кибербезопасности. Регулярные тренинги по кибербезопасности помогают снизить уязвимость компании к программам-вымогателям. Научите сотрудников следующему:
  • Никогда не переходить по сомнительным ссылкам.
  • Никогда не открывать подозрительные и неожидаемые вложения.
  • Никогда не раскрывать конфиденциальные данные непроверенным лицам.
  • Проверять подлинность программного обеспечения перед его загрузкой.
  • Никогда не использовать неизвестные USB-накопители.
  • Использовать VPN при подключении к общедоступной или незащищенной сети Wi-Fi.
• Аутентификация пользователей и контроль доступа. Внедрите безопасные методы аутентификации пользователей, такие как многофакторная аутентификация (MFA) и строгий контроль доступа. Применяйте принцип наименьших привилегий, чтобы ограничить доступ пользователей до минимума, необходимого для выполнения их должностных обязанностей, и ограничьте административный доступ только авторизованному персоналу.
• Программы для обеспечения безопасности и управление исправлениями. Антивирусное программное обеспечение и защита от вредоносных программ, решения для обнаружения конечных точек и реагирования на них, шлюзы безопасности электронной почты и расширения для защиты браузеров помогают предотвратить атаки программ-вымогателей. Своевременные обновления программного обеспечения и исправления устраняют уязвимости в программном обеспечении, которыми могут воспользоваться киберпреступники. Благодаря обновлениям ваши средства безопасности и операционная система будут оснащены новейшей информацией об угрозах, что повысит их способность обнаруживать и блокировать существующие и новые версии программ-вымогателей.

Признаки заражения программой-вымогателем

Приведем шесть основных признаков заражения программой-вымогателем, которые должны немедленно вас насторожить и побудить принять меры:

• Необъяснимое замедление работы компьютеров и сети. Это один из самых ранних признаков заражения программой-вымогателем. Вирус начинает свою грязную работу со сканирования устройства в поисках мест хранения файлов, что приводит к замедлению работы. Конечно, работа устройства может замедлиться из-за понижения скорости интернета, поэтому присмотритесь повнимательнее, чтобы определить истинную причину.
• Подозрительные изменения в файлах, их именах и расположении. Если изменяются файлы или целые папки, появляются неизвестные файлы и некоторые файлы не имеют расширения, это может свидетельствовать о кибератаке.
• Несанкционированное извлечение данных. Если файлы пропадают, расценивайте это как признак потенциального взлома.
• Нераспознанное и нежелательное шифрование файлов. Если вы заметили в своей сети зашифрованные файлы, о которых никто не знает и за которые никто не несет ответственности, это должно послужить сигналом к действию.
• Заблокированный рабочий стол. Некоторые версии программ-вымогателей блокируют весь рабочий стол, лишая пользователя доступа к компьютеру или файлам до тех пор, пока не будет заплачен выкуп.
• На экране вспыхивает сообщение, информирующее об атаке. Наиболее очевидным признаком атаки программы-вымогателя является сообщение на экране компьютера, информирующее о заражении программой-вымогателем.

Наиболее распространенные версии программ-вымогателей

Существует множество семейств программ-вымогателей, каждое из которых имеет свой набор признаков. Приведем примеры самых известных программ-вымогателей, которые за последние годы нанесли наибольший ущерб:

1. 1.WannaCry (или WanaCrypt0r). В 2017 году версия программы-вымогателя WannaCry быстро распространилась по сетям, используя уязвимость Microsoft Windows, известную как EternalBlue. Вирус заразил сотни тысяч компьютеров по всему миру и поразил Национальную службу здравоохранения Великобритании, причинив ущерб на сумму более 90 миллионов фунтов стерлингов.
2. 2.Petya/NotPetya. Вариант Petya появился раньше, а в 2017 году его новая версия NotPetya оказалась особенно разрушительной. Она поразила компьютеры с Windows в Европе и США. Вирус шифровал не просто файлы, а главную загрузочную запись, что приводило к большему системному повреждению и безвозвратному удалению файлов.
3. 3.CryptoWall. Это один из наиболее стойких типов программ-вымогателей. Он шифрует данные пользователя, а затем требует оплату в криптовалюте в качестве выкупа за их восстановление.
4. 4.Ryuk. Считается, что Ryuk связан с группой Lazarus Group в Северной Корее и нацелен на крупные предприятия, больницы и правоохранительные органы. Он требует большие выкупы, в основном в биткоинах. Вирус совершил множество громких атак, особенно в США.
5. 5.GandCrab. Вирус действовал в период с 2018 по 2019 год и был одним из самых распространенных штаммов “программ-вымогателей как сервиса” (RaaS). RaaS – это криминальная бизнес-модель, при которой группы вымогателей создают программы-вымогатели и позволяют другим лицам, даже не обладающим достаточными техническими знаниями, осуществлять атаки с использованием программ-вымогателей за определенный процент от суммы выкупа.
6. 6.REvil (или Sodinokibi). Еще один пример модели “программа-вымогатель как услуга”. REvil несет ответственность за несколько громких атак, в том числе на ИТ-компанию Kaseya в 2021 году. Атака являлась примером модели двойного вымогательства, при которой преступники не только шифруют данные жертвы, но и публикуют их в открытый доступ, если жертва не заплатит.
7. 7.Dharma (или CrySiS). Эта программа-вымогатель нацелена на системы Windows, она имеет несколько вариантов. Crysis обычно проникает в системы через открытые порты протокола удаленного рабочего стола (RDP). Вирус известен своими частыми обновлениями и способностью избегать обнаружения.
8. 8.Locky. Появившись в 2016 году, Locky стал одним из самых распространенных типов программ-вымогателей, варианты и тактики которого появляются и по сей день. Locky распространялся через вредоносные вложения. Как правило, атакованный документ Word обманом заставляет пользователей включить макросы, которые, в свою очередь, запускают троянскую программу, шифрующую файлы жертвы.
9. 9.Cerber. Эта программа-вымогатель выделялась тем, что использовала преобразование текста в речь для “считывания” своего письма с требованием выкупа. Его создатели продавали Cerber как “программное обеспечение как услуга (SaaS)” другим киберпреступникам за определенный процент от их доходов.
10. 10.Maze. Действуя на протяжении 2019 и 2020 годов, Maze был пионером в применении тактики двойного вымогательства. Вирус распространялся с помощью фишинга по электронной почте и точечных фишинговых атак.
11. 11.NetWalker. NetWalker – еще один пример программы-вымогателя с двойным вымогательством. Он распространился во время пандемии COVID-19, в основном поражая организации, участвующие в борьбе с пандемией.
12. 12.DarkSide. Еще один пример “программы-вымогателя как сервиса”. Распространялся DarkSide хакерами через слабые места в протоколах удаленного рабочего стола (RDP). Эта группировка взяла на себя ответственность за нападение на Colonial Pipeline в мае 2021 года, которое привело к нехватке топлива в некоторых частях США.
13. 13.GoodWill. Впервые обнаруженная в 2022 году, GoodWill – это современная программа-вымогатель, отличающаяся своей целью: вместо оплаты группа программ-вымогателей требует от своих жертв совершить акт доброты в пользу бедных.

Как реагировать на атаку программой-вымогателем

Если, несмотря на все усилия, вы или ваша компания подверглись атаке программой-вымогателем, необходимо предпринять следующие меры. В то же время убедитесь, что имеете дело не просто с вредоносным ПО, а именно с программой-вымогателем.

1. 1.Изолируйте зараженную систему. Немедленно отключите зараженное устройство от сети, чтобы предотвратить распространение программы-вымогателя.
2. 2.Не платите выкуп. Нет никаких гарантий, что вы получите от хакеров ключ расшифровки, а внесённый выкуп только подстегнет их к продолжению своей преступной деятельности.
3. 3.Сообщите о случившемся. Уведомите ИТ-отдел своей организации и местные правоохранительные органы об атаке. Проинформируйте потенциально затронутые стороны, включая сотрудников, клиентов и партнеров, об инциденте и усилиях по восстановлению.
4. 4.Оцените ушерб. Оцените масштаб атаки, определив, какие системы и данные были затронуты.
5. 5.Обеспечьте соблюдение законов и нормативных актов об уведомлении об утечке данных.
6. 6.Попробуйте восстановить данные. Восстановите поврежденные файлы из резервных копий, не затронутых программами-вымогателями, если таковые имеются.
7. 7.Удалите программу-вымогателя из системы, устраните все уязвимости и усильте меры безопасности.

Как удалить программу-вымогателя

Следующие действия по удалению программ-вымогателей из своих систем могут предпринять как частные лица, так и организации:

• Изолируйте зараженное устройство (устройства). Отключите уязвимые устройства от любых проводных или беспроводных подключений, включая Интернет, сети, мобильные устройства, флэш-накопители, внешние жесткие диски и облачные хранилища, чтобы предотвратить распространение программы-вымогателя. Проверьте, не были ли заражены подключенные устройства.
• Определите тип программы-вымогателя. Знание того, какая программа-вымогатель атаковала ваше устройство, может помочь в ее удалении. Возможно, вам придется показать свое устройство специалисту по кибербезопасности или воспользоваться специальным программным обеспечением для диагностики.
• Удалите программу-вымогателя. Проверьте, находится ли программа-вымогатель на вашем устройстве, потому что иногда после успешного заражения она самоудаляется. Если вирус все еще там, используйте антивирус для защиты от вредоносных программ и программ-вымогателей, чтобы поместить вредоносное ПО в карантин или удалить его. Советуем также обратиться к специалисту по кибербезопасности, который поможет найти и удалить файл-вымогатель вручную, поскольку это не всегда легко.
• Восстановите данные из резервной копии. При наличии незаражённых резервных копий восстановите состояние  системы до того, как она была заражена программой-вымогателем. Убедитесь, что ваши резервные копии не содержат вредоносных программ.

Можно ли восстановить файлы после атаки программ-вымогателей?

Восстановить файлы после атаки программ-вымогателей можно, если имеются защищенные, актуальные резервные копии, не подверженные воздействию программ-вымогателей. Также возможно восстановить зашифрованные  программой-вымогателем файлы с помощью инструмента расшифровки. Чтобы его получить, небходимо будет выполнить онлайн-поиск, обратиться в правоохранительные органы или в компании по кибербезопасности, предоставляющие услуги по удалению программ-вымогателей.

Выводы

Атакам программ-вымогателей подвергаются как отдельные лица, так и организации. Некоторые виды программ-вымогателей могут проникнуть даже через самую надежную систему кибербезопасности – достаточно только одного неосторожного щелчка по вредоносному вложению. Поэтому лучше всего обучить себя правилам безопасного поведения в Интернете и реагировать сразу же, как только стали заметны первые признаки потенциальной атаки.