Як не стати заручником програм-вимагачів

Що таке програма-вимагач

Програма-вимагач чи програма-шантажист – це тип шкідливого ПЗ, що не дозволяє користувачеві або організації отримати доступ до файлів на своєму комп'ютері. Хакери використовують програму-вимагач для блокування або шифрування файлів на заражених пристроях, після чого вимагають викуп за ключ розшифровки.

Зазвичай метою атаки програм-вимагачів є фінансова нажива, але іноді хакери, в результаті зупинки нормальної роботи компанії-жертви, задовольняються заподіянням шкоди її репутації.

Згідно зі звітом Агентства Європейського Союзу з кібербезпеки (ENISA) «Ландшафт загроз за 2022 рік», програми-вимагачі були головною кіберзагрозою у 2021 та 2022 роках. Статистика підтверджує ці висновки: у 2022 році близько 68% кібератак, що сталися по всьому світу, були пов'язані з програмами-шантажистами (всього було зареєстровано 155 мільйонів випадків). Зараження вимагачем й досі залишається однією з головних кіберзагроз для компаній та приватних осіб.

Як програма-вимагач захоплює пристрій

Існують сотні різновидів програм-вимагачів, кожна з яких складніша за іншу. Однак атака зазвичай проводиться в певній послідовності. По-перше, програма потрапляє на пристрій до файлів жертви. Потім вона їх має зашифрувати, й, нарешті, програма запитує викупу в обмін на ключ розшифровки.

Для цього програми-вимагачі зазвичай використовують асиметричне шифрування – криптографічний метод, заснований на парі ключів для шифрування й дешифрування файлів. Кіберзлочинець генерує пару ключів для жертви – відкритий й закритий ключ. Закритий ключ для розшифровки файлів зберігається на сервері зловмисника. Розробники програм-вимагачів використовують надійні алгоритми шифрування, які жертва практично не може розшифрувати без ключа.

Ось так виглядає схема проведення атаки програмою-вимагачем:

1. 1.Збір інформації. Зловмисник збирає інформацію про потенційну ціль і виявляє вразливості в програмному забезпеченні.
2. 2.Зараження. Злочинець підсаджує програму-вимагач в систему жертви, обманом змушуючи користувача завантажити шкідливий файл або перейти за посиланням. Це відбувається в результаті фішингової атаки (фішингові електронні листи із зараженими вкладеннями та посиланнями, цільовий фішинг) або шляхом використання вразливостей програмного забезпечення. Зловмисники також можуть застосовувати методи соціальної інженерії, наприклад маскуючи програму-вимагач під програмне оновлення й переконуючи співробітників компанії-жертви його встановити.
3. 3.Шифрування. Отримавши доступ до комп'ютера або мережі жертви, шкідливий софт починає шифрувати файли. Вони стають нечитабельними без ключа розшифровки.
4. 4.Розширення. Проникнувши в систему жертви, зловмисник може подорожувати  мережею в пошуках інших систем для зламу й поширення шкідливого коду.
5. 5.Повідомлення з вимогою викупу. Як тільки програма-вимагач зашифрує файли, на екрані зараженого комп'ютера з'явиться повідомлення з вимогою викупу. Жертву інформують про блокування файлів і пояснюють, як заплатити викуп, щоб отримати ключ розшифровки.
6. 6.Вимога викупу. Повідомлення про викуп зазвичай містить вимогу про оплату, часто в криптовалюті, тому що її важче відстежити. Злочинці також встановлюють термін оплати. Повідомлення може містити загрозу злому, знищення зашифрованих даних або ключа дешифрування, якщо викуп не буде сплачено вчасно.
7. 7.Виплата викупу (не рекомендується). Деякі жертви програм-вимагачів платять хакерам в надії відновити свої файли. Однак немає ніякої гарантії, що злочинці відновлять до них доступ.

Що робить програма-вимагач із кінцевим пристроєм? Вона шифрує на ньому файли, роблячи їх недоступними, і порушує нормальну роботу пристрою. Якщо вчасно не виявити активну програму-вимагач, вона може поширитися на підключені пристрої та мережі.

Жертви програм-здирників

Жертвами програм-вимагачів стають як окремі користувачі, так і організації. Згідно глобальних даних Statista про атаки програм-вимагачів, кіберзлочинці в основному атакують компанії та організації критичних галузей, як-от заклади охорони здоров'я, фінансові та державні організації, підприємства тощо. Ці організації, як правило, мають як цінні дані, так і великі фінансові ресурси, тож, швидше за все, заплатять значний викуп.

Компанії

Улюбленими жертвами зловмисників-вимагачів є компанії й корпорації різного розміру. Хакери знають, що ці організації мають цінні дані, інформацію про клієнтів та інтелектуальну власність, яку вони захочуть повернути.

У 2020 році компанія Garmin, що виробляє носибельні пристрої та GPS-навігатори, зазнала масштабної атаки програм-вимагачів і була змушена заплатити викуп у розмірі 10 мільйонів доларів. У 2023 році 72% компаній по всьому світу постраждали від атак програм-вимагачів. Це найвищий показник за останні п'ять років, що свідчить про тенденцію зростання числа атак програм-вимагачів на компанії.

Організації охорони здоров'я та критично важлива інфраструктура

Медичні організації зберігають високочутливу й життєво важливу інформацію про пацієнтів. В очах кіберзлочинців це високоприбуткові дані. В результаті чого, на жаль, атаки хакерів на лікарні бувають смертельними. Щодо критично важливої інфраструктури, як-от електромережі та транспортні системи, якщо вони виходять з ладу в результаті хакерської атаки, це може призвести до широкомасштабних збоїв.

Згідно зі звітом Федерального бюро розслідувань США про інтернет-злочини, у 2021 році в США найбільш вразливою для програм-вимагачів була сфера охорони здоров'я. У тому ж році міністерство охорони здоров'я і соціальних служб США повідомило, що в середньому у лікарень вимагають викуп у розмірі близько 131 000 доларів.

Окремі користувачі

Крім організацій, кіберзлочинці атакують й окремих користувачів. Люди теж мають на пристроях важливу інформацію, яку захочуть відновити, наприклад, фінансові дані, сімейні фотографії та особисті документи. Кількість атак програм-вимагачів на окремих користувачів складніше визначити, адже вони з меншою ймовірністю звертаються до правоохоронних органів.

Збиток від атак програм-шантажистів

Атаки програм-вимагачів завдають компаніям фінансової, репутаційної та юридичної шкоди. Навіть якщо організація не заплатить викуп, витрати, які вона понесе через простої та шкоду репутації, можуть бути значними.

Фінансові витрати

Жертви програм-вимагачів можуть серйозно постраждати фінансово, якщо вирішать заплатити викуп. Звіт ENISA наводить тривожні дані про ЄС: суми викупу зросли з 13 мільйонів євро у 2019 році до 62 мільйонів євро у 2021 році, а середня сума виплачуваного викупу подвоїлася з 71 000 євро у 2019 році до 150 000 євро у 2020 році. За даними Statista у другому кварталі 2023 року середня сума виплаченого викупу по світу перевищила 740 000 доларів.

Навіть якщо компанія не платить викуп, зараження вимагачем зазвичай призводить до простоїв у роботі, завдаючи фінансових збитків. J.P. Morgan цитує звіт американської страхової компанії AIG з аналізу претензій за 3 квартал 2020 року, в якому говориться, що звичайна тривалість простою в американських компаніях, які зазнали нападу програм-вимагачів у 2020 році, становила від 7 до 10 днів.

Крім простоїв, процес відновлення може бути тривалим і дорогим. Компанія повинна розслідувати факт злому, поліпшити захист від кіберзлочинців і відновити системи й дані. Опубліковане в J. P. Morgan щорічне дослідження IBM «Витрати, пов'язані з витоком даних у 2020 році» зазначає, що середня вартість усунення наслідків від атаки програмою-вимагачем у всіх галузях склала 1,27 мільйона доларів.

Шкода репутації

Шкода репутації є ще одним серйозним наслідком атаки програм-вимагачів, оскільки така атака підриває довіру громадськості. Клієнти можуть втратити впевненість у здатності організації захищати свої конфіденційні дані, що призведе до потенційної довгострокової шкоди репутації бренду.

Наприклад, у 2021 році зловмисники-вимагачі викрали у страхової компанії CNA Financial величезну кількість даних, включаючи дані клієнтів. Функціонування компанії призупинилося, а її репутація постраждала. Навіть якщо хакери не вкрадуть ніяких конфіденційних даних, сам факт атаки програми-здирника на компанію, якщо стане публічно відомим, може викликати сумніви у клієнтів і партнерів щодо здатності організації захистити себе.

Правові та нормативні наслідки

Зараження вимагачем може призвести до серйозних юридичних та регуляторних наслідків, включаючи штрафи за відсутність захисту конфіденційних даних. Адже організації повинні дотримуватися законів про захист даних, як-от Загальні правила захисту даних (GDPR) в Європі та Каліфорнійський закон Про захист прав споживачів (CCPA) у Сполучених Штатах.

Несвоєчасне повідомлення про витік даних і невжиття належних заходів безпеки може призвести до штрафів і судових позовів. Наприклад, у 2018 році  у British Airways стався витік даних, хакери отримали доступ до інформації стосовно близько 500 000 клієнтів. Регуляційний орган провів розслідування, і компанія отримала штраф від управління комісара з інформації Великобританії (ICO) відповідно до правил GDPR.

Як запобігти атакам програм-вимагачів

Успішна модель запобігання атак програм-вимагачів передбачає впровадження попереджувальних заходів. До них належать:

• Регулярне резервне копіювання даних. Атака програм-вимагачів не буде ефективною, якщо жертва збереже доступ до своїх даних після злому. Ось чому важливо мати надійну систему резервного копіювання даних, наприклад, засоби відновлення системи на основі програмного забезпечення як послуги (SaaS), щоб втрата даних в результаті атаки програм-шантажистів була мінімальною або взагалі відсутньої. Дуже важливо, щоб злочинці не змогли зашифрувати резервну копію даних. Обов'язково збережіть її у форматі лише для читання, який не може бути модифікований програмою-вимагачем. Зберігайте резервні копії даних в автономному режимі або в захищеному хмарному середовищі, забезпечуючи управління версіями для збереження декількох копій файлів і періодичного тестування резервних копій для підтвердження їх цілісності.
• Навчання співробітників і підвищення поінформованості про кібербезпеку. Регулярні тренінги з кібербезпеки допомагають зменшити вразливість компанії до програм-вимагачів. Навчіть співробітників наступного:
  • Ніколи не переходити за сумнівними посиланнями.
  • Ніколи не відкривати підозрілі й неочікувані вкладення.
  • Ніколи не розкривати конфіденційні дані неперевіреним особам.
  • Перевіряти справжність програмного забезпечення перед його завантаженням.
  • Ніколи не використовувати невідомі USB-накопичувачі.
  • Використовувати VPN під час підключення до загальнодоступної або незахищеної мережі Wi-Fi.
• Аутентифікація користувачів і контроль доступу. Впровадьте безпечні методи аутентифікації користувачів, такі як багатофакторна аутентифікація й суворий контроль доступу. Застосовуйте принцип найменших привілеїв, щоб обмежити доступ користувачів до мінімуму, необхідного для виконання їх робочих обов'язків, і обмежте адміністративний доступ тільки авторизованому персоналу.
• Впровадження безпекових програм й управління виправленнями. Антивіруси та захист від шкідливих програм, рішення для виявлення та реагування на кінцеві точки, шлюзи безпеки електронної пошти та розширення для захисту браузерів допомагають запобігти атакам програм-вимагачів. Своєчасні оновлення програмного забезпечення та виправлення усувають уразливості в програмному забезпеченні, якими можуть скористатися кіберзлочинці. Завдяки оновленням впроваджені засоби безпеки й операційна система будуть оснащені новітньою інформацією про загрози, що підвищить їх здатність виявляти й блокувати наявні й нові версії програм-вимагачів.

Ознаки зараження програмою-вимагачем

Наведемо шість основних ознак зараження програмою-вимагачем, на які треба негайно відреагувати:

• Незрозуміле уповільнення роботи комп'ютерів і мережі. Це один з найбільш ранніх ознак зараження програмою-здирником. Вірус починає своє брудне діло зі сканування пристрою в пошуках місць зберігання файлів, що призводить до уповільнення роботи. Звичайно, робота пристрою може сповільнитися через зниження швидкості інтернету, тому придивіться уважніше, щоб визначити справжню причину.
• Підозрілі зміни у файлах, їх іменах та розташуванні. Якщо змінюються файли або цілі теки, з'являються невідомі файли, а деякі з них не мають розширення, це може свідчити про кібератаку.
• Несанкціоноване вилучення даних. Якщо файли пропадають, розцінюйте це як ознака потенційного злому.
• Нерозпізнане й небажане шифрування файлів. Якщо ви помітили у своїй мережі зашифровані файли, про які ніхто не знає і за які ніхто не несе відповідальності, має вас насторожити.
• Заблокований робочий стіл. Деякі версії програм-вимагачів блокують весь робочий стіл, позбавляючи користувача доступу до комп'ютера або файлів, поки не буде сплачено викуп.
• На екрані спалахує повідомлення, що інформує про атаку. Найбільш очевидною ознакою атаки програми-вимагача є повідомлення на екрані комп'ютера, що інформує про зараження програмою-вимагачем.

Поширені версії програм-шантажистів

Існує безліч сімейств програм-вимагачів, кожне з яких має свій набір ознак. Наведемо приклади найвідоміших програм-вимагачів, які за останні роки завдали найбільшої шкоди:

1. 1.WannaCry (або WanaCrypt0r). У 2017 році версія програми-вимагача WannaCry швидко поширилася мережами, використовуючи вразливість Microsoft Windows відому як EternalBlue. Вірус заразив сотні тисяч комп'ютерів по всьому світу й уразив Національну службу охорони здоров'я Великобританії, завдавши збитків на суму понад 90 мільйонів фунтів стерлінгів.
2. 2.Petya/NotPetya. Варіант Petya з'явився раніше, а у 2017 році його нова версія NotPetya виявилася особливо руйнівною. Вона вразила комп'ютери з Windows в Європі й США. Вірус шифрував не просто файли, а головний завантажувальний запис, що завдало більше системне пошкодження й безповоротне видалення файлів.
3. 3.CryptoWall. Це один з найбільш стійких типів програм-вимагачів. Він шифрує дані користувача, а потім вимагає оплату в криптовалюті в якості викупу за їх відновлення.
4. 4.Ryuk. Вважається, що Ryuk пов'язаний з групою Lazarus у Північній Кореї. Атакуючи великі підприємства, лікарні та правоохоронні заклади, він вимагає великі викупи, в основному в біткоїнах. Вірус здійснив багато гучних атак, особливо в США.
5. 5.GandCrab. Вірус діяв у період з 2018 по 2019 рік і був одним з найпоширеніших штамів "програм-вимагачів як сервісу" (RaaS). RaaS – це кримінальна бізнес-модель, при якій групи вимагачів створюють програми-вимагачі та дозволяють іншим людям, які навіть не мають достатніх технічних навичок, здійснювати атаки з використанням програм-вимагачів за певний відсоток від суми викупу.
6. 6.REvil (або Sodinokibi). Ще один приклад моделі "програма-вимагач як послуга". REvil несе відповідальність за кілька гучних атак, включаючи ІТ-компанію Kaseya у 2021 році. Атака була прикладом моделі подвійного вимагання, при якій злочинці не тільки шифрують дані жертви, але й публікують їх у відкритий доступ, якщо жертва не заплатить.
7. 7.Dharma (або CrySiS). Ця програма-вимагач націлена на системи Windows, вона має кілька варіантів. Crysis зазвичай проникає в системи через відкриті порти протоколу віддаленого робочого столу (RDP). Вірус відомий своїми частими оновленнями та здатністю ховатись.
8. 8.Locky. З'явившись у 2016 році, Locky став одним з найпоширеніших типів програм-шантажистів, варіанти й тактики якого з'являються й досі. Locky поширювався через шкідливі вкладення. Як правило, атакований документ Word обманює користувачів увімкнути макроси, які, в свою чергу, запускають троянську програму, яка шифрує файли жертви.
9. 9.Cerber. Ця програма-вимагач виділялася тим, що використовувала перетворення тексту в мову для "зчитування" свого листа з вимогою викупу. Його творці продавали Cerber як" програмне забезпечення як послугу (SaaS) " іншим кіберзлочинцям за певний відсоток своїх доходів.
10. 10.Maze. Діючи протягом 2019 та 2020 років, Maze був піонером у застосуванні тактики подвійного вимагання. Вірус поширювався за допомогою фішингу електронною поштою та точкових фішингових атак.
11. 11.NetWalker. NetWalker – ще один приклад програми-вимагача з подвійним вимаганням. Він поширився під час пандемії COVID-19, в основному вражаючи організації, які беруть участь у боротьбі з пандемією.
12. 12.DarkSide. Ще один приклад "програми-вимагача як сервісу". Поширювався Darkside хакерами через слабкі місця в протоколах віддаленого робочого столу (RDP). Це угруповання взяло на себе відповідальність за напад на колоніальний трубопровід у травні 2021 року, що призвело до нестачі палива в деяких частинах США.
13. 13.GoodWill. Вперше була виявлена у 2022 році. Це сучасна програма-вимагач, яка відрізняється своєю метою: замість оплати група програм-вимагачів вимагає від своїх жертв вчинити акт доброти на користь бідних.

Як реагувати на атаку програмою-вимагачем

Якщо, попри всі зусилля, ви або ваша компанія зазнали атаки програмою-вимагачем, необхідно вжити наступних заходів. Водночас переконайтеся, що маєте справу не просто зі шкідливим ПЗ, а саме з програмою-вимагачем.

1. 1.Ізолюйте заражену систему. Негайно відключіть заражений пристрій від мережі, щоб запобігти поширенню програми-шантажиста.
2. 2.Не платіть викуп. Немає ніяких гарантій, що ви отримаєте від хакерів ключ розшифровки, а внесений викуп тільки підбадьорить їх до продовження своєї злочинної діяльності.
3. 3.Повідомте про те, що трапилося. Повідомте ІТ-відділ своєї організації та місцеві правоохоронні органи про атаку. Повідомте потенційно постраждалих сторін, включаючи співробітників, клієнтів та партнерів, про інцидент та зусилля з відновлення.
4. 4.Оцініть збитки. Оцініть масштаб атаки, визначивши, які системи та дані постраждали.
5. 5.Забезпечте дотримання законів та нормативних актів про повідомлення про порушення даних.
6. 6.Спробуйте відновити дані. Відновіть пошкоджені файли з резервних копій, на які не впливають програми-вимагачі, якщо такі є.
7. 7.Видаліть програму-вимагача з системи, усуньте всі уразливості й підсильте заходи безпеки.

Як видалити програму-шантажиста

Наступні дії щодо видалення програм-вимагачів зі своїх систем можуть зробити як окремі користувачі, так і організації:

• Ізолюйте заражений пристрій (пристрої). Щоб запобігти поширенню програми-вимагача, від’єднайте вразливі пристрої від будь-яких дротових або бездротових з'єднань, включаючи Інтернет, мережі, мобільні пристрої, флеш-накопичувачі, зовнішні жорсткі диски та хмарні сховища. Перевірте, чи не були заражені підключені пристрої.
• Визначте тип програми-вимагача. Визначення типу програми-вимагача, що напала на ваш пристрій, може допомогти її видалити. Можливо, вам доведеться показати пристрій спеціалісту з кібербезпеки або скористатися спеціальним програмним забезпеченням для діагностики.
• Видаліть програму-вимагача. Перевірте, чи програма-вимагач ще на вашому пристрої, адже іноді після успішного зараження вона самостійно видаляється. Якщо вірус все ще там, скористайтеся антивірусом для захисту від шкідливих програм і програм-вимагачів, щоб помістити шкідливе ПЗ на карантин або видалити його. Радимо також звернутися до фахівця з кібербезпеки, який допоможе знайти й видалити файл-вимагач вручну, оскільки це не завжди легко.
• Відновіть дані з резервної копії. При наявності незаражених резервних копій відновіть стан системи до того, як вона була заражена програмою-вимагачем. Перевірте, щоб самі резервні копії не містили шкідливих програм.

Чи можна відновити файли після атаки програми-шантажиста?

Відновити файли після атаки програм-вимагачів можна, якщо є актуальні резервні копії, захищені від впливу програм-вимагачів. Відновити зашифровані файли можна спробувати за допомогою інструменту розшифровки. Щоб його отримати, необхідно буде виконати онлайн-пошук, звернутися в правоохоронні органи або в компанії з кібербезпеки, що надають послуги з видалення програм-вимагачів.

Висновок

Атак програм-вимагачів зазнають як окремі користувачі, так і організації. Деякі види програм-вимагачів можуть проникнути навіть через найнадійнішу систему кібербезпеки – достатньо тільки одного необережного клацання по шкідливому вкладенню. Тому найкраще навчитися правил безпечної поведінки в Інтернеті й реагувати відразу ж, як тільки стали помітні перші ознаки потенційної атаки.