Шифровальщики: не платить, а защищаться
Киберпреступники бывают разные, и цели, которые они преследуют, также существенно различаются. В прошлый раз[1] мы рассказывали о целевых атаках, сложных и дорогостоящих, чья подготовка порой занимает много месяцев. Целью подобных атак является как дестабилизация работы конкретной компании, так и дискредитация, похищение чувствительной или критически важной для бизнеса информации. Однако большинству злоумышленников не нужны данные: они просто хотят получить деньги, причем не заоблачные суммы, а вполне подъемные и даже малозаметные, особенно если речь идет о компаниях и корпорациях. В этом случае осуществляются массовые атаки, нацеленные на несколько жертв, из которых одна или две наверняка пренебрегают правилами информационной безопасности, поэтому вполне могут «заразиться» и распространить вредоносный код дальше.
Утром деньги – вечером файлы
Наиболее известный пример таких массовых атак связан с распространением вирусов-шифровальщиков, кодирующих отдельные файлы, папки, блокирующих работу веб-браузеров и других приложений, либо весь диск компьютера, а затем требующих перевести злоумышленникам выкуп за ключ расшифровки. Появились они уже довольно давно, первые упоминания о программах-вымогателях относятся к первой половине 2000-х годов. Однако о настоящих эпидемиях шифровальщиков мирового масштаба заговорили в 2016–2017 годах. Зловреды WannaCry, NotPetya и BadRabbit получили широкую известность за пределами ИТ- и ИБ-сообщества, о них говорили и писали все СМИ. Эти шифровальщики требовали выкупа в биткойнах: первые два предлагали перевести криптовалюту на сумму $300 за зараженное устройство, а последний – 0,05 биткойна, что на момент атаки составляло $283. В так называемом даркнете зародилась и успешно развивается модель RaaS (Ransomware as a Service), позволяющая самостоятельно, без навыков программирования, сконструировать вредоносное ПО и организовать атаку. Можно даже найти бесплатные варианты подобных «сервисов».
Доверяй, но проверяй
Мы не будем подробно рассматривать варианты распространения шифровальщиков и вымогателей. Чаще всего источником проникновения служат фишинговые рассылки, спам, переход по сомнительным адресам или открытие писем от неизвестных отправителей, содержащих такие ссылки, ложные обновления программ и компонентов, таких как Adobe Flash Player, Oracle Java, и других. Нередко компании, особенно крупные, заражались и заражаются от своих партнеров, небольших организаций, где уровень информационной безопасности заметно ниже, где зачастую даже нет выделенных ИБ-специалистов. При этом сотрудники данного партнера или подрядчика, как доверенные лица, имеют доступ к ИТ-инфраструктуре и к информационным системам компании. Чаще всего шифровальщиками заражаются устройства, работающие на базе операционных систем Windows и Android, как наиболее распространенных, однако зафиксированы случаи заражения и других ОС, например, Linux. Злоумышленники, специализирующиеся на написании шифровальщиков или модификации кода уже существующего вредоносного ПО, используют информацию об уязвимостях операционных систем, как уже известных и исправленных разработчиками, так и новейших, «нулевого дня». Последние случаи, правда, значительно реже.
Мне нужен твой процессор, память и жесткий диск
В последний год обнаружилась любопытная тенденция, о которой говорят ИБ-эксперты. Обычных, классических программ-вымогателей становится все меньше, а на их место приходят майнеры криптовалют. Как известно, майнинг требует значительных вычислительных ресурсов, и эти требования постоянно растут. А потому злоумышленникам проще создать распределенную сеть из зараженных компьютеров для генерации новой криптовалюты, чем строить собственные майнинговые фермы.
По данным «Лаборатории Касперского», полученным в ходе анализа информации от сети Kaspersky Security Network (KSN), общее количество пользователей, столкнувшихся с вымогателями, в 2017–2018 годы упало почти на 30% по сравнению с 2016–2017 годами: с 2 581 026 до 1 811 937, а доля пользователей, подвергнувшихся атаке шифровальщиков, сократилось почти вдвое – с 1 152 299 в 2016–2017 годы до 751 606 в 2017–2018 годы. С другой стороны, на 44,5% выросло число пользователей, атакованных вредоносными программами-майнерами: с 1 899 236 в 2016–2017 годы до 2 735 611 в 2017–2018 годы.
2018 год: эпидемий нет, но расслабляться рано
В текущем году пока не зафиксировано каких-либо глобальных эпидемий, связанных с распространением шифровальщиков. Наиболее заметным событием стал вымогатель GandCrab, который требовал выкуп в криптовалюте, а для командных серверов использовал доменную зону .bit. Успешно развивается модель RaaS, о которой мы говорили выше. В феврале специалисты зафиксировали появление нового шифровальщика – Data Keeper, в распространении которого мог поучаствовать каждый. Его разработчики в сети Tor предоставили возможность генерировать исполняемые файлы троянца для последующей рассылки участниками «партнерской программы».
Лучшее лечение – профилактика
Установка всех актуальных обновлений, наличие современных средств защиты сети и рабочих станций, регулярное резервное копирование, а также элементарные правила «информационной гигиены» позволят избежать последствий заражения не только шифровальщиками, но и другими вредоносными программами, которые распространяются злоумышленниками в ходе массовых атак. Ведущие разработчики средств информационной безопасности, в частности «Лаборатория Касперского», рекомендуют в качестве профилактической защиты использовать не только стандартные средства и антивирусное ПО, но и специальные утилиты, способные проверить систему на наличие уже проникших в нее шифровальщиков, а затем нейтрализовать их прежде, чем они нанесут какой-либо вред. Если заражение уже случилось, не нужно платить злоумышленникам за расшифровку файлов. Многие заплатившие компании так и не получили доступ к своим данным. Специальные утилиты от ведущих антивирусных компаний в некоторых случаях помогают расшифровать зараженные файлы. Если не удалось провести эту операцию самостоятельно, следует обратиться к разработчику антивирусного ПО для анализа и расшифровки. Многие ИБ-разработчики предлагают подобную услугу для пользователей своих лицензионных продуктов. Отметим, что далеко не всегда файлы можно восстановить, поэтому проактивные меры защиты остаются самыми эффективными. Главное — это не допустить зловреда до устройства.
[1] IT Manager №6, 2018 «Контрразведка в вашей сети».
Опубликовано 02.08.2018