УправлениеБезопасность

Шифровальщики: не платить, а защищаться

Григорий Рудницкий | 02.08.2018

Шифровальщики: не платить, а защищаться

Злоумышленникам проще создать распределенную сеть из зараженных компьютеров для генерации новой криптовалюты, чем строить собственные майнинговые ферм

Киберпреступники бывают разные, и цели, которые они преследуют, также существенно различаются. В прошлый раз[1] мы рассказывали о целевых атаках, сложных и дорогостоящих, чья подготовка порой занимает много месяцев. Целью подобных атак является как дестабилизация работы конкретной компании, так и дискредитация, похищение чувствительной или критически важной для бизнеса информации. Однако большинству злоумышленников не нужны данные: они просто хотят получить деньги, причем не заоблачные суммы, а вполне подъемные и даже малозаметные, особенно если речь идет о компаниях и корпорациях. В этом случае осуществляются массовые атаки, нацеленные на несколько жертв, из которых одна или две наверняка пренебрегают правилами информационной безопасности, поэтому вполне могут «заразиться» и распространить вредоносный код дальше.

Утром деньги – вечером файлы

Наиболее известный пример таких массовых атак связан с распространением вирусов-шифровальщиков, кодирующих отдельные файлы, папки, блокирующих работу веб-браузеров и других приложений, либо весь диск компьютера, а затем требующих перевести злоумышленникам выкуп за ключ расшифровки. Появились они уже довольно давно, первые упоминания о программах-вымогателях относятся к первой половине 2000-х годов. Однако о настоящих эпидемиях шифровальщиков мирового масштаба заговорили в 2016–2017 годах. Зловреды WannaCry, NotPetya и BadRabbit получили широкую известность за пределами ИТ- и ИБ-сообщества, о них говорили и писали все СМИ. Эти шифровальщики требовали выкупа в биткойнах: первые два предлагали перевести криптовалюту на сумму $300 за зараженное устройство, а последний – 0,05 биткойна, что на момент атаки составляло $283. В так называемом даркнете зародилась и успешно развивается модель RaaS (Ransomware as a Service), позволяющая самостоятельно, без навыков программирования, сконструировать вредоносное ПО и организовать атаку. Можно даже найти бесплатные варианты подобных «сервисов».

Доверяй, но проверяй

Мы не будем подробно рассматривать варианты распространения шифровальщиков и вымогателей. Чаще всего источником проникновения служат фишинговые рассылки, спам, переход по сомнительным адресам или открытие писем от неизвестных отправителей, содержащих такие ссылки, ложные обновления программ и компонентов, таких как Adobe Flash Player, Oracle Java, и других. Нередко компании, особенно крупные, заражались и заражаются от своих партнеров, небольших организаций, где уровень информационной безопасности заметно ниже, где зачастую даже нет выделенных ИБ-специалистов. При этом сотрудники данного партнера или подрядчика, как доверенные лица, имеют доступ к ИТ-инфраструктуре и к информационным системам компании. Чаще всего шифровальщиками заражаются устройства, работающие на базе операционных систем Windows и Android, как наиболее распространенных, однако зафиксированы случаи заражения и других ОС, например, Linux. Злоумышленники, специализирующиеся на написании шифровальщиков или модификации кода уже существующего вредоносного ПО, используют информацию об уязвимостях операционных систем, как уже известных и исправленных разработчиками, так и новейших, «нулевого дня». Последние случаи, правда, значительно реже.

Мне нужен твой процессор, память и жесткий диск

В последний год обнаружилась любопытная тенденция, о которой говорят ИБ-эксперты. Обычных, классических программ-вымогателей становится все меньше, а на их место приходят майнеры криптовалют. Как известно, майнинг требует значительных вычислительных ресурсов, и эти требования постоянно растут. А потому злоумышленникам проще создать распределенную сеть из зараженных компьютеров для генерации новой криптовалюты, чем строить собственные майнинговые фермы.

По данным «Лаборатории Касперского», полученным в ходе анализа информации от сети Kaspersky Security Network (KSN), общее количество пользователей, столкнувшихся с вымогателями, в 2017–2018 годы упало почти на 30% по сравнению с 2016–2017 годами: с 2 581 026 до 1 811 937, а доля пользователей, подвергнувшихся атаке шифровальщиков, сократилось почти вдвое – с 1 152 299 в 2016–2017 годы до 751 606 в 2017–2018 годы. С другой стороны, на 44,5% выросло число пользователей, атакованных вредоносными программами-майнерами: с 1 899 236 в 2016–2017 годы до 2 735 611 в 2017–2018 годы.

2018 год: эпидемий нет, но расслабляться рано

В текущем году пока не зафиксировано каких-либо глобальных эпидемий, связанных с распространением шифровальщиков. Наиболее заметным событием стал вымогатель GandCrab, который требовал выкуп в криптовалюте, а для командных серверов использовал доменную зону .bit. Успешно развивается модель RaaS, о которой мы говорили выше. В феврале специалисты зафиксировали появление нового шифровальщика – Data Keeper, в распространении которого мог поучаствовать каждый. Его разработчики в сети Tor предоставили возможность генерировать исполняемые файлы троянца для последующей рассылки участниками «партнерской программы».

Лучшее лечение – профилактика

Установка всех актуальных обновлений, наличие современных средств защиты сети и рабочих станций, регулярное резервное копирование, а также элементарные правила «информационной гигиены» позволят избежать последствий заражения не только шифровальщиками, но и другими вредоносными программами, которые распространяются злоумышленниками в ходе массовых атак. Ведущие разработчики средств информационной безопасности, в частности «Лаборатория Касперского», рекомендуют в качестве профилактической защиты использовать не только стандартные средства и антивирусное ПО, но и специальные утилиты, способные проверить систему на наличие уже проникших в нее шифровальщиков, а затем нейтрализовать их прежде, чем они нанесут какой-либо вред. Если заражение уже случилось, не нужно платить злоумышленникам за расшифровку файлов. Многие заплатившие компании так и не получили доступ к своим данным. Специальные утилиты от ведущих антивирусных компаний в некоторых случаях помогают расшифровать зараженные файлы. Если не удалось провести эту операцию самостоятельно, следует обратиться к разработчику антивирусного ПО для анализа и расшифровки. Многие ИБ-разработчики предлагают подобную услугу для пользователей своих лицензионных продуктов. Отметим, что далеко не всегда файлы можно восстановить, поэтому проактивные меры защиты остаются самыми эффективными. Главное — это не допустить зловреда до устройства.

 

 




[1] IT Manager №6, 2018 «Контрразведка в вашей сети».



Киберугрозы Безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 07/2018], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00