Почему мы проиграли вирусам-вымогателям и почему можем проиграть снова

Атаки вирусов-вымогателей по-прежнему остаются одной из самых значимых угроз информационной безопасности. Их опасность в том, что они поражают медицинские учреждения, банки, университеты, правительственные и юридические организации по всему миру.

Почему же, несмотря на то, что такие вирусы широко известны, атаки происходят почти каждый день и в большинстве случаев являются успешными? Причина проста: киберпреступники не жалеют сил на модификацию кода и используют все доступные средства его внедрения. Зачем? Потому что это отличный способ быстро заработать. По данным компании Google, за последние 2 года киберпреступники заработали на вымогателях более 25 миллионов долларов США.

Эволюция и типы вирусов-вымогателей.

В 2017 году информация о вирусах-вымогателях стала появляться на новостных каналах по всему миру. В реальности же, подобные вирусы гораздо старше - первый зафиксированный случай заражения ransomware (английский термин для подобных вирусов) был зафиксирован в 1989 году, то есть 28 лет назад.

Естественно, что со времен AIDS Trojan (именно так назывался первый вирус-вымогатель) подобные вредоносные программы стали сложнее и разнообразнее. Сегодня существует 2 основных типа:

  • Вирусы-шифровальщики (datalockers). Содержат в себе алгоритм шифрования, который применяют к файлам на зараженном компьютере. После заражения пользователю предлагается отправить деньги для получения ключа для дешифрования. Примеры таких вирусов: CryptoLocker, Locky, CryptoWall.
  • Вирусы-блокировщики (computer locker). Именно такие вирусы попали в центр внимания в этом году. Принцип их работы заключается в том, что они блокируют операционную систему на устройстве и не позволяют получить доступ к программам и файлам, пока жертва взлома не переведёт определенную сумму денег. К этому типу относятся вирусы из семейств Petya и Satana.

Другие типы вымогателей заражают загрузочные секторы жестких дисков, мобильные устройства и даже серверы. Их жертвой может стать любой человек или организация. Поэтому очень важно заблаговременно позаботиться о защите и резервном копировании данных.

Как распространяется вредоносный код

Киберпреступники ищут самые разные пути для заражения устройств. Если вы ни разу не становились жертвой подобных атак, вам серьёзно повезло. Для обеспечения максимальной защиты очень важно использовать поведенческий анализ программ и устанавливать все необходимые обновления.

Хакеры всегда стараются использовать самые простые способы заражения, которые зачастую зависят от невнимательности пользователя устройства.

Основными методами распространения вредоносного кода являются:

  • электронная почта, содержащая вредоносные ссылки или вложения;
  • уязвимости в различных программах и операционных системах;
  • перенаправление посетителей сайтов на вредоносные ресурсы;
  • доверенные веб-сайты с внедренным на них вредоносным кодом;
  • текстовые сообщения (SMS и мессенджеры);
  • Интернет-боты;
  • распространение с одного компьютера на другой с помощью портативных устройств или локальных сетей.

Методы вымогателей совершенствуются с каждым днем, к ним добавляются другие, в том числе и социальный инжиниринг (психологические манипуляции).

Обычно заражение происходит быстро и незаметно, поэтому пользователь узнаёт о заражении своего компьютера вирусом только когда видит такое или похожее сообщение:

Кто является целью?

В свете последних событий, нам часто задают вопрос “кто обычно становится жертвой мошенников?”

Если ответить одним словом, то “Все”: малый и крупный бизнес, обычные пользователи, общественные организации. Потенциальный интерес для атаки на ваши ресурсы зависит от того, насколько ценными являются данные на вашем устройстве, насколько хорошо оно защищено, как быстро вы сможете выплатить “выкуп” и от других факторов.

Какие организации наиболее привлекательны для преступников

  • Сектор здравоохранения, в особенности больницы, являются основными целями для атак вымогателей. Согласно докладу Verizon Data Breach Investigations, на этот сектор пришлось 72% всех подобных атак.

Причины уязвимости: Базы данных больниц зачастую содержат сведения, от которых зависят сотни жизней, чем и пользуются злоумышленники. Известны случаи, когда медицинские учреждения платили за ключи дешифрования 17 000 долларов.

2. Правительственный сектор. Здесь также находятся привлекательные цели для вымогателей.

Причины уязвимости: Преступники понимают, что любые учреждения в государственном секторе должны функционировать без сбоев, кроме того, они финансируются из бюджета. В результате, преступники почти гарантированно получают требуемые суммы. Именно правительственный сектор Украины пострадал от недавней активности вируса Petya.

3. Образовательные учреждения в прошлом являлись безусловным лидером по количеству атак вирусов-вымогателей.

Причины уязвимости: Слабая защита и большое количество пользователей, которые подключаются каждый день с различных устройств. Многие из этих пользователей достаточно молоды, поэтому социальный инжиниринг здесь особенно эффективен.

4. Юридические организации.

Причины уязвимости: юридические фирмы также хранят персональные данные своих клиентов на незащищёных компьютерных системах и обычно располагают достаточными средствами для уплаты “выкупа”.

5. Пользователи мобильных устройств.

В докладе Лаборатории Касперского отмечается, что только за первую четверть 2017 года на различных платформах было выявлено 218 625 мобильных программ-вымогателей.

Причины уязвимости: количество смартфонов неуклонно растет, а средств их защиты не так много. Возможно, далеко не все пользователи смогут выплатить суммы, которые требуют мошенники, но в данном случае количество для них важнее качества.

Атаки вирусов-вымогателей в 2017 году

Май и июнь 2017 года стали “черными месяцами” для большинства систем информационной защиты и грозным напоминанием о важности проактивной защиты и постоянного обновления программ.

Атаки вируса WannaCry начались в мае, в результате были заражены сотни тысяч компьютеров в более чем 100 странах. Вирус распространялся быстро, так как использовал общую для Windows-систем уязвимость.

Месяцем позже, вирус Petya (Petya.A, Petya.D, PetrWrap) начал распространяться, используя все ту же уязвимость, однако, в отличие от WannaCry, он обладал функцией самокопирования. Вирус использовал различные методы для того чтобы зашифровать как можно больше данных, включая загрузочные секторы жесткого диска (MBR records). Более того, вирус успешно распространялся внутри ИТ-инфраструктуры, в которой логины и пароли хранились на одном и том же ресурсе и даже не были защищены.

Жертвами вируса стали крупные организации, включая Рено и Mondelez, банки и больницы по всему миру.

Почему вирусы так эффективны?

Учитывая масштабы атак, вопрос вполне естественный.

Основная причина заключается в том, что пользователи — и частные лица, и компании — готовы платить и платят любые деньги, чтобы не потерять свою информацию. Многие эксперты рекомендуют воздержаться от совершения каких-либо выплат мошенникам, так как деньги станут для них дополнительным стимулом. Гарантий того, что ваши данные будут восстановлены, нет, а пользователь или организация, заплатившая однажды, становится потенциальной жертвой для будущих атак.

Существуют и другие причины, а именно:

  • Развитие биткоинов. Так как торговля любыми видами криптовалют пока слабо регулируются во многих странах, а их цена достаточно высока, то преступники могут получать значительные суммы денег за короткий промежуток времени без риска быть обнаруженными.
  • Большое количество уязвимостей в программах и приложениях. Не всегда уязвимости обнаруживают и устраняют достаточно быстро, поэтому большинство программ отлично подходит для заражения.
  • Уязвимости в операционных системах также не редкость. Именно они обеспечили успех атак 2017 года.
  • Еще одной причиной является отсутствие средств восстановления данных у многих компаний. Именно страх потери информации вынуждает их платить мошенникам.
  • Устаревшая инфраструктура многих компаний — основная причина их уязвимости. Устаревшая аппаратура и программы, которые не могут обновиться из-за несоответствия технических характеристик оборудования — все это облегчает задачу злоумышленникам.
  • Отсутствие у пользователей базовых знаний в области информационной безопасности. Значительной частью своего успеха вирусы обязаны человеческому фактору. Люди по-прежнему кликают на вредоносные ссылки и устанавливают незнакомые программы из непроверенных источников.
  • Отсутствие ПО для защиты информации. Далеко не все компании используют ПО для защиты от атак или полагаются на недостаточно эффективные решения. Желание сэкономить на защите часто заканчивается в таких случаях еще более крупными финансовыми потерями. Как известно, “скупой платит дважды”.
  • Важной причиной является и то, что вирусы-вымогатели (ransomware) постоянно совершенствуются, используют новые уязвимости, лучше скрываются и защищаются от антивирусных программ.

Как защититься от вирусов: чек-лист для бизнеса

Далеко не все предприятия смогли восстановиться после атак 2017 года, многие понесли существенные убытки. Чтобы не повторить их ошибок, ответьте на следующие вопросы:

  • Используете ли вы ПО с функцией многоуровневой проактивной защиты данных, например, TrapX Deceptiongrid™?
  • Проводите ли вы регулярное резервное копирование данных? О том, как и почему это надо делать, читайте здесь.
  • Применяете ли вы сетевые экраны и фильтры, запрещающие доступ к вредоносным сайтам?
  • Проводите ли вы обучение сотрудников с целью обеспечения безопасности данных?
  • Используете ли вы корпоративные сети Wi-Fi?
  • Устанавливаете ли вы регулярные обновления операционной системы?
  • Регулярно ли вы обновляете сторонние программы?
  • Ограничиваете ли вы доступ сотрудников к информации и их привилегии при использовании корпоративных компьютеров?

Если вы ответили отрицательно хотя бы на один из этих вопросов — ваша компания находится в зоне риска.

Будущее вирусов-вымогателей: что будет дальше?

Вредоносные программы типа WannaCry стали сегодня не просто модным трендом, они превратились в сверхприбыльную модель бизнеса.

У вымогателей долгая история, а с учетом известности, которую они приобрели за последний год, мы можем уверенно сказать, что развитие подобных программ будет продолжаться. Это может значить только одно: рядовые пользователи и крупные компании по-прежнему подвергаются опасности. Вирусы будут становиться более продвинутыми, а целями хакеров будет становиться всё больше компаний из разных сфер деятельности.

Чем больше устройств будет заражено в результате атаки, тем быстрее злоумышленники получат прибыль и тем больше будет её размер. Если в руки преступников попадет действительно ценная информация, то у них окажется прекрасный материал для шантажа.

Мы рекомендуем каждой компании заботиться о собственной защите, не скупиться на оборудование и программное обеспечение и обучать своих сотрудников, потому что именно обучение является основой безопасности в Интернете.

По мнению экспертов IDC, количество атак в 2018 году может увеличиться вдвое, при этом основной целью станет сектор здравоохранения. В исследовании компании Imperva сообщается, что, кроме блокировщиков и шифровальщиков, появятся вирусы, способные целенаправленно повреждать данные или передавать их на сторонние ресурсы.

Кроме того, в 2018 ожидается увеличение количества вредоносных приложений, которые могут находиться в Google Apps, iStore и других источниках.

Несмотря на то, что законодательство многих стран, в том числе и российское, дополняется и изменяется с целью более эффективного противостояния киберугрозам, основная ответственность за информационную безопасность лежит на руководителях и сотрудниках самой компании.

22
6 комментариев

Атака вируса-вымогателя должна сводится к следующему: ох, вирус! Переставляем систему ... 3 часа ... ок, работаем дальше!

1
Ответить

При условии, что есть бэкап данных. Иначе система будет: ох, вирус! Переставляем систему ... 3 часа ... данных нет ... масса времени на восстановление

1
Ответить

Я тоже ни разу не попадал на такие вирусы.
Но я читал, что они шифруют данные.

1
Ответить

Если пользователь кликнул на закладку, поздно что-то делать. От таких поступков при большом штате сотрудников никто не застрахован. Вопрос стоит, что делать дальше, когда вирус начинает распространение внутри? Были ли разграничены пароли и учётные записи? Или "ключи от замка хранятся под ковриком"?
Сайбер решает эти проблемы легко. И есть ещё "волшебник" TrapX: сидишь себе и смотришь, как "доброжелатели" стучатся к тебе со всех сторон в клонированные цели. Но это уже другое решение - для превентивного анализа хакерских атак.

1
Ответить