Блог

Кількість атак з використання програм-вимагачів зростає. Згідно з дослідженнями, кількість таких атак у 2021 році зросла у 2 рази. Найбільш цільовим регіоном для таких атак є Східноєвропейські країни. Їхня частка становить 55% від загальної кількості випадків зараження шкідливим ПЗ.

Програми-вимагачі – це шкідливе ПЗ, що шифрує файли, бази даних та програми жертви і утримує їх з метою викупу. Після зараження жертва отримує повідомлення про можливість розшифрувати дані, виплативши викуп. Зазвичай викуп виплачується у криптовалюті. Програми-здирники також можуть використовувати техніку потрійного здирництва, що допомагає створити «цифрового заручника». Тобто злочинець отримує копії даних жертви перед процесом шифрування, які пізніше обіцяє оприлюднити, якщо жертва відмовиться від викупу.

Програми-вимагачі як послуга (RaaS) – це модель на основі передплати. Така модель дозволяє афілійованим особам використовувати готові інструменти програм-вимагачів для здійснення атаки. Від кожної успішної атаки та виплаченого викупу партнери одержують відсоток. RaaS (Ransomware-as-a-service) виявився ефективним способом збільшити прибуток, що допомогло трансформувати діджитал здирництво на успішний і процвітаючий бізнес.

RaaS побудоване за принципом SaaS (програмне забезпечення як послуга), що полегшує процес здійснення атаки. Як і SaaS, RaaS не вимагає від користувачів спеціальних навичок та досвіду. Навіть недосвідчені хакери можуть виконувати складні кібератаки. Програмне забезпечення RaaS має високу ймовірність успішного проникнення та низьку ймовірність виявлення. Низький технічний бар’єр входу та величезний потенціал заробітку роблять рішення RaaS популярними, що збільшує кількість жертв.

Рішення RaaS дає партнерам високі дивіденди. Користувачі можуть реєструватися з одноразовою оплатою, а також із щомісячною підпискою. Їм надається документація з покроковою інструкцією із запуску атак. Деякі дистриб’ютори надають панель керування для відстеження статусу кожної атаки із зараженням програм-вимагачів. Залучення партнерів відбувається у даркнеті.

Більшість зломів відбувається за допомогою фішингових атак (метод крадіжки конфіденційної інформації). Жертві надсилається електронний лист, який містить посилання. Переходячи за цим посиланням, жертва несвідомо активує завантаження шкідливого програмного забезпечення. Листи виглядають дуже переконливо, тож частіше жертва ведеться на провокацію.

Після завантаження програма-вимагач відключає брандмауери та антивірусні програми, а також може ініціювати завантаження додаткових компонентів. Таким чином, шкідлива програма може вільно і непомітно поширюватися, і шифрувати файли жертви, що робить їх недоступними. Із завершенням атаки починається здирство. Жертва отримує TXT-файл із текстом про викуп в обмін на ключ дешифрування. Злочинці також можуть загрожувати жертві опублікувати дані в даркнеті, якщо платіж не буде здійснено у визначений термін.

Оскільки даркнет є злочинною мережу, будь-який витік інформації може надати вільний доступ до конфіденційних даних та даних клієнтів. Такі наслідки змушують жертву підкорятися вимогам злочинців. Виплати здійснюються через даркнет за допомогою спеціального платіжного шлюзу.

Найкращим засобом захисту від атак програмами-вимагачами – це комбінація навчання персоналу, засобів захисту та постійного моніторингу системи щодо вразливостей.

Рекомендації щодо захисту:

• Контроль усіх запитів на підключення до кінцевих точок, встановлення процесів перевірки;
• Навчання персоналу як визначати фішингові атаки, навчання із соціальної інженерії;
• Налаштування DKIM та DMARC для неможливості використання злочинцями домену для фішингових атак;
• Моніторинг та усунення вразливостей;
• Контроль за станом безпеки партнерів для запобігання злому третіми особами;
• Регулярне резервне копіювання;
• Використання антивірусних та антишкідливих рішень.