Блог

Паралельно з розвитком Інтернету та технологій відбувається розвиток кібератак. З кожним разом кіберзлочинці розробляють нові складніші та небезпечніші способи використання мереж та серверів. Атаки програмою з подвійним здирництвом вперше з’явилися в 2020 році, і зараз є серйозною загрозою для великих компаній та організацій. Її дії можуть призвести до руйнівних наслідків, тому забезпечення безпеки компанії є найвищим пріоритетом.

Програма-вимагач – шкідливе програмне забезпечення, яке краде дані, шифрує їх і потім вимагає за них викуп. Сума викупу може становити від сотень до мільйонів доларів. Здебільшого оплата викупу відбувається у криптовалюті.

Більше інформації про програми-вимагачі можна дізнатися тут

Атака програмою-вимагачем із подвійним здирництвом – це новий рівень «традиційної» атаки програмою-вимагачем. У цьому випадку кіберзлочинець також використовує дані жертви, файли, сервер тощо, шифрує їх і вимагає викуп. Однак у випадку з подвійним здирством кіберзлочинець загрожує опублікувати/продати конфіденційні дані жертви в даркнеті, якщо викуп не буде виплачений у зазначені терміни. Резервні копії можуть допомогти у питанні відновлення даних, але збитки від попадання конфіденційної інформації в даркнет не зменшує.

Зазвичай зловмисники обирають в якості своєї жертви медичні установи, школи та інші навчальні заклади, юридичні організації тощо, де зберігається великий обсяг конфіденційної інформації. Компрометація таких даних може зруйнувати і організації, і людей. Саме це робить атаки з подвійним здирством такими небезпечними.

Злочинні способи отримання доступу до конфіденційних даних:

• Фішингові атаки;
• Шкідливе ПЗ;
• Використання вразливостей;
• Брутфорс-атаки;
• Витік даних;
• Крадіжка облікових даних;

Найпопулярніші програми-здирники з подвійним здирництвом:

1. Netwalker Ransomware – шкідливе програмне забезпечення для операційної системи Windows, яке шифрує та переміщає дані та після вимагає викуп;
2. Egregor Ransomware – програма зламує конфіденційні дані, шифрує їх та вимагає за них виплати викупу протягом 3 днів. Також частина даних публікується в даркнеті як доказ, що дані у злочинця;
3. Ransomware as a service (RaaS) – модель програми-вимагача на основі підписки для афілійованих осіб. Партнери використовують набір інструментів для проведення атаки, і у разі успіху отримують відсоток від викупу;
4. Sodinokibi (Ransomware Evil) – програма-вимагач, яка шифрує дані, а потім видаляє повідомлення про викуп;
5. Conti – досить небезпечний тип атаки через швидкість шифрування, дуже швидко поширюється та заражає інші системи.

Послідовність здійснення атаки програмою-вимагачем з подвійним здирництвом:

• Отримання доступу до системи жертви;
• Дослідження мережі зловмисником щодо конфіденційних даних;
• Вилучення даних;
• Розгортання програми-вимагача у системі жертви;
• Шифрування даних;
• Відмова жертві у доступі до даних;
• Вимога та умови викупу;
• У разі виплати викупу дані мають бути повернені власнику та надано доступ;
• У разі відмови від виплати дані продаються або знищуються.

Кіберзлочинці не дотримуються етичних норм та правил. Якщо жертва відмовляється виплачувати викуп, наслідки однозначно будуть. Але й у випадку, якщо викуп сплачено у строк, немає жодних гарантій, що дані будуть повністю та безпечно повернуті законному власнику. Зловмисники не дбають про те, чиї життя та які компанії вони руйнують. Вони мають свій інтерес, який має бути задоволений.

Як запобігти таким атакам:

• Впровадження архітектури нульової довіри (додатки, веб-сайти, електронні листи, посилання мають пройти суворий процес автентифікації);
• Застосування та дотримання протоколів та політик безпеки;
• Забезпечення безпеки та регулярного оновлення програмного забезпечення та протоколів;
• Навчання користувачів для розуміння суті атаки, її руйнівних наслідків та вплив на компанію та на окремого співробітника, шляхи запобігання атакам тощо;
• Впровадження комплексних рішень щодо захисту від атак програмами-вимагачами.