#ransomware

Життєвий цикл атаки програмою-вимагачем та способи захисту

Однією з найпопулярніших категорій кіберзлочинів, що швидко розвиваються, є програма-вимагач. Щодня відбувається понад 4000 атак програмами-вимагачами. Така кількість атак у поєднанні з тісними взаємовідносинами компаній із третіми особами збільшує ймовірність компрометації даних співробітників. Безпеку конфіденційних даних можна забезпечити за допомогою стратегії запобігання атакам програмами-вимагачами та процесом швидкого виявлення скомпрометованих даних.

Ефективна стратегія запобігання атакам передбачає розгортання елементів управління безпекою на кожному етапі розвитку типової атаки програмою-вимагачем.

Основні етапи атаки програмами-вимагачами:

  1. Фішингова атака – відправка електронного листа зі шкідливими посиланнями, що переадресовують користувача на сайт шахраїв. На таких сайтах відбувається крадіжка внутрішніх облікових даних. Це найпопулярніший спосіб старту атаки;
  2. Взаємодія з користувачем (жертвою) – перехід за посиланням, завантаження вкладень тощо;
  3. Компрометація облікового запису – компрометація корпоративних облікових даних жертви за допомогою відправки їх на шкідливий сайт, а також за допомогою соціальної інженерії (наприклад, хакер видає себе за співробітника IT-відділу та запитує підтвердження повідомлення двофакторної автентифікації). На цьому етапі найчастіше відбувається впровадження шкідливого ПЗ, ініціюючи встановлення програми-вимагача;
  4. Визначення привілейованих даних – виявлення та компрометація привілейованих облікових даних для отримання несанкціонованого доступу до конфіденційних областей мережі;
  5. Пошук конфіденційних даних (особисті дані, дані клієнтів, номери соціального страхування, корпоративні облікові дані, дані корпоративної та особистої електронної пошти, будь-який цифровий слід, який може бути використаний для крадіжки особистих даних);
  6. Ексфільтрація даних – розгортання шкідливої ​​програми для встановлення бекдор-підключень до серверів кіберзлочинця при виявленні цінних ресурсів даних. Через бекдор-підключення починається передача даних, за які згодом кіберзлочинець вимагатиме викуп;
  7. Шифрування даних – кіберзлочинець шифрує операційні та комп’ютерні системи жертви з метою завдати максимальної шкоди. Жертва отримує сповіщення про викуп (зазвичай у файлі TXT) з чітким зазначенням ціни викупу. Найчастіше кіберзлочинці вимагають сплатити викуп у криптовалюті (біткоїни), скільки правоохоронним органам складніше відстежити їхній рух. Щоб прискорити процес виплати викупу, злочинці загрожують розмістити дані у даркнеті або видалити їх;
  8. Дамп даних – завершальний етап атаки. На цьому етапі кіберзлочинці публікують усі скомпрометовані дані на кіберзлочинам ринку. Деякі кіберзлочинці повністю видаляють дані, позбавляючи себе необхідності публікувати їх на чорному ринку та відстежувати запити на покупку. Якщо жертва відмовляється виплачувати викуп, кіберзлочинець може покарати жертву та опублікувати всі дані на форумах. Вільний доступ до даних, розміщених на таких форумах, завдає більшої шкоди компанії, ніж їхній продаж 1 групі кіберзлочинців.

Захистити та знизити вплив програм-вимагачів можна за допомогою впровадження заходів безпеки на кожному етапі атаки:

  1. Навчання з питань безпеки. Дуже складно перемогти програму-вимагач, якщо вона вже проникла в корпоративну мережу. Запобігаючи проникненню, кіберзлочинці не мають змоги провести успішну атаку. Співробітники часто не знають, як розпізнати погрози та як реагувати на них, і тим самим сприяють успіху атаки. Важливо забезпечити якісне навчання всіх співробітників, проінформувати про потенційні ризики та навчити розпізнавати загрози;
  2. Відстеження взаємодій із шкідливими посиланнями та вкладеннями. Щоб запобігти атаці і не дати їй перейти на наступний етап, така активність має бути виявлена ​​якнайшвидше. Співробітники повинні негайно попередити IT-фахівців із безпеки;
  3. Запобігання компрометації облікового запису. Використання багатофакторної аутентифікації. Найбільш безпечною формою є метод біометричної автентифікації. Такі біометричні дані, як відбитки пальців, розпізнавання облич, дуже складно вкрасти чи скопіювати;
  4. Захист привілейованих даних. Використання менеджера паролів, багатофакторної аутентифікації, моделі безпеки з нульовою довірою. В останньому випадку весь внутрішній трафік сприймається як шкідливий і тому користувачеві необхідно постійно підтверджувати свою особу при запиті доступу до конфіденційних ресурсів;
  5. Запобігання втраті даних. Закриття або сегментування від загального доступу користувачів до чутливих областей мережі. Також необхідно забезпечити захист багатофакторною автентифікацією всіх облікових записів користувачів, які мають доступ до закритих областей;
  6. Запобігання крадіжці даних. Цей процес складається з 2 елементів: виявлення та запобігання. Методи виявлення включають:

Методи запобігання включають:

  1. Захист від шифрування даних. Процеси швидкого перемикання операцій на системи резервного копіювання можуть мінімізувати збої у бізнесі у разі атаки програмою-вимагачем. Такі середовища повинні бути доступні з унікальним набором облікових даних, тобто повинні відрізнятися від тих, що використовуються у звичайному середовищі IT.

Програми-вимагачі з подвійним здирництвом

Паралельно з розвитком Інтернету та технологій відбувається розвиток кібератак. З кожним разом кіберзлочинці розробляють нові складніші та небезпечніші способи використання мереж та серверів. Атаки програмою з подвійним здирництвом вперше з’явилися в 2020 році, і зараз є серйозною загрозою для великих компаній та організацій. Її дії можуть призвести до руйнівних наслідків, тому забезпечення безпеки компанії є найвищим пріоритетом.

Програма-вимагач – шкідливе програмне забезпечення, яке краде дані, шифрує їх і потім вимагає за них викуп. Сума викупу може становити від сотень до мільйонів доларів. Здебільшого оплата викупу відбувається у криптовалюті.

Більше інформації про програми-вимагачі можна дізнатися тут

Атака програмою-вимагачем із подвійним здирництвом – це новий рівень «традиційної» атаки програмою-вимагачем. У цьому випадку кіберзлочинець також використовує дані жертви, файли, сервер тощо, шифрує їх і вимагає викуп. Однак у випадку з подвійним здирством кіберзлочинець загрожує опублікувати/продати конфіденційні дані жертви в даркнеті, якщо викуп не буде виплачений у зазначені терміни. Резервні копії можуть допомогти у питанні відновлення даних, але збитки від попадання конфіденційної інформації в даркнет не зменшує.

Зазвичай зловмисники обирають в якості своєї жертви медичні установи, школи та інші навчальні заклади, юридичні організації тощо, де зберігається великий обсяг конфіденційної інформації. Компрометація таких даних може зруйнувати і організації, і людей. Саме це робить атаки з подвійним здирством такими небезпечними.

Злочинні способи отримання доступу до конфіденційних даних:

Найпопулярніші програми-здирники з подвійним здирництвом:

  1. Netwalker Ransomware – шкідливе програмне забезпечення для операційної системи Windows, яке шифрує та переміщає дані та після вимагає викуп;
  2. Egregor Ransomware – програма зламує конфіденційні дані, шифрує їх та вимагає за них виплати викупу протягом 3 днів. Також частина даних публікується в даркнеті як доказ, що дані у злочинця;
  3. Ransomware as a service (RaaS) – модель програми-вимагача на основі підписки для афілійованих осіб. Партнери використовують набір інструментів для проведення атаки, і у разі успіху отримують відсоток від викупу;
  4. Sodinokibi (Ransomware Evil) – програма-вимагач, яка шифрує дані, а потім видаляє повідомлення про викуп;
  5. Conti – досить небезпечний тип атаки через швидкість шифрування, дуже швидко поширюється та заражає інші системи.

Послідовність здійснення атаки програмою-вимагачем з подвійним здирництвом:

Кіберзлочинці не дотримуються етичних норм та правил. Якщо жертва відмовляється виплачувати викуп, наслідки однозначно будуть. Але й у випадку, якщо викуп сплачено у строк, немає жодних гарантій, що дані будуть повністю та безпечно повернуті законному власнику. Зловмисники не дбають про те, чиї життя та які компанії вони руйнують. Вони мають свій інтерес, який має бути задоволений.

Як запобігти таким атакам:

Як не стати жертвою програм-вимагачів?

Кількість кібератак останніми роками безперервно зростає, жертвами яких стають приватні особи або організації з поганою системою кібербезпеки. Не існує сфери, яку б не торкнулися кіберзлочинці: медицина та охорона здоров’я, уряд, фінанси, культура, виробництво, страхування тощо. Жертвою може стати будь-яка компанія у будь-якій точці світу.

Перше місце за популярністю кібератак є атака програмою-вимагачем. 2021 року сталося приблизно 623 мільйони інцидентів. Надійна система інформаційної безпеки, а також розуміння принципів роботи таких програм здатні знизити ризики зараження та наслідків.

Програма-вимагач – це шкідливе програмне забезпечення, метою якого є крадіжка та шифрування файлів, конфіденційних даних або інформації, що встановлюють особу. Відновлення файлів можливе за допомогою спеціального ключа дешифрування. Вони використовують тактику здирництва, щоб змусити жертву виплатити викуп. Дані перебувають у кіберзлочинців у заставі доти, доки жертва не виплатить встановлений викуп за них. Погана система безпеки та невиправлені вразливості є приманкою для зловмисників. Це дає їм можливість отримати доступ до мережі та впровадити шкідливе програмне забезпечення з програмою-вимагачем на комп’ютер або мобільний пристрій жертви. Як викуп кіберзлочинці стали частіше просити криптовалюту (наприклад біткоїн). Така платіжна система відома своєю здатністю приховувати фінансову діяльність. Відстежити платежі викупу складно, але все ж таки можливо. Програми-здирники особливо небезпечні та руйнівні для тих організацій, які залежать від зашифрованих даних для здійснення повсякденної діяльності.

Типи програм-вимагачів:

Як можна заразитися програм-вимагачем:

  1. Фішингові листи є основною причиною зараження. Воно відбувається шляхом відкриття або завантаження шкідливих вкладень (pdf, .exe, документи Word, файли .zip тощо), переходу за зараженими посиланнями, які ведуть на шкідливий веб-сайт (шпигунське ПЗ, трояни, кейлоггери). Також атака може здійснюватися за допомогою серії SMS-повідомлень із зображенням або посиланням на веб-сайт, де необхідно ввести конфіденційну інформацію.
  2. Заражені веб-сторінки використовуються для розповсюдження зловмисного програмного забезпечення. Натискаючи на посилання або переходячи на неперевірений сайт, користувач ризикує автоматично розпочати процес завантаження програми-вимагача. Користувачам слід практикувати безпечний веб-серфінг, а також перевіряти написання URL-адреси. Сайт-приманку можна ідентифікувати за неправильним написанням адреси, яка імітує цей законний сайт. Якщо немає впевненості – не варто переходити.
  3. Шкідлива реклама – це шкідливе ПЗ, що у вигляді хибної реклами перебуває у законному просторі. На законних рекламних майданчиках може бути шкідлива реклама і виглядати як справжній банер. Таке оголошення викликає завантаження програми-здирника при натисканні на нього. Користувачеві слід бути обережним з оголошеннями про безкоштовні пропозиції, повідомлення, відео, анімацію, зображення для дорослих.
  4. Атака на протокол віддаленого робочого столу (RDP – функція Microsoft Windows, що дозволяє користувачам віддалено підключатися до іншої мережі чи сервера). Атака RDP характеризується проникненням хакера в систему, спробою вкрасти дані або встановити шкідливе ПЗ.
  5. Соціальна інженерія – зловмисники видають себе за законних представників (правоохоронних органів, служби підтримки тощо) з метою змусити жертву «випадково» розкрити особисту чи конфіденційну інформацію. Така атака може здійснюватися за допомогою електронних листів, текстових повідомлень, телефонного дзвінка, онлайн-чату та соціальних мереж. Після отримання необхідної інформації від жертви зловмисники використовують її для запуску більшої кібератаки.

Як запобігти атакам програмою-вимагачем:

  1. Створення резервної копії даних та зберігання її на зовнішньому жорсткому диску або на сервері хмар;
  2. Оновлення систем та додатків – застарілі системи та додатки зі старими протоколами безпеки можуть бути причиною зараження програмами-вимагачами;
  3. Встановлення антивірусного ПЗ та брандмауера;
  4. Захист усіх кінцевих точок – одна вразлива кінцева точка може заразити всю мережу. Можна розглянути інсталяцію EPP або EDR;
  5. Сегментація мережі – кіберзлочинцям набагато складніше охопити всю мережу компанії, якщо вона складається з кількох невеликих;
  6. Доцільне управління доступами усередині компанії;
  7. Регулярне тестування безпеки;
  8. Навчання персоналу з кібербезпеки.

Що таке програми-вимагачі?

Кількість атак з використання програм-вимагачів зростає. Згідно з дослідженнями, кількість таких атак у 2021 році зросла у 2 рази. Найбільш цільовим регіоном для таких атак є Східноєвропейські країни. Їхня частка становить 55% від загальної кількості випадків зараження шкідливим ПЗ.

Програми-вимагачі – це шкідливе ПЗ, що шифрує файли, бази даних та програми жертви і утримує їх з метою викупу. Після зараження жертва отримує повідомлення про можливість розшифрувати дані, виплативши викуп. Зазвичай викуп виплачується у криптовалюті. Програми-здирники також можуть використовувати техніку потрійного здирництва, що допомагає створити «цифрового заручника». Тобто злочинець отримує копії даних жертви перед процесом шифрування, які пізніше обіцяє оприлюднити, якщо жертва відмовиться від викупу.

Програми-вимагачі як послуга (RaaS) – це модель на основі передплати. Така модель дозволяє афілійованим особам використовувати готові інструменти програм-вимагачів для здійснення атаки. Від кожної успішної атаки та виплаченого викупу партнери одержують відсоток. RaaS (Ransomware-as-a-service) виявився ефективним способом збільшити прибуток, що допомогло трансформувати діджитал здирництво на успішний і процвітаючий бізнес.

RaaS побудоване за принципом SaaS (програмне забезпечення як послуга), що полегшує процес здійснення атаки. Як і SaaS, RaaS не вимагає від користувачів спеціальних навичок та досвіду. Навіть недосвідчені хакери можуть виконувати складні кібератаки. Програмне забезпечення RaaS має високу ймовірність успішного проникнення та низьку ймовірність виявлення. Низький технічний бар’єр входу та величезний потенціал заробітку роблять рішення RaaS популярними, що збільшує кількість жертв.

Рішення RaaS дає партнерам високі дивіденди. Користувачі можуть реєструватися з одноразовою оплатою, а також із щомісячною підпискою. Їм надається документація з покроковою інструкцією із запуску атак. Деякі дистриб’ютори надають панель керування для відстеження статусу кожної атаки із зараженням програм-вимагачів. Залучення партнерів відбувається у даркнеті.

Більшість зломів відбувається за допомогою фішингових атак (метод крадіжки конфіденційної інформації). Жертві надсилається електронний лист, який містить посилання. Переходячи за цим посиланням, жертва несвідомо активує завантаження шкідливого програмного забезпечення. Листи виглядають дуже переконливо, тож частіше жертва ведеться на провокацію.

Після завантаження програма-вимагач відключає брандмауери та антивірусні програми, а також може ініціювати завантаження додаткових компонентів. Таким чином, шкідлива програма може вільно і непомітно поширюватися, і шифрувати файли жертви, що робить їх недоступними. Із завершенням атаки починається здирство. Жертва отримує TXT-файл із текстом про викуп в обмін на ключ дешифрування. Злочинці також можуть загрожувати жертві опублікувати дані в даркнеті, якщо платіж не буде здійснено у визначений термін.

Оскільки даркнет є злочинною мережу, будь-який витік інформації може надати вільний доступ до конфіденційних даних та даних клієнтів. Такі наслідки змушують жертву підкорятися вимогам злочинців. Виплати здійснюються через даркнет за допомогою спеціального платіжного шлюзу.

Найкращим засобом захисту від атак програмами-вимагачами – це комбінація навчання персоналу, засобів захисту та постійного моніторингу системи щодо вразливостей.

Рекомендації щодо захисту:

GoUp Chat