Вірусы-вымагальнікі, як і іншыя віды шкоднаснага ПА, з гадамі эвалюцыянуюць і відазмяняюцца – ад простых локераў, якія не давалі карыстачу ўвайсці ў сістэму, і «паліцыянтаў» вымагальнікаў, якія палохалі судовым пераследам за выдуманыя парушэнні закона мы дашлі да праграм-шыфравальшчыкам. Гэтыя зловреды шыфруюць файлы на цвёрдых дысках (ці дыскі цалкам) і патрабуюць выкуп не за вяртанне доступу да сістэмы, а за тое, што інфармацыя карыстальніка не будзе выдалена, прададзена ў даркнеце або выстаўлена на ўсеагульны агляд у сетцы. Прычым выплата выкупу зусім не гарантуе атрыманне ключа для расшыфроўкі файлаў. І не, гэта "сто гадоў таму ўжо было", а па-ранейшаму актуальная пагроза.
Улічваючы паспяховасць хакераў і прыбытковасць гэтага тыпу нападаў, адмыслоўцы лічаць, што ў будучыні іх частата і вынаходлівасць будзе толькі расці. Па Cybersecurity Ventures, у 2016 годзе вірусы-вымагальнікі атакавалі кампаніі прыкладна раз у 40 секунд, у 2019 гэта адбываецца раз у 14 секунд, а ў 2021 годзе частата павялічыцца да адной атакі ў 11 секунд. Пры гэтым варта адзначыць, што патрабаваны выкуп (асабліва, у мэтавых атаках на буйныя кампаніі або гарадскую інфраструктуру) як правіла аказваецца ў шмат разоў ніжэй, чым шкоду, якая наносіцца атакай. Так, травеньская атака на ўрадавыя структуры Балтымора, штат Мэрыленд, у ЗША, нанесла шкоду на суму больш , пры заяўленай хакерамі суме выкупу ў 76 тыс. даляраў у біткоінавым эквіваленце. А , штат Джорджыя, у жніўні 2018 года абышлася горадзе ў 17 млн даляраў ЗША пры патрабаваным выкупе ў 52 тыс. даляраў.
Адмыслоўцы Trend Micro прааналізавалі напады з ужываннем вірусаў-вымагальнікаў за першыя месяцы 2019 гады, і ў гэтым артыкуле мы распавядзем аб галоўных трэндах, якія чакаюць мір у другой яго палове.
Вірус-вымагальнік: кароткае дасье
Сэнс віруса-вымагальніка ясны з самай яго назвы: пагражаючы знішчыць (ці, наадварот, апублікаваць) канфідэнцыйную ці каштоўную для карыстача інфармацыю, хакеры з яго дапамогай патрабуюць выкуп за зварот доступу да яе. Для простых карыстальнікаў такая атака непрыемная, але не крытычная: пагроза страты музычнай калекцыі або фатаграфій з водпускаў за апошнія дзесяць гадоў не гарантуе выплату выкупу.
Зусім інакш выглядае сітуацыя для арганізацый. Кожная хвіліна прастою бізнесу каштуе грошай, таму страта доступу да сістэмы, прыкладанням або дадзеным для сучаснай кампаніі роўная стратам. Менавіта таму фокус нападаў вірусаў-вымагальнікаў у апошнія гады паступова ссоўваецца ад артабстрэлу вірусамі да зніжэння актыўнасці і пераходу да мэтавых рэйдаў на арганізацыі ў сферах дзейнасці, у якіх шанец атрымання выкупу і яго памеры максімальна вялікія. У сваю чаргу арганізацыі імкнуцца абараніцца ад пагроз па двух асноўных напрамках: распрацоўваючы спосабы эфектыўна аднаўляць інфраструктуру і базы даных пасля атак, а таксама прымаючы на ўзбраенне больш сучасныя сістэмы кіберабароны, якія выяўляюць і своечасова знішчаюць шкоднаснае ПЗ.
Каб заставацца ў курсе падзей і выпрацоўваць новыя рашэнні і тэхналогіі для барацьбы з шкоднасным ПЗ, Trend Micro пастаянна аналізуе вынікі, атрыманыя ад сваіх сістэм кібербяспекі. Па дадзеных Trend Micro , сітуацыя з атакамі вірусаў-вымагальнікаў за апошнія гады выглядае так:
Выбар ахвяры ў 2019 годзе
У гэтым годзе кіберзлачынцы відавочна сталі ставіцца да выбару ахвяр нашмат больш старанна: іх мэтай становяцца арганізацыі, якія абаронены горш і пры гэтым гатовыя заплаціць вялікую суму за хуткае аднаўленне нармальнай дзейнасці. Менавіта таму з пачатку года зафіксавана ўжо некалькі атак на ўрадавыя структуры і адміністрацыю буйных гарадоў, уключаючы Лейк-Сіці (выкуп - 530 тыс. долараў ЗША) і Рыўера-Біч (выкуп - 600 тыс. долараў ЗША) .
У разбіўцы па галінах асноўныя вектары нападаў выглядаюць так:
- 27% - урадавыя структуры;
- 20% - вытворчасць;
- 14% - ахова здароўя;
- 6% - рознічны гандаль;
- 5% - адукацыя.
Часта кіберзлачынцы выкарыстаюць метад OSINT (пошук і збор інфармацыі з агульнадаступных крыніц), каб падрыхтавацца да нападу і ацаніць яе прыбытковасць. Збіраючы інфармацыю, яны лепш разумеюць бізнэс-мадэль арганізацыі і рэпутацыйнага рызыкі, якія яна можа панесці з-за нападу. Таксама хакеры шукаюць найболей важныя сістэмы і падсістэмы, якія можна цалкам ізаляваць ці адключыць пры дапамозе вірусаў-вымагальнікаў, - гэта падвышае шанец на атрыманне выкупу. Не ў апошнюю чаргу ацэньваецца стан сістэм кібербяспекі: няма сэнсу пачынаць напад на кампанію, ІТ-адмыслоўцы якой здольныя з высокай верагоднасцю яе адбіць.
У другой палове 2019 года гэты трэнд будзе ўсё гэтак жа актуальны. Хакеры будуць знаходзіць новыя сферы дзейнасці, у якіх парушэнне бізнес-працэсаў прыводзіць да максімальных страт (напрыклад, транспарт, важныя аб'екты інфраструктуры, энергетыка).
Метады пранікнення і заражэння
У гэтай сферы таксама ўвесь час адбываюцца змены. Самымі папулярнымі інструментамі застаюцца фішынг, шкоднасныя рэкламныя аб'явы на сайтах і заражаныя інтэрнэт-старонкі, а таксама эксплойты. Пры гэтым галоўным «саўдзельнікам» нападаў усё гэтак жа выступае карыстач-супрацоўнік, які адчыняе гэтыя сайты і загружае файлы па спасылках або з электроннай пошты, што і правакуе наступнае заражэнне ўсёй сеткі арганізацыі.
Аднак у другой палове 2019 года да гэтых інструментаў дададуцца:
- больш актыўнае ўжыванне нападаў з выкарыстаннем сацыяльнай інжынерыі (напад, пры якіх ахвяра добраахвотна здзяйсняе патрэбныя хакеру дзеянні ці выдае інфармацыю, лічачы, напрыклад, што мае зносіны з прадстаўніком кіраўніцтва або кліента арганізацыі), якія спрашчае збор інфармацыі аб супрацоўніках з агульнадаступных крыніц;
- выкарыстанне выкрадзеных уліковых дадзеных, напрыклад, лагінаў і пароляў ад сістэм выдаленага адміністравання, якія можна набыць у даркнеце;
- фізічны ўзлом і пранікненне, якія дазволяць хакерам на месцы выявіць крытычна важныя сістэмы і абясшкодзіць сістэму бяспекі.
Метады ўтойвання нападаў
Дзякуючы развіццю сістэм кібербяспекі, фундуш у якое ўносіць і Trend Micro, выяўленне класічных сямействаў вірусаў-вымагальнікаў у апошні час значна спрасцілася. Тэхналогіі машыннага навучання і паводніцкага аналізу дапамагаюць выяўляць шкоднаснае ПА яшчэ да яго пранікнення ў сістэму, таму хакерам даводзіцца прыдумляць альтэрнатыўныя спосабы для ўтойвання нападаў.
Ужо вядомыя спецыялістам у сферы ІТ-бяспекі і новыя тэхналогіі кіберзлачынцаў нацэлены на абясшкоджванне «пясочніц» для аналізу падазроных файлаў і сістэм машыннага навучання, распрацоўку бесфайлавага шкоднаснага ПА і выкарыстанне заражанага ліцэнзійнага праграмнага забеспячэння, уключаючы ПА ад вендараў у сферы кібербяспекі і розныя. доступам да сеткі арганізацыі.
Высновы і рэкамендацыі
У цэлым можна сказаць, што ў другой палове 2019 года высокая верагоднасць мэтавых нападаў на буйныя арганізацыі, якія здольныя выплаціць кіберзлачынцам вялікі выкуп. Пры гэтым хакеры не заўсёды распрацоўваюць рашэнні для ўзлому і шкоднаснае ПЗ самастойна. Частка з іх, напрыклад, сумна вядомая каманда GandCrab, якая ўжо , Зарабіўшы каля 150 млн даляраў ЗША, працягваюць працаваць па схеме RaaS (ransomware-as-a-service, або «вірусы-вымагальнікі як сэрвіс», па аналогіі з антывірусамі і сістэмамі кіберабароны). Гэта значыць распаўсюджваннем паспяховых вымагальнікаў і крыпталакераў сёлета займаюцца не толькі іх стваральнікі, але і «арандатары».
У такіх умовах арганізацыям неабходна стала абнаўляць свае сістэмы кібербяспекі і схемы ўзнаўлення дадзеных на выпадак нападу, бо адзіны эфектыўны спосаб дужання з вірусамі-вымагальнікамі — не плаціць выкуп і пазбавіць іх аўтараў крыніцы прыбытку.
Крыніца: habr.com