Віруси-здирники, як і інші види шкідливого ПЗ, з роками еволюціонують і видозмінюються — від простих локерів, які не давали користувачеві увійти в систему, і «поліцейських» здирників, які лякали судовим переслідуванням за вигадані порушення закону, ми прийшли до програм-шифрувальників. Ці зловреди шифрують файли на жорстких дисках (або диски повністю) і вимагають викуп не за повернення доступу до системи, а за те, що інформація користувача не буде видалена, продана в даркнеті або виставлена на загальний огляд мережі. Причому виплата викупу не гарантує отримання ключа для розшифровки файлів. І ні, це «сто років тому вже було», а, як і раніше, актуальна загроза.
Враховуючи успішність хакерів та прибутковість цього типу атак, фахівці вважають, що в майбутньому їх частота та винахідливість тільки зростатиме. за Cybersecurity Ventures, у 2016 році віруси-здирники атакували компанії приблизно раз на 40 секунд, у 2019 це відбувається раз на 14 секунд, а у 2021 році частота збільшиться до однієї атаки в 11 секунд. При цьому варто відзначити, що необхідний викуп (особливо, в цільових атаках на великі компанії або міську інфраструктуру), як правило, виявляється набагато нижче, ніж збитки, завдані атакою. Так, травнева атака на урядові структури Балтімора, штат Меріленд, у США, завдала шкоди на суму більше , при заявленій хакерами сумі викупу в 76 тис. доларів у біткоіновому еквіваленті А , штат Джорджія, у серпні 2018 року обійшлася місту в 17 млн. доларів США при необхідному викупі в 52 тис. доларів.
Фахівці Trend Micro проаналізували атаки із застосуванням вірусів-здирників за перші місяці 2019 року, і в цій статті ми розповімо про головні тренди, які очікують на світ у другій його половині.
Вірус-вимагач: коротке досьє
Сенс вірусу-вимагача зрозумілий з його назві: погрожуючи знищити (або, навпаки, опублікувати) конфіденційну чи цінну для користувача інформацію, хакери з його допомогою вимагають викуп за повернення доступу до неї. Для простих користувачів така атака є неприємною, але не критичною: загроза втрати музичної колекції або фотографій з відпусток за останні десять років не гарантує виплати викупу.
Зовсім інакше виглядає ситуація для організацій. Кожна хвилина простою бізнесу коштує грошей, тому втрата доступу до системи, додатків або даних для сучасної компанії дорівнює збиткам. Саме тому фокус атак вірусів-вимагачів останніми роками поступово зміщується від артобстрілу вірусами до зниження активності та переходу до цільових рейдів на організації у сферах діяльності, у яких шанс отримання викупу та його розміри максимально великі. У свою чергу організації прагнуть захиститися від загроз за двома основними напрямками: розробляючи способи ефективно відновлювати інфраструктуру та бази даних після атак, а також вживаючи більш сучасні системи кіберзахисту, які виявляють та вчасно знищують шкідливе ПЗ.
Щоб залишатися в курсі подій і виробляти нові рішення та технології для боротьби зі шкідливим програмним забезпеченням, Trend Micro постійно аналізує результати, отримані від своїх систем кібербезпеки. За даними Trend Micro , ситуація з атаками вірусів-здирників за останні роки виглядає так:
Вибір жертви у 2019 році
Цього року кіберзлочинці стали ставитися до вибору жертв набагато ретельніше: їх метою стають організації, які захищені гірше і при цьому готові заплатити велику суму за швидке відновлення нормальної діяльності. Саме тому з початку року зафіксовано вже кілька атак на урядові структури та адміністрацію великих міст, включаючи Лейк-Сіті (викуп – 530 тис. доларів США) та Рів'єра-Біч (викуп – 600 тис. доларів США) .
У розбивці галузями основні вектори атак виглядають так:
- 27% - урядові структури;
- 20% - виробництво;
- 14% - охорона здоров'я;
- 6% - роздрібна торгівля;
- 5% - освіта.
Часто кіберзлочинці використовують метод OSINT (пошук та збирання інформації з загальнодоступних джерел), щоб підготуватися до атаки та оцінити її прибутковість. Збираючи інформацію, вони краще розуміють бізнес-модель організації та репутаційні ризики, які вона може зазнати через атаку. Також хакери шукають найважливіші системи та підсистеми, які можна повністю ізолювати або відключити за допомогою вірусів-вимагачів, – це підвищує шанс на отримання викупу. Не в останню чергу оцінюється стан систем кібербезпеки: немає сенсу розпочинати атаку на компанію, ІТ-фахівці якої здатні з високою ймовірністю її відобразити.
У другій половині 2019 року цей тренд буде так само актуальним. Хакери будуть знаходити нові сфери діяльності, в яких порушення бізнес-процесів призводить до максимальних збитків (наприклад, транспорт, важливі об'єкти інфраструктури, енергетика).
Методи проникнення та зараження
У цій сфері також постійно відбуваються зміни. Найпопулярнішими інструментами залишаються фішинг, шкідливі рекламні оголошення на сайтах та заражені інтернет-сторінки, а також експлойти. При цьому головним «співучасником» атак так само виступає користувач-співробітник, який відкриває ці сайти та завантажує файли за посиланнями або з електронної пошти, що і провокує подальше зараження всієї мережі організації.
Однак у другій половині 2019 року до цих інструментів додадуться:
- більш активне застосування атак із використанням соціальної інженерії (атака, у яких жертва добровільно робить потрібні хакеру дії чи видає інформацію, вважаючи, наприклад, що спілкується з представником керівництва чи клієнта організації), які спрощує збір інформації про співробітників із загальнодоступних джерел;
- використання викрадених облікових даних, наприклад, логінів та паролів від систем віддаленого адміністрування, які можна придбати у даркнеті;
- фізичний злом та проникнення, які дозволять хакерам на місці виявити критично важливі системи та знешкодити систему безпеки.
Методи приховування атак
Завдяки розвитку систем кібербезпеки, внесок у яку вносить і Trend Micro, виявлення класичних сімейств вірусів-вимагачів останнім часом значно спростилося. Технології машинного навчання та поведінкового аналізу допомагають виявляти шкідливе ПЗ ще до його проникнення в систему, тому хакерам доводиться вигадувати альтернативні способи приховування атак.
Вже відомі фахівцям у сфері ІТ-безпеки та нові технології кіберзлочинців націлені на знешкодження «пісочниць» для аналізу підозрілих файлів та систем машинного навчання, розробку безфайлового шкідливого ПЗ та використання зараженого ліцензійного програмного забезпечення, включаючи ПЗ від вендорів у сфері кібербезпеки та різні доступом до мережі організації.
висновки та рекомендації
Загалом можна сказати, що у другій половині 2019 року висока ймовірність цільових атак на великі організації, які здатні виплатити кіберзлочинцям великий викуп. При цьому хакери не завжди розробляють рішення для злому та шкідливе програмне забезпечення самостійно. Частина з них, наприклад, сумнозвісна команда GandCrab, яка вже , Заробивши близько 150 млн доларів США, продовжують працювати за схемою RaaS (ransomware-as-a-service, або «віруси-здирники як сервіс», за аналогією з антивірусами та системами кіберзахисту). Тобто поширенням успішних здирників та криптолокерів цього року займаються не лише їхні творці, а й «орендарі».
У таких умовах організаціям необхідно постійно оновлювати свої системи кібербезпеки та схеми відновлення даних на випадок атаки, адже єдиний ефективний спосіб боротьби з вірусами-здирниками — не платити викуп та позбавити їх авторів джерела прибутку.
Джерело: habr.com