Убыток в миллиард для одних, бизнес в миллиард для других: программное обеспечение для шантажа, известное как программы-вымогатели, представляет собой одну из самых больших угроз безопасности для компаний, органов власти и правительств. Недавние события, такие как миграция в облако и домашний офис, увеличили опасность в последние годы. Существуют эффективные меры защиты, которые компании могут использовать, чтобы избежать катастрофического ущерба, причиненного программами-вымогателями.
Что такое программы-вымогатели?
Программы-вымогатели представляют собой разновидность вредоносного ПО и форму цифрового вымогательства. В частности, это вредоносное ПО, которое киберпреступники используют для шифрования данных или ИТ-систем и требуют выкуп. Есть два вида:
- Программа-вымогатель Locker блокирует основные функции компьютера, но при этом позволяет взаимодействовать с маской записки о выкупе. Основное внимание уделяется изоляции шантажируемых людей.
- Крипто-вымогатели стремятся зашифровать важные данные, не затрагивая при этом функции компьютера. Злоумышленники угрожают уничтожить или опубликовать данные до тех пор, пока не будет выплачен выкуп.
В обоих случаях нормальная работа нарушается или прекращается. Выкуп обычно требуют в криптовалюте, поскольку преступники надеются, что это повысит их анонимность.
Программы-вымогатели как бизнес-модель
К самым опасным вредоносным программам в мире относятся:
- Conti: RaaS Conti считается дальнейшим развитием Ryuk. По данным властей США, по состоянию на сентябрь 2021 года Conti уже использовался в более чем 400 кибератаках по всему миру. Только за первую половину 2021 года банды вымогателей использовали Конти для вымогательства выкупа в размере около 12 миллионов долларов. Прилагаемые пошаговые инструкции позволяют успешно использовать Conti даже непрофессионалам.
- LockBit: LockBit — это также RaaS, точнее программа-вымогатель Locker. LockBit автоматически проверяет особо привлекательные цели. Недавно это вызвало бурю негодования в связи с атакой на Accenture, в ходе которой были опубликованы тысячи документов.
- PYSA: одно из последних открытий, PYSA (также называемое Mespinoza) шифрует все часто используемые типы файлов и добавляет к ним расширение .pysa.
- Призрак. При атаках-призраках операторы обычно публикуют данные обо всех жертвах, независимо от того, платят они или нет. Основное внимание уделяется компаниям обрабатывающей промышленности.
- Харон: после заражения расширение зашифрованного файла меняется на имя жертвы.
- Emotet: в 2021 году BSI и BKA объявили эту программу-вымогатель самым опасным трояном-шантажистом. Emotet распространяется в основном через вложения файлов .doc в личные электронные письма, которые, по-видимому, приходят от известных отправителей. Если зараженные файлы открыты в Microsoft Word и активированы макросы, Emotet загружает дополнительное вредоносное ПО.
Каковы наиболее распространенные точки атаки?
Помимо местных правительственных организаций, популярными объектами по-прежнему остаются компании в сфере ИТ, инжиниринга, логистики и финансовых услуг. Последствия разрушительны: только 62 процента финансовых компаний во всем мире, пострадавших в 2020 году, смогли восстановить зашифрованные данные.
Что делает программы-вымогатели такими опасными? Атаки часто начинаются с манипулирования людьми (социальная инженерия). Трояны попадают в систему посредством, казалось бы, безобидного общения.
Особой популярностью пользуются следующие маршруты атак:
- Спам и фишинг через электронные письма с зараженными вложениями, которые при открытии загружают дополнительные вредоносные программы (компрометация деловой электронной почты).
- Незащищенный удаленный доступ к сети компании, например протокол удаленного рабочего стола.
- Уязвимости серверов и VPN-подключений из-за слабых паролей или отсутствия многофакторной аутентификации.
6 практических советов, как защитить свой бизнес от программ-вымогателей
1. Повышение осведомленности среди персонала
Чтобы социальная инженерия не имела шансов в вашей компании, все сотрудники должны иметь возможность безопасно и ответственно обращаться со всей ИТ-инфраструктурой, включая данные. Обучение углубляет понимание киберугроз и создает культуру безопасности, которая защищает компанию от программ-вымогателей и других атак.
2. Многофакторная аутентификация (MFA)
Традиционные пароли часто слишком слабы и их легко взломать. MFA предотвращает совместное использование и многократное использование одних и тех же паролей и имеет важное значение для компаний. Это особенно актуально, когда на карту поставлены критически важные данные и бизнес-процессы.
3. Нулевое доверие
По сути, разрешения всех учетных записей пользователей должны быть сведены до необходимого минимума. То же самое относится и к доступу к критически важным данным.
4. Меры безопасности электронной почты и устройств
Безопасная связь по электронной почте имеет важное значение. Сканируйте сообщения на предмет чего-либо необычного и немедленно отфильтровывайте вредоносные вложения и ссылки. Как описано выше, все сотрудники должны быть обучены тому, как обращаться с подозрительными электронными письмами и вложенными файлами. В идеале в Microsoft Word макросы отключены по умолчанию для всей сети. Брандмауэры и инструменты безопасности должны постоянно обновляться.