Программы-вымогатели: почему компании не могут защитить себя?

Информационная безопасность

Убыток в миллиард для одних, бизнес в миллиард для других: программное обеспечение для шантажа, известное как программы-вымогатели, представляет собой одну из самых больших угроз безопасности для компаний, органов власти и правительств. Недавние события, такие как миграция в облако и домашний офис, увеличили опасность в последние годы. Существуют эффективные меры защиты, которые компании могут использовать, чтобы избежать катастрофического ущерба, причиненного программами-вымогателями.

Что такое программы-вымогатели?

Программы-вымогатели представляют собой разновидность вредоносного ПО и форму цифрового вымогательства. В частности, это вредоносное ПО, которое киберпреступники используют для шифрования данных или ИТ-систем и требуют выкуп. Есть два вида:

  • Программа-вымогатель Locker блокирует основные функции компьютера, но при этом позволяет взаимодействовать с маской записки о выкупе. Основное внимание уделяется изоляции шантажируемых людей.
  • Крипто-вымогатели стремятся зашифровать важные данные, не затрагивая при этом функции компьютера. Злоумышленники угрожают уничтожить или опубликовать данные до тех пор, пока не будет выплачен выкуп.

В обоих случаях нормальная работа нарушается или прекращается. Выкуп обычно требуют в криптовалюте, поскольку преступники надеются, что это повысит их анонимность.

Программы-вымогатели как бизнес-модель

К самым опасным вредоносным программам в мире относятся:

  • Conti: RaaS Conti считается дальнейшим развитием Ryuk. По данным властей США, по состоянию на сентябрь 2021 года Conti уже использовался в более чем 400 кибератаках по всему миру. Только за первую половину 2021 года банды вымогателей использовали Конти для вымогательства выкупа в размере около 12 миллионов долларов. Прилагаемые пошаговые инструкции позволяют успешно использовать Conti даже непрофессионалам.
  • LockBit: LockBit — это также RaaS, точнее программа-вымогатель Locker. LockBit автоматически проверяет особо привлекательные цели. Недавно это вызвало бурю негодования в связи с атакой на Accenture, в ходе которой были опубликованы тысячи документов.
  • PYSA: одно из последних открытий, PYSA (также называемое Mespinoza) шифрует все часто используемые типы файлов и добавляет к ним расширение .pysa.
  • Призрак. При атаках-призраках операторы обычно публикуют данные обо всех жертвах, независимо от того, платят они или нет. Основное внимание уделяется компаниям обрабатывающей промышленности.
  • Харон: после заражения расширение зашифрованного файла меняется на имя жертвы.
  • Emotet: в 2021 году BSI и BKA объявили эту программу-вымогатель самым опасным трояном-шантажистом. Emotet распространяется в основном через вложения файлов .doc в личные электронные письма, которые, по-видимому, приходят от известных отправителей. Если зараженные файлы открыты в Microsoft Word и активированы макросы, Emotet загружает дополнительное вредоносное ПО.

Каковы наиболее распространенные точки атаки?

Помимо местных правительственных организаций, популярными объектами по-прежнему остаются компании в сфере ИТ, инжиниринга, логистики и финансовых услуг. Последствия разрушительны: только 62 процента финансовых компаний во всем мире, пострадавших в 2020 году, смогли восстановить зашифрованные данные.

Что делает программы-вымогатели такими опасными? Атаки часто начинаются с манипулирования людьми (социальная инженерия). Трояны попадают в систему посредством, казалось бы, безобидного общения.

Особой популярностью пользуются следующие маршруты атак:

  • Спам и фишинг через электронные письма с зараженными вложениями, которые при открытии загружают дополнительные вредоносные программы (компрометация деловой электронной почты).
  • Незащищенный удаленный доступ к сети компании, например протокол удаленного рабочего стола.
  • Уязвимости серверов и VPN-подключений из-за слабых паролей или отсутствия многофакторной аутентификации.

6 практических советов, как защитить свой бизнес от программ-вымогателей

1. Повышение осведомленности среди персонала

Чтобы социальная инженерия не имела шансов в вашей компании, все сотрудники должны иметь возможность безопасно и ответственно обращаться со всей ИТ-инфраструктурой, включая данные. Обучение углубляет понимание киберугроз и создает культуру безопасности, которая защищает компанию от программ-вымогателей и других атак.

2. Многофакторная аутентификация (MFA)

Традиционные пароли часто слишком слабы и их легко взломать. MFA предотвращает совместное использование и многократное использование одних и тех же паролей и имеет важное значение для компаний. Это особенно актуально, когда на карту поставлены критически важные данные и бизнес-процессы.

3. Нулевое доверие

По сути, разрешения всех учетных записей пользователей должны быть сведены до необходимого минимума. То же самое относится и к доступу к критически важным данным.

4. Меры безопасности электронной почты и устройств

Безопасная связь по электронной почте имеет важное значение. Сканируйте сообщения на предмет чего-либо необычного и немедленно отфильтровывайте вредоносные вложения и ссылки. Как описано выше, все сотрудники должны быть обучены тому, как обращаться с подозрительными электронными письмами и вложенными файлами. В идеале в Microsoft Word макросы отключены по умолчанию для всей сети. Брандмауэры и инструменты безопасности должны постоянно обновляться.