Ransomware представляет собой достаточно молодой вид вредоносных программ, кодирующих информацию на инфицированных компьютерах и требующих выкуп за ее расшифровку. После того как программа-вымогатель завладеет хранящейся на компьютере ценной информацией, у жертвы остается очень мало шансов на ее восстановление, кроме как согласиться на требования преступников.
Обычно вирусы-вымогатели распространяются мощными ботнетами, рассылающими миллионы инфицированных писем случайным пользователям. Цель злоумышленников – получить относительно небольшие по сумме выкупы от как можно большего количества пользователей. Однако в последнее время атаки вирусов-вымогателей приобретают направленный характер, а жертвы выбираются целенаправленно. Обычно ими становятся компании, которые могут заплатить за восстановление данных достаточно крупные суммы.
В 2017 — 2018 годах количество таких направленных атак на компании значительно увеличилось. При помощи специальных программ хакеры находят уязвимые компьютеры и серверы и проникают в них при помощи различных приемов. Чаще всего для этого используется метод прямого подбора (использование программ, пробующих разные пароли до тех пор, пока не будет найден настоящий), причем в большинстве случаев это производится на системах с возможностью удаленного доступа.
Получив доступ к компьютеру, атакующие пытаются инфицировать другие машины в сети и собрать информацию о коммерческой деятельности компании, инфраструктуре ИТ и других потенциальных уязвимостях.
После этого запускается программа-вымогатель, кодирующая содержащуюся на компьютерах ценную информацию и отправляющая жертве сообщение с требованием выкупа, сумма которого устанавливается после изучения данных о размере компании, ее денежном обороте и получаемой прибыли. Чаще всего платеж требуется осуществить в криптовалюте и обычно его размер составляет от 35 до 100 биткоинов (на момент публикации статьи цена биткоина около $4000).
Другим популярным методом атак является так называемый «адресный фишинг» или «охота на крупного зверя». Этот процесс подразумевает нахождение людей, которые занимаются финансами компании, и отправление им письма якобы от имени другого сотрудника. Текст письма подразумевает, что его получатель должен открыть вложение – обычно это документ в формате Word или Excel, в котором и содержится вредоносный код.
Чаще всего такой вид направленных атак осуществляется профессиональными хакерами, мотивом которых является исключительно получение денег. Тем не менее, некоторые атаки проводятся, чтобы уничтожить компании. Организаторы таких атак очень квалифицированны и постоянно эволюционируют, изобретая новые приемы и методы.
Традиционные атаки программ-вымогателей запрашивают фиксированную сумму в первом же запугивающем сообщении, которое иногда сопровождается отсчитывающими время часами. В случае направленной атаки преступники обычно забрасывают на компьютер жертвы файл, демонстрирующий, что они имеют контроль над информацией компании. Также они отправляют данные для связи и реквизиты для отправления денег, но чаще всего инициируют переговоры, чтобы получить как можно больше денег.
Обычно злоумышленники предпочитают атаковать компании, которые полностью полагаются в своей деятельности на информационные технологии и электронные данные. Чаще всего это небольшие или средние по размеру фирмы. Крупных корпораций преступники стараются избегать, поскольку в таких компаниях, как правило, используются сильные системы защиты. Кроме того, такие фирмы часто привлекают внимание СМИ, а это может привлечь дополнительное внимание полиции.
Как защититься
Как бороться с подобного рода атаками? Основной причиной успешной деятельности киберпреступников является слабая система защиты компьютеров и серверов.
Одним из способов улучшить эту ситуацию является повышение защиты удаленного доступа к компьютерам. Это можно сделать, отключая систему, когда она не используется, а также применяя сложные пароли и двухфакторную аутентификацию. Также можно перейти на использование виртуальных частных сетей, соединяющих компьютеры в интернете аналогично тому, как если бы они находились в закрытой сети.
Очень важно устанавливать фильтры электронной почты и антивирусные программы, содержащие специальную защиту от вирусов-вымогателей. Компаниям необходимо регулярно выполнять резервное копирование данных и хранить бекап в местах, недоступных для вредоносных программ.
Все эти виды контроля очень важны, поскольку атаки ransomware оставляют очень мало следов, что существенно затрудняет их расследование. Таким образом, вряд ли стоит надеяться, что направленые атаки в скором времени прекратятся. Напротив, нужно понимать, что методы преступников будут становиться все опаснее и изощреннее. Злоумышленники очень быстро адаптируются к ситуациям, и компаниям необходимо так же умно реагировать на их действия.