Тенденции развития вредоносного ПО в 2019 году указывают на то, что атаки с использованием шифровальщиков в будущем будут только развиваться. Специалисты ИБ отмечают применение злоумышленниками более изощренных методик нападений и исправление большинства ошибок их реализации. Уже сейчас эта угроза достигла уровня APT (Advanced Persistent Threat) и в текущем году может стать самой большой угрозой бизнесу в сфере киберпреступлений.
Всплеск популярности вымогательского ПО
Программы-вымогатели (ransomware) появились давно. Еще вирус AIDS, написанный в конце 80х, скрывал каталоги и шифровал файлы, требуя выплатить около 200 долларов за «продление лицензии». Основной целью злоумышленников изначально были отдельные пользователи, которые пренебрегали антивирусным ПО.
Широкую же известность атаки с использованием шифровальщиков получили в 2017 году благодаря крупномасштабным кампаниям вредоносов WannaCry и NotPetya. Тогда, всего за три майских дня, вирус-шифровальщик WannaCry заразил 200 тыс. компьютеров в 150 странах мира. Среди его жертв оказались как правительственные учреждения, так и крупные промышленные гиганты, а нанесенный ущерб был оценен в 1 млрд. долларов. Уже в следующем месяце произошла новая масштабная кибератака, в которой использовался шифровальщик NotPetya. Начав с Украины, вредонос прошелся по крупным компаниям в России, Америке, Индии, Австралии и ряде других стран. Например, ущерб датскому транспортному гиганту Maersk составил 200 млн. долларов.
Эти инциденты развенчали миф о том, что частные и правительственные организации являются сложными целями для взлома. Неправильная настройка систем и халатное отношение к обновлениям программной среды, которые увидели злоумышленники, заставило их переключить вектор своего внимания с отдельных пользователей. Да и потенциальная выгода от блокировки целого предприятия оказалась несоизмеримо выше. Так что, ничего удивительного, что объем хакерских атак на компании с этого момента начал расти в геометрических масштабах.
Что же касается времени текущего, охранная фирма Malwarebytes в августе 2019 года опубликовала отчет о деятельности вымогательского ПО. В нем специалисты отметили, что, начиная со второго квартала 2018 года, количество обнаруженных шифровальщиков в бизнес-среде выросло на 365%, в то время как атаки на отдельных пользователей существенно сократились. Центр жалоб на интернет-преступления ФБР в октябре 2019 года также сообщил о резком сокращении широкомасштабных неизбирательных вымогательских атак и, одновременно с этим, об увеличении финансовых потерь от них.
Государственные учреждения: муниципалитеты, больницы, школы или полицейские управления, - также становятся жертвами нападений с использованием шифровальщиков. Охранная фирма Emsisoft в декабре 2019 года опубликовала отчет, согласно которому от атак злоумышленников потенциально пострадало 764 поставщика медицинских услуг, 89 университетов, колледжей и школьных округов, в которых насчитывается до 1233 отдельных школ.
Оценить реальные масштабы распространения атак вымогателей, а также нанесенный финансовый ущерб не представляется возможным. Это связано с отсутствием для компаний законодательной необходимости сообщать обо всех случаях подобных атак. Однако продолжающееся развитие и увеличение количества даже известных нападений позволяет сделать вывод об их высокой эффективности.
Шифровальщики становятся опасней
За годы увеличения популярности вымогательского ПО, хакерские группировки успели существенно развить методику нападений, внедряя целевые механизмы доставки, взлом с использованием административных системных инструментов, скрытую разведку сети и другие передовые техники постоянной угрозы, свойственные скорее крупным, финансируемым правительствами субъектам.
Специалисты по информационной безопасности фиксируют увеличение числа случаев, когда злоумышленники не полагаются исключительно на автономную работу вредоноса. Они заняты поиском уязвимостей в серверах и протоколах, имеющих доступ в Интернет, которые при успешном взломе становятся бэкдором в целевую систему. В дальнейшем преступники могут делать в корпоративной среде все, что вздумается: отключать защитное программное обеспечение, выполнять необходимые команды и развертывать дополнительное ПО.
Исходный код некоторых вымогателей находится в открытом доступе, где подвергается большому количеству модификаций и улучшений. Это делает наиболее популярные шифровальщики самыми опасными, поскольку они используют надежные и уникальные алгоритмы.
Как будто одного шифрования данных было мало, вымогатели занялись кражей конфиденциальной информации с целью выкупа. В противном случае они угрожают опубликовать данные в открытых источниках, что может нанести дополнительный репутационный и финансовый ущерб.
В декабре 2019 года атаке вымогателей из группировки Maze подвергся целый город, а вернее сеть администрации. В результате этого была нарушена телефонная связь, перестала работать электронная почта и система оплаты счетов. Также киберпреступники похитили и опубликовали конфиденциальные данные, чтобы доказать действительность своих угроз.
Следуя этому примеру, уже в 2020 году операторы вредоноса DoppelPaymer запустили в работу сайт, на котором планируют публиковать данные компаний, отказавшихся заплатить злоумышленникам выкуп. На момент написания, самой значимой информацией на сайте считаются конфиденциальные данные мексиканской нефтяной компании Pemex, за которую киберпреступники требовали от предприятия около 5 млн. долларов в биткойнах.
Специалисты считают, что такой метод вымогательства в обозримом будущем будет только набирать популярность. Организации уже привыкли к вероятности блокировки или утери своих данных. Во многих случаях они используют различные инструменты для восстановления данных и могут достаточно легко вернуть себе доступ к данным, ничего не выплачивая преступникам. Однако публикация конфиденциальной информации и придание огласке факта информационной уязвимости – это риск, на который готовы пойти далеко не все. В этом отношении именно крупные компании с большим количеством клиентов и партнеров будут заинтересованы в замалчивании и «мирном» урегулировании подобных инцидентов.
Реальному осуществлению таких вымогательских атак способствует и развитие технологий. Угрозы раскрытия конфиденциальных данных злоумышленниками поступали и раньше, однако в большинстве случаев оказывались просто фикцией. Фильтрация и анализ больших объемов данных – очень ресурсоемкий процесс, инфраструктуру для осуществления которого попросту не могли себе позволить хакерские группировки. Развитие же облачной инфраструктуры, которое позволяет обеспечить более низкую стоимость хранения данных, уже сейчас делает эти угрозы абсолютно реальными.
Способов распространения немного, но они работают
Основными методами распространения шифровальщиков остаются фишинговые и небезопасные соединения по протоколу удаленного рабочего стола (RDP). Специалисты из Malwarebytes также отметили использование хакерскими группировками сетевых наборов эксплойтов для развертывания вымогателей. Эти атаки запускаются через скомпрометированные веб-сайты, представляющие интерес для определенных секторов бизнеса, после перехода на них.
В некоторых случаях злоумышленники покупают доступ к системам, уже зараженным другими вредоносными программами. В даркнете существуют торговые площадки, которые продают доступ к взломанным компьютерам и серверам, а ботнеты внедряют дополнительное вирусное ПО.
По подобной схеме работают спам-ботнет Emotet, троян для кражи учетных данных TrickBot и вымогатель Ryuk. Однако между изначальным заражением и полноценным развертыванием вымогательского ПО обычно проходит достаточно много времени, за которое возможно вычислить и устранить уязвимость. Возможно, но очень сложно без совершенных инструментов мониторинга внутренней сети.
В зоне риска также находятся малые и средние организации, которые передают свою сеть и управление безопасностью специализированным поставщикам управляемых услуг (MSP), имеющим привилегированный доступ к системам своих клиентов. В случае проникновения злоумышленников в сеть MSP, компании-клиенты рискуют подвергнуться атаке «изнутри» и могут оказаться абсолютно беззащитны перед киберпреступниками.
Не стать жертвой вымогателей
Чтобы сократить риск успешной атаки с использованием вымогательского ПО необходимо, в первую очередь, понять какие системы потенциально могут быть захвачены. Сделать это самостоятельно компаниям зачастую просто невозможно. Если бы сотрудники внутренней службы безопасности могли безошибочно определить уязвимости собственной системы, атаки злоумышленников никогда не достигали бы результата.
В данном случае, имеет смысл прибегнуть к помощи стороннего аудитора информационной безопасности, который проведет необходимые тесты на проникновение и выявит любые потенциально уязвимые системы или серверы. После этого уже можно осуществлять централизованное усиление периметра компании для противодействия кибер-угрозам.
Общие же рекомендации по противодействию вымогателям сводятся к следующему:
· Использование уникальных учетных данных для удаленных подключений к сети и двухфакторной системы аутентификации;
· Своевременное создание контрольных точек и обновление ПО;
· Сегментация сетей по принципу наименьших привилегий;
· Проверка контроллеров домена на предмет попыток получения несанкционированного доступа;
· Четкая инвентаризация критически важных данных и строгий контроль систем, имеющих к ним доступ;
· Использование антивирусного ПО на каждом устройстве;
· Отказ от стороннего ПО, ненужного для работы;
· Ограничение привилегий пользователей.
Так как зачастую именно действия сотрудников, преднамеренные или по незнанию, становятся причиной заражения корпоративных систем вредоносными программами, необходимо обучить их как распознавать фишинговые письма и как работать с сомнительными файлами, получаемыми по почте. Как вариант, можно создать специальный адрес электронной почты, отслеживаемый группой безопасности, куда сотрудники смогут пересылать электронные письма, которые они считают подозрительными.
Если компания вынуждена предоставлять доступ ко внутренней сети третьим лицам, например поставщикам управляемых услуг, необходимо настроить четкий контроль таких соединений. Опять же, имеет смысл ограничить привилегии таких третьих лиц рамками, необходимыми для выполнения конкретной задачи.
Для того же, чтобы даже в случае успешной атаки шифровальщика не остаться без необходимых для работы данных, крайне важно иметь четкую систему резервного копирования и восстановления информации. В идеале, регулярно проводить проверку этой системы, чтобы в любой момент времени быть уверенным в ее работоспособности. Резервные копии должны храниться вне сети, там, где им будет невозможно навредить. Отлаженная схема такого процесса позволит избежать потери данных, как в случае целенаправленных атак злоумышленников, так и в случае непредвиденных системных ошибок, что в конечном итоге позволит компании сохранить и преумножить собственные ресурсы. Халатное отношение к корпоративным данным недопустимо для компаний, нацеленных на успех. Помните, что иллюзия безопасности не делает Вас защищенным.
Текст: Антон Каландин
