Что такое программы-вымогатели и как с ними бороться?

Интернет предоставляет многочисленные возможности для бизнеса. Однако все больше компаний узнают о его темной стороне. Статистика Comparitech показывает, что за последний год появилось 153 миллиона новых вредоносных программ. Киберпреступники постоянно разрабатывают сложные методы взлома, способные нарушить передовые протоколы кибербезопасности.

Программы-вымогатели — это специфическая, особенно разрушительная практика киберпреступности. Более того, с 2019 года количество инцидентов с программами-вымогателями выросло на 3000%. Известные своей беспощадностью, банды программ-вымогателей часто выбирают своей целью учреждения здравоохранения и государственные учреждения, частные предприятия и случайных пользователей Интернета.

Очень сложно восстановиться после успешной атаки программ-вымогателей. Однако тщательная подготовка может смягчить возможные убытки. В этой статье представлен феномен программ-вымогателей и даны шаги по его предотвращению.

Что такое программы-вымогатели?

Первый инцидент с программой-вымогателем произошел в 1989 году. Вредоносная программа была создана эволюционным биологом Джозефом Поппом, который утверждал, что выкупные деньги должны были быть использованы для исследований СПИДа. Позже он был признан психически невменяемым, чтобы предстать перед судом. Так или иначе, он внедрил криптографию в вредоносных целях. Вредоносная программа распространялась через дискеты. После установки в устройство она изменяла процесс запуска компьютера. После 90 загрузок она шифровала имена всех файлов на диске C: и отображала записку с требованием выкупа.

Общий принцип работы программ-вымогателей остается прежним. Вредоносное ПО пытается получить несанкционированный доступ к компьютерной сети. Попав туда, оно распространяет шифрованные файлы пользователя и запрещает любые операции с ними. Затем вредоносное ПО представляет записку с требованием выкупа. Часто требования предъявляются в криптовалюте, чтобы избежать возможной идентификации.

Рост криптовалюты ускорил эволюцию программ-вымогателей. Поскольку конечной целью является получение выкупа без поимки, криптовалюта оказалась идеальным способом оплаты. Более того, продвинутая криптография улучшила атаки программ-вымогателей. Сложные алгоритмы шифрования практически невозможно взломать, что оставляет мало альтернативных возможностей для действий.

В настоящее время программы-вымогатели являются очень прибыльным методом киберпреступности. Более того, они стали полулегальным бизнесом. Некоторые разработчики вредоносных программ предоставляют Ransomware-as-a-Service (RaaS). Третьи лица могут заказать их услуги и получить профессиональный набор инструментов для программ-вымогателей. Другими словами, люди без знаний хакерства могут осуществлять атаки программ-вымогателей.

Худшие атаки программ-вымогателей

Лучше всего опираться на реальные примеры, чтобы лучше понять разрушительный масштаб программ-вымогателей. Один из самых страшных инцидентов произошел в 2017 году и назывался WannaCry ransomware. Он заразил более двухсот тысяч устройств в 150 странах, требуя выкуп в размере 300-600 долларов в криптовалюте.

Эта атака использовала уязвимости в системах Windows и распространялась в поведении, подобном червям. Черви — это особые вирусы, которые могут размножаться и распространяться по сетям без участия человека. Они преуспевают в заражении как можно большего количества устройств без ведома человека. Потенциальный ущерб от WannaCry составляет от сотен миллионов до четырех миллиардов долларов США.

Самая заметная недавняя атака с использованием программ-вымогателей произошла в прошлом году. В пятницу, 7 мая 2021 года, компания Colonial Pipeline была вынуждена остановить все операции. Нефтяной гигант отвечает за распределение нефти по трем трубам протяженностью 5500 миль и ежедневно перерабатывает 3 миллиона баррелей топлива между Техасом и Нью-Йорком. Атаки с использованием программ-вымогателей посеяли хаос на нефтяном рынке, и многие люди впали в панику, опасаясь нехватки газа. В конечном итоге компания заплатила выкуп в размере 4,4 миллиона долларов, чтобы возобновить свою деятельность.

С этической точки зрения худший случай с программой-вымогателем произошел в Ирландии. 14 мая 2021 года Управление здравоохранения Ирландии (HSE) подверглось атаке с использованием программы-вымогателя. Атака началась 16 марта с вредоносного электронного письма, которое было открыто 18 марта. За два месяца злоумышленники получили больший доступ к сетям HSE, а кибербезопасность HSE не отреагировала на угрозу. Одной из проблем были устаревшие системы кибербезопасности. Последствия были колоссальными. Плановые осмотры пришлось отменить, а врачи потеряли доступ к диагнозам пациентов, что вызвало всеобщую панику. Ирландия отказалась платить выкуп и к сентябрю восстановила более 95% пострадавших серверов.

Стоит ли платить выкуп?

Нет простого ответа относительно выплаты выкупа. Однако, как правило, принято отказывать в выплате как можно дольше. Во-первых, помните, что вы имеете дело с преступниками. Нет никаких гарантий, что они восстановят доступ к файлам даже после выплаты выкупа. Более того, выплачивая выкуп, вы финансируете их дальнейшие операции. Киберпреступники с такой же вероятностью запросят больше денег, чем выдадут файлы.

Во-вторых, 80% целей программ-вымогателей, которые платят, подвергаются еще одной атаке программ-вымогателей. В конце концов, хакеры ищут цели, чтобы поддаться давлению. Если вы это сделаете, они отметят вас в списке как возможную прибыльную цель для предстоящих операций. Лучше всего начать готовиться к следующей атаке, если вы решили выполнить их требования.

Как предотвратить атаки программ-вымогателей?

После заражения вирусом-вымогателем крайне сложно смягчить его. Современные алгоритмы шифрования практически невозможно взломать. Более того, вирус-вымогатель парализует всю компьютерную сеть, оставляя минимальные технические возможности. В то же время, существуют конкретные и простые шаги, которые вы можете предпринять, чтобы предотвратить это.

1. Регулярно обновляйте свои устройства. Что касается кибербезопасности, системные обновления имеют первостепенное значение. Компании-разработчики программного обеспечения регулярно выпускают обновления для исправления известных проблем безопасности. Лучше обновлять их как можно скорее. Хакеры прекрасно знают, когда выходят определенные обновления. Соответственно, они ищут необновленные системы, которые все еще могут быть использованы. Например, Microsoft исправила уязвимость безопасности за два месяца до глобального распространения WannaCry. Однако многие люди не установили обновление, оставив двери открытыми. Ирландская HSE также не обновила системы кибербезопасности, что позволило произойти катастрофе.
2. Инвестируйте в образование. Важно понимать, как программы-вымогатели используют человеческие ошибки. Вирус должен заразить систему, прежде чем шифровать файлы. Часто киберпреступники используют фишинговые атаки для первоначального заражения. Сообщается, что в 2021 году 83% организаций подверглись фишинговым атакам. Хакеры создают персонализированные электронные письма с вредоносными вложениями. Например, сотрудники могут получить приглашение на деловое мероприятие с расписанием в файле PDF. Неосведомленные сотрудники, загружающие файл, активируют вредоносное ПО, позволяя ему распространяться на другие компьютеры. Обучение персонала распознаванию фишинговых писем значительно снизит вероятность заражения. Одновременно программы-вымогатели могут распространяться через незащищенные веб-сайты или SQL-инъекции. Может потребоваться подписаться на курсы веб-разработки или науки о данных, которые предоставят соответствующим сотрудникам важные знания по кибербезопасности.
3. Безопасное онлайн-общение. Хакерам часто требуются обширные знания системы, прежде чем атаковать ее. Они могут шпионить за действиями сотрудников в сети и перехватывать их чаты. Более того, из-за политик WFH многие люди обмениваются конфиденциальными бизнес-данными через незащищенные домашние сети. Настоятельно рекомендуется, чтобы любой, кто имеет дело с конфиденциальной деловой информацией, использовал службы сквозного шифрования. Дополнительное шифрование обеспечит конфиденциальность в сети. Помните, что киберпреступники часто ищут самую легкую цель. Если они заметят, что ваши сотрудники используют дополнительное программное обеспечение для кибербезопасности, они будут искать в другом месте.
4. Регулярно делайте резервные копии. Резервное копирование данных необходимо для смягчения ущерба от программ-вымогателей. Даже если ваша система пострадала от программ-вымогателей, вы можете восстановить незашифрованную резервную копию и продолжить работу. Используйте следующее правило 3-2-1. Имейте три отдельные копии данных на двух разных хранилищах, одна из которых должна быть в автономном режиме. Не совершайте распространенную ошибку, создавая резервные копии данных на одном и том же хранилище или сервере. Программы-вымогатели зашифруют все хранилище, включая данные резервной копии. Помните, что важно хранить одно хранилище в автономном режиме. Поскольку вредоносное ПО быстро распространяется по компьютерным сетям, автономный режим защитит данные резервной копии от вторжения.
5. Сегмент корпоративной сети. Разделите свою сеть на более мелкие сегменты. Поскольку программы-вымогатели пытаются распространиться по всей сети, крайне важно предотвратить это. Каждый отдельный сегмент сети должен иметь индивидуальные протоколы безопасности, разрешения пользователей и брандмауэр. Это остановит неконтролируемое распространение вредоносного ПО. Кроме того, вы можете изолировать вредоносное ПО в зараженных сегментах и ​​отключить его от остальных. Это значительно увеличит шансы на продолжение работы компании, пока специалисты по кибербезопасности разбираются с вредоносным ПО.
6. Безопасность конечных точек. Защита всех бизнес-устройств предотвратит большинство попыток заражения. В настоящее время сотрудники используют многочисленные устройства для рабочих операций: смартфоны, ноутбуки, планшеты и т. д. Это обеспечивает больше траекторий атак. Лучше всего использовать дополнительное программное обеспечение для защиты каждого устройства, например:

• Антивирус;
• Шифрование данных;
• Расширения безопасности веб-браузера;
• Уведомления о безопасности в режиме реального времени;
• Предотвращение потери данных;
• Безопасность мобильных устройств.

Существуют сотни различных программ кибербезопасности, которые предоставляют эти преимущества. VPN, менеджеры паролей и безопасные облачные сервисы — это лишь некоторые из них. Обязательно изучите конкретное программное обеспечение в Интернете, чтобы выбрать то, что вам нужно больше всего.

7. Систематическое тестирование безопасности. Кибербезопасность никогда не заканчивается. Распространенная ошибка — думать, что можно сделать кибербезопасность одним большим заказом. На самом деле вам нужно регулярно обновлять протоколы кибербезопасности. Хакеры регулярно придумывают новые методы взлома, и вам нужно быть готовым. Убедитесь, что ваше тестирование безопасности включает три критических аспекта:

• Установить новые правила безопасности;
• Проверить новые уязвимости системы;
• Переоцените существующие методы обеспечения кибербезопасности.

Заключительные мысли

Что касается программ-вымогателей, вам, возможно, захочется сымитировать атаку программ-вымогателей. Помните, что большинство ваших устройств будут неработоспособны, когда произойдет атака. Лучше всего, если у вас будет четкий и краткий план действий. Подготовьте каналы связи для контактов в режиме офлайн для важных отделов. Одновременно с этим имейте инструкции по связям с общественностью и сотрудничеству с законом.

Эти шаги защитят большинство предприятий от наиболее распространенных атак программ-вымогателей. Хакеры часто ищут самые легкие цели, и стандартный эффективный брандмауэр оттолкнет их. Более того, ваши сотрудники будут более внимательны к другим киберугрозам, если вы включите их в информативный курс по кибербезопасности. Поговорка «береженого Бог бережет» идеально подходит к программам-вымогателям.