- РесурсыИспользование продуктаОнлайн-инструменты
- Цены
- Реферальная
- Разработчикам
Если вы следили за новостями о кибербезопасности в последнее время, вы, вероятно, заметили тревожную тенденцию. Прошли те времена, когда эти атаки в основном были направлены на кражу данных кредитных карт, информации социального страхования и показе раздражающих всплывающих окон. Они превратились в серьёзные экзистенциальные угрозы для бизнесов любого масштаба по всему миру.
Мы наблюдаем атаки, которые не только вызывают небольшой спад производительности бизнеса, но и приостанавливают его работу на день-два. Мы наблюдаем атаки, способные стереть целые организации с лица земли.
Существует устойчивое заблуждение, что атаки с вымогателями направлены прямо на крупные технологические компании, предприятия или безликие государственные учреждения. Хакеры гораздо более безразборны. Компании, пережившие рецессии, глобальные войны и пандемии, рушатся под давлением цифрового вымогательства, и им нужно быстро научиться защищать себя.
В этом посте мы разберём, что именно такое вымогательское МО, механизмы современных атак, почему они так быстро распространяются и насколько они могут быть безжалостными, когда застали компанию врасплох.
Прежде чем углубляться в некоторые страшные истории и предостерегающие рассказы, давайте быстро разберёмся с определениями.
Программы-вымогатели лучше всего описать как вредоносное программное обеспечение (вредоносное ПО), которое нарушает работу и лишает бизнеса доступа к своим системам до тех пор, пока не будет выплачена определённая сумма денег. Это был бы выкуп.
Хотя словарное определение может показаться немного абстрактным или даже клиническим, давайте пройдёмся по воображаемому сценарию того, как могла бы выглядеть настоящая атака вымогателей. Представь, что завтра утром ты заходишь в свой офис. У вас уже все встречи организованы, и вы готовы начать.
Вы пробуждаете компьютер, шевелите мышью, и экран оживает, но обычные обои с рабочего стола исчезают. Вместо этого вы видите чёрный экран с угрожающим красным текстом, объясняющим, что каждый файл в вашей системе, каждая база данных и каждая запись клиента зашифрованы, и вы больше не можете к ним получить доступ. Панические станции.
Обычно шифрование — это инструмент, используемый «хорошими парнями» для кибербезопасности. Но с помощью вымогателей они переворачивают это представление и шифруют все ваши данные, зная, что только у них есть ключ для их разблокировки.
Далее хакеры требуют выкуп. Обычно это платеж в криптовалюте, например, Bitcoin, но чаще всего это сложная отследимая монета, например Monero или Zcash. Обещание в том, что как только вы заплатите выкуп, ваши системы расшифруют, и вы сможете вернуться в свою жизнь, будто ничего и не произошло.
Большинство банд теперь также используют коварную тактику, известную как двойное вымогательство, при которой они блокируют ваши файлы, копируют все и угрожают слить их в общественность. Так что даже если вы готовились к атаке с помощью вымогателей, имея надёжные резервные копии, у них есть второй рычаг давления против вас — массовая утечка данных. Они могут угрожать раскрытием личных данных клиентов, юридических документов или коммерческих тайн. Всё зависит от того, какие данные они получают.
Во многом это превращается в цифровую ситуацию с заложниками, и с ней сложно ориентироваться, ведь цель направлена прямо на репутацию и выживание организации.
Если угроза уже так хорошо известна, как она всё ещё наносит столько урона в огромном масштабе? Проблема заключается в скорости распространения вредоносного ПО после взлома сети, а также в архитектуре современных сетей.
Вымогатели распространяются по пути наименьшего сопротивления, и проблема современной цифровой инфраструктуры в том, что она полна незапертых дверей.
Что нужно, чтобы началась атака с помощью вымогателей? В то время как поп-культура рисует образ персонажа в капюшоне в тёмной комнате, яростно печатающего на клавиатуре и пытающегося обойти файрволы, на самом деле всё становится более обыденным (и гораздо более раздражающим для охранных команд).
Чаще всего хакерам не нужен таран, чтобы прорваться через тщательно охраняемую входную дверь. Они просто получают запасной ключ, который остался под ковриком. В реальном смысле этот запасной ключ может быть чем-то простым, например, слабым или скомпрометированным паролем. А если в вашем бизнесе работают сотни или тысячи человек, каждый из которых использует десятки приложений, это может быть много потенциальных трещин в брони, которые можно использовать.
Если злоумышленник правильно угадает слабый пароль или покупает список действительных входов в даркнете, он просто входит в вашу сеть, как легитимный пользователь. Как только они появляются, большинство сетевых систем безопасности перестают воспринимать их как посторонних, и им предоставляется полная свобода перемещаться между системами, распространяя вредоносное ПО до критической массы.
Как только злоумышленники попадают в дверь, они медленно заражают системы как можно скрытнее. Они делают это с помощью техники, называемой «жизнью за счёт земли».
Вместо того чтобы загружать очевидные вредоносные вирусы, которые может обнаружить антивирусное ПО, они используют инструменты, уже встроенные в операционную систему Windows. Они могут использовать PowerShell (фреймворк автоматизации задач) для запуска скриптов, которые отключают оповещения о безопасности или сканируют сеть на предмет других компьютеров.
И поскольку они используют легитимные инструменты администратора, они без подозрений сливаются с обычным сетевым трафиком. Используя этот метод, команде безопасности может потребоваться часы, дни или, в некоторых случаях, месяцы, чтобы заметить аномалию. Это позволяет программо-вымогателю наносить ущерб и распространяться по системам и данным, увеличивая свои привилегии, пока хакеры не достигнут точки, когда смогут заблокировать всю организацию.
Вы слышали о SaaS (программное обеспечение как услуга). Теперь представьте себе эту бизнес-модель, но на этот раз она рассчитана на киберпреступность. Это звучит почти слишком дерзко, чтобы это было реально, но именно это и есть ransomware-as-a-service (RaaS).
Раньше, чтобы осуществить атаку с помощью вымогателей, требовались серьёзные технические навыки и навыки взлома, чтобы приблизиться к успеху. Вот почему такие нападения были редкими. Но сегодня любой может зайти в интернет и купить готовый набор для вымогателей.
Преступные группы упаковывают свои инструменты так же, как современная софтверная компания упаковывает свои приложения, а затем продают их по подписке. Эти сервисы обычно включают обслуживание клиентов, технические рекомендации, руководства по адаптации, модели распределения прибыли и даже дашборды, отслеживающие заражения среди пострадавших.
Это может показаться безумным, но это настоящая «индустрия», и это происходит каждый день.
В результате любой человек с дурными намерениями — будь то недовольный бывший сотрудник, ищущий немного денег или просто желающий наблюдать, как мир горит — может запускать масштабные атаки с вымогателями. Им не нужно понимать, как работает вредоносное ПО, так как оно уже разработано.
Это одна из главных причин взрыва атак. Киберпреступность стала франшизой. А с ростом числа преступников происходит резкий рост агрессии.
Если вы думаете, что банды вымогателей ограничиваются блокировкой файлов, подумайте ещё раз. Их бизнес-модель основана на страхе, давлении и унижении. Они хотят, чтобы жертвы паниковали. Они хотят, чтобы принимающие решения чувствовали себя загнанными в угол.
Недавний материал BBC показал, насколько жестокими могут быть вещи. Группа вымогателей не просто крала данные, она напрямую нацелилась на сотрудников. Они отправляли сообщения с угрозами утечки личной информации и медицинских записей, используя сотрудников как эмоциональный рычаг давления, чтобы заставить бизнес заплатить. Это не было каким-то разовым «плохим яблоком». Это становится стандартным поведением.
Теперь преступники регулярно делают:
Нет настоящего чувства стыда и нет черты, которую они отказываются переходить. Эти преступники хотят не только деньги, им нужен полный контроль и подчинение, и они будут выжимать жертв любым способом, пока не получат их.
С каждым годом эти атаки становятся всё быстрее, агрессивнее и более разрушительны. Преступные группы сотрудничают и совершенствуют свои навыки, делятся «лучшими практиками» и постепенно совершенствуют стратегии. И при таких высоких финансовых стимулах хватает недобросовестных игроков, желающих заполучить свою долю.
Для бизнеса первым шагом к защите является понимание того, как на самом деле работает вымогател, и надеюсь, этот блог направил вас на этот путь. Несмотря на то, насколько жестокими могут быть вымогательные вымогатели, его можно предотвратить с помощью хороших практик кибербезопасности и регулярного обучения сотрудников.
Помните, ваша защита сильна ровно настолько, насколько сильнее всего вашего слабого звена, поэтому убедитесь, что каждый в вашей организации понимает риски вымогателей и свои обязанности при взаимодействии онлайн.
