Атаки вредоносов, как правило, начинаются с фишинговых писем, которые содержат вредоносные ссылки или вложения. Главная задача подобных писем – убедить жертву перейти по ссылке или открыть, вложенный в письмо, файл. Такие действия пользователя активируют загрузчик, который устанавливает на компьютер жертвы вредоносную программу, которая впоследствии скрытно шифрует важные для пользователя файлы либо блокирует систему целиком, после чего злоумышленник требует выкуп за разблокирование. Растущее количество таких атак заставляет организации увеличивать инвестиции в защиту данных, сетей и клиентских устройств.

Большое количество атак с использованием программ-вымогателей наблюдалось в сфере здравоохранения в США после перехода на медицинские карты в электронном формате. Компании финансового сектора также всё чаще страдают от вирусов-вымогателей ввиду растущего использования мобильных и веб-приложений для транзакций и платежей.

Согласно прогнозу исследовательской фирмы MarketsandMarkets, к 2021 году рынок защиты от программ-вымогателей достигнет 17,36 млрд долларов дохода и будет демонстрировать среднегодовой темп роста 16,3% (CAGR) относительно предыдущей пятилетки. Азиатско-Тихоокеанский регион открывает самые большие возможности роста благодаря увеличению расходов на кибербезопасность в Китае, Австралии и Индии.

Эксперты по информационной безопасности выделили следующие тенденции в направлении атак вирусов-шифровальщиков:

Резервные копии на прицеле

Злоумышленники ищут теперь не только критически важные файлы, но и резервные копии файлов, изображений и документов, говорит Терри Рей (Terry Ray), старший вице-президент и почетный сотрудник компании Imperva (Редвуд-Шорз, шт. Калифорния), специалист в кибербезопасности.

Даже осуществляя резервное копирование, организации часто хранят резервные копии в том же дата-центре, что и все свои данные, и это упрощает для злоумышленников поиск и блокирование таких копий, говорит Рей. Чтобы исключить подобные риски, компаниям следует уделить особое внимание организации процессов бэкапирования и, следуя золотому правилу резервирования 3-2-1, обеспечить хранение резервных копий в сторонних автономных хранилищах или воспользоваться услугами BaaS (Backup-as-a-Service).

При этом Рей не рекомендует отправлять резервные копии в облако AWS или Microsoft Azure, так как если злоумышленникам удастся получить доступ к внутренним серверам в организации, то они смогут тогда делать всё, что угодно, с файлами, которые хранятся в общедоступном облаке. И даже если резервная копия хранится вне корпоративного дата-центра, не должно быть открытого канала связи с таким хранилищем, чтобы злоумышленники не могли до нее добраться, сказал Рей.

Комбинированные атаки

Программы-вымогатели всё чаще используются в сочетании с другими средствами атак, такими как руткиты или трояны, чтобы осуществить взлом методом "грубой силы" и получить регистрационные данные с правами администратора, говорит Адам Куджава (Adam Kujawa), директор исследовательской лаборатории компании Malwarebytes (Санта-Клара, шт. Калифорния). Использование эксплойтов, таких как EternalBlue или EternalRomance, помогает дальше расширить фронт атаки.

Такой способ позволяет инфицировать не какой-то единичный компьютер, а все системы в корпоративной сети компании, говорит Куджава. После того, как вся сеть скрытно заражалась вирусом-вымогателем в течение нескольких дней или даже недель, неизвестно, откуда и когда будет нанесен удар. Поэтому Куджава рекомендует определить, какие данные являются наиболее ценными для организации или могут принести наибольший ущерб, если будут утрачены, и ввести дополнительные меры безопасности, чтобы злоумышленникам было труднее до них добраться.

Шифрование баз данных

Вирусы-шифровальщики способны теперь шифровать не просто отдельные файлы, а элементы баз данных и даже вытаскивать данные из БД, оставляя вместо них сообщение с требованием выкупа, говорит Рей из Imperva.

При использовании даже бесприцельных атак часто оказываются заражены файл-серверы, поскольку доступ к ним в организации открыт и все сотрудники могут хранить на них свои данные, говорит Рей. Поэтому злоумышленникам бывает легко получить доступ к файл-серверам, даже не занимаясь для этого фишингом.

В отличие от файл-серверов, у баз данных, как правило, весьма ограниченный круг пользователей в организации, говорит Рей. Поэтому злоумышленникам приходится нацелить свой фишинг на администратора базы данных в конкретной организации, чтобы добыть логин и пароль от сервера приложений, который обращается к этой базе данных, или пользователя с правами администратора на сервере базы данных. При этом сами действия для шифрования или кражи данных с файл-сервера и из базы данных, по сути, одинаковы, говорит Рей.

Загрузчики и стиллеры

Как правило, сначала в сеть организации будет заслан стиллер для кражи паролей или загрузчик вредоносной нагрузки, говорит Райан Калембер (Ryan Kalember), исполнительный вице-президент по стратегии кибербезопасности компании Proofpoint (Саннивейл, шт. Калифорния). Первый предназначен для сбора регистрационных данных, веб-логинов и куки-файлов и чтобы попытаться узнать, где именно находятся самые важные для организации файлы.

Загрузчик ведет себя иначе: он скрытно устанавливается на компьютер жертвы и до поры никак себя не проявляет, чтобы злоумышленник мог установить свой эксплойт в нужный момент. Взломщики стали чаще использовать такие загрузчики, так как они помогают внедрять вирусы-вымогатели, приносящие быстрые деньги, а стиллеры отстают от них после того, как Emotet ушел в тень в конце мая, говорит Калембер.

Как бы то ни было, злоумышленники будут использовать доступ, даваемый стиллером или загрузчиком, для более широкомасштабных атак с внедрением программ-вымогателей, говорит Калембер. Другими словами, первичная функция вредоносного ПО в фишинговой атаке состоит в том, чтобы подготовить почву для внедрения программ-вымогателей.

Шифрование совершенствуется

Поначалу в большинстве программ-вымогателей были неумело реализованы алгоритмы шифрования, поэтому многим пострадавшим организациям удавалось самим дешифровать данные, игнорируя требование выкупа, говорит Куджава из Malwarebytes.

Дело в том, что многие взломщики были новичками, а не профессиональными разработчиками и зачастую неумело, вручную делали свои ключи шифрования, говорит Куджава. Как результат, они не могли создать корректно работающие инструменты дешифрования, то есть пострадавший всё равно не вернул бы свои данные, даже если бы заплатил.

Ситуация изменилась с тех пор, как Microsoft создала новую платформу криптографии для Windows, и CryptoLocker выполнил шифрование на отлично, напомнил эту историю Куджава. Сегодняшние вирусы-вымогатели, как правило, хорошо сделаны, и большинство злоумышленников решают теперь вопрос: как корректно осуществлять шифрование в массовом масштабе.

Геозонирование атак

Вредонос с проверкой геозон срабатывает только на определенных IP-адресах, позволяя злоумышленникам нацелить свои атаки на определенные географические регионы, говорит Калембер из Proofpoint. Например, было замечено, что многие разновидности вирусов-шифровальщиков совсем не затрагивают Россию, говорит он.

Сегодня многие злоумышленники создают варианты программ-вымогателей, чтобы нацелить их на определенные страны, сказал он. К примеру, они могут создать приманку на итальянском или немецком языке, чтобы пытаться поймать на нее сотрудников каких-то организаций в этих странах.

Проявления такого вируса на других IP-адресах, вне Италии или Германии, создают лишний риск обнаружения без всякой пользы для атакующих, поскольку получатели в других странах просто не смогут прочесть сообщение, пояснил Калембер.

Атаки на более слабых

Раньше вымогатели атаковали компании, можно сказать, без разбора, но теперь, когда более солидные организации укрепили свою оборону и надежнее защитили резервные копии, они всё чаще способны восстановить работу после атаки, не платя никакого выкупа, говорит Калембер. Поэтому злоумышленники перенесли прицел на мелкие фирмы и муниципальные органы власти, которые не столь хорошо оснащены и не имеют достаточных знаний для защиты информации.

Злоумышленники ориентируются на демографический профиль, выявляя мелкие организации в секторах с традиционно низким бюджетом и уровнем подготовки персонала, говорит Калембер, а затем ищут свободно доступные в Сети адреса электронной почты с общим ящиком, чтобы повысить вероятность успеха, поскольку письмо увидят сразу несколько человек.

Также, злоумышленники частично отошли от попыток обработать первого же пользователя с помощью фишинга, таргетируя жертву внутри организации и атакуя ее методом "грубой силы". Хакеры стали также использовать протокол удаленного рабочего стола для проникновения в заведомо известные ресурсы в экосистеме организации, которые были открыты Интернету, добавил Калембер.

Вымогательство-как-услуга

Создатели программ-шифровальщиков стали привлекать владельцев ботнетов, предлагая им распространять вредоносный код за вознаграждение, говорит Куджава из Malwarebytes. Если всё прошло успешно и получен выкуп, такой партнер-соучастник получит определенную долю, а остальную часть денег возьмет себе создатель вируса.

Если взломщик пытается сам создавать и сам же распространять свои вирусы, он использует лишь один канал и способ распространения, говорит Куджава. Когда действует сеть партнеров-сообщников, гораздо труднее заблокировать определенные типы программ-вымогателей, поскольку их распространением занимаются 15-20 человек, действуя каждый по-своему и беря на прицел разные цели, пояснил Куджава.

Построение "цепочки поставок" программ-вымогателей помогло их создателям монетизировать свое творение и сохранять свои штаммы активными в течение даже нескольких лет после обнаружения, говорит Куджава. Однако создание такой сети подразумевает определенное доверие к сообщникам, которых они на самом деле не знают, и всегда есть риск, что те применят обратное декодирование, восстановят исходный код и, создав собственный штамм вируса-вымогателя, начнут его использовать уже самостоятельно.


Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и вирусов-шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!