Цивилизация
Было ваше – стало наше
Глобальную известность троянам-вымогателям обеспечила серия атак группировки WannaCry: в результате заражения этим вирусом пользователи в 150 странах понесли убытки на сумму не менее 4 млрд долларов. На сегодняшний день тенденции остаются неутешительными, несмотря на то, что доля программ-вымогателей в общей массе вредоносного ПО постепенно уменьшается. Согласно данным «Лаборатории Касперского», доля программ-вымогателей в общем объеме обнаруженного зловредного ПО в 2019 году составила 1,49%, а в 2020 году — 1,08%. Но дело не в том, что вымогателей-шифровальщиков становится меньше, просто все больше и больше киберпреступников переключились за это время с массовых заражений обычных пользователей на схему с атаками на корпоративный сектор.
Но полностью с массового сегмента они не ушли: киберпреступники постоянно изобретают новые способы нажиться. В 2019 году наблюдался очередной всплеск активности вымогателей, связанный с появлением двух новых семейств вредоносного ПО. Первое — Bluff, блокировщик браузера, который создает фальшивую вкладку, откуда пользователь не может выйти, и угрожает печальными последствиями в случае отказа платить выкуп. Второе — Rakhni, шифровальщик, распространяемый преимущественно через спам-письма с вредоносными вложениями.
Хотя шифровальщики никуда не делись и деваться не собираются, за последние пять лет подобные программы претерпели некоторую эволюцию: из угрозы персональным компьютерам они превратились в серьезную опасность для корпоративных сетей и государственных структур, причем применяться стали и легитимные инструменты для шифрования. И если раньше злоумышленники фокусировались на количестве зараженных компьютеров, то теперь они атакуют крупные цели, чтобы в случае успеха получить выкуп крупных размеров вплоть до миллионов долларов.
Появилась и еще одна новая тенденция — теперь киберпреступники не только шифруют данные, но и предварительно крадут их, чтобы затем угрожать их публикацией. Таким образом, пострадавшая организация сталкивается с куда более серьезными проблемами, чем раньше: если риск шифрования данных можно частично компенсировать продвинутой системой резервного копирования, то разглашение информации несет репутационные риски, может вызвать гнев акционеров или стать причиной штрафов регуляторов. В совокупности эти последствия могут обернуться куда большими убытками, чем простая уплата выкупа злоумышленникам. Например, 20 апреля участники группировки REvil опубликовала на сайте Happy Blog ряд документов, которые, по утверждению злоумышленников, являлись чертежами устройств Apple. По словам киберпреступников, данные были похищены из корпоративной сети тайваньской компании Quanta Computer — одного из партнеров Apple. Первоначальный размер выкупа, который преступники потребовали от Quanta, составил 50 млн долларов, однако убытки в случае обнародования подобных сведений были бы еще значительнее. И все же Quanta никак не отреагировала на угрозы, после чего злоумышленники переключились на саму компанию Apple, чьи чертежи техники и были похищены. Официальной реакции так и не поступило, но в определенный момент мошенники удалили всю информацию о взломе.
С 2019 года эксперты наблюдают регулярные кампании целой серии таргетированных шифровальщиков (так называемые «big game hunting ransomware»), за которыми стоят преступные группировки с большими техническими возможностями. Например, в 2020 году при помощи программы-вымогателя WastedLocker был атакован производитель навигационного оборудования и устройств для фитнеса Garmin, с которого злоумышленники потребовали выкуп в размере 10 млн долларов. Использованное вредоносное ПО было разработано специально для этой атаки.
На данный момент эксперты «Лаборатории Касперского» выявили 28 семейств программ-вымогателей для целевых атак — например, печально известный шифровальщик Hades, который используется для атак на компании капитализацией не менее миллиарда долларов. По состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.
В период с 2019 по 2020 год количество объектов, подвергшихся атакам программ-вымогателей, разработанных специально для целевых атак (созданных для нападения на конкретную цель), выросло с 985 до 8538, т. е. на 767%. Свежий пример — хакерская атака на одного из крупнейших трубопроводных операторов в США Colonial Pipeline, которая была совершена 6 мая. Уже на следующий день компания была вынуждена остановить работу трубопровода, обеспечивающего горючим автозаправки сразу в нескольких густонаселенных штатах на Восточном побережье. Colonial Pipeline заявляла, что заплатила хакерам почти $5 млн за восстановление доступа к компьютерной сети.
А в конце мая хакерская атака на JBS, крупнейшего в мире производителя мяса, вынудила эту бразильскую компанию закрыть все мясокомбинаты компании в США. Компания пошла на уступки и приняла решение выплатить выкуп в размере $11 млн, таким образом организация надеялась избежать дальнейших сбоев в работе и обезопасить себя и партнеров.
Всеобщая угроза и комплексная защита
Принимая во внимание вышесказанное, становится очевидным, что позаботиться о защите от вымогателей необходимо компаниям и организациям любого размера, причем речь идет не только о резервном копировании данных.
Эффективная защита строится из, казалось бы, базовых соображений и правил, однако, профессионалы напоминают, что пренебрегать ими нельзя. Например, чтобы защитить компанию от атак с использованием программ-вымогателей, специалисты «Лаборатории Касперского» рекомендуют:
- Не подключаться к службам удаленного рабочего стола (таким как RDP) через общественные сети и всегда использовать надежные пароли.
- Своевременно обновлять ПО на всех используемых устройствах для предотвращения эксплуатации уязвимостей.
- Оперативно устанавливать доступные исправления для коммерческих VPN-сервисов, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов сети.
- Всегда обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
- Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников.
- Регулярно создавать резервные копии данных и обеспечить быстрый доступ к бэкапу в критических ситуациях.
- Использовать актуальные данные об угрозах (Threat Intelligence), чтобы оставаться в курсе актуальных тактик и техник, используемых злоумышленниками.
- Проводить обучение сотрудников по вопросам информационной безопасности. В этом лучше всего помогают курсы в игровой форме, пример которых можно найти на платформе Kaspersky Automated Security Awareness Platform. Бесплатный урок по защите от атак программ-вымогателей доступен здесь.
- Использовать надежные решения для защиты рабочих мест, например, такое как Kaspersky Endpoint Security для бизнеса, в котором реализована функция обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий.
- Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например, решение класса EDR - Kaspersky Endpoint Detection and Response, класса XDR – Kaspersky Anti Targeted Attack, класса SIEM - Kaspersky Unified Monitoring and Analysis Platform и класса MDR - Kaspersky Managed Detection and Response.
- Применение комплексного подхода к построению защиты от сложных атак и в частности от разного рода шифровальщиков.
Важно понимать, что некоторые атаки долго и тщательно готовятся: преступники внедряются в сеть потенциальной жертвы и месяцами собирают информацию об организации, прежде чем нанести финальный удар. Например, в атаке против Travelex с использованием вредоносной программы REvil злоумышленники проникли в сеть компании за полгода до того, как зашифровали данные и потребовали выкуп. Кроме того, в последнее время использование ransomware является финальной точкой для увеличения прибыли злоумышленников от проводимых атак, оригинальной целью которых в большинстве случаев является получение денег, в то время как кража данных является дополнительным способом давления на жертву.
Вымогатели постоянно совершенствуют свой инструментарий, и компании должны отвечать тем же. Эффективная комплексная защита строится по нескольким направлениям, которые в совокупности обеспечивают безопасность компании в киберпространстве. Примером комплексного подхода к безопасности является, например, наиболее продвинутый уровень защиты от «Лаборатории Касперского» — Kaspersky Expert Security. В данном случае речь идет не просто об установке на компьютеры антивирусных программ, а о настоящей «круговой обороне» от злоумышленников.
Первое, на что необходимо обратить внимание — грамотный выбор программного обеспечения для защиты от киберугроз: в соответствии с ИБ-нуждами каждой конкретной компании, регулярно обновляемое и дополняемое. ПО должно быть разработано профессионалами, которые понимают, как эффективно выстраивать систему защиты, в том числе с учетом необходимости соответствия требованиям регуляторов.
Второй аспект — важно своевременно получать информацию об актуальных угрозах, чтобы затем применять эти сведения с использованием имеющегося инструментария. Также важно повышать квалификацию ИБ-экспертов компании, которые должны справляться с обработкой огромного массива поступающих данных: грамотно его анализировать, отсеивая ненужное, и эффективно реагировать. «Лаборатория Касперского» в рамках Kaspersky Expert Security решает обе эти задачи: предоставляет богатое портфолио решений по информированию об угрозах, а также проводит тренинги для ИБ-специалистов.
Третье обстоятельство — необходим комплексный подход, при котором поставщик защитных средств или иной партнер взаимодействует с защищаемой компанией и при необходимости может оказать ей поддержку в решении задач по кибербезопасности (например, предоставить круглосуточную управляемую защиту MDR, провести анализ защищенности или обеспечить незамедлительную помощь в реагировании на инцидент). Что бы ни случилось, даже если атака уже произошла, у специалистов компании всегда будет возможность быстро обратиться за квалифицированной помощью, а не решать проблемы в одиночку.
Все эти составляющие эффективной обороны от киберпреступников обеспечивает уровень защиты Kaspersky Expert Security, предлагаемый «Лабораторией Касперского». Компания предоставляет своим клиентам необходимые инструменты классов EDR, XDR, SIEM (Kaspersky EDR, Kaspersky Anti Targeted Attack, Kaspersky Unified Monitoring and Analysis Platform), актуальную информацию об угрозах (Kaspersky Threat Intelligence), тренинги для ИБ-специалистов (Kaspersky Security Training), а также экспертные ИБ-сервисы (Kaspersky MDR, Kaspersky Security Assessment, Kaspersky Incident Response). Создание защитной экосистемы на основе решений и сервисов «Лаборатории Касперского» решит проблему совместимости разных ИБ-продуктов, что сэкономит силы и средства. В результате компания получит комплексную защиту от угроз при оптимизации ИБ-ресурсов и помощь в соответствии требованиям регуляторов.
И напоследок
Аппетиты преступников растут, поэтому экосистема шифровальщиков продолжает развиваться и уже представляет собой серьезную угрозу для корпораций по всему миру. В современных реалиях начеку необходимо быть всем, от частных пользователей до больших организаций с тысячами сотрудников. Чтобы обеспечить себя эффективной защитой от угроз, необходимо понимать их специфику в каждом конкретном случае и готовить контрмеры сообразно имеющимся условиям. С поддержкой и помощью профессионалов эту задачу, при всей ее сложности, можно будет решить без лишних затрат денег, нервов и времени.
