С момента своего появления шифровальщики прошли большой эволюционный путь, постепенно превратившись из штучных инструментов, создаваемых отдельными группами «энтузиастов», в мощную подпольную индустрию, приносящую своим участникам огромную прибыль. Причем порог входа в этот теневой бизнес становится все ниже.
Сейчас злоумышленнику уже не нужно создавать вредоносное ПО самостоятельно и даже покупать его в дарк-вебе. Достаточно оплатить подписку на доступ к одному из облачных сервисов, известных как RaaS (Ransomware-as-a-Service). Простые в развертывании и не требующие навыков программирования, такие сервисы дают возможность использовать инструменты ransomware, по сути, любому желающему. Что естественным образом ведет к постоянному росту количества киберинцидентов этого типа.
Еще одной тревожной тенденцией последнего времени стал переход от простой модели вымогательства выкупа к комбинированным атакам, при которых данные перед шифрованием выкачиваются хакером. В этом случае угрозой за невыплату отступных становится не уничтожение информации, а ее публикация в открытых источниках или продажа на закрытом аукционе. Один из таких аукционов, о котором стало известно широкой общественности, прошел этим летом. Украденные при помощи шифровальщика REvil базы данных сельскохозяйственных компаний были выставлены на продажу в качестве лота со стартовой ценой $55 тыс.
К сожалению, многие жертвы вымогателей вынуждены платить, хотя и сами понимают, что возвращение доступа к информации отнюдь не гарантировано. В качестве целей для своих атак хакеры стараются выбирать компании и организации с низкой терпимостью к простою. Ущерб от остановки, например, производства может измеряться миллионами долларов в сутки, а расследование киберинцидента может занять недели и все равно не привести к восстановлению систем предприятия. А если речь идет о медицинской организации? В таких ситуациях у владельцев бизнеса просто не остается ни одной разумной альтернативы выплате выкупа.
Дошло до того, что прошлой осенью ФБР США вынуждено было выпустить специальное разъяснение, посвященное шифровальщикам-вымогателям, в котором содержалась недвусмысленная рекомендация не платить хакерам выкуп. Подобное поведение жертв лишь провоцирует новые атаки, но никак не гарантирует возвращения доступа к зашифрованной информации.
Яркие инциденты
Вот лишь некоторые инциденты, произошедшие в первой половине этого года, которые могут подтвердить растущие масштабы проблемы.
В феврале датская компания ISS A/S, занимающаяся комплексной эксплуатацией и содержанием зданий, стала жертвой вымогателя. Злоумышленниками была зашифрована база данных компании, что привело к отключению от корпоративных сервисов сотен тысяч сотрудников, работавших в 60 странах. Датчане отказались платить. На восстановление работоспособности большей части инфраструктуры и проведение расследования ушло около месяца, а суммарные потери от инцидента оцениваются экспертами рынка в $75–114 млн.
Американский транснациональный поставщик ИТ-услуг Cognizant пострадал от шифровальщика весной. 18 апреля компания официально признала, что стала жертвой атаки очень популярного в последнее время ransomware-инструмента Maze. ПО и сервисы Cognizant клиенты использовали для обеспечения удаленной работы сотрудников, деятельность которых была нарушена.
В предупреждении о компрометации, разосланном Cognizant своим партнерам сразу после атаки, в качестве индикаторов взлома были перечислены IP-адреса серверов и хэши файлов (kepstl32.dll, memes.tmp и maze.dll), характерных для Maze.
Три недели потребовалось на восстановление большей части корпоративной инфраструктуры, что вынудило Cognizant включить в прогноз финансовых результатов второго квартала 2020 года ущерб в размере $50–70 млн.
В феврале атаке подвергся муниципальный совет административного округа Редкар-энд-Кливленд (Великобритания). Издание The Guardian процитировало одного из членов совета, по словам которого, в течение трех недель организация была вынуждена «довольствоваться ручкой и бумагой». В течение этого периода ИТ-инфраструктуру, пользователями которой являлись сотни тысяч местных жителей, пришлось фактически создавать заново.
Окончательно оправиться от нападения ведомство смогло лишь к маю. Тогда и был подведен неутешительный итог инцидента: ущерб составил порядка $20 млн.
Как защищаться?
Лучшей стратегией защиты от атак с использованием программ-вымогателей является своевременная подготовка. Часто воротами для несанкционированного входа в систему являются почтовые сервисы, которые должны быть оборудованы эффективными спам-фильтрами, блокирующими или отправляющими в карантин все исполняемые вложения. Не лишним будет и активировать отображение расширений файлов, что снизит вероятность их случайного открытия.
Если атака все-таки произошла, минимизировать время простоя и потенциальный ущерб можно лишь при наличии регулярно обновляемых резервных копий всей критически важной для жизни компании информации. Лучше всего, если копии будут располагаться в защищенном облаке.
Гораздо более широкими возможностями защиты от всех типов угроз обладает комплексный продукт Kaspersky Total Security для бизнеса. Благодаря средствам облачного и поведенческого анализа он способен предотвратить проникновение шифровальщика в систему, вовремя выявив подозрительное поведение приложений. Если же заражение все же произошло, этот инструмент позволит откатить вредоносные действия. Помимо этого, он содержит полный спектр средств веб-контроля и контроля устройств, инструменты адаптивного контроля аномалий и набор рекомендаций по настройке политик безопасности.