Эти примеры взяты из корпусов и из источников в Интернете.Любые мнения в примерах не отражают мнение редакторов Cambridge Dictionary, Cambridge University Press или его лицензиаров.

Взгляд на русскоязычную экосистему программ-вымогателей

Не секрет, что шифровальщики-вымогатели сегодня являются одной из основных проблем вредоносных программ как для потребителей, так и для корпоративных пользователей. Анализируя статистику атак за 2016 год, мы обнаружили, что к концу года обычный пользователь подвергался атакам с помощью программ-шифровальщиков в среднем каждые 10 секунд, а организация в любой точке мира — примерно каждые 40 секунд.

Статистика Лаборатории Касперского по угрозам вымогателей в 2016 году

Всего мы зарегистрировали атаки с использованием программ-вымогателей-шифровальщиков против 1 445 434 пользователей по всему миру. В совокупности на этих людей было совершено 54 тысячи модификаций более 60 семейств крипто-вымогателей.

Так почему же это происходит сейчас, если шифровальщики-вымогатели, как тип вредоносного ПО, существуют с середины 2000-х годов? Основных причин три:

• Сборку или сборщик вымогателей легко купить на подпольном рынке
• Распределительную службу легко купить
• Криптовымогатель как бизнес имеет очень четкую модель монетизации за счет криптовалюты

Другими словами, это хорошо настроенная, удобная для пользователя и постоянно развивающаяся экосистема.Последние несколько лет мы в «Лаборатории Касперского» следим за развитием этой экосистемы. Это то, что мы узнали.

1. В большинстве случаев шифровальщики имеют российское происхождение

Один из выводов нашего исследования заключается в том, что 47 из более чем 60 семейств крипто-вымогателей, обнаруженных нами за последние 12 месяцев, относятся к русскоязычным группам или отдельным лицам. Этот вывод основан на наших наблюдениях за подпольными форумами, инфраструктурой управления и контроля и другими артефактами, которые можно найти в Интернете.Трудно сделать однозначные выводы о том, почему так много семейств программ-вымогателей имеют российское происхождение, но можно с уверенностью сказать, что это связано с тем, что в России и соседних с ней странах много хорошо образованных и опытных программистов. .

Другая возможная причина заключается в том, что российское киберпреступное подполье имеет богатейшую предысторию, когда речь идет о схемах вымогателей. До нынешней волны шифровальщиков-вымогателей была еще одна эпидемия вредоносных программ, связанных с программами-вымогателями.Примерно в период с 2009 по 2011 годы тысячи пользователей в России и соседних странах подверглись атакам с использованием так называемых блокировщиков Windows или браузеров. Этот тип программ-вымогателей блокирует доступ пользователя к браузеру или ОС, а затем требует выкуп в обмен на разблокировку доступа. Эпидемия затихла по ряду причин: правоохранительные органы отреагировали адекватно и поймали нескольких преступников, причастных к бизнесу; операторы мобильной связи усложнили вывод денег с помощью премиальных SMS-сервисов; индустрия безопасности вложила много ресурсов в разработку бесплатных сервисов и технологий для разблокировки.

Но похоже, что опытные преступники-вымогатели никуда не исчезли, они просто ждали новой модели монетизации, которая теперь появилась в виде криптовалют. Но на этот раз проблема вымогателей не сугубо российская, а глобальная.

2. Существует три типа участия в «бизнесе» программ-вымогателей

Российский подпольный рынок программ-вымогателей предлагает преступникам три различных способа проникновения в нелегальный бизнес.

• Создать новую программу-вымогатель для продажи
• Станьте участником партнерской программы вымогателей
• Стать владельцем партнерской программы

Первый тип участия требует продвинутых навыков написания кода, включая глубокие знания криптографии. Актеры, которых мы наблюдали в этой категории, похожи на торговцев оружием: они обычно не участвуют в реальных атаках, а только продают код.

Пример рекламы уникальной криптовалютной вредоносной программы, размещенной ее создателем.Автор обещает шифрование с помощью алгоритмов Blowfish и RSA-2048, методов защиты от эмуляции, расширенных возможностей сканирования и функций, позволяющих удалять резервные копии и теневые копии информации, хранящейся на компьютере жертвы.

Иногда авторы вредоносных программ продают свои «продукты» со всем исходным кодом по фиксированной цене (обычно несколько тысяч долларов), а иногда они продают свой конструктор — инструмент, который позволяет злоумышленникам, не имеющим опыта программирования, создавать криптографические программы-вымогатели с помощью конкретный список функций.

На следующем рисунке показано, какие возможности строитель дает преступнику. Например, он позволяет злоумышленникам создавать программы-вымогатели, которые начинают шифрование файлов только после 10 минут бездействия пользователя; который изменит расширения зашифрованных файлов на выбор одного из злоумышленников; и который будет запрашивать права администратора, пока не получит их. Он также позволяет злоумышленникам менять обои рабочего стола на произвольные и реализовывать некоторые другие функции, которые в конечном итоге могут быть объединены в очень опасную программу.

Интерфейс сборщика вымогателей Globe

обычно намного дешевле, чем полный исходный код уникального вымогателя — сотни долларов. Однако авторы (и владельцы) подобного программного обеспечения часто взимают с клиентов плату за каждую новую сборку вредоносного ПО, созданного с помощью их программного обеспечения.

Pay-per-build — еще один вид монетизации, используемый авторами оригинальной программы-вымогателя. В этом случае цена упадет еще ниже, до десятков долларов, но клиент получит зловред с фиксированным набором функций.

Рекламное объявление, предлагающее уникальную программу-вымогатель с оплатой за сборку.

В сборку часто входит не только сам вредоносный код, но и инструменты для статистики и взаимодействия с зараженными компьютерами.

Пример панели управления и контроля, которая поставляется со сборкой определенного семейства программ-вымогателей

— третий вид участия в преступном бизнесе с программами-вымогателями — довольно стандартная форма киберпреступности: владельцы программы предоставляют партнерам все необходимые средства заражения, а затем партнеры работают над распространением вредоносного ПО.Чем успешнее их старания, тем больше денег они получают. Для участия в таких программах не требуется ничего, кроме желания вести определенные незаконные действия и пары биткойнов в качестве партнерского вознаграждения.

Реклама партнерской программы

Интересно, что, исследуя развитие подпольной экосистемы программ-вымогателей, мы обнаружили два типа партнерских программ: одну для всех и одну для конкретных партнеров.

В отличие от программ для всех, «элитные» программы не принимают любого партнера.Чтобы стать партнером элитной программы, кандидат должен предоставить личную рекомендацию одного из действующих партнеров программы. Кроме того, кандидат должен доказать, что у него есть определенные возможности распространения вредоносного ПО. В одном случае, который мы наблюдали в прошлом году, кандидат должен был продемонстрировать свою способность выполнить не менее 4000 успешных загрузок и установок вредоносного ПО на компьютеры жертвы. Взамен партнер получает бесплатные инструменты для обфускации сборок программ-вымогателей (чтобы сделать их менее заметными для решений безопасности) и хороший коэффициент конверсии — до 3%, что является очень хорошей сделкой, по крайней мере, по сравнению с тарифами. что предлагают юридические партнерские программы.

Подводя итог всему, что написано выше: гибкость — ключевая особенность нынешней подпольной экосистемы программ-вымогателей. Он предлагает множество возможностей людям, склонным к преступному поведению, и практически не имеет значения, какой у них уровень ИТ-опыта.

3. На этом рынке есть действительно крупные игроки

Если вы думаете, что быть владельцем или партнером «элитной» партнерской программы — это высшая веха в карьере в мире программ-вымогателей, вы ошибаетесь.На самом деле создатели программ-вымогателей, их отдельные клиенты, партнеры и владельцы партнерских программ часто работают на более крупные преступные предприятия.

В состав профессиональной группы программ-вымогателей входят разработчик вредоносных программ (он же создатель группы), владельцы партнерских программ, партнеры программы и менеджер, который объединяет их всех в одно невидимое предприятие

В настоящее время существует несколько относительно крупных групп программ-вымогателей с русскоязычными участниками.В последние несколько месяцев мы изучали деятельность одной такой группы и теперь имеем представление о том, как она действует. Мы считаем эту группу интересной, потому что она построена таким образом, что нам очень сложно идентифицировать всех ее аффилированных лиц. Он состоит из следующих сторон: создатель, менеджер, партнеры и партнерские программы. По нашим данным, создателем и лидером этой группы является автор вымогателя. Он разработал исходную программу-вымогатель, дополнительные модули для нее и ИТ-инфраструктуру для поддержки работы вредоносного ПО.Основная задача менеджера — поиск новых партнеров и поддержка существующих. По нашим сведениям, менеджер — единственный человек, который взаимодействует с создателем. Основная задача партнеров — подобрать новую версию программы-вымогателя и успешно ее распространить. Это означает успешное заражение как можно большего количества компьютеров и требование выкупа. Для этого — среди других инструментов — партнеры используют принадлежащие им партнерские программы. Создатель зарабатывает деньги, продавая эксклюзивное вредоносное ПО и обновления партнерам, а все остальные участники схемы делят доход от жертв в разных пропорциях.По нашим данным, в этой группе не менее 30 партнеров.

4. Затраты и прибыль на подпольном рынке программ-вымогателей высоки

По нашим оценкам, доход группы, подобной описанной выше, может достигать тысячи долларов в день при успешном истребовании выкупа. Хотя, конечно, как и в случае с любым другим видом злонамеренной деятельности на профессиональном уровне, профессиональный игрок в программы-вымогатели тратит много ресурсов на создание, распространение и монетизацию вредоносного кода.

Структура операционных затрат большой группы программ-вымогателей примерно выглядит следующим образом:

1. Обновление модулей программ-вымогателей
1. Новые функции
2. Техника обхода
3. Улучшение шифрования
2. Распространение (спам / эксплойт-киты)
3. Служба проверки AV
4. Учетные данные для взломанных серверов
5. Заработная плата наемных специалистов (обычно это ИТ-администраторы, обслуживающие серверную инфраструктуру)

В основе механики всей группы лежит код вымогателя и каналы распространения.

Они распространяют программы-вымогатели четырьмя основными способами: наборы эксплойтов, спам-кампании, социальная инженерия, взломанные выделенные серверы и целевые взломы. Комплекты эксплойтов являются одним из самых дорогих типов инструментов распространения и могут стоить несколько тысяч долларов в неделю, но, с другой стороны, этот тип распространения является одним из самых эффективных с точки зрения процента успешных установок.

Спам — вторая по популярности форма распространения. Электронные письма с адресным фишингом, рассылаемые преступниками, обычно маскируются под важное сообщение от правительственной организации или крупного банка с вредоносным вложением.Согласно тому, что мы наблюдали в прошлом году, рассылка спама вредоносными сообщениями электронной почты является более чем действенным методом, поскольку в 2016 году количество вредоносного спама, связанного с программами-вымогателями, заблокированного нашими системами, было огромным.

А иногда электронные письма, которые получают хакеры-вымогатели, технически законны. Работая над реагированием на инциденты, мы наблюдали несколько случаев, когда электронное письмо с вредоносным вложением (которое, в конечном итоге, зашифровывало важные данные жертвы) было отправлено с легитимного электронного письма законным пользователем.Очень часто это электронные письма от клиентов или партнеров атакуемой организации, и, покопавшись глубже и поговорив с представителями организации, отправившей вредоносные электронные письма, мы узнали, что эта организация также была заражена.

Как преступники используют одну зараженную организацию для нападения на другую

Нам показалось, что преступники-вымогатели сначала заразили одну организацию, затем получили доступ к ее системе электронной почты и начали рассылать электронные письма с вредоносным вложением по списку контактов всей компании.Трудно недооценить опасность этой формы распространения программ-вымогателей: даже если получатель такого письма знает об основных методах, используемых киберпреступниками для распространения вредоносных программ, у него нет возможности идентифицировать атаку.

Как мы узнали, операционные расходы, с которыми преступники-вымогатели сталкиваются для поддержки своих кампаний, в некоторых случаях могут достигать десятков тысяч долларов. Тем не менее, этот бизнес, к сожалению, очень прибыльный. Судя по тому, что мы видели в обсуждениях на подпольных форумах, преступники набивают себе карманы почти 60% доходов, полученных в результате их деятельности.Итак, давайте вернемся к нашей оценке ежедневного дохода группы, который в хороший день может составлять десятки тысяч долларов.

Типичное распределение прибыли (зеленый) и операционных расходов (красный) в бизнесе, связанном с программами-вымогателями

Это, конечно, оценка совокупного чистого дохода: общая сумма денег, которая используется в качестве выплат всем участникам вредоносной схемы — начиная от обычных участников партнерской программы и заканчивая элитными партнерами, менеджером и создателем.Все-таки это огромные деньги. По нашим наблюдениям, элитный партнер обычно зарабатывает 40-50 биткойнов в месяц. В одном случае мы видели подсказки о том, что особенно удачливый партнер заработал около 85 биткойнов за один месяц, что, согласно текущему обменному курсу биткойнов, составляет 85 000 долларов.

5. Профессиональные группы программ-вымогателей переходят на целевые атаки

Чрезвычайно тревожная тенденция, которую мы наблюдаем прямо сейчас, заключается в том, что группы программ-вымогателей с большим бюджетом переходят от атак обычных пользователей, а иногда и небольших компаний, к целевым атакам на относительно крупные организации.В одном из наших случаев реагирования на инциденты мы наблюдали целевую атаку на компанию с более чем 200 рабочими станциями, а в другом случае — на более 1000 рабочих станций.

Механика этих новых атак сильно отличается от того, что мы привыкли видеть.

• Для первоначального заражения они не использовали пакеты эксплойтов или целевой фишинговый спам. Вместо этого, если им удавалось найти сервер, принадлежащий целевой компании, они пытались взломать его
• Чтобы попасть в сеть организации, эта группа использовала эксплойты и инструменты с открытым исходным кодом
• Если в организации был незащищенный сервер с доступом RDP, эта группа пыталась применить к нему грубую силу
• Чтобы получить необходимые права доступа для установки программ-вымогателей в сети с помощью psexec, они использовали инструмент Mimikatz.
• Затем они могли установить постоянство с помощью инструмента RAT с открытым исходным кодом под названием PUPY
• После того, как они закрепились в атакованной сети, они изучили ее, выбрали самые важные файлы и зашифровали их с помощью специальной, но невидимой сборки вымогателя.

Другая группа, которую мы обнаружили в другой крупной организации, вообще не использовала никаких программ-вымогателей. Они зашифровали данные вручную. Для этого они выбирают важные файлы на сервере и помещают их в архив, защищенный паролем.

Заключение

В обоих случаях, описанных выше, субъекты продемонстрировали образ действий, характерный для субъектов целевых атак — в то время как мы почти на 100% уверены, что группы, стоящие за этими атаками, ранее работали в основном над широко распространенными кампаниями с использованием программ-вымогателей. Есть две основные причины, по которым мы думаем, что злоумышленники начинают внедрять целевые методы в свои операции.

1. Благодаря нескольким успешным массовым кампаниям они теперь достаточно хорошо финансируются, чтобы вкладывать большие деньги в сложные операции.

2. Атака программ-вымогателей на крупную корпорацию имеет смысл, потому что это может парализовать работу целой компании, что приведет к огромным убыткам. Благодаря этому от домашних пользователей и небольших компаний можно требовать выкуп больше запрашиваемого.

Мы уже наблюдали подобную мутацию с другим опасным видом вредоносной деятельности: финансовой кибератакой. Они также начинались как массовые атаки на пользователей онлайн-банкинга.Но со временем участники этих кампаний сместили свои интересы сначала в сторону малых и средних компаний, а затем и в сторону крупных корпораций, самих банков.

Также важно отметить, что до сих пор преступники считали бизнес с программами-вымогателями безопасным. Это связано с их уверенностью в том, что использование криптовалюты позволяет им избежать отслеживания по принципу «следуй за деньгами», а также отсутствием арестов банд, участвующих в программах-вымогателях. С нашей точки зрения, все эти выводы неверны.Надеемся, что скоро правоохранительные органы начнут уделять этим группам больше внимания.

Сунь-Цзы сказал: Если вы знаете врага и знаете себя, вам не нужно бояться результата сотни битв. Если вы знаете себя, но не знаете врага, за каждую одержанную победу вы также будете терпеть поражение. Если вы не знаете ни врага, ни себя, вы проиграете в каждом бою.

Эта статья преследует две основные цели: обучить людей, заинтересованных в борьбе с программами-вымогателями, и повысить осведомленность о проблеме, которую могут вызвать целевые атаки с использованием программ-вымогателей.

Хотя получившие широкую огласку дела о судебном преследовании участников программ-вымогателей еще не возбуждены, люди и компании могут действовать уже сейчас, чтобы усложнить работу участников программ-вымогателей и защитить свои данные. Прежде всего, регулярно создавайте резервные копии и храните их на диске, изолированном от основной сети вашей организации.

Не забудьте защитить свои серверы с помощью проверенных решений безопасности. Они выявляют и блокируют самые последние версии штаммов вымогателей.

И главный совет — НЕ ПЛАТИТЬ! Если вы заплатите выкуп, ваши деньги будут закачаны во вредоносную экосистему, которая уже наводнена средствами.Чем больше денег получают преступники, тем более изощренные инструменты они получают, что дает им доступ к гораздо более широким возможностям атак.

российского спама о спаме выглядят как записка с требованием выкупа — Naked Security

Как и любой другой, кто был в сети двадцать или более лет, у меня в свое время было несколько адресов электронной почты. Один из них, который я почти никогда не использую, предназначен для веб-сайта, который я создал более 15 лет назад и почти никогда не обновляю. И он получает очень много русскоязычного спама.На самом деле он получает больше русского спама, чем спама на любом другом языке.

Я не особо возражаю против этого и никогда не удосужился установить для этого фильтр защиты от спама. В конце концов, в моей работе довольно интересно видеть спам. 🙂

Вот пример спама на русском языке, который я получил вчера вечером на этот адрес электронной почты:

Как видите, спамеры создали электронный эквивалент традиционной записки о выкупе. Возможно, они не вырезали каждую букву своего требования о выкупе из газеты, но они создали электронный эквивалент.И они используют изображение, а не текст в электронном письме, пытаясь обойти более рудиментарные фильтры защиты от спама.

Я попросил Дмитрия в нашей лаборатории перевести мне сообщение, и он сказал мне, что это спам о спаме!

Читается:

«У нас есть доступ к вашим потенциальным клиентам. Если вы хотите с ними связаться, закажите у нас массовую рассылку электронной почты. Тел: ….»

Спам на русском языке, предлагающий услуги массовой рассылки, на самом деле не такой уж необычный.Мы видим много сообщений, рекламирующих российские услуги по рассылке спама, и очевидно, что некоторые фирмы считают, что это приемлемый способ сбыта их продуктов и услуг.

Кроме того, в отличие от спама, который мы видим во всем мире, русскоязычный спам нередко содержит контактные номера телефонов, а не веб-адрес.

Однако предоставление вашей услуги традиционными методами похитителя заставляет меня приподнять бровь. Я имею в виду, какая компания отнесется к такому подходу серьезно? Вы действительно хотите вести какие-то темные дела с такими парнями?

россиян арестованы за попытку подкупа сотрудника Tesla для установки вымогателя

Гражданин России арестован за попытку подкупа компании Tesla Inc.В рамках схемы вымогательства сотрудник компании Nevada Gigafactory представил программу-вымогатель на заводе производителя электромобилей.

Обвиняемый, Егор Игоревич Крючков, был арестован 22 августа в Лос-Анджелесе при попытке бежать из страны и содержался под стражей после первого судебного заседания. Пока что Крючкову предъявлено обвинение в сговоре с целью умышленного повреждения защищенного компьютера.

Большинство историй о программах-вымогателях связаны с тем, что хакеры используют уязвимости в сети определенной компании для шифрования файлов и требуют выплаты выкупа.Однако эта история гораздо красочнее и, возможно, подходит для компании, основанной Илоном Маском.

В период с 15 июля по 22 августа Крючков, как утверждается, вступил в сговор с сообщниками, чтобы нанять сотрудника Tesla для внедрения программы-вымогателя в сеть Telsa на заводе в Неваде. Идея заключалась в том, что как только программное обеспечение будет внедрено, они украдут файлы из сети Telsa, а затем пригрозят опубликовать украденные данные, если выкуп не будет уплачен.

Заговорщики не знали, что сотрудник, к которому они подошли, немедленно отправился в Tesla, которая получила U.С. Вовлечено Федеральное бюро расследований. Затем была проведена спецоперация, в ходе которой сотрудник подыграл Крючкову, который дал сотруднику телефон с записывающим устройством и предложил выплату в размере 1 миллиона долларов после развертывания программы-вымогателя.

Несмотря на то, что исследователи в области безопасности часто называют это попыткой установить вымогатель, Министерство юстиции описывает это программное обеспечение только как вредоносное ПО. По-видимому, нет никаких доказательств того, что программа могла бы зашифровывать файлы, как традиционные программы-вымогатели, а вместо этого просто крала конфиденциальные данные и затем требовала выкуп.Попытка вымогательства была бы лучшим описанием, но некоторые утверждают, что это можно рассматривать как новую форму программы-вымогателя, учитывая, что конечной целью по-прежнему была выплата выкупа.

«Это обвинительное заключение представляет собой интересное сочетание внешних угроз и внутренних угроз, о которых профессионалы традиционно думали отдельно», — сказала SiliconANGLE Кэти Никелс, директор по разведке компании по управляемому обнаружению угроз Red Canary Inc. «В частности, программы-вымогатели обычно воспринимаются как внешняя угроза — они часто доставляются по электронной почте или через веб-сайты.”

До предъявления обвинения, отметила она, многие организации, вероятно, не использовали вымогателей с инсайдерской поддержкой в ​​своих моделях угроз, но она считает, что теперь им следует рассмотреть эту возможность. «С помощью традиционных программ-вымогателей многие защитники могут остановить программы-вымогатели до того, как они зашифруют данные», — сказал Никелс. «Если у инсайдера есть физический доступ, остановить этот вид атак становится намного сложнее, поскольку защитники не привыкли справляться с ними».

Nickels отметила, что в обвинительном заключении содержится много подробностей о том, как российский гражданин обучал сотрудника, например об использовании WhatsApp и режима полета на своем телефоне.

«Мы часто связываем этот вид торговли с довольно продвинутыми противниками, часто с теми, кто занимается шпионажем, но в этом обвинительном заключении нет упоминания о шпионаже», — сказала она. «Это обвинительное заключение демонстрирует другой уровень изощренности и проблем для защитников, в частности, повышая вероятность того, что злоумышленники могут использовать внутренние угрозы для получения доступа и выполнения вредоносного программного обеспечения в целевой среде. Мы знаем, что традиционные программы-вымогатели по-прежнему эффективны, и мы не можем с уверенностью сказать, почему некоторые злоумышленники предпочитают менять тактику, но возможно, что более высокий выкуп требует большей изощренности.”

Мэтт Уолмсли, директор компании Vectra AI Inc. по обнаружению угроз и реагированию на них, сказал, что злоумышленники ищут внутренний доступ к привилегированным объектам, связанным с учетными записями, хостами и службами, учитывая неограниченный доступ, который они могут предоставить, а также легкость репликации и распространения. В данном случае речь идет о вербовке или принуждении инсайдера Tesla.

«Операторы программ-вымогателей превратились в тактику« имя и позор », при которой данные жертвы перехватываются до шифрования и используются для получения платежей от программ-вымогателей», — сказал он.«Эта тактика запугивания делает атаки еще более дорогостоящими, и они не собираются прекращаться в ближайшее время, особенно в нынешних условиях».

Фото: Smnt / Wikimedia Commons

Раз уж вы здесь…

Покажите свою поддержку нашей миссии с помощью подписки в один клик на нашем канале YouTube (ниже). Чем больше у нас подписчиков, тем больше YouTube будет предлагать вам актуальный корпоративный и новейший технологический контент. Спасибо!

Поддержите нашу миссию: >>>>>> ПОДПИСАТЬСЯ СЕЙЧАС >>>>>> на нашем канале YouTube.

… Мы также хотели бы рассказать вам о нашей миссии и о том, как вы можете помочь нам в ее выполнении. Бизнес-модель SiliconANGLE Media Inc. основана на внутренней ценности контента, а не на рекламе. В отличие от многих онлайн-изданий, у нас нет платного доступа и баннерной рекламы, потому что мы хотим, чтобы наша журналистика оставалась открытой, без влияния или необходимости преследовать трафик. Журналистика, репортажи и комментарии на SiliconANGLE — вместе с живым, незашифрованным видео от нашей студии в Кремниевой долине и командировок по всему миру в theCUBE — требуют много тяжелой работы, времени и денег.Для поддержания высокого качества требуется поддержка спонсоров, которые согласны с нашим видением журналистского контента без рекламы.

Если вам нравятся репортажи, видеоинтервью и другой контент без рекламы, пожалуйста, найдите время, чтобы проверить образец видеоконтента, поддерживаемого нашими спонсорами, твитнуть о вашей поддержке и продолжайте возвращаться на SiliconANGLE .

Выкуп за русское искусство Джона МакФи

Главный герой — Нортон Тауншенд Додж. Он так хорошо описан Макфи и его словами и так далек от скучных американских стандартов, что он, несомненно, должен быть немного самосознательным и изобретателем.Загадочные деньги (по сути, это история о том, что семья знала Бенджамина Грэма и уделяла ему внимание), академическое экономическое любопытство в сочетании с интересом к искусству, способ блуждания, который работал в СССР без видимой причины, слишком много друзей и знакомых которые были в ЦРУ, и в странном разрушающемся поместье в Америке, в котором хранилась единственная значительная в мире коллекция советского диссидентского искусства — что может не понравиться?

Изображение русских художников менее убедительно, либо потому, что у Макфи было меньше контактов и более свободный тип отношений с художниками постфактум, либо потому, что эти художники в значительной степени потеряны без подавляющей силы власти, определяющей их искусство и идеи. .Есть несколько прекрасных разделов, которые показывают страх, ревность (избиение соперницы-любовницы и бросание ее бумаг в львиный логово Московского зоопарка), алкоголизм, потребность спрятаться и потребность показать. Мнение других о Додже одновременно забавно и делает его более многомерным.

В конце концов, Dodge был одной из немногих форм субсидирования и покровительства, позволявшей избранному, но большому количеству советских художников остаться в живых и получать водку. Прекрасные цветные пластины избранных картин Додж демонстрируют ошеломляющее количество стилей и яркую культуру скрытого искусства.Возможно, творчество действительно подпитывает кризис и подавление.

Купите эту книгу, прочтите, отдайте хорошему другу.

Что такое программа-вымогатель? Все, что вам нужно знать об одной из самых больших угроз в Интернете

Что такое программа-вымогатель?

Программы-вымогатели — одна из самых серьезных проблем безопасности в Интернете и одна из самых серьезных форм киберпреступлений, с которыми сегодня сталкиваются организации. Программы-вымогатели — это разновидность вредоносного ПО, которое шифрует файлы и документы на чем угодно, от одного ПК до всей сети, включая серверы.Жертвам часто остается мало выбора; они могут либо восстановить доступ к своей зашифрованной сети, заплатив выкуп преступникам, стоящим за программой-вымогателем, либо восстановить данные из резервных копий, либо надеяться, что ключ дешифрования находится в свободном доступе. Или начать заново с нуля.

Некоторые заражения программами-вымогателями начинаются с того, что кто-то внутри организации щелкает то, что выглядит как невинное вложение, которое при открытии загружает вредоносные данные и шифрует сеть.

Другие, гораздо более крупные кампании по вымогательству используют программные эксплойты и недостатки, взломанные пароли и другие уязвимости для получения доступа к организациям, использующим слабые места, такие как серверы с выходом в Интернет или вход в систему с удаленного рабочего стола для получения доступа.Злоумышленники будут тайно искать в сети, пока не получат контроль как можно больше — прежде чем зашифровать все, что они могут.

SEE: Политика сетевой безопасности (TechRepublic Premium)

Это может стать головной болью для компаний любого размера, если важные файлы и документы, сети или серверы внезапно зашифровываются и становятся недоступными. Хуже того, после того, как вы подвергнетесь атаке с помощью программы-вымогателя с шифрованием файлов, преступники нагло объявят, что держат ваши корпоративные данные в заложниках, пока вы не заплатите выкуп, чтобы вернуть их.

Это может показаться слишком простым, но это работает — до такой степени, что директор британского разведывательного агентства GCHQ Джереми Флеминг предупредил, что угроза программ-вымогателей «растет с угрожающей скоростью».

Какова история программ-вымогателей?

Хотя количество программ-вымогателей резко возросло в последние годы, это не новое явление: первый экземпляр того, что мы теперь называем вымогателем, появился в 1989 году.

Известный как AIDS или троян-киборг для ПК, вирус был отправлен жертвам — в основном в сфере здравоохранения — на дискете.Программа-вымогатель подсчитала количество загрузок ПК: как только она достигла отметки 90, она зашифровала машину и файлы на ней и потребовала от пользователя «продлить лицензию» с помощью «PC Cyborg Corporation», отправив 189 или 378 долларов в почтовое отделение. коробка в Панаме.

Спрос на оплату СПИДа — по почте.

Как развивались программы-вымогатели?

Эта ранняя программа-вымогатель представляла собой относительно простую конструкцию, использующую базовую криптографию, которая в основном просто изменяла имена файлов, что позволяло относительно легко преодолеть эту проблему.

Но это положило начало новому направлению компьютерных преступлений, которое медленно, но верно расширялось — и действительно взлетело в эпоху Интернета. Прежде чем они начали использовать передовую криптографию для нацеливания на корпоративные сети, хакеры нацеливались на обычных пользователей Интернета с помощью базовых программ-вымогателей.

Одним из наиболее успешных вариантов была «полицейская программа-вымогатель», которая пыталась вымогать у жертв, утверждая, что компьютер был зашифрован правоохранительными органами. Он заблокировал экран с запиской о выкупе, предупреждающей пользователя о том, что он совершил незаконную онлайн-активность, из-за чего его могли отправить в тюрьму.

Однако, если жертва заплатит штраф, «полиция» позволит разрешить нарушение и восстановить доступ к компьютеру, передав ключ дешифрования. Конечно, это не было связано с правоохранительными органами — это преступники, эксплуатирующие невинных людей.

Пример «полицейской программы-вымогателя», угрожающей британскому пользователю.

Несмотря на то, что эти формы программ-вымогателей в некоторой степени успешны, они часто просто накладывают свое «предупреждающее» сообщение на дисплей пользователя, и перезагрузка машины может избавить от проблемы и восстановить доступ к файлам, которые никогда не были зашифрованы.

Злоумышленники извлекли уроки из этого, и теперь большинство схем вымогателей используют передовую криптографию, чтобы по-настоящему заблокировать зараженный компьютер и файлы на нем.

Какие основные типы программ-вымогателей?

Программы-вымогатели постоянно развиваются, постоянно появляются новые варианты и создают новые угрозы для бизнеса. Однако некоторые типы программ-вымогателей оказались более успешными, чем другие.

Самым распространенным семейством программ-вымогателей в 2021 году на сегодняшний день является Sodinokibi, которое преследует организации по всему миру с момента своего появления в апреле 2019 года.

Также известная как REvil, эта программа-вымогатель отвечает за шифрование сетей большого количества известных организаций, включая Travelex и юридическую фирму из Нью-Йорка со знаменитыми клиентами.

Банда, стоящая за Sodinokibi, долгое время закладывала основу для атаки, незаметно перемещаясь по скомпрометированной сети, чтобы гарантировать, что все возможное может быть зашифровано до запуска атаки вымогателя.

Известно, что те, кто стоит за Sodinokibi, требовали выплаты в миллионы долларов в обмен на расшифровку данных.А учитывая, что хакеры часто получают полный контроль над сетью, те организации, которые отказываются платить выкуп после того, как стали жертвой Содинокиби, также обнаруживают, что банда угрожает раскрыть украденную информацию, если выкуп не будет выплачен.

Sodinokibi — не единственная кампания по вымогательству, которая угрожает утечкой данных от жертв в качестве дополнительного рычага для вымогательства платежа; Банды вымогателей, такие как Conti, Doppelpaymer и Egregor, входят в число тех, кто угрожает опубликовать украденную информацию, если жертва не заплатит.

Новые семейства программ-вымогателей появляются постоянно, в то время как другие внезапно исчезают или выходят из моды, а на подпольных форумах постоянно появляются новые вариации. Любая из распространенных форм программ-вымогателей прямо сейчас может стать вчерашней новостью всего через несколько месяцев.

Например, Locky когда-то был самой известной формой программы-вымогателя, создававшей хаос в организациях по всему миру в течение 2016 года, распространяясь через фишинговые электронные письма. Locky оставался успешным, потому что те, кто стоял за ним, регулярно обновляли код, чтобы избежать обнаружения.Они даже обновили его, добавив в него новые функции, в том числе возможность требовать выкуп на 30 языках, чтобы преступникам было проще преследовать жертв по всему миру. В какой-то момент Locky стал настолько успешным, что стал одной из самых распространенных форм вредоносного ПО. Однако менее чем через год он, казалось, исчез, и с тех пор о нем никто не слышал.

В следующем году именно Cerber стал самой распространенной формой вымогателей, на долю которых в апреле 2017 года приходилось 90% атак программ-вымогателей на Windows.Одной из причин, по которой Cerber стал настолько популярным, было то, как он распространялся как «программа-вымогатель как услуга», что позволяло пользователям без технических знаний проводить атаки в обмен на часть прибыли, возвращаемой первоначальным авторам.

В то время как Cerber, казалось, исчез к концу 2017 года, он стал пионером модели «как услуга», которая сегодня популярна во многих формах программ-вымогателей.

Другой успешной формой программ-вымогателей в 2017 и 2018 годах была SamSam, которая стала одним из первых семейств, получивших печальную известность не только за взимание выкупа в десятки тысяч долларов за ключ дешифрования, но и за использование незащищенных систем с выходом в Интернет в качестве средство заражения и латерального распространения по сети.

В ноябре 2018 года Министерство юстиции США обвинило двух хакеров, работающих в Иране, в создании программы-вымогателя SamSam, которая, как сообщается, в течение года выплатила выкуп на сумму более 6 миллионов долларов. Вскоре после этого SamSam перестала быть активной формой вымогателей.

В течение 2018 и 2019 годов еще одним семейством программ-вымогателей, которое оказалось проблематичным как для предприятий, так и для домашних пользователей, было GandCrab, которое Европол охарактеризовал как «одну из самых агрессивных форм программ-вымогателей» в то время.

GandCrab работал «как услуга» и получал регулярные обновления, а это означает, что даже когда исследователи безопасности взломали его и смогли выпустить ключ дешифрования, вскоре после этого появилась новая версия программы-вымогателя с новым методом шифрования.

Очень успешный, особенно в первой половине 2019 года, создатели GandCrab внезапно объявили о закрытии операции, заявив, что они получали 2,5 миллиона долларов в неделю, сдавая ее в аренду другим киберпреступникам.GandCrab исчез через несколько недель, хотя похоже, что злоумышленники могли просто переключить свое внимание на другую кампанию; исследователи предположили сильное сходство в коде GandGrab по сравнению с Sodinokibi, который все еще набирает силу в 2020 году.

Между тем, одним из самых успешных семейств программ-вымогателей в течение 2020 года была программа-вымогатель Maze, которая сочетала регулярные обновления кода вредоносного ПО с угрозы утечки украденной информации в случае невыплаты шестизначного выкупа.Группа «вышла на пенсию» в конце 2020 года, но есть подозрения, что некоторые из тех, кто стоял за успехом Maze, перешли к другим криминальным операциям с программами-вымогателями.

Что представляла собой атака программы-вымогателя Colonial Pipeline?

В мае 2021 года Colonial Pipeline, на который приходится 45% поставок топлива для Восточного побережья США, временно прекратил работу из-за атаки программы-вымогателя.

Бензин, дизельное топливо, реактивное топливо, мазут для отопления домов и топливо для вооруженных сил США — все это зависит от Colonial Pipeline в качестве топлива.

Опасаясь перебоев в поставках из-за инцидента, Федеральное управление безопасности автотранспортных средств (FMCSA) Министерства транспорта США выпустило чрезвычайное заявление, поэтому автомобильные перевозки топлива могут помочь удовлетворить потребности тех, кто не обслуживается трубопроводом, перекрытым программами-вымогателями.

Таков был сбой, вызванный атакой программ-вымогателей, нарушившей ИТ-операции, стоящие за конвейером, что президент Джо Байден был проинформирован об этом.

В некоторых отчетах говорилось, что за атакой, шифровавшей ИТ-сеть Colonial Pipeline, стояла Darkside, операция по предоставлению вымогателя как услуги.Darkside был относительно малоизвестным оператором в области программ-вымогателей до инцидента с Colonial Pipeline, но атака продемонстрировала, что даже если программа-вымогатель не является громким «брендом» на подпольных форумах, она все равно может вызвать серьезные сбои.

Что такое программа-вымогатель WannaCry?

В ходе атаки, которая до сих пор считается крупнейшей атакой программ-вымогателей, WannaCry, также известная как WannaCrypt и Wcry, вызвала хаос во всем мире в результате атаки, которая началась в пятницу, 12 мая 2017 года.

Программа-вымогатель WannaCrypt требует 300 долларов в биткойнах за разблокировку зашифрованных файлов — цена, которая удваивается через три дня. Пользователям также угрожают посредством записки о выкупе на экране навсегда удалить все их файлы, если выкуп не будет выплачен в течение недели.

Программа-вымогатель WannaCry заразила системы Windows XP по всему миру.

Более 300 000 жертв в более чем 150 странах стали жертвами программы-вымогателя в течение одного уик-энда, при этом пострадали предприятия, правительства и отдельные лица по всему миру.

В организациях здравоохранения по всей Великобритании системы были отключены из-за атаки программ-вымогателей, что вынудило отменить записи пациентов, и в больницах стали говорить людям избегать посещения отделений неотложной и неотложной помощи, если в этом нет крайней необходимости.

Из всех стран, пострадавших от атаки, Россия, по мнению исследователей безопасности, пострадала больше всего: вредоносное ПО WannaCry привело к сбою российских банков, телефонных операторов и даже ИТ-систем, поддерживающих транспортную инфраструктуру.Китай также сильно пострадал от атаки: всего 29 000 организаций стали жертвами этой особенно опасной формы вымогателей.

Среди других громких целей был производитель автомобилей Renault, который был вынужден остановить производственные линии в нескольких местах, поскольку программа-вымогатель нанесла ущерб системам.

Червь-вымогатель настолько силен, что использует известную программную уязвимость EternalBlue. Уязвимость Windows — одна из многих уязвимостей нулевого дня, о которых, по-видимому, было известно АНБ — до того, как хакерский коллектив Shadow Brokers просочился к ней.Ранее в этом году Microsoft выпустила исправление для этой уязвимости, но только для самых последних операционных систем.

В ответ на атаку Microsoft предприняла беспрецедентный шаг, выпустив исправления для неподдерживаемых операционных систем для защиты от вредоносного ПО.

Службы безопасности США и Великобритании с тех пор указали на Северную Корею как на виновника атаки вымогателя WannaCry, а Белый дом официально объявил Пхеньян источником вспышки.

Однако Северная Корея назвала обвинения в том, что она стояла за WannaCry, «абсурдными».

Независимо от того, кто в конечном итоге стоял за WannaCry, если целью схемы было заработать большие суммы денег, она потерпела неудачу — было выплачено всего около 100 000 долларов.

Прошло почти три месяца, прежде чем злоумышленники WannaCry, наконец, вывели средства из кошельков биткойнов WannaCry — они скрылись с суммой в 140 000 долларов из-за колебаний стоимости биткойнов.

Но, несмотря на наличие критических исправлений для защиты систем от WannaCry и других атак, использующих уязвимость SMB, большое количество организаций, по-видимому, предпочли не применять обновления.

Считается, что именно по этой причине LG перенесла заражение WannaCry в августе — через три месяца после первоначальной вспышки. С тех пор компания заявила, что применила соответствующие исправления.

Публичный дамп эксплойта EternalBlue, стоящего за WannaCry, привел к тому, что различные хакерские группы попытались использовать его для распространения своего вредоносного ПО. Исследователи даже задокументировали, как кампания APT28, нацеленная на европейские отели, — российская хакерская группа, связанная с вмешательством в президентские выборы в США, — теперь использует просочившуюся уязвимость АНБ.

Что такое программа-вымогатель NotPetya?

Спустя чуть больше месяца после эпидемии вымогателя WannaCry мир подвергся очередной глобальной атаке вымогателя.

Эта кибератака сначала поразила цели в Украине, включая ее центральный банк, главный международный аэропорт и даже Чернобыльский ядерный объект, а затем быстро распространилась по всему миру, заразив организации в Европе, России, США и Австралии.

После некоторого первоначального недоразумения относительно того, что это за вредоносная программа — некоторые сказали, что это была Petya, некоторые — что-то другое, отсюда и название NotPetya — исследователи Bitdefender пришли к выводу, что вспышка была вызвана модифицированной версией вымогателя Petya , объединив элементы GoldenEye — особенно злобного родственника Petya — и вымогателя WannaCry в чрезвычайно мощное вредоносное ПО.

Петя записка о выкупе.

Эта вторая форма вымогателя также использует тот же эксплойт EternalBlue для Windows, который предоставил WannaCry червеобразные функции для распространения по сети (а не просто через вложения электронной почты, как это часто бывает) и поразил 300 000 компьютеров по всему миру.

Однако NotPetya — гораздо более опасная атака. Атака не только шифрует файлы жертв, но и целые жесткие диски, перезаписывая основную запись перезагрузки, не позволяя компьютеру загрузить операционную систему или что-либо сделать.

Злоумышленники просят выкуп в биткойнах в размере 300 долларов, который будет отправлен на определенный адрес электронной почты, который был отключен хостом почтовой службы. Однако то, как эта очень сложная программа-вымогатель, очевидно, была оснащена очень простыми, неавтоматизированными функциями для получения выкупа, заставило некоторых предположить, что деньги не были целью.

Это заставило многих поверить в то, что записка о вымогателе была лишь прикрытием для настоящей цели вируса — вызвать хаос путем безвозвратного удаления данных с зараженных машин.

Какой бы ни была цель атаки, она существенно повлияла на финансы зараженных организаций. Британская компания по производству потребительских товаров Reckitt Benckiser заявила, что потеряла 100 миллионов фунтов стерлингов в доходах в результате того, что стала жертвой Пети.

Но это относительно скромные потери по сравнению с другими жертвами атаки: оператор судоходных и снабженческих судов Maersk и компания по доставке товаров FedEx оценивают убытки в размере 300 миллионов долларов из-за удара Пети.

В феврале 2018 года правительства Великобритании, США, Австралии и других стран официально заявили, что вымогатель NotPetya был разработан российскими военными.Россия отрицает свою причастность.

Сколько вам будет стоить атака с использованием программ-вымогателей?

Очевидно, что самые непосредственные издержки, связанные с заражением программой-вымогателем — если она платная, — это требование выкупа, которое может зависеть от типа программы-вымогателя или размера вашей организации.

Атаки программ-вымогателей могут различаться по размеру, но хакерские банды все чаще требуют миллионы долларов для восстановления доступа к сети. И причина, по которой хакерские банды могут требовать такие деньги, состоит в том, что многие организации будут платить.

Это особенно актуально, если сеть, заблокированная программой-вымогателем, означает, что организация не может вести бизнес — они могут терять большие суммы дохода каждый день, возможно, даже каждый час, сеть недоступна. По оценкам, атака программы-вымогателя NotPetya обошлась транспортной компании Maersk в размере до 300 миллионов долларов убытков.

Если организация решит не платить выкуп, она не только обнаружит, что теряет доход в течение периода времени, который может длиться недели, возможно, месяцы, но и, вероятно, обнаружит, что платит крупную сумму за приход охранной компании. и восстановить доступ к сети.В некоторых случаях это может даже стоить больше, чем требование выкупа, но, по крайней мере, в этом случае платеж идет законному бизнесу, а не финансирует преступников.

Каким бы способом организация ни боролась с атакой программы-вымогателя, она также будет иметь финансовые последствия в будущем; потому что, чтобы защититься от повторной жертвы, организации необходимо будет вложить средства в свою инфраструктуру безопасности, даже если для этого потребуется разорвать сеть и начать все сначала.

Вдобавок ко всему этому, существует также риск того, что клиенты потеряют доверие к вашему бизнесу из-за плохой кибербезопасности и уведут свой бизнес в другое место.

Почему организациям следует беспокоиться о программах-вымогателях?

Проще говоря: программы-вымогатели могут разрушить ваш бизнес. Если вредоносное ПО заблокирует свои файлы даже на день, это повлияет на ваш доход. Но с учетом того, что программы-вымогатели отключают большинство жертв как минимум на неделю, а иногда и на месяцы, потери могут быть значительными. Системы так долго отключаются не только из-за того, что программа-вымогатель блокирует систему, но и из-за всех усилий, необходимых для очистки и восстановления сетей.

И дело не только в непосредственном финансовом ударе программ-вымогателей; потребители опасаются передавать свои данные организациям, которые они считают небезопасными.

Киберпреступники узнали, что не только предприятия становятся прибыльными целями для атак программ-вымогателей, поскольку такие важные инфраструктуры, как больницы и даже промышленные предприятия, разрушаются программами-вымогателями — нарушение этих сетей может иметь серьезные последствия для людей в физическом мире.

В конечном итоге злоумышленники ищут простой способ заработать деньги, а больница, обнаружившая, что ее сеть зашифрована с помощью программ-вымогателей, не может позволить себе поставить под угрозу лечение пациентов, оставив сеть в автономном режиме в течение нескольких недель, чтобы вручную восстановить ее. Вот почему, к сожалению, многие жертвы программ-вымогателей в сфере здравоохранения заплатят выкуп, особенно когда они уже были ошеломлены последствиями пандемии COVID-19.

Сектор образования также стал очень частой целью кампаний вымогателей.Школы и университеты стали полагаться на дистанционное обучение из-за пандемии коронавируса, и это заметили киберпреступники. Сети потенциально используются тысячами людей, многие из которых используют свои личные устройства, и все, что может потребоваться злоумышленнику для получения доступа к сети, — это одно успешное фишинговое письмо или взлом пароля одной учетной записи.

Национальный центр кибербезопасности Великобритании (NCSC) призвал школы и университеты обратить внимание на растущую угрозу программ-вымогателей после того, как инцидент с использованием программ-вымогателей привел к потере студентами курсовой работы, финансовой отчетности школы, а также данных, касающихся COVID-19 тестирование.

Почему малые предприятия становятся мишенью для программ-вымогателей?

Малые и средние предприятия являются популярной целью, поскольку они, как правило, имеют более низкую кибербезопасность, чем крупные организации. Несмотря на это, многие малые и средние предприятия ошибочно полагают, что они слишком малы, чтобы стать мишенью, но даже «меньший» выкуп в несколько сотен долларов по-прежнему очень выгоден для киберпреступников.

Почему программы-вымогатели так успешны?

Можно сказать, что есть одна ключевая причина, по которой вымогатели получили бум: потому что они работают.Все, что требуется от программы-вымогателя, чтобы проникнуть в вашу сеть, — это один пользователь ошибиться и запустить вредоносное вложение электронной почты или повторно использовать слабый пароль.

Если бы организации не уступали требованиям выкупа, преступники перестали бы использовать программы-вымогатели. Но бизнесу действительно нужен доступ к данным, чтобы функционировать, поэтому многие готовы заплатить выкуп и покончить с этим.

Между тем, для преступников это очень простой способ заработать. Зачем тратить время и силы на разработку сложного кода или создание поддельных кредитных карт из украденных банковских реквизитов, если программа-вымогатель может привести к мгновенным выплатам сотен или даже тысяч долларов сразу от большого количества зараженных жертв?

Некоторые утверждают, что киберстрахование делает программы-вымогатели еще более серьезной проблемой.Киберстрахование — это полис, предназначенный для защиты организаций от последствий кибератак.

Однако некоторые полисы киберстрахования будут покрывать саму выплату выкупа, в результате чего некоторые эксперты по кибербезопасности предупреждают, что выплаты по киберстрахованию, покрывающие стоимость выплаты выкупа, усугубляют проблему, потому что киберпреступники знают, что если они попадут в правильную цель, им заплатят.

Какое отношение биткойн и другие криптовалюты имеют к распространению программ-вымогателей?

Рост криптовалют, таких как биткойн, позволил киберпреступникам тайно получать платежи, вымогаемые с помощью этого типа вредоносного ПО, без риска для властей установить преступников.

Безопасный, не отслеживаемый метод совершения платежей — жертв просят произвести платеж на биткойн-адрес — делает его идеальной валютой для преступников, которые хотят, чтобы их финансовая деятельность оставалась скрытой.

Киберпреступные банды постоянно становятся более профессиональными — многие даже предлагают обслуживание клиентов и помощь жертвам, которые не знают, как получить или отправить биткойны, потому что какой смысл требовать выкуп, если пользователи не знают, как платить ? Некоторые организации даже скопили часть криптовалюты на случай, если они заразятся или их файлы зашифрованы, и им придется срочно платить биткойнами.

Globe3 требует выкупа за 3 биткойна — включая руководство для тех, кто не знает, как его купить.

Как предотвратить атаку программ-вымогателей?

При большом количестве атак программ-вымогателей, начиная с того, что хакеры используют небезопасные порты с выходом в Интернет и протоколы удаленного рабочего стола, одна из ключевых вещей, которые организация может сделать, чтобы не стать жертвой, — это обеспечить, если это не существенно, чтобы порты не были доступны в Интернете, если в этом нет необходимости.

Когда необходимы удаленные порты, организации должны убедиться, что учетные данные для входа имеют сложный пароль для защиты от злоумышленников, желающих развернуть программу-вымогатель, от возможности взломать простые пароли с использованием атак грубой силы в качестве способа защиты. Применение двухфакторной аутентификации для эти учетные записи также могут выступать в качестве барьера для атак, поскольку при попытке несанкционированного доступа будет выдано предупреждение.

Организации также должны убедиться, что в сети установлены последние обновления безопасности, поскольку многие формы программ-вымогателей и других вредоносных программ распространяются с использованием широко известных уязвимостей.

EternalBlue, уязвимость, использовавшаяся в WannaCry и NotPetya, по-прежнему является одним из наиболее распространенных эксплойтов, используемых для распространения атак, несмотря на то, что исправление безопасности для защиты от нее было доступно уже более трех лет.

Когда дело доходит до предотвращения атак по электронной почте, вы должны обучить сотрудников тому, как обнаруживать входящие атаки вредоносного ПО. Даже обнаружение небольших индикаторов, таких как плохое форматирование или то, что электронное письмо якобы от Microsoft Security отправлено с непонятного адреса, в котором даже нет слова Microsoft, может спасти вашу сеть от заражения.Те же политики безопасности, которые защищают вас от атак вредоносных программ в целом, будут способствовать предотвращению того, чтобы программы-вымогатели создавали хаос для вашего бизнеса.

Также есть что сказать о том, чтобы позволить сотрудникам учиться на ошибках, находясь в безопасной среде. Например, одна фирма разработала интерактивный видео-опыт, который позволяет ее сотрудникам принимать решения по серии событий, а затем выяснять последствия тех, что в конце концов. Это позволяет им учиться на своих ошибках, не страдая ни от каких реальных последствий.

С технической точки зрения, запрет сотрудникам включать макросы — это большой шаг к тому, чтобы они не могли случайно запустить файл программы-вымогателя. Microsoft Office 2016, а теперь и Microsoft Office 2013, обладают функциями, позволяющими отключать макросы. По крайней мере, работодатели должны инвестировать в антивирусное программное обеспечение и поддерживать его в актуальном состоянии, чтобы оно могло предупреждать пользователей о потенциально вредоносных файлах. Резервное копирование важных файлов и проверка того, что эти файлы не могут быть скомпрометированы во время атаки с использованием другого ключа.

Сколько времени нужно для восстановления после атаки программы-вымогателя?

Проще говоря, программы-вымогатели могут нанести вред всей организации — зашифрованная сеть более или менее бесполезна, и мало что можно сделать, пока системы не будут восстановлены.

Если ваша организация разумна и имеет резервные копии, системы могут вернуться в оперативный режим за время, необходимое для восстановления работоспособности сети, хотя в зависимости от размера компании это может варьироваться от нескольких часов до дней.

Одна компания подробно описала ZDNet, как потребовались недели, чтобы восстановить их сеть до полного рабочего состояния, даже при восстановлении сети из резервных копий после отказа платить выкуп.

Однако, хотя восстановить функциональность можно в краткосрочной перспективе, организациям может быть сложно восстановить и запустить все системы, что продемонстрировала атака Petya.

Через месяц после вспышки Reckitt Benckiser подтвердила, что некоторые из ее операций все еще прерываются и не будут полностью запущены до двух месяцев после первоначальной вспышки болезни Пети.

Помимо непосредственного воздействия программ-вымогателей на сеть, они могут привести к постоянному финансовому ущербу. Каждый раз, когда оффлайн плохо для бизнеса, так как это в конечном итоге означает, что организация не может предоставлять услуги, которые она намеревается, и не может зарабатывать деньги, но чем дольше система находится в автономном режиме, тем больше это может быть.

Это если ваши клиенты хотят вести с вами дела: в некоторых секторах тот факт, что вы стали жертвой кибератаки, потенциально может оттолкнуть клиентов.

Как удалить программу-вымогатель?

Инициатива «Нет больше выкупа», запущенная в июле 2016 года Европолом и Национальной полицией Нидерландов в сотрудничестве с рядом компаний, занимающихся кибербезопасностью, включая «Лабораторию Касперского» и McAfee, предлагает бесплатные инструменты дешифрования вариантов программ-вымогателей, чтобы помочь жертвам получить свои зашифрованные данные. не поддаваясь воле кибер-вымогателей.

Портал предлагает инструменты дешифрования для четырех семейств программ-вымогателей — Shade, Rannoh, Rakhn и CoinVault — и схема регулярно добавляет дополнительные инструменты дешифрования для еще большего числа версий программ-вымогателей.

Портал, который также содержит информацию и советы о том, как не стать жертвой программ-вымогателей в первую очередь, обновляется как можно чаще, чтобы обеспечить доступность инструментов для борьбы с новейшими формами программ-вымогателей.

No More Ransom вырос из предложения набора из четырех инструментов до огромного количества инструментов дешифрования, охватывающих сотни семейств программ-вымогателей.К настоящему времени эти инструменты расшифровали десятки тысяч устройств, лишив преступников миллионов выкупов.

Платформа теперь доступна на десятках языков, и ее поддерживают более 100 партнеров в государственном и частном секторах.

Портал No More Ransom предлагает бесплатные инструменты для расшифровки программ-вымогателей.

Отдельные охранные компании также регулярно выпускают инструменты дешифрования, чтобы противостоять продолжающейся эволюции программ-вымогателей — многие из них будут публиковать обновления об этих инструментах в блогах своих компаний, как только они взломают код.

Еще один способ обойти заражение программами-вымогателями — обеспечить регулярное резервное копирование данных в вашей организации в автономном режиме. Перенос файлов резервных копий на новую машину может занять некоторое время, но если компьютер заражен и у вас есть резервные копии, можно просто изолировать этот модуль, а затем продолжить свой бизнес. Просто убедитесь, что мошенники, использующие криптоблокировку, также не могут зашифровать ваши резервные копии.

Стоит ли платить выкуп с помощью программы-вымогателя?

Есть те, кто говорит, что жертвы должны просто заплатить выкуп, ссылаясь на то, что это самый быстрый и простой способ получить их зашифрованные данные — и многие организации платят, даже если правоохранительные органы предупреждают об этом.

Но будьте осторожны: если станет известно, что ваша организация является легкой мишенью для киберпреступников, потому что она заплатила выкуп, вы можете оказаться под прицелом других киберпреступников, которые стремятся воспользоваться вашей слабой безопасностью. И помните, что вы имеете дело с преступниками, и сама их природа означает, что они могут не сдержать свое слово: нет никакой гарантии, что вы когда-нибудь получите ключ дешифрования, даже если он у них есть. Расшифровка даже не всегда возможна: есть истории о жертвах, которые платили выкуп, но при этом не разблокировали зашифрованные файлы.

Например, тип программы-вымогателя, нацеленной на Linux, обнаруженный ранее в этом году, требовал оплаты биткойнами, но не хранил ключи шифрования локально или через командно-управляющий сервер, что в лучшем случае делает выплату выкупа бесполезной.

Можно ли установить на свой смартфон программу-вымогатель?

Совершенно верно. Атаки программ-вымогателей на устройства Android значительно возросли, поскольку киберпреступники осознают, что многие люди не знают, что смартфоны могут быть атакованы, а содержимое (часто более личное, чем то, что мы храним на ПК) зашифровано с целью выкупа с помощью вредоносного кода.Таким образом, появились различные формы программ-вымогателей для Android, которые беспокоят мобильных пользователей.

Фактически, любое подключенное к Интернету устройство является потенциальной целью для программ-вымогателей, которые, как уже отмечалось, блокируют смарт-телевизоры.

Исследователи демонстрируют использование программ-вымогателей в автомобильной информационно-развлекательной системе.

Программы-вымогатели и Интернет вещей

Устройства Интернета вещей уже имеют плохую репутацию с точки зрения безопасности.По мере того, как их все больше и больше выходит на рынок, они будут предоставлять миллиарды новых векторов атак для киберпреступников, потенциально позволяя хакерам держать ваш подключенный дом или подключенный автомобиль в заложниках. Зашифрованный файл — это одно, но как насчет того, чтобы найти записку о выкупе, которая отображается на вашем умном холодильнике или тостере?

Существует даже вероятность того, что хакеры могут заразить медицинские устройства, подвергнув жизни риску.

В марте 2018 года исследователи из IOActive пошли еще дальше, продемонстрировав, как коммерчески доступный робот может подвергнуться атаке программы-вымогателя.Исследователи не только заставляли робота устно требовать оплаты, чтобы вернуться в нормальное состояние, но и издавать угрозы и ругаться.

Британский NCSC также предупредил, что рост умных городов также может стать заманчивой целью для кибератак — и нетрудно представить, что сдерживание общегородских сервисов от атак программ-вымогателей может быть очень прибыльным для преступников.

Поскольку программы-вымогатели продолжают развиваться, вашим сотрудникам крайне важно понимать угрозу, которую они представляют, а организациям — делать все возможное, чтобы избежать заражения, поскольку программы-вымогатели могут нанести вред, а расшифровка не всегда возможна.