Почему программы-вымогатели так популярны и как от них защититься

Почему программы-вымогатели так популярны и как от них защититься

Владимир Безмалый

Как специалист по безопасности вы, скорее всего, очень обеспокоены программами-вымогателями, но не знаете, с чего начать. Как обезопасить своих сотрудников и защитить их от программ-вымогателей, не перегружая их и не запутывая их большим количеством новой информации? 

В этом обзоре я постараюсь объяснить, что такое программа-вымогатель, как она работает, и, что наиболее важно, как расширить возможности вашей рабочей силы для защиты от нее с помощью трех простых шагов. Для получения более технической и всеобъемлющей основы управления риском программ-вымогателей я настоятельно рекомендую  публикацию NIST Ransomware Risk Management .

Что такое программы-вымогатели?

Проще говоря, программы-вымогатели — это тип вредоносного ПО, которое киберпреступники используют для зарабатывания денег, больших денег. Вредоносное ПО — это программы, которые позволяют киберпреступникам захватить компьютер или устройство после его заражения. После заражения есть множество способов, которыми киберпреступники могут использовать систему жертвы для получения прибыли, например, сбор данных кредитных карт, которые они затем продают, сбор логинов и паролей к банковским счетам людей, которые они используют для кражи и перевода денег, поиск личной информации, которую они использовать для мошенничества с идентификационными данными или подключить компьютер жертвы к ботнету для таких атак, как распределенный отказ в обслуживании (DDoS). Проблема с каждым из этих методов заключается в том, что они требуют от преступника большой работы по монетизации системы (систем) после заражения.

Программы-вымогатели произвели революцию в киберпреступном мире, сделав монетизацию зараженных систем более простой и прибыльной. Вместо того чтобы тратить недели или месяцы на сбор данных с отдельных банковских счетов или кредитных карт, которые можно было продать за сотни тысяч долларов, программы-вымогатели позволяют киберпреступникам заразить одну организацию и за несколько дней заработать миллионы долларов. Мы наблюдаем всплеск атак программ-вымогателей по двум причинам.

Программы-вымогатели оказались одним из самых быстрых и прибыльных способов для киберпреступников монетизировать заражение вредоносными программами, что в геометрической прогрессии более выгодно, чем любая другая атака. Таким образом, киберпреступники вкладывают все больше и больше средств в атаки программ-вымогателей, именно в этом и заключается окупаемость инвестиций (ROI).

Когда организация заражена программами-вымогателями, они часто становятся общедоступными, поэтому вы слышите об инциденте в новостях (в отличие от атак типа мошенничества генерального директора, о которых вы почти никогда не слышите, так как они замалчиваются).

Как работает программа-вымогатель?

Как мы уже говорили, программы-вымогатели — это просто еще один тип вредоносного ПО. Первым шагом к работе вредоносного ПО является заражение жертвы (о чем мы подробнее расскажем ниже). Сегодня большинство киберпреступников не нацелены на людей с помощью программ-вымогателей, вместо этого гораздо выгоднее заражать целые организации, поскольку рентабельность инвестиций намного выше. Как правило, вымогатели монетизируют заражения одним из двух способов.

1. После заражения киберпреступники шифруют множество компьютеров, систем или резервных копий, что лишает организации возможности доступа к их наиболее важным данным и прекращает их работу. Затем киберпреступники требуют уплаты выкупа, взамен они предоставят ключ дешифрования, чтобы организация-жертва могла получить доступ к их данным и вернуться к работе. Эти атаки могут быть особенно опасными для таких отраслей, как здравоохранение, производство или коммунальные услуги, где восстановление из резервных копий займет слишком много времени.

2. После заражения киберпреступники захватывают конфиденциальную информацию организации, а затем угрожают публично опубликовать данные, если выкуп не будет уплачен. Если информация будет обнародована, инцидент может нанести ущерб репутации организации-жертвы, подвергнуть ее многочисленным судебным искам и подвергнуть их риску нарушения ключевых требований соответствия, таких как GDPR.

В современном мире многие киберпреступники проводят оба типа атак с использованием программ-вымогателей одновременно, вынуждая организацию-жертву платить как можно скорее. Кроме того, киберпреступники стали очень изощренными в своих действиях. Как только киберпреступники заражают один компьютер в организации, они не требуют немедленного выкупа. Вместо этого они используют эту зараженную систему, чтобы незаметно заражать другие компьютеры в организации, возможно, даже резервные копии. До тех пор, пока киберпреступники не поверит, что почти каждая система заражена, и только после того, как они извлекут большой объем данных, они не смогут активировать программу-вымогатель, зашифровать все устройства и уведомить организацию. Это обеспечивает максимально возможное воздействие на пострадавшего. В некоторых случаях,

Как остановить программы-вымогатели?

Способ защиты от программ-вымогателей такой же, как и от практически любого другого вредоносного ПО; сосредоточьтесь на том, чтобы не заразиться. С точки зрения безопасности разница невелика. Таким образом, мы рекомендуем вам сосредоточиться на обучении и предотвращении наиболее распространенных способов заражения людей/организаций. Имейте в виду, что люди часто ошибочно полагают, что если у них установлен антивирус, то их компьютеры безопасны и не могут быть заражены. К сожалению, это не так. В сегодняшнем высокоорганизованном киберпреступном мире существуют целые организации, постоянно занимающиеся разработкой вредоносных программ, которые невозможно обнаружить. Таким образом, главный урок, который вы должны преподать, заключается в том, что одного антивируса недостаточно, их поведение является ключом к защите от вредоносных программ.

Три основных урока, на которых вы хотите сосредоточиться в отношении программ-вымогателей:

1. Социальная инженерия: эти типы атак, особенно фишинговые, являются одним из основных методов, используемых кибератаками для заражения систем. Обучите людей, как обнаруживать и пресекать фишинговые атаки.

2. Пароли. Слабые или небезопасные пароли — еще один очень распространенный способ проникновения кибер-злоумышленников в организации сегодня. Предоставьте обучение и инструменты, чтобы убедиться, что люди используют надежные пароли.

3. Обновление: обновленные и действующие системы намного сложнее заразить кибер-злоумышленниками с помощью вредоносного ПО. Мы хотим, чтобы люди всегда использовали самые современные операционные системы и приложения. В некоторых случаях вы можете подчеркнуть важность включения автоматического обновления.

Кроме того, не забудьте обучить свой персонал тому, как сообщать о подозрении на заражение компьютера. Убедитесь, что они чувствуют себя комфортно при сообщении, даже если они знают, что они стали причиной инфекции. Если в вашей организации существует карательная или токсичная культура безопасности, люди могут не решаться или даже бояться сообщать о том, что они вызвали зараженную систему, поэтому убедитесь, что им комфортно сообщать о своих проблемах.

30 июня, 2021
Источник https://ib-bank.ru/bisjournal/news/15845

Alt text

Кибервзлом может привести к настоящей войне, ИБ-службы должны больше думать об угрозах жизням людей, не все руководители понимают опасность шпионов-инсайдеров в нашем 25 выпуске Youtube новостей.

Владимир Безмалый

О безопасности и не только