Что такое программы-вымогатели?
Опубликовано: 2021-12-23Терминология, которую мы много слышали и читали, особенно в последние два года мы столкнулись с этим жаргоном, в основном в негативном контексте, когда какая-то организация стала жертвой атаки программы-вымогателя и так далее.
Программа-вымогатель — это тип вредоносного программного обеспечения, также известного как вредоносное ПО (еще один жаргон, который используется довольно часто), который представляет собой потенциальную угрозу для ограничения данных или публикации их на общедоступном форуме, что создает потенциальный риск для бизнеса. Обычно это делается путем шифрования данных, при котором жертва должна заплатить злоумышленнику выкуп за разглашение данных. Обычно в таких случаях жертва должна заплатить выкуп в срок. Если жертва не уложится в срок, злоумышленник удалит данные. В лучшем случае злоумышленник увеличит сумму выкупа с пересмотренным сроком.
В наши дни атаки вредоносных программ довольно распространены, и мы видели, как многие организации из Северной Америки и Европы становились жертвами таких атак. У этих кибер-злоумышленников нет установленных критериев, поскольку они могут атаковать любой набор клиентов или любую организацию в любой отрасли.
Многие агентства, такие как ФБР и некоторые правительства, воздерживаются от выплаты таких выкупов. На самом деле, существует специальный проект под названием No Ransom Project, некоммерческая организация, которая работает над тем, чтобы не давать выкуп кибер-злоумышленникам. Более того, замечено, что те жертвы, которые платят выкуп, подвергаются повторным атакам программ-вымогателей.
История атак программ-вымогателей
Если мы посмотрим на историю атак программ-вымогателей, она восходит к 1989 году, когда кибер-злоумышленники использовали «вирус СПИДа» для вымогательства средств у жертв. После того, как платежи за эту атаку были отправлены (по почте) в Панаму, ключ дешифрования также был отправлен по почте.
В 1996 году два человека Моти Юнг и Адам Янг из Колумбийского университета ввели определение программы-вымогателя и придумали термин «криптовирусное вымогательство». Эти два академика представили первую криптовирусную атаку в 1996 году на конференции IEEE, которая была конференцией по безопасности и конфиденциальности.
В течение определенного периода времени мы видели инновации в области кибератак и атак программ-вымогателей. Кибер-злоумышленники проявили изобретательность, требуя выкупа, который практически невозможно отследить. Таким образом, эти киберпреступники сохраняют анонимность своего местонахождения. Когда мы увидели всплеск использования криптовалюты, такой как биткойн, мы увидели значительный рост атак программ-вымогателей.
Если мы посмотрим на закономерность, атаки программ-вымогателей сделали жертвами каждую отрасль, причем самой известной атакой стала атака на пресвитерианский мемориальный госпиталь. Это была массовая атака, жертвами которой стали лаборатории, аптеки и пункты неотложной помощи.
Как работает программа-вымогатель?
Как упоминалось ранее, программы-вымогатели — это тип вредоносных программ, созданных для вымогательства денег у организаций путем шифрования их данных и блокировки доступа к ним. Мы видим в основном два типа программ-вымогателей: один набор известен как шифровальщики, а другой набор известен как блокировщики экрана. Поскольку название говорит само за себя, шифраторы шифруют данные, делая их избыточными без ключа дешифрования. Однако блокировщики экрана просто блокируют доступ к системе, развертывая «экран блокировки».
В этом сценарии жертвы обычно видят экран блокировки с сообщением о покупке криптовалюты, такой как биткойн, для уплаты выкупа. Как только выкуп выплачивается, организации получают ключ дешифрования, после чего они могут попытаться расшифровать файлы. Однако нет никаких правил или этики, которым следуют эти кибер-злоумышленники. Иногда, даже после выплаты выкупа, жертвы не получают ключи дешифрования. В худшем случае вредоносное ПО все еще устанавливается даже после выплаты выкупа.
Обычно такие атаки корпоративного вредоносного ПО начинаются с подозрительного электронного письма, которое. Пользователь может открыть это электронное письмо, ничего не подозревая, и это просто открывает банку червей.
Кто находится в группе риска?
Когда мы говорим о программах-вымогателях, любой гаджет или устройство, подключенное к Интернету, представляет собой потенциальный риск стать жертвой атаки вредоносного ПО. Программы-вымогатели обычно проверяют локальное устройство и любое устройство, подключенное к сети, а это значит, что локальная сеть в организации тоже рискует стать жертвой.
Следовательно, если устройство подключено к Интернету, для организации становится необходимым обеспечить наличие последних обновлений безопасности и систем безопасности конечных точек, чтобы избежать любого злонамеренного входа со стороны этих кибер-злоумышленников.
Влияние программ-вымогателей на бизнес?
Это неписаное заявление о том, что любой бизнес, ставший жертвой программ-вымогателей, понесет убытки, которые могут исчисляться миллионами долларов. Кроме того, это создает волнующий эффект потери нового бизнеса. Даже если бизнес спасен, сотрудникам приходится тратить много часов на сбор данных, которые они потеряли, что приводит к потере производительности на тысячи часов. Одна из первых вещей, которую делает любая атака вредоносного ПО, — это останавливает производительность организации. Следовательно, для организаций уместно сделать сдерживание в качестве первой задачи. Проведение анализа первопричин помогает определить уязвимость, но если она вызовет задержки, это окажет серьезное влияние на производительность и доход.
Примеры программ-вымогателей
Несмотря на то, что примеров программ-вымогателей достаточно для каждой бизнес-структуры, есть несколько наиболее важных, которые выделяются, что может помочь в создании основы для любой организации, чтобы избежать таких атак программ-вымогателей. Давайте посмотрим на некоторые из примеров
WannaCry — это мощный вирус, основанный на уязвимости Microsoft, который был использован этими кибер-злоумышленниками для заражения более 250 000 систем. Однако, прежде чем он смог распространиться на другие системы, сработал аварийный выключатель, чтобы остановить его. Proofpoint — имя в сфере безопасности и конфиденциальности, которое было развернуто для получения подробной информации о программе-вымогателе.
BadRabbit — считался видимым вымогателем, основной целью которого были медиакомпании в России и Украине. Как только выкуп был выплачен, BadRabbit предоставил код для расшифровки. Есть подозрение, что вирус распространялся через поддельный Flash Player.
NotPetya — считается старшим братом BadRabbit, NotPetya была одной из самых разрушительных атак вредоносного ПО. Он использовал такую уязвимость, как WannaCry, и начал быстро распространяться. Он потребовал выкуп в биткойнах, однако NotPetya не мог отменить изменения в основной загрузочной записи, что означало, что целевая система стала невосстановимой.
Вот некоторые из лучших примеров вредоносных программ. Были и другие, такие как CryptoLocker, REvil, Ryuk и многие другие.
Последние мысли
Программы-вымогатели никуда не денутся. Пока есть злонамеренные люди, мы будем постоянно видеть инновации в этой области. Об этом свидетельствует статистика ФБР, согласно которой каждый день происходит около 4000 атак программ-вымогателей. Хотя программа-вымогатель и вирус — это разные типы вредоносных программ, программа-вымогатель, по сути, не является вирусом, поскольку она не реплицируется как вирус.
Единственный способ для организаций защитить себя от таких атак программ-вымогателей — продолжать совершенствовать свои системы безопасности, а также информировать пользователей о потенциальных угрозах программ-вымогателей, включая вредоносные электронные письма и другие источники.