Сообщения

Задавались ли вы когда-нибудь вопросом, что такое ransomware и как оно может повлиять на вас? Цель ransomware - зашифровать ваши важные файлы с помощью вредоносного программного обеспечения. Затем преступники требуют от вас оплаты в обмен на ключ дешифровки, требуя доказать, что вы заплатили выкуп, прежде чем они предоставят вам инструкции по восстановлению ваших файлов. Это эквивалентно тому, как если бы вы заплатили похитителю за освобождение вашего любимого человека.

"В первой половине 2022 года в мире было зафиксировано 236,1 миллиона атак ransomware. Между вторым и четвертым кварталами 2021 года было зарегистрировано на 133 миллиона меньше атак, что является резким снижением по сравнению с примерно 189 миллионами случаев." ~Statista

Ransomware не сходит с уст, и вы наверняка видели сообщения о том, что компьютеры блокируются до тех пор, пока люди не заплатят за ключ к выходу. Но что это такое, как оно работает и как от него защититься?

Как работает программа Ransomware?

Ransomware обычно устанавливается в качестве вложения в спам или использует уязвимости программного обеспечения на компьютере жертвы.

Инфекция может быть скрыта в файле, который пользователь загружает из Интернета, или установлена вручную злоумышленником, часто с помощью программного обеспечения, упакованного с коммерческими продуктами.

После установки он ожидает запуска (например, подключения к Интернету), после чего блокирует систему и требует выкуп за ее освобождение. Выкуп можно заплатить с помощью криптовалют или кредитных карт.

Типы вымогательского ПО

"По состоянию на 2021 год средняя стоимость взлома ransomware составила 4,62 миллиона долларов, не включая выкуп."~IBM

Вот некоторые распространенные типы:

WannaCry

В 2017 г.атака ransomware, известная как WannaCry, затронула более 150 стран. После заражения машины Windows WannaCry шифрует файлы пользователя и требует выкуп в биткоинах за их разблокировку.

Locky

Locky - одна из старейших форм вымогательского ПО, впервые обнаруженная в феврале 2016 года. Сайт вредоносная программа быстро шифрует файлы и распространяется через фишинговые электронные письма с вложениями, которые выглядят как счета или другие деловые документы.

Лабиринт

Maze - это новая программа-вымогатель, которая впервые была обнаружена в мае 2019 года. Она работает аналогично Locky, за исключением того, что имена зашифрованных файлов заканчиваются на .maze вместо locky. Спам также распространяет Maze, но он заражает компьютер при открытии вложенного файла.

NotPetya

Согласно ранним сообщениям, NotPetya является разновидностью вымогательской программы Petya, штамма, первоначально обнаруженного в 2016. Теперь NotPetya - это тип вредоносного ПО под названием wiper, которое уничтожает данные вместо того, чтобы требовать выкуп.

Пугающие предметы

Программы-пугалки - это поддельные программы, требующие оплаты за устранение проблем, которые, как они утверждают, были обнаружены на ваших компьютерах, например, вирусов или других проблем. Некоторые программы-пугалки блокируют компьютер, другие насыщают экран всплывающими уведомлениями, не причиняя никакого вреда файлам.

Doxware

В результате использования doxware или leakware люди настораживаются и платят выкуп, чтобы предотвратить утечку конфиденциальной информации из сети. Один из вариантов - программы-выкупы на полицейскую тематику. Чтобы избежать тюремного заключения, необходимо заплатить штраф, а компания выдает себя за правоохранительные органы.

Петя

В отличие от нескольких других вариантов, программа Petya шифрует целые компьютеры. Petya перезаписывает главную загрузочную запись, что препятствует загрузке операционной системы.

Рюк

Ryuk заражает компьютеры путем загрузки вредоносного ПО или рассылки фишинговых писем. Он использует дроппер для установки трояна и установления постоянного сетевого соединения на компьютере жертвы. APT создаются с помощью таких инструментов, как кейлоггеры, повышение привилегий и латеральное перемещение, и все они начинаются с Ryuk. Злоумышленник устанавливает Ryuk на все другие системы, к которым у него есть доступ.

Каково влияние Ransomware на бизнес?

Ransomware - одна из самых быстрорастущих киберугроз на сегодняшний день. 

Вот некоторые из способов, которыми ransomware может повлиять на ваш бизнес:

  • Ransomware может поставить под угрозу ваши данные, восстановление или замена которых может стоить дорого.
  • Ваши системы могут быть повреждены до невозможности восстановления, поскольку некоторые атаки вымогателей перезаписывают файлы случайными символами до тех пор, пока они не станут непригодными для использования.
  • Вы можете столкнуться с простоем и потерей производительности, что может привести к потере дохода или лояльности клиентов.
  • Хакер может украсть данные вашей компании и продать их на черном рынке или использовать их против других компаний в будущих атаках.

Как защитить свой бизнес от атак Ransomware?

"Установите программное обеспечение безопасности и обновляйте его с помощью патчей безопасности. Многие программы-вымогатели используют более ранние версии, для которых доступны контрмеры". ~Стивен Вайсман, профессор Университета Бентли. 

Чтобы защитить свой бизнес от ransomware, вы можете предпринять следующие шаги:

Сегментация сети

Сегментация сети - это процесс изоляции одной сети от другой. Изолируя сети, вы можете защитить свой бизнес и его данные. 

Вы должны создать отдельные сегменты для публичного Wi-Fi, устройств сотрудников и трафика внутренней сети. Таким образом, если атака произойдет в одном сегменте, она не затронет другие.

Резервные копии AirGap

Резервное копирование AirGap - это тип резервного копирования, которое полностью автономно, и доступ к нему невозможен без физического извлечения устройства хранения данных из компьютера, к которому оно подключено. Идея заключается в том, что если нет возможности получить доступ к файлам на этом устройстве, то и злоумышленник не сможет получить к ним доступ. Хорошим примером этого является использование внешнего жесткого диска, который был полностью отключен от любых интернет-подключений или других устройств, имеющих к нему доступ.

Аутентификация, отчетность и соответствие сообщений на основе домена

Чаще всего программы-вымогатели распространяются по электронной почте. Мошеннические электронные письма содержат фишинговые ссылки, которые могут инициировать установку ransomware на ваш компьютер. Чтобы предотвратить это, DMARC выступает в качестве первой линии защиты от программ-вымогателей.

DMARC предотвращает попадание фишинговых писем к вашим клиентам. Это помогает остановить распространение вымогательского ПО через электронные письма в самом зародыше. Чтобы узнать больше, прочитайте наше подробное руководство по DMARC и вымогательское ПО.

Наименьшие привилегии (нулевое доверие к разрешениям пользователей)

Наименьшие привилегии означают предоставление пользователям только минимальных разрешений, необходимых для их роли в вашей организации. Когда вы нанимаете нового сотрудника или переназначаете его на другую роль в компании, вы предоставляете ему только те разрешения, которые необходимы для его конкретной роли - ни больше, ни меньше, чем требуется для эффективного и результативного выполнения его работы.

Защитите свою сеть

Брандмауэры - это первая линия обороны сетей. Он контролирует входящий и исходящий трафик в вашей сети и блокирует нежелательные соединения. Брандмауэр также может контролировать трафик определенных приложений, например, электронной почты, чтобы обеспечить его безопасность.

Обучение персонала и фишинговые тесты

Обучение сотрудников фишинговым атакам имеет большое значение. Это поможет им выявлять фишинговые письма до того, как они станут серьезной проблемой для компании. Тест на фишинг также поможет выявить сотрудников, которые могут быть более восприимчивы к фишинговым атакам, поскольку не знают, как правильно их идентифицировать.

Обслуживание и обновления

Регулярное обслуживание компьютеров поможет предотвратить заражение вредоносными программами. Также следует регулярно обновлять все программное обеспечение, чтобы ошибки исправлялись как можно быстрее, а новые версии программ выпускались с новыми функциями безопасности.

Читайте также: Как восстановиться после атаки Ransomware?

Заключение

Ransomware - это не ошибка. Это преднамеренный метод атаки, причем вредоносные внедрения варьируются от слегка раздражающих до откровенно разрушительных. Нет никаких признаков того, что распространение вымогательского ПО замедлится, его влияние значительно и постоянно растет. Все предприятия и организации должны быть готовы к этому.

Чтобы обезопасить себя и свой бизнес, необходимо следить за безопасностью. Используйте инструменты и руководства, предоставляемые PowerDMARC, если вы хотите обезопасить себя от этих уязвимостей.

В последние годы участились атаки программ-выкупов, заражающих компьютеры и заставляющих пользователей платить штрафы, чтобы вернуть свои данные. Поскольку новые тактики борьбы с вымогательством, такие как двойное вымогательство, оказались успешными, преступники требуют все больший выкуп. Средний размер требований выкупа составил 5,3 миллиона долларов в первой половине 2021 года, что на 518% больше по сравнению с аналогичным периодом 2020 года. С 2020 года средняя цена выкупа выросла на 82 процента, достигнув $570 000 в первой половине 2021 года в одиночку.

RaaS, или Ransomware-as-a-Service, делает эту атаку еще более опасной, позволяя любому человеку несколькими щелчками мыши запускать атаки ransomware на любой компьютер или мобильное устройство. Если у них есть подключение к Интернету, они могут взять под контроль другой компьютер, даже тот, которым пользуется ваш начальник или работодатель! Но что именно означает RaaS? 

Что такое Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) стала популярной бизнес-моделью в экосистеме киберпреступности. Ransomware-as-a-service позволяет киберпреступникам легко развертывать атаки ransomware без каких-либо знаний в области кодирования или взлома.

Платформа RaaS предлагает ряд функций, которые облегчают злоумышленникам проведение атаки без особых знаний и опыта. Поставщик RaaS предоставляет код вредоносного ПО, который клиент (злоумышленник) может настроить под свои нужды. После настройки злоумышленник может мгновенно развернуть его через командно-контрольный (C&C) сервер платформы. Часто нет необходимости в сервере C&C; преступник может хранить файлы атаки на облачном сервисе, таком как Dropbox или Google Drive.

Поставщик RaaS также предоставляет услуги поддержки, которые включают техническую помощь в обработке платежей и поддержку расшифровки после атаки.

Ransomware-as-a-Service объясняется простым языком

Если вы слышали о Sofware-as-a-Service и знаете, как это работает, то понимание RaaS не должно быть сложным, поскольку оно работает на том же уровне. PowerDMARC также является SaaS-платформой, поскольку мы берем на себя роль решателей проблем для глобальных компаний, помогая им проверять подлинность своих доменов без ручных усилий и человеческого труда. 

 

Именно это и есть RaaS. Технически одаренные исполнители вредоносных угроз в Интернете образуют конгломерат, который работает в форме нелегального бизнеса (обычно продавая свои услуги через темную паутину), продавая вредоносные коды и вложения, которые могут помочь любому человеку через Интернет заразить любую систему программой-выкупом. Они продают эти коды злоумышленникам, которые не хотят сами выполнять более сложную и техническую часть работы и ищут третьих лиц, которые могут им помочь. Как только злоумышленник совершит покупку, он сможет заразить любую систему. 

Как работает Ransomware-as-a-Service?

В последнее время эта модель получения дохода приобрела большую популярность среди киберпреступников. Хакеры устанавливают в сети или системе программное обеспечение ransomware, шифруют данные, блокируют доступ к файлам и требуют выкуп за ключи для расшифровки. Оплата обычно производится в биткоинах или других видах криптовалюты. Многие семейства программ-вымогателей могут шифровать данные бесплатно, что делает их разработку и развертывание экономически выгодным. Злоумышленники берут деньги только в том случае, если жертвы платят; в противном случае они ничего на этом не зарабатывают. 

Четыре модели доходов от RaaS:

Хотя можно создавать программы-вымогатели с нуля, используя ботнет и другие свободно распространяемые инструменты, у киберпреступников есть более простой вариант. Вместо того чтобы рисковать быть пойманными, создавая свой инструмент с нуля, преступники могут подписаться на одну из четырех основных моделей получения дохода от RaaS: 

  • Партнерские программы
  • Месячные абонементы
  • Массовые продажи
  • Гибридные продажи по подписке и оптом

Наиболее распространенной является модифицированная партнерская программа, поскольку у партнеров меньше накладных расходов, чем у профессиональных киберпреступников, которые часто продают услуги вредоносного ПО на подпольных форумах. Аффилированные лица могут зарегистрироваться, чтобы зарабатывать деньги, продвигая скомпрометированные веб-сайты с помощью ссылок в спамовых письмах, рассылаемых миллионам жертв в течение определенного времени. После этого им нужно выплачивать деньги только тогда, когда они получают выкуп от своих жертв.

Почему RaaS опасен?

RaaS позволяет киберпреступникам использовать свои ограниченные технические возможности для получения прибыли от атак. Если киберпреступнику трудно найти жертву, он может продать ее компании (или нескольким компаниям).

Если киберпреступнику кажется сложным атаковать онлайн-цели, теперь есть организации, которые продадут ему уязвимые цели для эксплуатации. По сути, любой и каждый может начать атаку на ransomware с любого устройства без использования сложных методов, передав свои усилия стороннему поставщику услуг, что делает весь процесс легким и доступным.

Как предотвратить использование Ransomware-as-a-Service?

При атаке "ransomware-as-a-service" хакеры сдают свои инструменты в аренду другим преступникам, которые платят за доступ к коду, помогающему им заражать компьютеры жертв вымогательским ПО. Продавцы, использующие эти инструменты, получают деньги, когда их клиенты получают доход от зараженных жертв.

Выполнение следующих действий поможет вам предотвратить атаки ransomware-as-a-service:

1. Знайте методы атаки

Существует несколько различных способов заражения вашей организации вымогательским ПО. Знание того, как проводятся атаки, является лучшим способом защиты от них. Зная, как вас атакуют, можно сосредоточиться на том, какие системы безопасности и защиты вам нужны, а не просто установить антивирусное программное обеспечение и скрестить пальцы. 

Фишинговые электронные письма - обычный путь для многих кибератак. Поэтому сотрудники должны помнить о том, что не следует переходить по встроенным ссылкам или открывать вложения от неизвестных отправителей. Регулярный пересмотр политики компании в отношении вложений электронной почты может помочь предотвратить заражение фишинговыми письмами и другими способами доставки вредоносного ПО, такими как макровирусы и трояны.

2. Используйте надежный пакет системной безопасности

Убедитесь, что на вашем компьютере постоянно установлено обновленное программное обеспечение безопасности. Если у вас нет антивирусного программного обеспечения, подумайте о его установке прямо сейчас. Антивирусное программное обеспечение может обнаружить вредоносные файлы до того, как они попадут на целевые компьютеры, предотвращая нанесение ущерба.

3. Регулярно создавайте резервные копии

Резервное копирование всей информации поможет предотвратить потерю важных данных, если ваша система будет заражена вредоносным ПО или программой-выкупом. Однако, если вы подверглись атакам вирусов или вредоносных программ, есть вероятность, что все ваши файлы не будут регулярно резервироваться - поэтому убедитесь, что у вас есть несколько резервных копий в разных местах на случай, если одна не удастся!

4. Защита от фишинга с помощью аутентификации электронной почты

Фишинговые электронные письма являются чрезвычайно распространенным и мощным вектором атаки при использовании ransomware. Чаще всего хакеры используют электронные письма, чтобы заставить жертву перейти по вредоносным ссылкам или вложениям, которые затем могут заразить ее компьютер программой-выкупом. 

В идеале, вы всегда должны следовать наиболее обновленным практикам безопасности на рынке и загружать программное обеспечение только из надежных источников, чтобы избежать этих фишинговых афер. Но давайте посмотрим правде в глаза, когда вы являетесь частью организации с несколькими сотрудниками, глупо ожидать этого от каждого из ваших работников. Кроме того, постоянно следить за их действиями очень сложно и отнимает много времени. Именно поэтому внедрение политика DMARC является хорошим способом защиты вашей электронной почты от фишинговых атак.

Давайте посмотрим, какое место занимает DMARC в жизненном цикле заражения RaaS: 

  • Злоумышленник приобретает у оператора RaaS вредоносное вложение, содержащее вымогательское ПО 
  • Злоумышленник отправляет ничего не подозревающей жертве фишинговое электронное письмо, выдающее себя за корпорацию XYZ, с купленным вложением 
  • У выдающего себя за другого домена (XYZ inc.) включен DMARC, который инициирует процесс аутентификации путем проверки личности отправителя 
  • При неудачной проверке сервер жертвы считает письмо вредоносным и отклоняет его в соответствии с политикой DMARC, настроенной владельцем домена.

Подробнее о DMARC как первая линия защиты от ransomware здесь.

  • Фильтрация DNS

Ransomware использует командно-контрольные (C2) серверы для связи с платформой операторов RaaS. DNS-запрос часто передается от зараженной системы к серверу C2. Организации могут использовать решение безопасности фильтрации DNS для обнаружения попыток ransomware связаться с RaaS C2 и блокировать передачу. Это может действовать как механизм предотвращения заражения. 

Заключение

Хотя Ransomware-as-a-Service (RaaS) является детищем и одной из самых последних угроз, охотящихся на пользователей цифровых технологий, очень важно принять определенные превентивные меры для борьбы с этой угрозой. Чтобы защититься от этой атаки, вы можете использовать мощные средства защиты от вредоносного ПО и протоколы безопасности электронной почты, такие как комбинация DMARCSPF и DKIM для обеспечения надлежащей защиты каждого почтового отправления.

Одним из самых больших фокусов в области безопасности электронной почты в прошлом году был DMARC, а вымогательство стало одним из самых финансово вредных киберпреступлений этого года. Что же такое DMARC? Domain-Based Message Authentication, Reporting and Conformance (Аутентификация, отчетность и соответствие требованиям) в качестве протокола аутентификации электронной почты используется владельцами доменов больших и малых организаций для защиты их доменов от компрометации деловой почты (Business Email Compromise, BEC), прямой подделки домена, фишинговых атак и других форм мошенничества с электронной почтой.

DMARC помогает вам со временем пользоваться многочисленными преимуществами, такими как значительное повышение надежности доставки электронной почты и репутации домена. Однако менее известным фактом является то, что DMARC также служит первой линией защиты от Ransomware. Давайте расскажем, как DMARC может защитить от Ransomware и как вымогательство может повлиять на вас.

Что такое Ransomware?

Ransomware - это вид вредоносных программ(malware), которые устанавливаются на компьютер, как правило, с помощью вредоносных программ. Целью вредоносного кода является шифрование файлов на компьютере, после чего обычно требуется плата за их расшифровку.

После установки вредоносного ПО преступник требует выкуп, который жертва должна заплатить за восстановление доступа к данным. Это позволяет киберпреступникам шифровать конфиденциальные данные в компьютерных системах, эффективно защищая их от доступа. Затем злоумышленники требуют от жертвы заплатить выкуп за удаление шифрования и восстановление доступа. Обычно жертвы сталкиваются с сообщением, в котором им сообщается, что их документы, фотографии и музыкальные файлы были зашифрованы, и требуют заплатить выкуп за якобы "восстановление" данных. Обычно они просят пользователей заплатить в Bitcoin и сообщают им, сколько времени они должны заплатить, чтобы не потерять все.

Как работает программа выкупа?

Ransomware показал, что плохие меры безопасности подвергают компании большому риску. Одним из наиболее эффективных механизмов доставки выкупа является фишинг по электронной почте. Программы-вымогатели часто распространяются через фишинг. Обычно это происходит, когда человек получает вредоносное электронное сообщение, которое убеждает его открыть вложение, содержащее файл, которому он должен доверять, например, счет-фактуру, который вместо этого содержит вредоносный код и начинает процесс заражения.

Электронное письмо будет претендовать на то, что оно является чем-то официальным от известной компании и содержит вложение, притворяющееся законным программным обеспечением, вот почему очень вероятно, что ничего не подозревающие клиенты, партнеры или сотрудники, которые знают о ваших услугах, станут их жертвами.

Исследователи в области безопасности пришли к выводу, что для того, чтобы организация стала мишенью фишинговых атак с вредоносными ссылками на загрузку вредоносных программ, выбор является "оппортунистическим". Многие программы-вымогатели не имеют никаких внешних рекомендаций относительно того, на кого они могут быть нацелены, и зачастую единственное, чем они руководствуются - это чистыми возможностями. Это означает, что любая организация, будь то малый бизнес или крупное предприятие, может стать следующей мишенью, если у них есть лазейки в защите электронной почты.

В недавнем докладе о тенденциях в области безопасности 2021 года были сделаны следующие тревожные открытия:

  • С 2018 года количество атак с целью получения выкупа увеличилось на 350%, что сделало его одним из самых популярных векторов атак в последнее время.
  • Эксперты по кибербезопасности полагают, что в 2021 году будет больше атак с целью получения выкупа, чем когда-либо.
  • Более 60% всех атак с целью получения выкупа в 2020 году были связаны с социальными действиями, такими как фишинг.
  • Новые варианты выкупа за последние 2 года увеличились на 46%.
  • 68,000 обнаружены новые трояны для мобильных телефонов с выкупом.
  • Исследователи безопасности подсчитали, что каждые 14 секунд бизнес становится жертвой атаки выкупа.

Защищает ли DMARC от выкупа? DMARC и Ransomware

DMARC - первая линия защиты от атак выкупа. Поскольку вымогательство обычно доставляется жертвам в виде вредоносных фишинговых писем с поддельных или поддельных доменов компании, DMARC помогает защитить ваш бренд от подделки, что означает, что такие поддельные письма будут помечены как спам или не будут доставлены, когда протокол настроен правильно. DMARC и Ransomware: как DMARC помогает?

  • DMARC аутентифицирует вашу электронную почту по стандартам SPF и DKIM аутентификации, что помогает фильтровать вредоносные IP-адреса, подделку и выдачу себя за домен.
  • Когда фишинговое электронное сообщение, курируемое злоумышленником с вредоносной ссылкой для установки выкупа, возникающего из вашего доменного имени, доходит до сервера клиента/сотрудника, если у вас есть
  • DMARC внедрил аутентификацию электронной почты по SPF и DKIM.
  • Принимающий сервер пытается проверить источник отправки и подпись DKIM.
  • Вредоносная электронная почта не пройдет проверку подлинности и, в конечном счете, не пройдет DMARC-аутентификацию из-за несовпадения домена
  • Теперь, если вы внедрили DMARC в режиме принудительной политики (p=reject/qarantine), электронная почта после сбоя DMARC будет либо помечена как спам, либо отклонена, сводя к нулю шансы ваших получателей стать жертвой атаки выкупа
  • Наконец, обойтись без дополнительных SPF ошибок, таких как слишком много DNS поисков, синтаксических ошибок и ошибок реализации, чтобы ваш протокол аутентификации электронной почты не был признан недействительным.
  • Это, в конечном счете, защищает репутацию вашего бренда, конфиденциальную информацию и денежные средства.

Первый шаг к получению защиты от атак выкупа - это подписаться на анализатор DMARC уже сегодня! Мы поможем вам внедрить DMARC и перейти на внедрение DMARC легко и в кратчайшие сроки. Начните ваше путешествие по электронной почте с DMARC уже сегодня.