Програми-вимагачі є однією з найнебезпечніших і найскладніших проблем безпеки, з якими стикаються організації. За прогнозами експертів з кібербезпеки програми-вимагачі атакуватимуть компанії, споживачів або пристрої кожні дві секунди та коштуватимуть жертвам $265 млрд. щорічно до 2031 року.
ЩО ТАКЕ ПРОГРАМА-ВИМАГАЧ?
Це варіант зловмисного програмного забезпечення, що позбавляє користувачів доступу до їхніх файлів або систем. Такі програми умовно поділяють на шифрувальники та локери, хоча сьогодні вже багато з них поєднують ці та інші можливості.
Після того, як вимагач успішно заразив цільову машину чи мережу, його оператори намагаються отримати викуп. Колись користувачі найбільше ризикували через віруси-вимагачі, приховані у зловмисних вкладеннях до імейлів, підозрілих посиланнях і завантаженнях, але зараз саме організації є найприбутковішою та найпривабливішою мішенню для злочинців.
Сучасні зловмисники спокушають жертв ключем дешифрування (який може спрацювати, а може й не спрацювати), щоб змусити заплатити. Крім того, підприємства можуть виявитися жертвами вимагання, пов’язаного з крадіжкою даних.
Сімейства програм-вимагачів представлені різними мовами програмування, починаючи від C++ і закінчуючи Rust і Golang (Go).
До відомих варіантів та операторів програм-вимагачів належать Alphv/BlackCat, WannaCry, CryptoLocker, Conti, Evil Corp, Grief Group і Lace Tempest.
ВИМОГИ ЩОДО ВИКУПУ
Майже в кожному випадку зловмисники мають фінансову мотивацію. Ці кіберзлочинці не зупиняються ні перед чим, щоб отримати гроші — будь то блокування вашої особистої інформації чи припинення діяльності компанії зі списку Fortune 500.
Жертви перенаправляють на веб-сайти в Dark Web і безпечні чати, щоб здійснити платіж або домовитися про викуп. Щоб замаскувати сліди, викуп вимагають у криптовалюті, найчастіше в біткойнах (BTC), хоча час від часу використовують й інші, такі як Ethereum (ETH) і Monero (XMR).
НАЙБІЛЬШІ ВИКУПИ
згідно CNA Financial, найбільший викуп здійснено великою страховою компанією США. Фірма заплатила $40 млн. за спробу відновити доступ до своїх систем після атаки групи програм-вимагачів.
У вересні Caesars сплачено викуп у розмірі $15 млн. після того, як група програм-вимагачів зламала базу даних програми лояльності Caesar’s Rewards. Кіберзлочинці погодилися не публікувати дані користувачів, якщо відбудеться платіж, але чи дотримаються вони своєї обіцянки, ще невідомо.
Згідно з даними NCC Group, у період із січня по червень 2023 року було зареєстровано 2085 значних інцидентів програм-вимагачів, пов’язаних із бізнесом, що на 67% більше, ніж у минулому році.
Вимоги щодо викупу часто сягають мільйонів доларів, в багатьох випадках у межах п’яти-шестизначних цифр. Якщо жертви відмовляються, їхня конфіденційна інформація може бути опублікована на сайтах, де зливають дані, і згодом її можуть продати.
ВИТРАТИ НА ВИКУПИ
Програми-вимагачі — це процвітаюча економіка кіберзлочинності. Хоча колись зараження вірусами-вимагачами вважалося наслідком відвідування підозрілих сайтів або завантаження нелегального зламаного програмного забезпечення, тепер це зброя кіберзлочинців, які без розбору атакують окремих осіб, малий та середній бізнес та організації зі списку Fortune 500.
Програми-вимагачі продовжуть розвиватися з однієї причини: задля досягнення більших висот у фінансовому здирстві. Хоча CISO та команди з кібербезпеки вкладають ресурси в захист від програм-вимагачів, а правоохоронні органи протидіють прибутковій нелегальній галузі у всьому світі, програми-вимагачі не мають жодних ознак, щоб зупинитись цього року.
Мережа боротьби з фінансовими злочинами США (FinCEN) стверджує, що програми-вимагачі становлять значну загрозу для компаній і громадськості. Аналітики FinCen стверджують, що російські кіберзлочинці стоять за багатьма варіантами програм-вимагачів, які використовують сьогодні, і на них припадає 75% інцидентів з вимагання. Крім того, кажуть, що п’ять найприбутковіших варіантів програм-вимагачів пов’язані з російськими злочинцями.
Cybersecurity Ventures прогнозує, що до 2031 року програми-вимагачі стануть своїм жертвам приблизно у $265 млрд., виходячи із зростання на 30% у порівнянні з попереднім роком протягом наступного десятиліття.
Витрати включають викуп, пошкодження та знищення даних, втрату продуктивності, крадіжку інтелектуальної власності, розкриття особистих і фінансових даних, порушення бізнес-процесів після атаки, судове розслідування, відновлення та видалення зламаних даних і систем, а також шкода репутації.
Cybersecurity Ventures прогнозує, що до 2031 року атаки програм-вимагачів вражатимуть споживача чи компанію кожні дві секунди.
ОПЕРАЦІЙНИЙ ЛАНДШАФТ
Програми-вимагачі працюють по-різному. Недосвідчені банди можуть покладатися на фішинг і спам, тоді як більш просунуті групи витрачають час, щоб спочатку провести розвідку та ретельно й непомітно обрати свої цілі.
У деяких випадках групи купують ліцензії на програми-вимагачі (практика, відома як Ransomware-as-a-Service (RaaS), тоді як інші можуть розробляти спеціальну цифрову зброю та зберігати свої інструменти для ексклюзивного використання.
Слід пам’ятати, що діяльність із програмами-вимагачами розвинулась настільки, що набула структури сучасного бізнесу.
Злочинці можуть винаймати професіоналів для виконання різних ролей, надавати послуги з підтримки клієнтам, співпрацювати з іншими кіберзлочинцями або отримувати «комісію», коли клієнт, використовуючи їхній тип програм-вимагачів, успішно вимагає плату від жертви.
Багато груп програм-вимагачів спеціально націлені на так звану «велику гру». «Big Game» — це великі корпорації, компанії з високою вартістю, які мають великі річні доходи, а також багато чого втрачають у разі простою. Теоретично прикладами цілей Big Game можуть бути Apple, Microsoft, Okta, Amtrak або Sony.
Основним мотивом полювання на Big Game є можливість отримання вищих виплат, які часто сягають мільйонів доларів.
Опитування Heidrick & Struggles’ 2023 Chief Information Security Officer (CISO) за 2023 рік показало, що штучний інтелект, геополітичні виклики та кібератаки, включно з програмами-вимагачами та спонсорованими державою атаками, вважаються сьогодні найбільшими організаційними ризиками.
Ось деякі з найгучніших атак програм-вимагачів цього року:
- ROYAL MAIL: Національна поштова служба Великобританії, Royal Mail, була вражена LockBit у січні. Атака програми-вимагача призвела до затримок внутрішніх і міжнародних відправлень, а співробітники втратили доступ до важливих операційних файлів і систем. LockBit вимагав викуп у розмірі $80 млн. Представники Королівської пошти відмовилися від сплати викупу та назвали вимогу «абсурдною».
- DISH NETWORK: у лютому 2023 року компанія розіслала листи зі сповіщеннями про злам. В результаті атаки програми-вимагача було розкрито конфіденційні записи та конфіденційну інформацію, що належить поточним і колишнім співробітникам. Згідно з повідомленнями, викуп був сплачений, оскільки компанія «отримала підтвердження того, що вкрадені дані було видалено».
- REDDIT: також у лютому 2023 року співробітники популярного онлайн-форуму попалися на фішингову кампанію, надавши зловмисникам доступ до внутрішньої інформації. Зловмисники Alphv/BlackCat вимагали викуп у розмірі $4,5 млн.
- CAESARS: мережа казино Caesars Entertainment виплатила $15 млн. кіберзлочинцям після атаки програмою-вимагачем, яка призвела до викрадення даних клієнтів із бази даних програми лояльності у вересні 2023 року.
- MGM RESORTS: MGM Resorts зазнав атаки слідом за Caesars. Дві групи програм-вимагачів взяли на себе відповідальність — Alphv/BlackCat і Scattered Spider — але в обох випадках у MGM виникли збої в системі реєстрації, електронні картки-ключі перестали реагувати, а також довелось повернутись до оплати лише готівкою більше тижня.
- JOHNSON CONTROLS: наприкінці вересня 2023 року компанія Johnson Controls International зазнала серйозної атаки, у результаті чого пристрої компанії та сервери VMware ESXi було зашифровано. Промисловий гігант і його дочірні компанії серйозно постраждали через технічні збої, які також поширилися на клієнтські портали.
ТАКТИКА
Тактика, яку використовують сучасні кіберзлочинці, настільки ж різноманітна, як і їхні цілі. Групи програм-вимагачів можуть самостійно здійснити атаку від початку до кінця або найняти інших злочинців, щоб спростити процес. Наприклад, можна придбати початковий доступ до мереж у Dark Web, і багато з цих брокерів спеціалізуються на пошуку точок входу, придатних для кібершпигунства та розгортання шкідливих програм.
Нижче наведено методи, які групи програм-вимагачів використовують для компрометації своїх жертв.
- СПАМ ТА ФІШИНГ: поширеним способом розповсюдження програм-вимагачів є масові імейл-розсилки зі спамом і посилання в соцмережах, що призводить до завантаження шкідливих вкладень або випадкових завантажень. Однак атаки можуть бути більш успішними, якщо використовується соціальна інженерія.
- БРУТФОРС АТАКИ: автоматизовані брутфорс-атаки використовують для отримання облікових даних користувача та закріплення в цільовій мережі.
- БРОКЕРИ ПОЧАТКОВОГО ДОСТУПУ: також відомі як IAB (Initial Access Brokers), це трейдери в Dark Web, які продають компаніям початкові точки доступу, зокрема вкрадені облікові дані або робочі тунелі RDP. Купуючи початковий доступ, банди програм-вимагачів можуть уникнути трудомісткої стадії ланцюжка атак і відразу перейти до розвідки мережі або зараження.
- РОЗВІДКА, СОЦІАЛЬНА ІНЖЕНЕРІЯ: складні групи програм-вимагачів часто здійснюють спостереження за ціллю, щоб дізнатися про неї та будь-які пов’язані з нею ділові зв’язки, друзів або членів родини.
Вони також можуть проводити розвідку з відкритих джерел (OSINT), щоб зібрати публічну інформацію про свої цілі. Озброївшись цією інформацією, зловмисники можуть маскуватися під довірені контакти, щоб спонукати жертву мимоволі запустити програму-вимагач. Як це було у випадку зі зламом MGM Resorts, отримання правильних облікових даних для мережі жертви може зайняти лічені хвилини.
- ПРОТОКОЛ ВІДДАЛЕНОГО РОБОЧОГО СТОЛУ RDP: Це поширений спосіб для операторів програм-вимагачів проникнути у вашу мережу. RDP можна використати через уразливості програмного забезпечення та викрадення облікових записів користувачів, вхід у систему через сторонні місця.
- НАБОРИ ЕКСПЛОЙТІВ: набори експлойтів, такі як Angler, RIG і Blackhole, можуть об’єднувати програми-вимагачі в шкідливий пакет, поєднуючи їх із програмними експлойтами для отримання доступу до вразливого комп’ютера.
- ІНСАЙДЕРИ: якщо кібербанда зможе знайти незадоволеного працівника, він може стати внутрішньою загрозою. Співробітнику можуть запропонувати готівку або відсоток від викупу за розгортання зловмисної програми у мережі компанії або він може потрапити на фішинг. Співробітники також можуть стати ненавмисними, випадковими інсайдерами, якщо вони роблять помилки.
- ПОДВІЙНЕ ЗДИРНИЦТВО: Подвійне вимагання складається з двох тактик вимагання платежу. Конфіденційні дані викрадають перед шифруванням, а потім кіберзлочинці погрожують опублікувати цю інформацію в Інтернеті у разі несплати.
- ПОТРІЙНЕ ЗДИРНИЦТВО: новою тривожною тенденцією є потрійне вимагання. Згідно даних, озвучених під час Всесвітнього економічного форуму, деякі оператори програм-вимагачів зараз намагаються викрасти дані та вимагати викуп у жертви-організації, і якщо суб’єкт відмовиться, вони зв’язуються з особами, причетними до зламу, щоб вимагати оплати в обмін на те, щоб інформація про них не була розкрита.
- ХАКЕРСЬКІ САЙТИ: сайти з витоками знаходяться як в інтернеті, так і в Даркнеті. Ці веб-сайти служать як інструменти для шантажу для жертв програм-вимагачів, яким погрожують оприлюдненням їхніх даних, якщо платіж за програми-вимагачі не буде здійснено до певної дати чи часу.
ЗАХИСТ ВІД ПРОГРАМ-ВИМАГАЧІВ
Існує багато способів захистити себе та свою організацію від програм-вимагачів, але для сучасного бізнесу важливо не те, чи станеться кібератака, а коли.
Організації можуть застосовувати різноманітні ЗАХОДИ для підвищення рівня кібергігієни. Корпорація Майкрософт стверджує, що 98% атак можна уникнути, якщо застосовувати базові методи з підвищення рівня кіберстійкості, зокрема:
- Підтримка операційних систем і програмного забезпечення в актуальному стані
- Аналіз ризику появи нових вразливостей і оперативне оновлення
- Підвищення рівня обізнаності та навчання співробітників розпізнавати спроб фішингу та соціальної інженерії
- Використання багатофакторної автентифікації в облікових записах користувачів.
- Уникнення підозрілих веб-сайтів і встановлення брандмауерів
- Впровадження політики нульової довіри, запроваджуючи однаковий суворий контроль доступу для всіх користувачів
- Регулярне резервне копіювання в автономному режимі окремо від основних систем
- Створення плану реагування на інциденти з урахуванням мінімізації збитків, проведення розслідування та юридичних аспектів
Джерело: Cybersecurity Ventures
