Так звані “віруси-вимагачі” перестали бути проблемою тільки фахівців з кібербезпеки. Вони набули масового характеру і стали загальною проблемою, оскільки хакери дедалі частіше атакують системи найважливіших операторів інфраструктури, які не можуть дозволити собі збої або порушення роботи через кібератаки, – від постачальників продуктів харчування і транспортних компаній до державних органів, в т.ч. об’єктів критичної інфраструктури, що в період війни створює додаткову небезпеку та ризики.
Більшість людей чули про “віруси-вимагачі”. Такі віруси являють собою шкідливі програми, які потрапляючи в АІС шифрують файли найпоширеніших типів на пристрої жертви, а потім виводять на екран вимогу викупу за ключ розшифровки. Іноді така програма має вбудований таймер із заданим періодом часу для переказу викупу.
“Віруси-вимагачі” стали загальною проблемою, що зачіпає всіх: від уряду і корпорацій до окремих користувачів. Завдяки пандемії хакери отримали нові “козирі”, адже тепер співробітники отримують доступ до ресурсів компанії з маси пристроїв і мереж, які не контролюються ІТ-відділом.
Щойно операторам вірусів-здирників вдасться потрапити у вашу мережу і зашифрувати дані та файли, вони почнуть вимагати значні суми за їхнє відновлення.
Чому віруси-вимагачі такі небезпечні, особливо зараз?
Проблеми з доступом до даних можуть скувати роботу всієї компанії. Віруси-вимагачі спочатку націлювалися на системи окремих користувачів, вимагаючи кілька сотень доларів за відновлення даних на конкретному комп’ютері. Тепер же зловмисники “працюють по-крупному”, вибираючи більші цілі та вишукуючи в середовищі критично важливі системи. Отримавши доступ, вони розгортають віруси-здирники в декількох точках у мережі, щоб змусити жертву заплатити чималий викуп (іноді суми доходять до мільйонів).
Щоб підвищити шанси на отримання викупу, оператори вірусів-здирників можуть використовувати і більш агресивні тактики. Наприклад, вони можуть зламати системи резервного копіювання, щоб адміністратори не могли ними скористатися для відновлення даних. Іноді зловмисники застосовують “подвійний шантаж”, не тільки блокуючи роботу підприємства, а й погрожуючи випустити конфіденційну інформацію у відкритий доступ.
Крім усього іншого, діє модель “вірус-здирник як послуга”, коли запустити вірусну атаку можна, навіть не маючи спеціальних знань. Зловмисники, які не володіють достатніми навичками і ресурсами для створення власного вірусу, можуть просто придбати “послугу” – готовий комплект для запуску атаки. Таким чином будь-який охочий провести кібератаку може легко отримати шкідливий код, націлений на невиправлені вразливості.
А хіба не можна просто заплатити вимагачам?
Хоча суми, запитувані здирниками, можуть сягати мільйонів доларів, така ціна за відновлення даних може виявитися меншою за збитки, пов’язані зі сповільненням або порушенням (особливо коли йдеться про найважливішу інфраструктуру) роботи всього підприємства. То чому ж просто не заплатити викуп
Фахівці з безпеки та урядові експерти рекомендують компаніям не піддаватися на шантаж, оскільки це веде за собою продовження циклу атак. Якщо зловмиснику вдається отримати викуп від жертви, це спонукає його знову атакувати ті організації, які готові платити. До того ж, навіть якщо організація вирішить заплатити викуп, зовсім не факт, що дані буде відновлено, а конфіденційна інформація не піде на сторону.
Як саме зловмисники отримують доступ?
Хакери можуть проникати в мережу різними способами. Дуже часто для розкрадання облікових даних та/або спонукання співробітників перейти за шкідливим посиланням або відкрити вкладення використовується фішинг і психологічні атаки. Крім того, віруси можуть міститися на заражених веб-сайтах або просто використовувати відомі вразливості ПЗ на мережевому периметрі організації. У деяких випадках зловмисники можуть спочатку зламати систему бізнес-партнера, постачальника послуг організації або сторонніх осіб, щоб в кінцевому підсумку вразити намічену мету.
У наші дні люди звикли швидко гортати електронні повідомлення, сторінки в соціальних мережах і новини в Інтернеті. Зловмисники використовують цю звичку, ініціюючи атаки ще до того, як користувач зрозуміє, куди саме він перейшов за посиланням. Однак, як уже згадувалося вище, саме вторгнення – лише частина процесу.
Щоб зробити атаку максимально прибутковою, оператори вірусів-здирників, як правило, дочікуються того моменту, коли отримають доступ до великого сегмента мережі, перш ніж приступати до розгортання вірусу. Основною метою систем захисту є запобігання доступу хакерів до мережі, але не менш важливо впроваджувати правильні політики, що обмежують дозволені користувачам дії, на випадок отримання контролю над мережею або обліковим записом.
Що можна зробити, щоб захиститися від вірусів-вимагачів?
Вірусні атаки дуже багатогранні, а значить такою ж має бути і система захисту. Окремій технології або методиці це не під силу. Захист від вірусів-вимагачів потрібно сприймати як безперервний, багаторівневий процес. Необхідно впроваджувати найкращі технології, підтримувати їхню актуальність (для протидії новим загрозам) і забезпечити інтеграцію (щоб усі рішення працювали злагоджено і дублювали одне одного).
У боротьбі з вірусами-здирниками важливу роль відіграє поінформованість кінцевих користувачів: вони повинні знати, якими є наслідки бездумного перегляду сайтів і переходу за посиланнями.
Перш за все потрібно проводити навчання персоналу, наприклад, навчання з фішингу. Цей спосіб ураження з використанням такого ШПЗ наразі є найпопулярнішим.
Рекомендації щодо захисту від вірусів-вимагачів
Якщо ви не знаєте, з чого почати захист від вірусів-вимагачів, почніть з базової культури кібербезпеки. Деякі з її елементів можуть здатися банальними, але їх часто не беруть до уваги через нестачу ресурсів, пріоритетніші проєкти та завдання тощо. Зловмисники знають про це і часто використовують подібні вразливості та слабкості.
Регулярно оновлюйте системи та застосовуйте виправлення. Автоматичне (за можливості) встановлення виправлень допоможе запобігти зломам і витоку даних, а також знизить навантаження на фахівців з ІТ і безпеки. Ми проаналізували 25 рекомендацій у дослідженні, присвяченому ефективності програм із безпеки за 2021 р., і з’ясували, що попереджувальне оновлення технологій має максимальний вплив на підвищення загальної ефективності захисту.
Обов'язково виконуйте резервне копіювання даних на випадок нештатних ситуацій. Зберігайте резервні копії на автономних носіях, щоб хакери не могли отримати до них доступ. Розробіть план відновлення, який дасть змогу проводити масштабне відновлення даних, не зачіпаючи бізнес-процеси.
Ведіть точні та актуальні записи інвентаризації активів. Старі, забуті комп'ютери часто стають відправною точкою для зловмисників.
Регулярно проводьте оцінку ризиків, щоб своєчасно виявляти вразливості в інфраструктурі.
Регулярно проводьте оцінку ризиків, щоб своєчасно виявляти вразливості в інфраструктурі.
Реалізуйте шифрування конфіденційних даних і сегментацію мережі: це ускладнить доступ зловмисників до критично важливих систем.
Переконайтеся, що вашим співробітникам відомі принципи кібербезпеки та захисту від вірусів-вимагачів. Проведіть навчання на тему надійних паролів, виявлення фішингових листів, порядку дій у разі отримання підозрілих повідомлень тощо.
Будьте в курсі нових загроз і тактик захисту та впровадьте надійний план реагування на інциденти, який допоміг би протистояти непередбаченим загрозам.
І, звісно ж, обов’язково впровадьте комплекс рішень безпеки, щоб охопити широкий вектор атак, які використовують зловмисники. Розгляньте можливість впровадження наступних рішень:
Міжмережевий екран нового покоління та IPS-система – захистіть мережу від атак, реалізуючи сучасні технології міжмережевих екранів і запобігання вторгненням (IPS).
Забезпечення безпеки ел. пошти – блокуйте віруси-здирники, що надходять через спам і фішинг, і автоматично виявляйте шкідливі вкладення та URL-адреси.
Забезпечення безпеки Інтернету і хмари – захистіть користувачів від вірусів-здирників та іншого шкідливого ПЗ під час роботи в Інтернеті або використання хмарних додатків.
Захист кінцевих пристроїв – виявляйте та усувайте загрози, які можуть заражати різні кінцеві пристрої в мережі.
Захищений доступ – забезпечте доступ до ресурсів тільки для авторизованих користувачів і пристроїв, впровадивши багатофакторну перевірку автентичності (MFA) та інші захисні заходи.
Контроль і аналітика мережевих ресурсів – відстеження всього, що відбувається в мережі, дасть змогу швидко виявити аномальну поведінку. Використовуйте рішення, яке може аналізувати як зашифрований, так і незашифрований трафік.
Використовуючи ці та інші технології, організації повинні реалізовувати у сфері безпеки принцип нульової довіри: жодні користувачі, пристрої та додатки не повинні вважатися за замовчуванням надійними. Система безпеки, заснована на принципі нульової довіри, ускладнює доступ зловмисників і успішний запуск вірусів-вимагачів у вашій мережі.
Також наголошуємо, що розповсюдження таких “вірусів-вимагачів” тягне за собою кримінальну відповідальність за статтями Кримінального кодексу України, а саме ст. 361 “Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж” та ст. 361-1 “Створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут”. Тому ми застерігаємо наших читачів від використання таких “легких” способів власного збагачення.