Атаки, выкупы и аукционы: пиратские будни ransomware

История развития вирусов-шифровальщиков очень интереса и полна неожиданных событий, с которыми вы можете ознакомиться в наших предыдущих статьях. Начиная свой путь с шуточных инструментов, создаваемых отдельными группами энтузиастов, шифровальщики превратились в серьезное орудие, приносящие своим создателям огромную прибыль.

Со временем развития киберугроз, злоумышленники перестают создавать новое вредоносное ПО, сейчас достаточно просто оплатить подписку на доступном облачном сервисе, известном как RaaS (Ransomware-as-a-Service). И пользователь получит хорошие инструменты для кибератак, более того, не требующих навыков программирования. Из-за чего порог входа в теневой бизнес стал ниже, а количество киберинцидентов резко увеличивается.

Еще одной тревожной тенденцией последнего времени стал переход от простой модели вымогательства выкупа к комбинированным атакам, при которых данные перед шифрованием выкачиваются хакером. В этом случае угрозой за невыплату отступных становится не уничтожение информации, а ее публикация в открытых источниках или продажа на закрытом аукционе. Один из таких аукционов, о котором стало известно широкой общественности, прошел этим летом. Украденные при помощи шифровальщика REvil базы данных сельскохозяйственных компаний были выставлены на продажу в качестве лота со стартовой ценой $55 тыс.

К сожалению, многие жертвы вымогателей вынуждены платить, хотя и сами понимают, что возвращение доступа к информации отнюдь не гарантировано. В качестве целей для своих атак хакеры стараются выбирать компании и организации с низкой терпимостью к простою. Ущерб от остановки, например, производства может измеряться миллионами долларов в сутки, а расследование киберинцидента может занять недели и все равно не привести к восстановлению систем предприятия. А если речь идет о медицинской организации? В таких ситуациях у владельцев бизнеса просто не остается ни одной разумной альтернативы выплате выкупа.

Как защищаться?

Лучшей стратегией защиты от атак с использованием программ-вымогателей является своевременная подготовка. Часто воротами для несанкционированного входа в систему являются почтовые сервисы, которые должны быть оборудованы эффективными спам-фильтрами, блокирующими или отправляющими в карантин все исполняемые вложения. Не лишним будет и активировать отображение расширений файлов, что снизит вероятность их случайного открытия.
Если атака все-таки произошла, минимизировать время простоя и потенциальный ущерб можно лишь при наличии регулярно обновляемых резервных копий всей критически важной для жизни компании информации. Лучше всего, если копии будут располагаться в защищенном облаке.

Гораздо более широкими возможностями защиты от всех типов угроз обладает комплексный продукт Kaspersky Total Security для бизнеса. Благодаря средствам облачного и поведенческого анализа он способен предотвратить проникновение шифровальщика в систему, вовремя выявив подозрительное поведение приложений. Если же заражение все же произошло, этот инструмент позволит откатить вредоносные действия. Помимо этого, он содержит полный спектр средств веб-контроля и контроля устройств, инструменты адаптивного контроля аномалий и набор рекомендаций по настройке политик безопасности.