12 мая специалисты в области информационной безопасности по всему миру отмечают свой профессиональный праздник. С 2020 года этот день официально стал международным Днем борьбы с программами-вымогателями, известным как Anti-Ransomware Day. Редакция IT Speaker собрала информацию о последних громких атаках с использованием этого вредоносного ПО и опросила экспертов о сути проблемы и причинах опасности шифровальщиков.
Прежде чем перейти к фактам, важно уточнить некоторые термины. Вирус-шифровальщик (или вирус-вымогатель, англ. ransomware) – это вредоносное программное обеспечение, используемое киберпреступниками для блокировки доступа к файлам или целым системам.
Истории атак: Королевская почта, сэндвичи и Мексика
Начнем с января 2023 года. Именно тогда произошла известная атака группировки LockBit на Королевскую почту Великобритании. Поистине скандальный случай!
В результате атаки с использованием шифровальщиков была парализована доставка международной почты, из-за чего миллионы писем и посылок застряли в системе Королевской почты. Более того, сайт для отслеживания посылок, а также возможность онлайн-оплаты отправлений и некоторые другие системы оказались недоступны.
В распределительном центре Королевской почты в Северной Ирландии принтеры начали массово печатать копии характерной оранжевой записки с требованием выкупа от группировки LockBit, которая запрашивала около $80 миллионов.
Стоит отметить, что Королевская почта отказалась платить. В результате злоумышленники выполнили свою угрозу и выложили украденные данные в сеть.
Январь, похоже, является любимым месяцем для группировки LockBit. Так, 1 января 2024 года они объявили о взломе ИТ-инфраструктуры сети фастфудов Subway. По словам преступников, они получили доступ к сотням гигабайт конфиденциальной информации. Угрозы были аналогичны предыдущим: платите или все будет выложено в сеть. Размер выкупа неизвестен, как и действия пострадавших.
Первым делом самолеты – и это касается не только советской песни, но и атак с использованием шифровальщиков. Группировка BianLian фактически шантажировала авиакомпанию Air Canada.
По словам вымогателей, им удалось украсть более 210 Гбайт различной информации, включая данные сотрудников, конфиденциальные документы и информацию о поставщиках. В том числе преступники получили сведения о технических нарушениях и проблемах безопасности авиакомпании.
В мае 2024 года была зафиксирована атака уже не на отдельные компании, а на государственные структуры. Эксперты «Лаборатории Касперского» обнаружили новую программу-вымогатель под названием ShrinkLocker, которая нацелена на организации госсектора. Среди пострадавших оказались госструктуры Индонезии, Иордании и Мексики.
Специалисты в области информационной безопасности отметили, что ShrinkLocker использует программу BitLocker, предназначенную для защиты пользователей. Вирус активирует BitLocker, после чего начинается процесс шифрования данных и их перемещение в новый раздел, который получает название электронной почты злоумышленников, чтобы атакованные организации могли связаться с ними для выкупа.
Тем не менее, как утверждают эксперты, главная цель хакеров – не деньги, а уничтожение данных и нарушение функционирования атакованных учреждений.
Мнение экспертов
Почему именно такие атаки становятся столь резонирующими? Эксперты подчеркивают, что дело в самой схеме. Злоумышленники используют программы для шифрования ИТ-инфраструктуры, чтобы затем требовать выкуп за расшифровку. Это позволяет им атаковать кого угодно, особенно крупные известные компании. Важно отметить, что вредоносное ПО часто позволяет вымогателям полностью парализовать ИТ-инфраструктуру скомпрометированной организации.
«Сегодня такие атаки осуществляются как с целью получения выкупа (финансовая мотивация), так и с намерением вывести инфраструктуру из строя без возможности восстановления. При этом атаки могут сопровождаться кражей и публикацией конфиденциальных данных. Кроме того, злоумышленники могут использовать дополнительные факторы давления на организацию, например, проводить DDoS-атаки на ее инфраструктуру или уведомлять клиентов о взломе», – рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин.
Однако вся эта схема в какой-то момент напоминает замкнутый круг. Если компания решит выплатить выкуп, помимо убытков от простоя, она понесет и финансовые потери. В 2024 году средняя сумма выкупа за восстановление доступа к зараженной системе составила 14 миллионов рублей. Если жертва соглашалась на выплату, в среднем она платила 10 миллионов рублей – не меньше, отметил Скулкин.
К сожалению, репутационные риски для жертвы никуда не исчезают.
«Основная угроза атак с шифровальщиками – это потеря важной информации, блокировка доступа к инфраструктуре, простой в работе, финансовые потери и, что немаловажно, удар по имиджу компании. Например, если под удар попадет компания из сферы информационной безопасности, то доверие к ней будет утрачено», – пояснил руководитель отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев.
Кого-то это может расстроить, но избавиться от шифровальщиков в ближайшее время не получится. По словам Скулкина, подобные атаки продолжают оставаться наиболее актуальными для финансово мотивированных хакеров.
«Дело в том, что злоумышленники могут практически атаковать любую организацию, так как их основной целью является получение выкупа. Такой широкий спектр целей и определяет их значимость в сложившемся ландшафте киберугроз», – отметил Скулкин.
Остается главный вопрос – как защититься от атак шифровальщиков? Если кратко: это не так просто. По словам Олега Скулкина, в настоящее время такие атаки – комплексные и требуют человеческого управления. Это означает, что для защиты организациям необходимо выстроить полноценную систему обеспечения кибербезопасности и осуществлять круглосуточный мониторинг.
Для этого можно использовать центры мониторинга и реагирования на инциденты (SOC), а для контроля активности на конечных устройствах – решения класса EDR (endpoint detection and response).
«Также одним из самых важных факторов является своевременное получение информации о подобных угрозах, например, через порталы киберразведки. Эти данные позволят прогнозировать поведение злоумышленников и, следовательно, предотвратить подобные атаки», – подытожил Скулкин.
Мошенники предлагают до 350 евро за просмотр контента в Telegram
