Kas ir izspiedējprogrammatūra?

Izspiedējprogrammatūrai ir divi galvenie veidi: šifrēšanas izspiedējprogrammatūra un bloķēšanas izspiedējprogrammatūra, un tie tālā tiek iedalīti vairākos apakšveidos.

Šifrēšanas izspiedējprogrammatūra
Šifrēšanas izspiedējprogrammatūras uzbrukumā uzbrucējs šifrē upura sensitīvos datus vai failus, lai tas tiem nevarētu piekļūt, ja vien nesamaksā pieprasīto izpirkuma maksu. Teorētiski, tiklīdz upuris samaksā, uzbrucējs atdod atšifrēšanas atslēgu, kas ļauj piekļūt failiem vai datiem, tomēr tam nav garantijas. Daudzas organizācijas ir neatgriezeniski zaudējušas piekļuvi saviem failiem pat pēc izpirkuma maksas samaksāšanas.

Bloķēšanas izspiedējprogrammatūra
Bloķēšanas izspiedējprogrammatūras gadījumā ļaunprātīgie aktori bloķē upurim piekļuvi ierīcei un ekrānā rāda piezīmi par izpirkuma maksu ar norādījumiem, kā samaksāt izpirkuma maksu, lai atgūtu piekļuvi. Šāda veida izspiedējprogrammatūra parasti nav saistīta ar šifrēšanu, tāpēc, kad upuris atgūst piekļuvi savai ierīcei, visi sensitīvie faili un dati saglabājas. Bloķēšanas izspiedējprogrammatūra parasti tiek izmantota mobilajās ierīcēs.

Šie divi galvenie izspiedējprogrammatūras veidi tiek iedalīti šādos apakšveidos:

Iebiedēšanas programmatūra
Iebiedēšanas programmatūra izmanto baidīšanu, lai piespiestu cilvēkus samaksāt izpirkuma maksu. Šāda veida kiberuzbrukumos ļaunprātīgie aktori uzdodas par tiesībsargājošo iestāžu darbiniekiem un sūta ziņojumu upurim, kuros apgalvo, ka upuris ir veicis kriminālnoziegumu, un pieprasa soda naudu.

Doksinga programmatūra
Doksinga programmatūras gadījumā ļaunprātīgie aktori nozog personas informāciju un draud to padarīt publisku, ja netiks samaksāta izpirkuma maksa.

Dubultas izspiešanas programmatūra
Dubultas izspiešanas programmatūras gadījumā uzbrucēji ne tikai šifrē failus, bet arī nozog sensitīvus datus un draud tos padarīt publiskus, ja netiks samaksāta izpirkuma maksa.

Ļaundzēsēji
Ļaundzēsēji draud iznīcināt upura datus, ja netiks samaksāta izpirkuma maksa.

Vairākumam izspiedējprogrammatūras uzbrukumu ir trīs darbību process.

1. Piekļuves gūšana
Ļaunprātīgie aktori izmanto dažādus paņēmienus, lai gūtu piekļuvi uzņēmuma sensitīvajiem datiem. Viens no visbiežāk sastopamajiem paņēmieniem ir pikšķerēšana, kur kibernoziedznieki izmanto e-pasta ziņojumus, īsziņas vai tālruņa zvanus, lai izvilinātu no lietotājiem to akreditācijas datus vai liktu lejupielādēt ļaunprogrammatūru. Ļaunprātīgie aktori mērķē arī uz darbiniekiem un citiem lietotājiem ar ļaunprātīgām tīmekļa vietnēm, kas izmanto tā saukto izmantošanas komplektu, lai upura ierīcē automātiski lejupielādētu un instalētu ļaunprogrammatūru.

2. Datu šifrēšana
Tiklīdz izspiedējprogrammatūras uzbrucēji iegūst piekļuvi sensitīviem datiem, tie tos kopē un iznīcina sākotnējo failu kopā ar dublējumfailiem, kuriem tie var piekļūt. Pēc tam viņi šifrē savu kopiju un izveido atšifrēšanas atslēgu.

3. Izpirkuma pieprasīšana
Pēc datu padarīšanas par nepieejamiem izspiedējprogrammatūra piegādā ziņojumu, parādot brīdinājuma lodziņu, kurā izskaidrots, ka dati ir šifrēti, un pieprasa naudu (parasti kriptovalūtā) apmaiņā pret atšifrēšanas atslēgu. Šo uzbrukumu veicošie ļaunprātīgie aktori var arī piedraudēt ar datu publiskošanu, ja upuris atsakās maksāt.

Izspiedējprogrammatūras uzbrukuma sekas ir ne tikai tūlītēja darbības izjaukšana, bet tās var ietvert arī būtiskus finanšu zaudējumus, reputācijas zudumu un ilgtermiņa darbības izaicinājumus.

Finanšu sekas
Izpirkuma maksa var būt ievērojama, bieži vien tā sasniedz miljoniem dolāru, un nav garantijas, ka uzbrucēji sniegs atšifrēšanas atslēgu vai ka tā darbosies pareizi.

Pat tad, ja organizācijas atsakās maksāt izpirkuma maksu, tām joprojām var būt lielas finanšu izmaksas. Izspiedējprogrammatūras uzbrukuma izraisītais darbības pārtraukums var novest pie ilgstošas nedarbošanās, ietekmējot produktivitāti un potenciāli radot zaudējumus negūtu ieņēmumu veidā. Lai atkoptos no uzbrukuma, ir nepieciešami papildu izdevumi, tostarp kriminālistiskās izmeklēšanas izmaksas, juridisko pakalpojumu maksas un ieguldījumi uzlabotos drošības līdzekļos.

Reputācijas bojājumi
Klienti un partneri var zaudēt uzticību uzņēmumam, kas bija apdraudēts, izraisot klientu lojalitātes samazināšanos un iespējamu nākotnes uzņēmējdarbības iespēju zudumu. Augsta profila uzbrukumi bieži vien piesaista plašsaziņas līdzekļu uzmanību, kas var sabojāt uzņēmuma reputāciju un zīmola identitāti.

Operatīvie izaicinājumi
Pat ar dublējumiem pastāv datu zuduma vai bojājumu risks, kas var ietekmēt uzņēmējdarbības nepārtrauktību un darbības efektivitāti. Uzņēmumiem var rasties arī juridiskie izdevumi un normatīvās soda naudas par nespēju aizsargāt sensitīvus datus, īpaši, ja uz tiem attiecas tādi datu aizsardzības noteikumi kā Vispārīgā datu aizsardzības regula Eiropas Savienībā vai Kalifornijas Patērētāju konfidencialitātes likums.

Daudzus no augsta profila cilvēku darbinātas izspiedējprogrammatūras uzbrukumiem veic izspiedējprogrammatūras grupas, kas darbojas, izmantojot izspiedējprogrammatūras pakalpojuma uzņēmējdarbības modeli.

 

• Kopš parādīšanās 2019. gadā LockBit mērķis bija dažādas jomas, tostarp finanšu pakalpojumi, veselības aprūpe un ražošana. Ir zināms, ka šī izspiedējprogrammatūra var pati sevi izplatīt tīklos, kas padara par īpaši bīstamu. Ar LockBit saistītie ļaundari ir atbildīgi par daudziem augsta profila uzbrukumiem, izmantojot sarežģītas metodes, lai šifrētu datus un pieprasītu izpirkuma maksu. 
• BlackByte uzbrukumi bieži vien ietver dubultu izspiešanu, kur kibernoziedznieki šifrē un eksfiltrē datus, draudot publiskot nozagtos datus, ja netiks samaksāta izpirkuma maksa. Šī izspiedējprogrammatūra ir izmantota mērķēšanai uz kritiskiem infrastruktūras sektoriem, tostarp valsts iestādēm un finanšu pakalpojumu sniedzējiem.
• Izspiedējprogrammatūras Hive izmantošanas grupa, kas bija aktīva laikā no 2021. gada jūnija līdz 2023. gada janvārim, izmantoja dubultu izspiešanu un parasti mērķēja uz publiskām iestādēm un kritisko infrastruktūru, tostarp veselības aprūpes iestādēm. 2022. gadā FIB iefiltrējās Hive tīklā un ievērojamā uzvarā pret kibernoziedzniekiem tvēra atšifrēšanas atslēgas un novērsa izpirkuma maksas pieprasīšanu vairāk nekā 130 miljonu USD apmērā. 
• Izspiedējprogrammatūra Akira ir sarežģīta ļaunprogrammatūra, kas ir aktīva kopš 2023. gada sākuma un mērķē gan uz Windows, gan Linux sistēmām. Ļaunprātīgie aktori lieto Akira, lai iegūtu sākotnējo piekļuvi, izmantojot VPN pakalpojumu ievainojamības, it īpaši tur, kur nav daudzfaktoru autentifikācijas. Kopš savas rašanās Akira ietekmēja vairāk nekā 250 organizāciju un prasīja aptuveni 42 miljonus ASV dolāru izspiedējprogrammatūras ieņēmumos.

 

Ja esat izspiedējprogrammatūras uzbrukuma upuris, pastāv griešanās pēc palīdzības un noņemšanas iespējas.

Inficēto datu izolēšana
Tiklīdz to varēsit, izolējiet apdraudētos datus, lai palīdzētu novērst izspiedējprogrammatūras izplatīšanos citos sava tīkla apgabalos.

Ļaunprogrammatūras novēršanas programmas palaišana
Kad ir izolētas visas inficētās sistēmas, izmantojiet ļaunprogrammatūras novēršanas programmu, lai noņemtu izspiedējprogrammatūru.

Failu atšifrēšana vai dublējumu atjaunošana
Ja iespējams, izmantojiet tiesībsargājošo iestāžu vai drošības pētnieku sniegtos atšifrēšanas rīkus, lai atšifrētu failus, nemaksājot izpirkuma maksu. Ja atšifrēšana nav iespējama, atjaunojiet failus no saviem dublējumiem.

Ziņošana par uzbrukumu
Lai ziņotu par uzbrukumu, sazinieties ar vietējiem vai federālajiem tiesībsargājošajām iestādēm. Amerikas Savienotajās Valstīs tās ir FIB vietējie biroji, IC3 vai Slepenais dienests. Lai gan šī darbība, visticamāk, neatrisinās nevienu no jūsu tūlītējām problēmām, tā ir svarīga, jo šīs iestādes aktīvi izseko un pārrauga dažādus uzbrukumus. Detalizētas informācijas par jūsu pieredzi sniegšana varētu būt noderīga to centienos atrast un sodīt kibernoziedznieku vai kibernoziedznieku grupu.

Uzmanieties saistībā ar izpirkšanas maksas samaksu
Lai gan var rasties kārdinājums samaksāt izpirkšanas maksu, nav garantijas, ka kibernoziedznieki turēs savu vārdu un piešķirs jums piekļuvi jūsu datiem. Drošības eksperti un likumsargi izspiedējprogrammatūras uzbrukumu upuriem iesaka nemaksāt pieprasīto izpirkšanas maksu, jo maksāšanas rezultātā upuri var palikt atvērti turpmākiem apdraudējumiem un šādi aktīvi atbalstītu kriminālo nozari.

Drošības pētnieki paredz, ka izspiedējprogrammatūras izmantošanas biežums un sarežģītība turpmākajos gados palielināsies. Izmantojot mākslīgo intelektu, kibernoziedzniekiem ir vieglāk automatizēt un uzlabot savu izspiedējprogrammatūru. Turklāt iesaistās arvien vairāk cilvēku ar ierobežotām tehniskām prasmēm, jo tumšajā tīmeklī var iegādāties mākslīgā intelekta vadītus izspiedējprogrammatūras rīkus vai sadarboties ar kādu izspiedējprogrammatūras pakalpojumu organizāciju.

Lielākas, sarežģītākas kibernoziedznieku organizācijas, tostarp valstu aktori, arī arvien vairāk mērķē uz kritisko infrastruktūru un piegādes ķēdēm, kā rezultātā būtiski tiek traucēta gan municipālais, gan uzņēmumu darbs. Šīs entītijas bieži vien mērķē uz valsts iestādēm, transporta sistēmām un veselības aprūpes organizācijām, lai paralizētu pakalpojumu sniegšanu.

Lai pretotos šiem mainīgajiem apdraudējumiem, organizācijas apgūst mākslīgo intelektu kiberdrošībai, kas palīdz tām ātri un efektīvi atklāt izspiedējprogrammatūras uzbrukumus un reaģēt uz tiem. Šīs tehnoloģijas analizē lielu datu apjomu, lai noteiktu modeļus un anomālijas, kas varētu norādīt uz izspiedējprogrammatūras uzbrukumu. Daudzi no šiem risinājumiem var arī automātiski reaģēt uz atklātajiem apdraudējumiem, samazinot laiku, kas nepieciešams uzbrukuma seku mazināšanai.

Nulles uzticamības drošības modelis arī tiek attīstīts, lai uzlabotu kiberdrošību un ierobežotu izspiedējprogrammatūras un citu ļaunprātīgu darbību izplatību.