Что такое программы-шантажисты?
Узнайте больше о программах-шантажистах, принципах их работы и о том, как защитить себя и свой бизнес от кибератак этого типа.
Определение программы-шантажиста
Программа-шантажист — это вредоносная программа, которая угрожает жертве, уничтожая важные данные или системы либо блокируя доступ к ним до тех пор, пока не будет выплачен выкуп. Ранее большинство программ-шантажистов были нацелены на обычных пользователей. Но в последнее время серьезной угрозой, которую все сложнее предотвратить и нейтрализовать, становятся управляемые программы этого типа, жертвами которых являются целые организации. Используя управляемые программы-шантажисты, группы злоумышленников общими усилиями получают доступ в корпоративную сеть организации. Некоторые атаки такого рода настолько сложны, что злоумышленники устанавливают цену выкупа на основе внутренних финансовых документов, которые им удается обнаружить.
Новости об атаках программ-шантажистов
Нам все чаще попадаются неутешительные новости об очередных угрозах атак программ-шантажистов. Недавние громкие атаки с применением программ-шантажистов затрагивали критически важную инфраструктуру, сферу здравоохранения и поставщиков ИТ-услуг. Чем сильнее разрастались масштабы таких атак, тем более непредсказуемыми становились их последствия. Рассмотрим некоторые из инцидентов с участием программ-шантажистов и узнаем, чем это закончилось для организаций.
- В марте 2022 года жертвой атаки с применением программы-шантажиста стала почтовая служба Греции. Из-за этой атаки возникли временные проблемы с доставкой почтовых отправлений и обработкой финансовых транзакций.
- Одна из крупнейших авиакомпаний Индии подверглась атаке с применением программы-шантажиста в мае 2022 года. Инцидент привел к задержке и отмене рейсов, а сотни пассажиров застряли в аэропортах.
- В декабре 2021 года крупная компания-поставщик решений для управления кадрами подверглась атаке с применением программы-шантажиста. Проблемы затронули системы расчета заработной платы и учета рабочего времени, которыми пользовались клиенты этой компании в рамках облачной службы.
- В мае 2021 года компания-транспортировщик газа и нефтепродуктов в США приостановила оказание услуг. Это пришлось сделать, чтобы предотвратить дальнейшую утечку информации после атаки с применением программы-шантажиста, из-за которой были скомпрометированы личные данные тысяч сотрудников. В результате цены на газ резко выросли на всем восточном побережье.
- Немецкая компания-дистрибьютор химической продукции стала жертвой атаки с применением программы-шантажиста в апреле 2021года. В результате были похищены сведения о датах рождения, номерах социального страхования и водительских прав более 6000 человек, а также некоторые медицинские данные.
- Крупнейший в мире поставщик мяса подвергся атаке с применением программы-шантажиста в мае 2021года. Компания временно отключила веб-сайт и остановила производственные процессы, но в результате ей пришлось заплатить выкуп в размере 11 миллионов долларов США (USD) в биткойнах.
Как работают программы-шантажисты?
Программы-шантажисты захватывают контроль над данными или устройствами конечного пользователя или организации, а затем требуют денег за возврат контроля владельцу. Раньше большинство атак организовывались с применением социальной инженерии. Однако в последнее время популярность обрели программы-шантажисты под управлением людей, так как суммы потенциального выкупа в таком случае огромны.
Программы-шантажисты с применением социальной инженерии
В таких атаках используется фишинг — технология обмана, при которой злоумышленник выдает себя за действующую компанию или веб-сайт, чтобы обманом заставить жертву перейти по ссылке или открыть вложение в электронное письмо, которое установит на устройство программу-вымогатель. При подобных атаках жертва часто запугивается, чтобы заставить ее действовать в интересах атакующего. Например, киберпреступник может выдать себя за представителя известного банка и отправить клиенту электронное письмо с предупреждением о том, что его счет был заморожен из-за подозрительных действий, и требованием перейти по ссылке в письме, чтобы решить проблему. После нажатия на такую ссылку устанавливается программа-шантажист.
Управляемая программа-шантажист
Операторы программ-шантажистов часто начинают с использования похищенных учетных данных. Проникнув таким образом в сеть организации, злоумышленники с их помощью находят учетные записи с более широкими правами доступа и ищут данные и критически важные для бизнеса системы, за которые можно получить большой выкуп. Затем они применяют свою технологию к этим данным и системам — например, шифруют конфиденциальные файлы, вследствие чего организация теряет к ним доступ, пока не заплатит. Киберпреступники обычно требуют выкуп в криптовалюте из-за ее анонимности.
Такие злоумышленники атакуют крупные организации, которые способны заплатить больше, чем обычные пользователи, и иногда требуют миллионы долларов. Из-за высоких ставок, связанных со взломом такого масштаба, многие организации предпочитают заплатить выкуп. Это делается для того, чтобы не допустить утечки конфиденциальных данных или избежать риска дальнейших атак со стороны киберпреступников, хотя оплата этого не гарантирует.
По мере роста числа атак с применением управляемых программ-шантажистов злоумышленники действуют все более организованно. На самом деле многие подобные атаки сегодня осуществляются по модели "программа-шантажист как услуга": преступные разработчики создают такую программу, а затем привлекают других злоумышленников, чтобы те с ее помощью взломали корпоративную сеть и установили там это ПО, а затем делят прибыль в оговоренной пропорции.
Виды атак с применением программ-шантажистов
Программы-шантажисты бывают двух основных разновидностей: шифровальщики и блокировщики.
Программы-шифровальщики
Когда обычный пользователь или организация подвергается атаке программы-шантажиста с функциями шифрования, злоумышленник зашифровывает важные данные или файлы. Жертвы лишаются доступа к ним до тех пор, пока не заплатят выкуп. Теоретически после уплаты выкупа жертва получает ключ для расшифровки, чтобы восстановить доступ к своим файлам или данным. Однако даже если жертва заплатит выкуп, нет никакой гарантии, что киберпреступник отправит ключ или вернет ей контроль. Doxware — разновидность программ-вымогателей с шифрованием, которые шифруют и угрожают раскрыть всем личную информацию жертвы, принуждая ее к выплате выкупа через страх унижения и стыда.
Программы-блокировщики
Программа-шантажист с функциями блокировки не позволяет пользователю войти на свое устройство и блокирует его. Жертва видит на экране сообщение о блокировке с требованием заплатить выкуп для восстановления доступа и соответствующими инструкциями. Такие программы-шантажисты обычно не шифруют данные, поэтому при восстановлении доступа к устройству важные файлы и сведения сохраняются.
Реагирование на атаки программ-шантажистов
Если вы стали жертвой атаки с применением программы-шантажиста, вы можете попробовать принять меры для защиты и нейтрализации угрозы.
С осторожностью отнеситесь к требованию выкупа
Перспектива заплатить выкуп в надежде избавиться от проблемы может показаться заманчивой. Однако нет никакой гарантии, что злоумышленники сдержат слово и вернут вам доступ к данным. Эксперты по безопасности и сотрудники правоохранительных органов рекомендуют жертвам не платить выкуп, так как в результате те подвергают себя угрозам дальнейших атак, а также фактически спонсируют преступную деятельность. Если вы уже заплатили деньги, сразу обратитесь в банк: при использовании платежной карты, возможно, перевод удастся отменить.
Изолируйте затронутые данные
Как только появится такая возможность, изолируйте взломанные данные, чтобы избежать проникновения программы-шантажиста в другие участки сети.
Запустите антивредоносные программы
Для борьбы с программами-шантажистами часто бывает полезно установить антивредоносное ПО, которое их удаляет. Выбрав надежное решение для борьбы с вредоносными программами, например Microsoft Defender, не забывайте обновлять его и всегда держите в запущенном виде для защиты от новых атак.
Сообщите об атаке
Сообщите об атаке в местные или национальные правоохранительные органы. В США это местное отделение ФБР, IC3 или Секретная служба. Скорее всего, это не поможет вам непосредственно решить свою проблему. Но эта мера важна, поскольку помогает властям отслеживать и контролировать различные виды атак. Рассказав властям о своей ситуации, вы поделитесь важной информацией, позволяющей дополнить общую картину и упростить поиск и преследование злоумышленника или преступной группы.
Защита от программ-шантажистов
Сегодня, когда число атак с использованием программ-шантажистов находится на пике, а большая часть личной информации людей хранится в цифровом виде, потенциальные последствия такой атаки устрашают. К счастью, существует множество способов сохранить свою цифровую жизнь в неприкосновенности. Давайте посмотрим, как обрести душевное спокойствие с помощью средств защиты от программ-шантажистов.
Установите антивредоносную программу
Лучшим способом защиты является профилактика. Многие атаки программ-шантажистов можно обнаружить и пресечь с помощью надежной службы защиты от вредоносных программ, например Microsoft Defender для конечной точки, Microsoft Defender XDR или Microsoft Defender для облака. При использовании антивредоносной программы устройство проверяет все файлы и ссылки, которые вы пытаетесь открыть, чтобы гарантировать их безопасность. Если файл или веб-сайт оказываются вредоносными, программа предупреждает вас об этом и рекомендует не открывать их. Такие средства защиты также могут удалять программы-шантажисты с уже зараженных устройств.
Организуйте регулярное обучение
Проводите регулярные тренинги и информируйте сотрудников о том, как обнаруживать признаки фишинга и других атак программ-шантажистов. Так они не только познакомиться с более безопасными приемами работы, но и смогут эффективнее защищать собственные устройства.
Переходите в облако
Вы сможете в целях безопасности легко создавать резервные копии своих данных, если перенесете их в облачную службу, например службу облачного резервного копирования Azure или резервное хранилище блочных BLOB-объектов Azure. В случае кражи информации программой-шантажистом эти службы помогут вам моментально и полностью восстановить свои данные.
Реализуйте модель "Никому не доверяй"
Модель "Никому не доверяй" проверяет все устройства и пользователей на предмет рисков, прежде чем предоставлять им доступ к приложениям, файлам, базам данных и другим устройствам. Это снижает вероятность несанкционированного доступа к вашим ресурсам и установки вредоносных программ. Например, внедрение многофакторной проверки подлинности (одного из компонентов модели "Никому не доверяй") сокращает более чем на 99% эффективность атак, нацеленных на кражу удостоверений. Чтобы оценить этап развертывания модели "Никому не доверяй" в своей организации, проведите оценку этапа развертывания модели "Никому не доверяй".
Присоединяйтесь к сообществам для обмена информацией
Сообщества по обмену информацией, которые часто формируются по отраслевому или географическому признаку, позволяют организациям со сходной структурой вместе вырабатывать решения в области кибербезопасности. Участие в подобных группах также обеспечивает компаниям ряд преимуществ, например доступ к службам реагирования на инциденты и цифровой экспертизы, новостям о последних угрозах и мониторингу диапазонов общедоступных IP-адресов и доменов.
Создавайте автономные резервные копии
Поскольку некоторые программы-шантажисты пытаются найти и удалить резервные копии ваших данных, доступные через сеть, имеет смысл создать, а затем регулярно обновлять и проверять такие копии вне сети, чтобы получить возможность восстановить информацию в случае подобной атаки. К сожалению, автономная резервная копия не поможет защититься от атаки программы-шантажиста с шифрованием, однако может послужить эффективным средством против блокировки.
Следите за актуальностью программного обеспечения
Помимо регулярного обновления антивредоносных решений (например, с помощью автоматических обновлений), также не забывайте скачивать и устанавливать другие обновления для системы и исправления для программного обеспечения по мере их появления. Это помогает минимизировать уязвимости в системе безопасности, которыми киберпреступник может воспользоваться для доступа к вашим сетям и устройствам.
Разработайте план реагирования на инциденты
Если в помещении есть план эвакуации при пожаре, вы будете подготовлены и у вас будет больше шансов спастись в чрезвычайной ситуации. Так и план действий на случай атак программ-шантажистов поможет вам правильно повести себя в различных сценариях, чтобы как можно скорее вернуться к нормальной и безопасной работе.
Полная защита с Microsoft Security
Microsoft Sentinel
Полностью контролируйте состояние безопасности в компании с помощью облачной системы управления информационной безопасностью и событиями безопасности (SIEM).
Microsoft Defender XDR
Защитите конечные точки, удостоверения, электронную почту и приложения с помощью решения для расширенного обнаружения и нейтрализации угроз (XDR).
Microsoft Defender для облака
Защитите многооблачные и гибридные среды на всех этапах: от разработки до эксплуатации.
Аналитика угроз Microsoft Defender
Получайте представление о злоумышленниках и их инструментах благодаря полной и постоянно обновляемой схеме онлайн-взаимодействий.
Нейтрализация программ-шантажистов
Будьте на шаг впереди злоумышленников: используйте инструменты Microsoft Security для автоматического прерывания атак и нейтрализации угроз.
Отчет о цифровой защите Microsoft
Ознакомьтесь с актуальной картиной угроз безопасности и узнайте, как построить систему цифровой защиты.
Формирование среды с защитой от программ-шантажистов
Узнайте, как корпорация Майкрософт сформировала среду с оптимальной устойчивостью к атакам с применением программ-шантажистов.
Инструкции по борьбе с программами-шантажистами
Сформулируйте и визуализируйте роль каждого сотрудника в борьбе с программами-шантажистами.
Вопросы и ответы
-
К сожалению, жертвой программы-шантажиста может стать почти любой пользователь Интернета. В качестве объектов для атаки киберпреступники выбирают как личные устройства, так и корпоративные сети.
В то же время инвестиции в профилактические решения, такие как службы защиты от угроз, — надежный способ предотвратить проникновение программ-шантажистов в ваши сети и на устройства. Таким образом, пользователи и организации, развернувшие антивредоносные программы и другие протоколы безопасности, такие как модель "Никому не доверяй", до атаки программы-шантажиста, с меньшей вероятностью станут ее жертвами.
-
Обычно подобные атаки начинаются с того, что пользователя обманом принуждают к взаимодействию с вредоносным контентом (например, заставляют открыть зараженное электронное письмо или зайти на опасный веб-сайт), вследствие чего на устройство устанавливается программа-шантажист.
В ходе атаки с применением управляемой программы-шантажиста группа злоумышленников целенаправленно пытается получить доступ к корпоративной конфиденциальной информации (обычно через заранее похищенные учетные данные).
После атаки с применением как социальной инженерии, так и управляемой программы-шантажиста пользователь или организация получает сообщение с описанием похищенных данных и ценой, которую нужно заплатить за их возврат. Однако уплата выкупа не гарантирует, что данные действительно будут возвращены, а попытки взлома прекратятся.
-
Последствия атаки с применением программы-шантажиста могут быть разрушительными. Жертвы из числа как обычных пользователей, так и организаций принуждаются к уплате большого выкупа без какой-либо гарантии того, что их данные будут возвращены и в будущем не последует других атак. Если киберпреступник получит доступ к конфиденциальным данным организации, ее репутация может оказаться разрушена, а компания будет считаться ненадежной. Кроме того, в зависимости от типа похищенной информации и размера организации тысячи отдельных пользователей рискуют стать жертвами кражи идентификационных данных или других киберпреступлений.
-
Киберпреступники, заражающие программами-шантажистами устройства своих жертв, хотят денег. Они обычно требуют выкуп в криптовалюте из-за ее анонимного характера и сложностей с отслеживанием транзакций. Атака с применением социальной инженерии против обычного пользователя может предполагать выкуп в сотни или тысячи долларов. Выкуп в результате атаки с использованием управляемой программы-шантажиста против организации может достигать миллионов долларов. В таких сложных атаках против компаний размер выкупа иногда устанавливается на основании конфиденциальной финансовой информации о ресурсах компании, попавшей в руки киберпреступников при взломе сети.
-
Жертвам следует сообщать об атаках в местные или национальные правоохранительные органы. В США это местное отделение ФБР, IC3 или Секретная служба. Эксперты по безопасности и сотрудники правоохранительных органов рекомендуют жертвам не платить выкуп, а в случае его уплаты незамедлительно обращаться в банк и местные органы власти. Если вы использовали платежную карту, возможно, банку удастся заблокировать перевод средств.
Следите за новостями Microsoft Security