Будущее атак программ-вымогателей: больше того же, только хуже

По мере того, как технологии развивались на протяжении многих лет, злоумышленники также развивались. Один из самых опасных типов вредоносных программ, программы-вымогатели, сильно затронул множество компаний и частных лиц. К сожалению, атаки программ-вымогателей становятся пугающе частыми.

Например, количество атак программ-вымогателей в 2015 году составило 3,8 миллиона. Хотя это число уже высоко, оно ничто, если учесть атаки программ-вымогателей в 2016 году: 638 миллионов. Затем в 2017 году количество атак увеличилось еще на 250 процентов.

Атака каждые 10 секунд

Программы-вымогатели — самый популярный тип вредоносных атак. По данным Kaspersky Security Bulletin за 2016 год, на людей нападают каждые 10 секунд, а на предприятия — каждые 40 секунд. Помимо опытных кибератак, люди с низким уровнем технических знаний также создают «варианты программ-вымогателей-подражателей», чтобы попробовать свои силы в этом преступлении.

Хотя вы можете подумать, что атакам подвергаются только малые, плохо оснащенные предприятия, это не так. В четверти компаний, подвергшихся атакам программ-вымогателей, работает более 1000 сотрудников, и пострадал 71% всех компаний, ставших жертвами таких атак.

Поскольку менее 30 процентов целевых серверов не заражаются, это показывает, что наша ИТ-защита явно не настроена должным образом для защиты от вредоносных программ, особенно программ-вымогателей. Проблема в том, что только в первом квартале 2017 года количество новых вариантов программ-вымогателей увеличилось в 4,3 раза по сравнению с первым кварталом 2016 года, поэтому решениям по обеспечению безопасности трудно идти в ногу.

Решение этой конкретной проблемы, скорее всего, использует машинное обучение, поэтому ваш компьютер может установить связь с предыдущими атаками программ-вымогателей, чтобы быстро понять и защититься от новых вариантов.

Вчерашнее решение по сохранению копии всех ваших данных на локальном резервном сервере устарело. Неплохо иметь локальную копию, и в большинстве случаев она может помочь вашему бизнесу быстро восстановиться, если проблема не в серьезном сбое сайта. Кроме того, если вы хотите отправлять файлы между этим резервным сервером и вашим основным сервером, вам не нужно беспокоиться об отправке файлов через Интернет-соединение, которое может быть заражено.

Однако, хотя облако оказывает огромное влияние на эту отрасль, это не единственная причина, по которой люди меняют способ резервного копирования своих файлов. Вместо этого программы-вымогатели становятся все более изощренными; теперь он может найти способ повредить не только один сервер, но и ваши резервные серверы.

Разрушительные последствия атак программ-вымогателей

Программа-вымогатель может быть разрушительной, быстро повреждая все данные в вашей сети, распространяясь от сервера к серверу и ускоряясь по мере своего распространения. Этот метод очень распространен: почти половина программ-вымогателей заражает не менее 20 сотрудников либо путем шифрования файлов через общие сетевые диски, либо путем обнаружения нескольких сотрудников, ставших жертвами первоначальной атаки.

Если мы посмотрим на полиморфную программу-вымогатель Virlock, каждый раз, когда вы нажимаете на зараженный файл, атака начинается снова, распространяясь даже после того, как вы думали, что она находится под контролем. С другой стороны, атаки программ-вымогателей также могут со временем вносить небольшие незаметные изменения, на обнаружение которых уходят недели или даже месяцы.

Обе эти формы программ-вымогателей имеют систему, которая пытается избежать вашей безопасности. Если ваши данные быстро повреждаются, решения для защиты данных могут не справиться с новой скоростью обмена данными. С другой стороны, если изменения достаточно тонкие, чтобы их не обнаруживали в течение нескольких месяцев, они могут удалить неповрежденные копии ваших данных на вашем резервном сервере, прежде чем вы поймете, что что-то не так.

Хотя некоторые люди по-прежнему считают, что злоумышленники с программами-вымогателями проникают на сервер с помощью фишинговых электронных писем или других подобных мошеннических действий, на самом деле этот способ передачи атак сократился почти на 50 процентов в первом квартале 2017 года. Вероятно, это связано с тем, что общественность была более осведомлена об этих типах атак: в 2016 году 7 из 10 вредоносных электронных писем доставляли программы-вымогатели.

RDP: возможность для программ-вымогателей

Вместо этого большинство заражений программами-вымогателями в 2017 году были доставлены через протокол удаленного рабочего стола (RDP), что позволило избежать человеческой ошибки, аналогичной масштабной атаке WannaCry. В этом случае программа-вымогатель была запущена напрямую после получения удаленного доступа через Microsoft Server Message Block (SMB).

При атаке через RDP злоумышленники сканируют открытые порты, аналогично взлому SMB. Затем, как только это обнаружено, злоумышленники перебирают слабые пароли или пароли по умолчанию, получая доступ. Многие атаки в 2017 году проводились таким образом, хотя защититься от него как для бизнеса, так и для частных лиц относительно просто.

Хотя выкуп платят менее 5% скомпрометированных компаний (четыре из пяти получают обратно свои файлы), почти всем компаниям требуется не менее двух дней, чтобы получить доступ к своим файлам, а каждая третья не имеет доступа в течение пяти дней. или более дней.

Эта стоимость может быть гораздо более разрушительной для компаний, чем сам выкуп. Согласно Imperva, каждый день простоя может привести к потерям бизнеса и убыткам в размере от 5000 до 20 000 долларов США.

Как вы можете помочь защитить себя? Один из способов — устранение повторного использования учетных данных. Хотя полезно иметь не слишком много административных учетных данных верхнего уровня, чтобы у вас было меньше учетных записей, которые могут быть скомпрометированы, также нехорошо, если у одного администратора слишком много прав.

Например, у вас не должно быть администратора виртуализации, который также имеет доступ к серверу резервного копирования; должны быть две разные учетные записи с разными паролями. Кроме того, если вы делаете резервную копию своей информации на сайте или в облаке, она должна иметь отдельные учетные данные из вашей сети, чтобы ваша резервная копия оставалась защищенной.

Вредоносное ПО может «просматривать конфигурацию резервного сервера, определять, куда оно может отправлять копии для аварийного восстановления, а затем заражать эти серверы, эффективно уничтожая всю организацию, уничтожая все ее данные». Никогда не просматривайте веб-страницы в качестве администратора домена.

Убедитесь, что ваши данные существуют в нескольких безопасных и отдельных местах с разными учетными данными. Таким образом, если вас атакует программа-вымогатель, вы, надеюсь, сможете сохранить резервные копии своих данных.

Какое решение?

Хотя изменение учетных данных и разделение файлов помогают вам сохранить резервную копию, в первую очередь это не помогает защититься от атаки. Вредоносное ПО — это огромная, растущая проблема в области кибербезопасности, которую необходимо более тщательно отслеживать и защищать от нее. Для этого вероятным решением является машинное обучение, поэтому решения безопасности могут развиваться быстрее, чем вредоносные атаки.