Угрозы программ-вымогателей: киберпреступники выводят свои программы на новый уровень
Я думаю, можно с уверенностью сказать, что подавляющее большинство людей знакомы с программами-вымогателями. Даже если вы никогда не становились жертвой заражения программами-вымогателями, вы, несомненно, слышали страшные истории о программах-вымогателях от тех, кто это сделал. Исторически сложилось так, что вся концепция программ-вымогателей очень проста. Инфекция шифрует данные жертвы, а затем жертва должна либо восстановить резервную копию, либо заплатить выкуп, если они хотят восстановить доступ к своим данным. Однако эта упрощенная бизнес-модель (если вы хотите ее так назвать) и почти всеобщая осведомленность о программах-вымогателях начинают создавать проблемы для авторов программ-вымогателей. Поскольку угрозы программ-вымогателей стали настолько распространенными, как организации, так и отдельные лица принимают контрмеры для предотвращения заражения программами-вымогателями и обеспечения возможности восстановления своих данных в случае заражения программами-вымогателями. Другими словами, люди идут на многое, чтобы не платить выкуп.
Новые схемы
Поскольку их доходы предположительно снижаются, авторы программ-вымогателей придумывают новые схемы принуждения своих жертв к выплате. Две такие схемы особенно хлопотны.
Первая из этих схем заключается в том, что программы-вымогатели все чаще нацелены на резервные копии организации. Вряд ли это неожиданно, поскольку резервные копии — единственный лучший инструмент, который есть у организаций, чтобы избежать выплаты выкупа.
В некотором смысле атаки на резервные копии не так уж новы. Есть отчеты за пару лет о том, что программы-вымогатели по-разному нацеливались на резервные копии. Однако раньше подобные вещи действительно случались не так уж часто и, конечно, не были основным вектором атаки. Атаки на резервные копии также имеют тенденцию быть несколько ограниченными по своим возможностям. Например, программа-вымогатель может попытаться заразить службу теневого копирования томов.
Однако совсем недавно авторы программ-вымогателей атаковали настоящие устройства хранения резервных копий. Эти атаки могут происходить несколькими способами, но злоумышленники обычно ищут устройства хранения, доступные через Интернет. Как только конкретное устройство будет идентифицировано, автор программы-вымогателя может проверить, не работает ли на устройстве устаревшая прошивка, которая, как известно, содержит уязвимость, которую можно использовать. В этот момент автор программы-вымогателя может получить контроль над устройством или повредить содержащиеся в нем данные.
Есть две вещи, которые вызывают особую тревогу в связи с этими типами атак. Во-первых, в отличие от традиционных атак программ-вымогателей, эти атаки не обязательно зависят от того, щелкнет ли пользователь вредоносную ссылку или откроет зараженное вложение электронной почты. Во-вторых, атаки направлены именно на то, что обычно используется для восстановления после более традиционной атаки.
Кибервымогательство как новое оружие
Другая новая тенденция, которая начинает распространяться в отношении заражений программами-вымогателями, заключается в том, что традиционные программы-вымогатели начинают сливаться с кибер-вымогательством. Как отмечалось ранее, авторы программ-вымогателей, вероятно, наблюдают снижение своих доходов, потому что при наличии выбора восстановление резервной копии гораздо предпочтительнее уплаты выкупа. В этом случае авторы программ-вымогателей обнаружили, что им необходимо предпринять шаги, чтобы побудить своих жертв заплатить выкуп. Вот где кибер-вымогательство вступает в игру.
Некоторые из последних типов программ-вымогателей выходят за рамки простого шифрования данных и угрожают раскрытием данных, если жертва не заплатит выкуп.
Когда вы впервые слышите об этом типе схемы, может возникнуть соблазн отмахнуться от нее как от совершенно несущественной. Однако раскрытие данных может быть чрезвычайно проблематичным как для отдельных лиц, так и для корпораций. С индивидуальной точки зрения серьезность события раскрытия данных зависит от двух факторов. К ним относятся характер раскрываемых данных и возможность идентификации владельца данных автором программы-вымогателя.
Если данные жертвы относительно безвредны, раскрытие данных может привести к таким проблемам, как кража номеров кредитных карт или кража личных данных. Тем не менее, это, вероятно, лучшая ситуация.
Если автор программы-вымогателя сможет точно определить владельца данных, то угроза раскрытия данных может быть только первым шагом. Угроза разоблачения может быстро перерасти в шантаж. Например, автор программы-вымогателя может угрожать раскрыть порнографическую коллекцию жертвы или ее привычки просмотра веб-страниц. Что еще хуже, вымогатель может угрожать сообщить властям о пиратском программном обеспечении жертвы цифровых носителей (фильмы, музыка, книги и т. д.). Вымогатель мог даже зайти так далеко, что отправил все личные финансовые данные жертвы в государственное налоговое агентство. Насколько мне известно, ничего из этого на самом деле еще не произошло, но они служат иллюстрацией того, как содержимое чьего-то компьютера может быть использовано против них поистине ужасающим образом.
Большинству организаций, вероятно, не нужно беспокоиться об этих конкретных типах воздействия. В конце концов, большинство корпораций, вероятно, не имеют привычки скачивать контрафактные носители с торрент-сайтов. Даже в этом случае организации могут пострадать от еще более ужасных последствий.
Самый большой риск раскрытия данных организации, возможно, связан с нормативными штрафами. Такие правила, как HIPAA и GDPR, налагают серьезные финансовые санкции, когда организация подвергается утечке данных.
Даже если организация не работает в регулируемой отрасли, утечка данных все равно может иметь разрушительные последствия. Публичное раскрытие данных организации может дать конкурентам несправедливое преимущество. Нарушение может также подорвать доверие клиентов к организации. В зависимости от характера раскрываемых данных событие может также подвергнуть организацию риску судебного разбирательства.
Старые средства защиты не справляются с новыми угрозами программ-вымогателей
К сожалению, угрозы программ-вымогателей не исчезнут, по крайней мере, в обозримом будущем. Поэтому организации должны выйти за рамки своей обычной защиты от программ-вымогателей и разработать стратегию противодействия этим новым типам угроз программ-вымогателей.
Одна из самых важных вещей, которую ИТ-специалисты могут сделать для защиты своих организаций от программ-вымогателей следующего поколения, — это поддерживать устройства хранения в актуальном состоянии с помощью последней доступной микропрограммы. Также важно убедиться, что ни одно из устройств организации не использует пароли по умолчанию и не подключено к Интернету без необходимости.
Как упоминалось ранее, атаки, направленные непосредственно на устройства хранения, — не единственные известные способы атаки программ-вымогателей на резервные копии. В этом случае важно использовать решение для резервного копирования, поддерживающее неизменность данных. Таким образом, программа-вымогатель не сможет зашифровать данные, которые уже были записаны в резервную копию.
От кибервымогательства, связанного с программами-вымогателями, защититься гораздо сложнее. Одна вещь, которую вы можете сделать, — это отслеживать потоки исходящего сетевого трафика и использовать механизм оповещения для информирования административного персонала о любых передачах больших объемов данных в неизвестное место назначения. Это также может быть подходящим моментом для пересмотра политики архивирования данных вашей организации. В конце концов, данные, находящиеся в автономном архиве, недоступны для программ-вымогателей.
Наконец, убедитесь, что вы практикуете доступ с минимальными привилегиями. Так же, как программа-вымогатель не может получить доступ к вашим автономным архивам, она также не может получить доступ к каким-либо данным, для которых у нее нет необходимых разрешений. Заражение программами-вымогателями часто инициируется пользователем, и программа-вымогатель работает в контексте безопасности этого пользователя. Ограничение данных, к которым пользователь может получить доступ, также снижает ущерб, который могут нанести программы-вымогатели.