Что такое программа-вымогатель?

Программа-вымогатель — это тип вредоносного ПО, который киберпреступники используют, чтобы заражать устройства или сети вредоносными программами, шифрующими файлы и превращающими ценные данные в нечитаемый код. Эти данные затем удерживаются киберпреступниками, и они готовы их расшифровать только после уплаты выкупа.

Многие спрашивают, являются ли программы-вымогатели вирусами. Нет. И программы-вымогатели, и вирусы — это разновидности вредоносного ПО, но у них разные методы атаки. Вирус заражает файлы, а программа-вымогатель шифрует их.

Организации могут становиться жертвами атаки программ-вымогателей в результате фишинговых электронных писем, которые содержат привлекательную «наживку», или из-за попутной загрузки, когда пользователь при посещении зараженного сайта ненамеренно скачивает вредоносное ПО.

Что такое корпоративная программа-вымогатель?

Корпоративными называют программы-вымогатели, атакующие бизнес или организации. Большинство атак программ-вымогателей нацелено на крупные предприятия, так как они обещают киберпреступникам наибольший выкуп. Но специфика может отличаться в зависимости от цели.

У стремления киберпреступников атаковать компании, а не частных лиц есть своя причина. Она связана с тем, как программа-вымогатель распространяется, а также с потенциальной выгодой от преступления. Так как же происходит распространение? Вредоносное ПО скачивается на устройство, когда кто-то открывает письмо и/или нажимает на подозрительный URL-адрес. Как правило, в крупных организациях, где много сотрудников (и, следовательно, большее количество людей, которые могут нажать на ссылку), больше возможностей для проникновения программы-вымогателя. Однако большие корпорации, учитывающие повышенные риски подобной атаки и часто имеющие больший бюджет, могут вводить более надежные процедуры безопасности.

Кроме того, риск атаки программ-вымогателей на большие компании выше из-за ценности их данных. У них с большей вероятностью будут крупные массивы конфиденциальных данных, поэтому любой сбой может повлечь большие операционные издержки. Учитывая это, такие корпорации с большей вероятностью будут готовы заплатить выкуп и согласятся на большую сумму. Например, атака программы-вымогателя на больницу, скорее всего, принесет киберпреступнику больше денег, чем атака на местного флориста.

История программ-вымогателей

Многие сходятся во мнении, что история программ-вымогателей началась в 1989 году с вируса под названием AIDS Trojan. В ходе атаки, организованной биологом Джозефом Поппом (Joseph Popp), 20 000 дисков с вирусом-трояном оказались распространены среди участников конференции ВОЗ, посвященной СПИДу. После заражения машины на экране появлялось требование выкупа в размере 189 долларов США, которые нужно было отправить на абонентский ящик в Панаме.

С 80-х технологии ушли далеко вперед. Теперь для получения денег киберпреступники не нуждаются в абонентских ящиках. Сейчас выкуп требуют в биткойнах, а вредоносные программы адаптируются, чтобы стать более опасными и разрушительными. Например, они получают свойства червя и используют передовые техники заражения. Защита от программ-вымогателей тоже адаптируется, чтобы лучше защищать сети от этих все более изощренных атак.

Виды программ-вымогателей

Есть несколько видов программ-вымогателей. Одни атакуют малый и средний бизнес, другие ориентированы на большие корпорации и государственные медицинские службы. Размер выкупа тоже может отличаться и составлять от сотен долларов до миллионов.

Программа-вымогатель Cryptolocker

Программа Cryptolocker была активна с 2013 года. Считается, что это первый пример программы-вымогателя со времен самой ранней атаки в 1989 году. После внедрения криптовалют в 2010-х киберпреступники получили возможность требовать выкуп с помощью платежа, который нельзя отследить. Cryptolocker — первая программа-вымогатель, использовавшая передовое шифрование и включавшая сообщение с требованием выкупа в биткойнах.

Эта вредоносная программа осуществляла атаки с сентября до мая следующего года, заразив 250 000 устройств. Преступники получили не менее 3 млн долларов США. Cryptolocker обнаруживается после появления на экране сообщения с требованием выкупа.

Программа-вымогатель Ryuk

Программа-вымогатель Ryuk появилась в 2018 году. Она основана на уже существовавшемтрояне Hermes, об использовании которого стало впервые известно в 2017 году. Троян Hermes использовался для атаки группой киберпреступников, спонсируемой Северной Кореей. Но сегодня сложилось убеждение, что вредоносная программа была разработана в России.

В 2021 году был обнаружен новый вариант программы Ryuk, напоминавший червя. Он мог автоматически перемещаться с устройства на устройство, распространяя копии уникальных версий самого себя.

Программа-вымогатель WannaCry

Понять, что ваше устройство заражено программой-вымогателем WannaCry, очень просто: появляется сообщение «Oops, your important files are encrypted» (Ой, ваши важные файлы зашифрованы). Впервые эта атака была использована в 2017 году, когда за один день оказалось заражено более 230 000 компьютеров.

При каждой атаке киберпреступники требовали за расшифровку файлов 300 долларов США в биткойнах. Если требование не выполнялось вовремя, сумма удваивалась. Вредоносная программа WannaCry также основана на модели червя и может автоматически перемещаться по сетям.

Программа-вымогатель Sodinokibi

Sodinokibi — это семейство программ-вымогателей, ориентированных на устройства с ОС Windows. После заражения программой-вымогателем Sodinokibi (другое название — REvil) на экране появляется требование выкупа в биткойнах в обмен на расшифровку всех файлов. Это вредоносное ПО выбирает целью все данные на устройстве, кроме перечисленного в его файле конфигурации. Впервые программа была использована в 2019 году.

Программы-вымогатели Dharma и Phobos

Программа-вымогатель Dharma (другое название — CrySiS) известна своими атаками на малый и средний бизнес. Она запрашивает меньший выкуп, чтобы увеличить вероятность платежа жертвой.

Эта программа-вымогатель обычно атакует через протокол удаленного рабочего стола. Впервые ее обнаружили в 2016 году. Данное вредоносное ПО стало основой для программы-вымогателя Phobos, работающей сходным образом.

Программа-вымогатель Petya

Цель программы-вымогателя Petya — зашифровывать файлы, обеспечивающие функциональность. И если другие вредоносные программы шифруют определенные критически важные данные, Petya может сделать мишенью весь жесткий диск, в результате чего устройство станет неработоспособным. Впервые эта программа-вымогатель была использована в 2016 году, но настоящая известность пришла к ней в 2017 с появлением нового варианта — GoldenEye.

Программа-вымогатель Cerber

Cerber — это пример программы-вымогателя, предоставляемой как услуга (ransomware-as-a-service, RaaS), основанной на модели предоставления программного обеспечения как услуги. Создатели этого вредоносного ПО предоставляют лицензию на Cerber другим киберпреступникам в обмен на долю выкупа. После заражения на экране устройства отображается сообщение от Cerber с требованием выкупа. Кроме того, это вредоносное ПО может зашифровать файлы во всех несопоставленных папках с общим сетевым доступом.

Программа-вымогатель Locky

Впервые программа-вымогатель Locky была обнаружена в 2016 году. Она распространялась по электронной почте. Программа получила известность после атаки на больницу в Лос-Анджелесе с требованием выкупа в размере 17 000 долларов США. За этим последовали атаки на многие другие медицинские организации. Но после первой волны громких атак с помощью Locky не наблюдалось.

Примеры атак программ-вымогателей

Программы-вымогатели оказали огромное влияние на цифровой мир, выманив у жертв миллиарды долларов за прошедшие годы. Давайте рассмотрим несколько примеров наиболее крупных, самых разрушительных и дорогостоящих атак вымогателей.

• Сентябрь 2013 года, Cryptolocker. Вредоносное ПО Cryptolocker стало первой программой-вымогателем, получившей такое название после AIDS Trojan в 1989 году. Чтобы остановить его, потребовалось привлечь Интерпол и ФБР.
• Май 2017 года, NHS. Во время глобальной атаки WannaCry Национальная служба здравоохранения (National Health Service, NHS) Великобритании стала жертвой одной из самых разрушительных программ-вымогателей в истории страны. Системы перестали работать, приемы были отменены, а сотрудникам пришлось перейти на ручки и бумагу. Всего атака WannaCry затронула 200 000 компьютеров в 150 странах. Общий ущерб составил 4 млрд долларов США, из которых 120 млн (или 92 млн фунтов) пришлось на NHS.
• Март 2018 года, Атланта. Власти этого города в штате Джорджия подверглись атаке программы-вымогателя SamSam в 2018 году. На восстановление после атаки властям пришлось потратить даже больше денег (2,6 млн долларов США), чем требовали вымогатели (около 50 000 долларов США).
• Май 2019 года, Балтимор. Хакеры атаковали город Балтимор в 2019 году с помощью программы-вымогателя RobbinHood. Она поразила большинство компьютеров городских властей. Киберпреступники запросили 13 биткойнов (76 280 долларов США), заявив, что в случае неуплаты в течение четырех дней сумма будет расти, а через 10 дней все данные будут безвозвратно удалены. Со временем городу удалось восстановить системы без уплаты выкупа.
• Июнь 2020 года, Калифорнийский университет в Сан-Франциско. Колледж заплатил 1,14 млн долларов США после месяца борьбы с программой-вымогателем Netwalker. Изначально сумма выкупа составляла 4 млн, но университет смог выторговать скидку.
• Сентябрь 2020 года, DUC. Атака Ryuk на Университетскую клинику Дюссельдорфа (Düsseldorf University Clinic, DUC) в Германии привела к смерти пациента, который не смог получить необходимый уход.
• Апрель 2021 года, Quanta. Недавно вымогатели с помощью программы Sodinokobi атаковали компанию Quanta — производителя Macbook. От нее потребовали выкуп в размере 50 млн долларов США. Компания отказалась платить, и киберпреступники опубликовали информацию о Macbook.

Стоимость атак программ-вымогателей

Атака программы-вымогателя будет иметь плохие последствия для финансов вашей компании, и дело не только в выкупе. Вы можете столкнуться со штрафами от регуляторов конфиденциальности данных или потерять бизнес из-за утраты доверия клиентов.

Данные Cybersecurity Ventures показывают, что стоимость одних только глобальных атак программ-вымогателей в 2021 году составила 20 млрд долларов США, а бизнес подвергался атакам вредоносного ПО каждые 11 секунд. Кроме того, европейские компании сталкиваются с дополнительными штрафами за нарушение Общего регламента по защите данных (GDPR) из-за недостаточных мер безопасности. В 2020 году компания British Airways получила от регулятора штраф на сумму 20 млн фунтов (26 млн долларов США). Изначальная же сумма штрафа составляла и вовсе 183 млн фунтов (239 млн долларов США).

Но потеря денег — это еще не все. У многих компаний (особенно небольших) возникают трудности с восстановлением. Около 60 % малых компаний закрываются, став жертвой утечки данных. В 2020 году компания The Heritage Company из Арканзаса, занимавшаяся телемаркетингом, закрылась после утечки данных в результате атаки программы-вымогателя 2019 года. Последствия атак программ-вымогателей могут серьезно повлиять на бизнес и привести как к расходам на противостояние атаке и восстановление, так и к потере клиентов.

Как программа-вымогатель проникает в компанию?

Если у компании нет надежных мер защиты, она становится уязвимой для кибератак.

Недостаточное обучение сотрудников — ключевая причина уязвимости бизнеса. Если сотрудники не знают, как распознать подозрительное письмо, обнаружить программу-вымогателя и доложить о проблеме, они подвергают риску заражения устройства и всю сеть. Сотрудники могут не понимать, что их устройства открыты для атак, или не осознавать риски от программ-вымогателей для Mac и Linux. У двух этих поставщиков сложилась определенная репутация, и считается, что их встроенная защита надежнее, чем у Windows, но они также не имеют иммунитета от киберугроз.

Сторонние приложения тоже могут стать точкой входа, через которую киберпреступники проникнут в вашу сеть. Получить доступ к приложению может быть проще, чем к вашей системе. Затем его можно использовать, чтобы заразить устройства вредоносным ПО.

Сотрудники могут создавать уязвимости, но у защищенной компании в наличии должен быть действующий антивирусный инструмент, способный защищать от случайно загруженных потенциально вредоносных программ. ПО необходимо регулярно обновлять (или устанавливать исправления) для устранения ошибок и уязвимостей. Программы без установленных исправлений могут открыть бреши в вашей обороне.

Как предотвратить атаку программ-вымогателей

Существует много эффективных способов защитить свой бизнес от атаки программ-вымогателей и не стать их жертвой. Как и в случае многих других кибератак, преступники получают доступ к сети из-за ненадлежащих подходов к работе в сфере ИТ. Приведем ниже несколько примеров.

• Недостаточный уровень обучения персонала
• Ненадежные учетные данные
• Предоставление излишних прав доступа сторонним приложениям
• Отсутствие эффективного брандмауэра
• Неиспользование антивируса
• Программы без обновлений и исправлений

Вот почему операционная безопасность крайне важна. Обучение сотрудников и надежность учетных данных неотделимы друг от друга. Персонал нужно научить, как правильно получать доступ к сети, особенно при удаленной работе, как распознавать фишинговые письма, сообщать о подозрительных действиях и создавать надежные пароли. Все это необходимо прописать в плане обеспечения бесперебойной работы. Профилактика — лучшее лекарство, но также важно иметь планы восстановления ИТ-системы и работы компании в кризисной ситуации. Другие ключевые меры для предотвращения атак программ-вымогателей приведены ниже.

Признаки того, что ваш бизнес стал жертвой программы-вымогателя

Есть много явных признаков того, что компьютер пострадал от программы-вымогателя. Самый очевидный — сообщение с требованием выкупа. Вот еще несколько распространенных сигналов.

• Получение адресных фишинговых и спуфинговых электронных писем говорит о том, что вы стали мишенью киберпреступников.
  • На незначительные по масштабу пробные кибератаки можно и не обратить внимания. Но преступники могут таким образом искать уязвимости в вашей системе перед выполнением массированной атаки.
• Предупреждения от антивируса о подозрительных действиях.
• Предупреждения о подозрительных попытках входа, о которых вам не было известно.
• Обнаружение нового программного обеспечения в сети.
  • Программы для удаления ПО, такие как GMER, PC Hunter и Process Hacker, часто используются киберпреступниками, чтобы, например, удалить защиту Windows 10 от программ-вымогателей.
  • Приложения, такие как «Обозреватель процессов» Microsoft и MimiKatz, могут использоваться для кражи учетных данных.

Что делать, если вас атаковали

Если вы стали мишенью атаки программы-вымогателя, вот несколько ключевых действий, которые стоит предпринять.

1. Сообщите об атаке.Убедитесь, что персонал знает, как распознавать кибератаки и предупреждать о них команду.
2. Разберитесь в ситуации на месте и определите вредоносную программу. Попробуйте найти вредоносное ПО, которое заразило вашу систему, чтобы лучше понять, как защитить себя и/или удалить ее.
3. Перекройте источник заражения. Источник — это устройство, которое стало изначальной точкой атаки. Отключите его от сети, чтобы снизить риск распространения вредоносного ПО.
4. Сдержите атаку. Отключите все другие устройства в сети, которые могут быть уязвимы для атаки, чтобы остановить распространение программы-вымогателя.
5. Постарайтесь расшифровать данные и удалить программу-вымогателя. Делать это должны только опытные специалисты по безопасности. В противном случае ситуация может только усугубиться.
6. Обратитесь к третьей стороне. Сторонний специалист может помочь с восстановлением файлов, чтобы вам не пришлось платить выкуп.