Ransomware: Профилактика угрозы и непрерывность бизнеса

ФБР: Инцидентов с Ransomware всё больше
Защитите себя и свою организацию!


Больницы, учебные заведения, государственные и местные органы власти, правоохранительные органы, предприятия малого бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших недавно от вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют выкуп за их возвращение.

Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесенных при восстановлении системы и файлов, и от пострадавшей репутации организации.

И, конечно же, домашние компьютеры также восприимчивы к атаке вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц.

Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. тут и цены выше, и выплаты чаще. Первые три месяца этого года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в 2016 году, если отдельные лица и организации не подготовятся к этим нападениям заранее.

Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и кликает вложение, которое кажется неопасным, например, счет-фактура или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва кликает на него, то перенаправляется на веб-сайт, который заражает компьютер вредоносным программным обеспечением.

Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым.

Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

Платить или не платить?

ФБР категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп.

Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.

 
ФБР: Советы по борьбе с вымогателями

Хотя данные советы предназначены в первую очередь для организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики
.
- Убедитесь, что сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что операционные системы, программное обеспечение и прошивки на цифровых устройствах обновляются. Это проще сделать с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ автоматически устанавливают обновления и проводят регулярное сканирование.
- Настройте использование привилегированных учетных записей пользователей — необходимо использовать учетные записи администратора только при крайней необходимости.
- Настройте должным образом контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. Если пользователю нужно только читать конкретную информацию, то он не нуждается в правах на внесение изменений в этих файлах и каталогах.
- Отключите макросы и уведомления об их включении в офисных файлах, передаваемых по электронной почте.
- Внедряйте политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение непрерывности бизнеса
.
- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии. Убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.

 
Багокопательство — новая вымогательская тактика, ориентированная на предприятия

Представьте себе сценарий, в котором грабители обошли все элементы защиты и проникли в дом, но ничего не украли и даже не повредили. Вместо этого, эти грабители сфотографировали все ценные вещей и личное имущество. Позже в тот же день, хозяева дома получили письмо со сделанными фотографиями и вымогательским сообщением: "Если вы хотите знать, как мы проникли в ваш дом, пожалуйста, заплатите нам большую сумму денег."

Теперь, замените дом на корпоративную сеть, грабителей на хакеров, а фотографии на ценные корпоративные данные, за которые вымогатели хотят ни много, ни мало, а как минимум 30 тысяч долларов. Наивно полагать, что они не похищают данные, разумеется, хакер не будет хакером, если не сделает резервную копию полученных данных, которую он сможет продать насторону, если не добьётся выкупа у владельцев, или использует в будущей хакерской кампании, или продаст третьей стороне, или... (пожалуй на этом закончим, чтобы не искушать любезного читателя).

Эта тактика получила название Bug Poaching или "багокопательство", которое основано на хакерском проникновении в чужую компьютерную сеть с целью поиска уязвимостей и того, что плохо лежит. Начало этому багокопательству положили небезызвестные компании, которые объявляли хорошую плату за поиск уязвимостей в своих продуктах.

Сделав своё дело злоумышленники потом пытаются выглядеть порядочными и делают вид, будто на самом деле заботятся о безопасности компании, однако их действия – это чистой воды вымогательство. «Не беспокойтесь, со мной ваши данные в безопасности. Я извлек их исключительно в виде доказательства. Честно, я делаю это, чтобы заработать на жизнь, а не ради веселья», - говорится в сообщении хакеров.

За последние 12 месяцев эксперты IBM зафиксировали 30 случаев подобных атак. По их заявлению, bug poaching является совершенно новой тактикой. Раньше о ней не было известно, однако в будущем bug poaching может приобрести большую популярность у киберпреступников.

 
PandaLabs: Шифровальщики – это глобальное явление

Мы знаем, что шифровальщики – это огромный бизнес для кибер-преступников, но очень сложно оценить его реальные масштабы. В 2015 году Министерство юстиции США опубликовало данные о том, что Центр рассмотрения жалоб по фактам совершения интернет-преступлений (Internet Crime Complaint Center, IC3) получил 2500 жалоб на атаки шифровальщиков.

Жертвами этих зловредов суммарно было выплачено примерно 24 миллиона долларов США. Принимая во внимание общую сумму выкупа в данном примере и повсеместный рост этих вредоносных программ во всем мире, мы можем сделать вывод, что годовые доходы кибер-преступников от действий шифровальщиков составляют миллиарды долларов США.

Оглядываясь назад, мы можем вспомнить различные случаи атак шифровальщиков на учреждения здравоохранения. Данный квартал начался с новой жертвы: MedStar Health. Эта некоммерческая медицинская организация пострадала от атаки шифровальщика настолько серьезно, что они вынуждены были отключить свои системы на несколько дней.

В случае с MedStar Health, кажется, была направленная атака, использовавшая существующие в их системах уязвимости. Тем не менее, большинство подобных атак осуществляются с помощью вредоносных почтовых вложений или взломанных интернет-сайтов. Что и произошло в апреле с компанией Maisto International, производителем игрушек с дистанционным управлением: посетители ее сайта неосознанно становились жертвами шифровальщика. Их взломанный веб-сайт заражал своих посетителей с помощью хорошо известного набора эксплойтов Angler. Его цель – идентифицировать у пользователя популярные программные продукты (flash, java и т.д.), а затем использовать различные уязвимости этих установленных приложений для поражения компьютера.

Впрочем, атаки через веб-сайты – это не единственный способ. Кибер-преступники используют другую популярную ныне тактику, известную как malvertising (вредоносная реклама): размещение рекламы в публичных местах на высоко посещаемых сайтах для заражения пользователей этих сайтов.

Screenshot_1.jpg

Известный блог perezhilton.com недавно стал жертвой двух атак вредоносной рекламы. Хакеры ежедневно заражали свыше 500 000 пользователей, используя набор эксплойтов Angler.

i.jpg
Направленные атаки используют уязвимости в системе. Распространенные угрозы: взломанные сайты и вредоносная реклама.

Один из наиболее интересных случаев с шифровальщиками, которые мы наблюдали в данном квартале, произошел с компанией из Словении. Сотрудник компании, ответственный за IT, получил по почте письмо якобы из России, в котором сообщалось о взломе их сети. Кибер-преступники взломали сеть и приготовили ее для запуска шифровальщика на всех компьютерах сети. Если компания откажется заплатить выкуп в размере 9000 евро (в биткоинах) в течение 3 дней, то шифровальщик будет запущен. В доказательство наличия доступа к корпоративной сети, злоумышленники отправили файл со списком всех устройств, подключенных к внутренней сети предприятия.

Многие жертвы шифровальщиков предпочитают платить выкуп, но это вовсе не гарантирует возврата похищенных (зашифрованных) данных. В мае кардиологическая больница в Канзасе (США) была атакована шифровальщиком, и руководство решило заплатить выкуп за возврат данных. В результате они были шокированы тем, что присланный пароль позволял расшифровать только часть информации. Чтобы восстановить оставшуюся информацию, хакеры потребовали второй платеж, но больница отказалась платить второй раз.

Профессиональная команда CSLFR, участвующая в NASCAR, стала свидетелем атаки шифровальщика на три свои ПК. Он зашифровал информацию, которая оценивалась в 3 млн долларов США. В этом случае CSLFR также заплатил выкуп (500 долларов США) и, к их счастью, они получили возможность восстановить всю свою информацию.

Стоит ли платить выкуп?
Давайте скажем так: если жертвы платят выкуп кибер-преступникам, они повышают результативность атак. Если атака успешна и принесла прибыль, то хакеры будут атаковать еще большее число пользователей. В долгосрочной перспективе эти атаки могут навредить нам всем.

i.jpg
Оплата выкупа за восстановление информации еще больше способствует преступной деятельности.

Платить или не платить – этот вопрос остается спорным. В апреле Джеймс Трэйнор, помощник директора «кибер-дивизиона» в ФБР, вполне четко обозначил позицию в своем публичном обращении: “Оплата выкупа не гарантирует организации, что она получит свои данные назад: мы видели случаи, когда организации никогда не получали ключ для расшифровки после оплаты выкупа. Оплата выкупа не только поощряет действующих кибер-преступников атаковать больше организаций, но также дает стимул для других злоумышленников заниматься подобной нелегальной деятельностью. И, наконец, оплатив выкуп, организация может таким образом способствовать финансированию других видов незаконной деятельности, связанных с преступлениями».

Эволюция вредоносных писем
Исходная точка данных атак – это не только использование вредоносной рекламы или взломанных сайтов. Множество таких атак начинается с электронных писем, замаскированных под счета или уведомления.

Одна из таких атак с помощью почты произошла в Польше и Испании, где кибер-преступники маскировались под известные энергокомпании, работающие в этих странах. Преступники отправили жертвам вредоносные письма, которые не содержали вложений: в тексте письма содержался счет со ссылкой для просмотра «расшифровки счета». При нажатии на эту ссылку пользователь перенаправлялся на ложный веб-сайт, являющийся точной копией сайта настоящей энергетической компании. Там пользователь мог скачать «счет». Если пользователь
скачивал и открывал «счет», то его компьютер заражался шифровальщиком.
Screenshot_2.jpg

Что бы Вы сказали кибер-преступнику, который «положил на Вас свой глаз»?
Мы стали свидетелями эволюции шифровальщиков. Как правило, жертвам предоставляют подробную инструкцию о том, как заплатить выкуп. В некоторых вариантах шифровальщиков (например, новый вариант семейства Jigsaw) хакеры пошли дальше и предложили чат-сервис, где
пользователи могут пообщаться с вымогателями в реальном времени и обсудить условия оплаты выкупа.

i.jpg
Теперь можно общаться с кибер-преступниками, чтобы обсудить оплату выкупа за украденную информацию.

Одна из наиболее оригинальных атак шифровальщиком за последний квартал (и самая опасная!) произошла в России. Ее уникальность в способе распространения, потому что вредоносная программа отправлялась по почте, но фактически не выполнялась. Она была написана в виде специального обновления для программы одного из крупных производителей ПО в России (свыше миллиона корпоративных пользователей в России и бывшем СССР), и работала только в том случае, если на компьютере стояла данная программа. Она заставляла пользователей обновить свою программу, и если пользователь осуществлял это, то зловред подключался к базе данных программы, осуществлял в ней поиск контрагентов и отправлял себя по найденным адресам электронной почты. Одновременно с этим он заражал компьютер шифровальщиком, зашифровывал файлы и далее, как обычно, требовал выкуп.

i.jpg
Шифровальщики и кража данных у людей и предприятий - это тактика кибер-преступлений.

Мы рассказали, как это может быть сделано различными способами: через шифровальщики, за счет кражи информации у людей и предприятий, а иногда с помощью направленных атак на определенные банки. В последние месяцы эти случаи стали очень серьезными, и можно видеть, какое влияние они оказывают на предприятия (от благотворительных фондов или финансовых компаний до порнографических сайтов и сайтов для голосования). Страдает даже полиция. Это говорит о том, что рискует каждый. В ближайшие месяцы мы увидим только рост подобных атак.

Отрывок из отчета за 2-й квартал 2016 г.
 
Всвязи с угрозой Ransomware должны ли компании поднакопить биткоины?

Автор: Л. Абрамс
Перевод: SNS-amigo


В связи с тем, что угроза Ransomware висит над "головой" каждой компании, имеет ли смысл компаниям запастись несколькими биткоинами на случай атаки вымогателей?

Да, да, я знаю линию партии. Вы никогда не должны платить вымогателям-разработчикам, т.к. это только спонсирует их новые атаки. Я реалист, хотя иногда у компаний просто нет выбора. Когда вымогатели блокируют все ваши файлы, данные о пациентах, архитектурные чертежи или юридические документы, организация должна спросить себя, настолько ли эти данные важны, чтобы заплатить выкуп или лучше распрощаться с ними, потерять доход, время, клиентов и, возможно, саму компанию.

С учетом сказанного, биткоины недавно снизились в цене благодаря взлому Bitfinex, но могут и легко подняться. В октябре 2015 года цена одного биткоина была менее $300 USD. В этом году он поднялся выше $758 USD, но т.к. Bitfinex взломали, упал ниже $600.

Платить выкуп — это непростой выбор при любых средствах и лично мне не приходилось выкупать собственные данные. Я, тем не менее, работал со многими компаниями, которые обращались ко мне по email за помощью, когда дело доходило до вымогателей. Я старался помогать им с помощью бесплатных инструментов дешифрования, восстановления и резервного копирования, но если это не помогало, то в итоге каждый из них решал заплатить выкуп. Хотя это не может быть правильным выбором для остановки эпидемии вымогателей, по их мнению этот выбор был правильным.

Одной из самых больших проблем, с которыми все эти компании сталкиваются, на самом деле является получение биткоинов. Зачастую вымогатели используют таймер, который даёт около 3-5 дней на уплату выкупа, затем цена удваивается, и большинству компаний просто не хватает времени, чтобы получить монеты для уплаты выкупа. Еще хуже, иногда они покупают нужное количество, но время на таймере истекает до отправки биткоинов и тогда им придется платить в 2 раза больше.

К сожалению, нет простых и быстрых способов получить биткоины, даже если вы живете рядом с Bitcoin ATM, но и они иногда имеют пределы выдачи в $1000 в день. Вы можете попробовать LocalBitcoins, но многие предпочитают банкоматы, где нужно, чтобы вы неглядя внести деньги на счет до получения биткоинов, или приходится прибегать к незаконным методам, пользуясь услугами анонимных продавцов в парках и кафе.

В конце концов, когда люди спрашивают меня, где взять Bitcoins, я имею в виду только CoinBase или Circle, поскольку они оба расположены в Соединенных штатах и регистрируются финансовыми институтами США. Это позволяет чувствовать себя более комфортно при их использовании, чего нельзя сказать о многих других, о которых я понятия не имею, кто ими управляет или где они расположены.

Я использовал CoinBase в прошлом, но проблема в том, что может уйти почти неделя на приобретение биткоинов. Например, на CoinBase уходит 2-3 рабочих дня, чтобы пройти проверку, а затем еще 2-3 дня, чтобы получить биткоины, заплатив на банковский счет. Вы можете получить биткоины немного быстрее при оплате с помощью кредитной карты, но пределы покупки еще меньше, так что вы будете не в состоянии купить достаточное количество монет, чтобы заплатить выкуп.

К тому времени, как вы получите эти биткойны, ваш выкуп может удвоиться и достигнуть суммы более $2000, как у многих нынешних инфекций вымогателей. Другая проблема в том, что новые клиенты в обеих компаниях, как правило, имеют еженедельные ограничения, которых будет недостаточно, чтобы уплатить выкуп вымогателям через любой способ оплаты.

Поэтому, как уже говорил, компаниям нужно серьёзно подумать и решить, имеет ли смысл запастись несколькими биткоинами. Ведь компании имеют запасное оборудование под рукой на случае возникновения чрезвычайной ситуации, может быть, и к биткоинам тоже следует относиться таким же образом?

С ростом популярности биткоинов в преступной онлайн-деятельности и эпидемии вымогателей, не повредит иметь несколько биткоинов в запасе. Если вам в итоге никогда не придется платить выкуп, то, может быть, биткоины ещё подрастут в цене, и тогда вы сможете продать их для получения прибыли.

 
Назад
Сверху Снизу