Перейти к содержанию

Атаки, выкупы и аукционы: пиратские будни ransomware


Рекомендуемые сообщения

С момента своего появления шифровальщики прошли большой эволюционный путь, постепенно превратившись из штучных инструментов, создаваемых отдельными группами «энтузиастов», в мощную подпольную индустрию, приносящую своим участникам огромную прибыль. Причем порог входа в этот теневой бизнес становится все ниже.

Сейчас злоумышленнику уже не нужно создавать вредоносное ПО самостоятельно и даже покупать его в дарк-вебе. Достаточно оплатить подписку на доступ к одному из облачных сервисов, известных как RaaS (Ransomware-as-a-Service). Простые в развертывании и не требующие навыков программирования, такие сервисы дают возможность использовать инструменты ransomware, по сути, любому желающему. Что естественным образом ведет к постоянному росту количества киберинцидентов этого типа.

Еще одной тревожной тенденцией последнего времени стал переход от простой модели вымогательства выкупа к комбинированным атакам, при которых данные перед шифрованием выкачиваются хакером. В этом случае угрозой за невыплату отступных становится не уничтожение информации, а ее публикация в открытых источниках или продажа на закрытом аукционе. Один из таких аукционов, о котором стало известно широкой общественности, прошел этим летом. Украденные при помощи шифровальщика REvil базы данных сельскохозяйственных компаний были выставлены на продажу в качестве лота со стартовой ценой $55 тыс.

К сожалению, многие жертвы вымогателей вынуждены платить, хотя и сами понимают, что возвращение доступа к информации отнюдь не гарантировано. В качестве целей для своих атак хакеры стараются выбирать компании и организации с низкой терпимостью к простою. Ущерб от остановки, например, производства может измеряться миллионами долларов в сутки, а расследование киберинцидента может занять недели и все равно не привести к восстановлению систем предприятия. А если речь идет о медицинской организации? В таких ситуациях у владельцев бизнеса просто не остается ни одной разумной альтернативы выплате выкупа.

Дошло до того, что прошлой осенью ФБР США вынуждено было выпустить специальное разъяснение, посвященное шифровальщикам-вымогателям, в котором содержалась недвусмысленная рекомендация не платить хакерам выкуп. Подобное поведение жертв лишь провоцирует новые атаки, но никак не гарантирует возвращения доступа к зашифрованной информации.

Яркие инциденты

Вот лишь некоторые инциденты, произошедшие в первой половине этого года, которые могут подтвердить растущие масштабы проблемы.

В феврале датская компания ISS A/S, занимающаяся комплексной эксплуатацией и содержанием зданий, стала жертвой вымогателя. Злоумышленниками была зашифрована база данных компании, что привело к отключению от корпоративных сервисов сотен тысяч сотрудников, работавших в 60 странах. Датчане отказались платить. На восстановление работоспособности большей части инфраструктуры и проведение расследования ушло около месяца, а суммарные потери от инцидента оцениваются экспертами рынка в $75–114 млн.

Американский транснациональный поставщик ИТ-услуг Cognizant пострадал от шифровальщика весной. 18 апреля компания официально признала, что стала жертвой атаки очень популярного в последнее время ransomware-инструмента Maze. ПО и сервисы Cognizant клиенты использовали для обеспечения удаленной работы сотрудников, деятельность которых была нарушена.

В предупреждении о компрометации, разосланном Cognizant своим партнерам сразу после атаки, в качестве индикаторов взлома были перечислены IP-адреса серверов и хэши файлов (kepstl32.dll, memes.tmp и maze.dll), характерных для Maze.

Три недели потребовалось на восстановление большей части корпоративной инфраструктуры, что вынудило Cognizant включить в прогноз финансовых результатов второго квартала 2020 года ущерб в размере $50–70 млн.

В феврале атаке подвергся муниципальный совет административного округа Редкар-энд-Кливленд (Великобритания). Издание The Guardian процитировало одного из членов совета, по словам которого, в течение трех недель организация была вынуждена «довольствоваться ручкой и бумагой». В течение этого периода ИТ-инфраструктуру, пользователями которой являлись сотни тысяч местных жителей, пришлось фактически создавать заново.

Окончательно оправиться от нападения ведомство смогло лишь к маю. Тогда и был подведен неутешительный итог инцидента: ущерб составил порядка $20 млн.

Как защищаться?

Лучшей стратегией защиты от атак с использованием программ-вымогателей является своевременная подготовка. Часто воротами для несанкционированного входа в систему являются почтовые сервисы, которые должны быть оборудованы эффективными спам-фильтрами, блокирующими или отправляющими в карантин все исполняемые вложения. Не лишним будет и активировать отображение расширений файлов, что снизит вероятность их случайного открытия.

Если атака все-таки произошла, минимизировать время простоя и потенциальный ущерб можно лишь при наличии регулярно обновляемых резервных копий всей критически важной для жизни компании информации. Лучше всего, если копии будут располагаться в защищенном облаке.

Гораздо более широкими возможностями защиты от всех типов угроз обладает комплексный продукт Kaspersky Total Security для бизнеса. Благодаря средствам облачного и поведенческого анализа он способен предотвратить проникновение шифровальщика в систему, вовремя выявив подозрительное поведение приложений. Если же заражение все же произошло, этот инструмент позволит откатить вредоносные действия. Помимо этого, он содержит полный спектр средств веб-контроля и контроля устройств, инструменты адаптивного контроля аномалий и набор рекомендаций по настройке политик безопасности.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • KL FC Bot
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • KL FC Bot
      От KL FC Bot
      Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах.
      Акт первый. Подозрение
      К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками.
       
      View the full article
    • LamerMan
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
×
×
  • Создать...