Перейти к содержанию

Атаки, выкупы и аукционы: пиратские будни ransomware

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

С момента своего появления шифровальщики прошли большой эволюционный путь, постепенно превратившись из штучных инструментов, создаваемых отдельными группами «энтузиастов», в мощную подпольную индустрию, приносящую своим участникам огромную прибыль. Причем порог входа в этот теневой бизнес становится все ниже.

Сейчас злоумышленнику уже не нужно создавать вредоносное ПО самостоятельно и даже покупать его в дарк-вебе. Достаточно оплатить подписку на доступ к одному из облачных сервисов, известных как RaaS (Ransomware-as-a-Service). Простые в развертывании и не требующие навыков программирования, такие сервисы дают возможность использовать инструменты ransomware, по сути, любому желающему. Что естественным образом ведет к постоянному росту количества киберинцидентов этого типа.

Еще одной тревожной тенденцией последнего времени стал переход от простой модели вымогательства выкупа к комбинированным атакам, при которых данные перед шифрованием выкачиваются хакером. В этом случае угрозой за невыплату отступных становится не уничтожение информации, а ее публикация в открытых источниках или продажа на закрытом аукционе. Один из таких аукционов, о котором стало известно широкой общественности, прошел этим летом. Украденные при помощи шифровальщика REvil базы данных сельскохозяйственных компаний были выставлены на продажу в качестве лота со стартовой ценой $55 тыс.

К сожалению, многие жертвы вымогателей вынуждены платить, хотя и сами понимают, что возвращение доступа к информации отнюдь не гарантировано. В качестве целей для своих атак хакеры стараются выбирать компании и организации с низкой терпимостью к простою. Ущерб от остановки, например, производства может измеряться миллионами долларов в сутки, а расследование киберинцидента может занять недели и все равно не привести к восстановлению систем предприятия. А если речь идет о медицинской организации? В таких ситуациях у владельцев бизнеса просто не остается ни одной разумной альтернативы выплате выкупа.

Дошло до того, что прошлой осенью ФБР США вынуждено было выпустить специальное разъяснение, посвященное шифровальщикам-вымогателям, в котором содержалась недвусмысленная рекомендация не платить хакерам выкуп. Подобное поведение жертв лишь провоцирует новые атаки, но никак не гарантирует возвращения доступа к зашифрованной информации.

Яркие инциденты

Вот лишь некоторые инциденты, произошедшие в первой половине этого года, которые могут подтвердить растущие масштабы проблемы.

В феврале датская компания ISS A/S, занимающаяся комплексной эксплуатацией и содержанием зданий, стала жертвой вымогателя. Злоумышленниками была зашифрована база данных компании, что привело к отключению от корпоративных сервисов сотен тысяч сотрудников, работавших в 60 странах. Датчане отказались платить. На восстановление работоспособности большей части инфраструктуры и проведение расследования ушло около месяца, а суммарные потери от инцидента оцениваются экспертами рынка в $75–114 млн.

Американский транснациональный поставщик ИТ-услуг Cognizant пострадал от шифровальщика весной. 18 апреля компания официально признала, что стала жертвой атаки очень популярного в последнее время ransomware-инструмента Maze. ПО и сервисы Cognizant клиенты использовали для обеспечения удаленной работы сотрудников, деятельность которых была нарушена.

В предупреждении о компрометации, разосланном Cognizant своим партнерам сразу после атаки, в качестве индикаторов взлома были перечислены IP-адреса серверов и хэши файлов (kepstl32.dll, memes.tmp и maze.dll), характерных для Maze.

Три недели потребовалось на восстановление большей части корпоративной инфраструктуры, что вынудило Cognizant включить в прогноз финансовых результатов второго квартала 2020 года ущерб в размере $50–70 млн.

В феврале атаке подвергся муниципальный совет административного округа Редкар-энд-Кливленд (Великобритания). Издание The Guardian процитировало одного из членов совета, по словам которого, в течение трех недель организация была вынуждена «довольствоваться ручкой и бумагой». В течение этого периода ИТ-инфраструктуру, пользователями которой являлись сотни тысяч местных жителей, пришлось фактически создавать заново.

Окончательно оправиться от нападения ведомство смогло лишь к маю. Тогда и был подведен неутешительный итог инцидента: ущерб составил порядка $20 млн.

Как защищаться?

Лучшей стратегией защиты от атак с использованием программ-вымогателей является своевременная подготовка. Часто воротами для несанкционированного входа в систему являются почтовые сервисы, которые должны быть оборудованы эффективными спам-фильтрами, блокирующими или отправляющими в карантин все исполняемые вложения. Не лишним будет и активировать отображение расширений файлов, что снизит вероятность их случайного открытия.

Если атака все-таки произошла, минимизировать время простоя и потенциальный ущерб можно лишь при наличии регулярно обновляемых резервных копий всей критически важной для жизни компании информации. Лучше всего, если копии будут располагаться в защищенном облаке.

Гораздо более широкими возможностями защиты от всех типов угроз обладает комплексный продукт Kaspersky Total Security для бизнеса. Благодаря средствам облачного и поведенческого анализа он способен предотвратить проникновение шифровальщика в систему, вовремя выявив подозрительное поведение приложений. Если же заражение все же произошло, этот инструмент позволит откатить вредоносные действия. Помимо этого, он содержит полный спектр средств веб-контроля и контроля устройств, инструменты адаптивного контроля аномалий и набор рекомендаций по настройке политик безопасности.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • K0st
      Файлы заархивированы с паролем с требованием выкупа
      От K0st
      Здравствуйте! Обнаружили запароленные данные. Архивы по нескольку десятков ГБ. Базы 1С и всё такое. В корне файл с описанием выкупа. Как можно распаковать и всё вернуть?
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Майнер XMRig атакует корпоративных пользователей | Блог Касперского
      От KL FC Bot
      Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
      Вредоносная кампания
      Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
      Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
      Мы внимательно исследовали образец зловреда и вот что обнаружили.
      Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается. Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году. Если количество процессорных ядер устройства меньше 8, то майнер не запускается. Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
       
      View the full article
    • KL FC Bot
      Атаки шифровальщиков в 2024 году | Блог Касперского
      От KL FC Bot
      В последние годы в блоге Kaspersky Daily мы стали уделять ransomware заметно меньше внимания, чем в былые времена. Но это вовсе не потому, что атаки вымогателей прекратились. Скорее наоборот — такие инциденты происходят настолько часто, что они уже давно стали привычным, практически фоновым явлением.
      Однако некоторые атаки вымогателей по-прежнему привлекают внимание своей экстраординарностью. В этом посте мы перечислим связанные с шифровальщиками-вымогателями инциденты 2024 года, которые выделялись на общем фоне своим масштабом, последствиями или необычными методами атакующих.
      Январь 2024: атака вымогателей на зоопарк Торонто
      Одним из первых значительных инцидентов 2024 года, связанных с ransomware, стала январская атака на крупнейший канадский зоопарк, расположенный в Торонто. Администрация зоопарка поспешила заверить общественность в том, что атака вымогателей не повлияла на работоспособность систем, связанных с уходом за животными. Более того, веб-сайт организации и сервис продажи билетов также не были затронуты, так что зоопарк продолжил принимать посетителей в обычном режиме.
      Официальный сайт зоопарка Торонто сообщает о кибератаке и уверяет, что с животными все в порядке. Источник
      Через некоторое время после атаки выяснилось, что атакующим удалось похитить значительное количество личной информации сотрудников зоопарка за период с 1989 года до наших дней. Таким образом, данный инцидент послужил очередным напоминанием о том, что даже очень далекие от критических секторов организации могут стать объектами атак вымогателей.
       
      View the full article
×
×
  • Создать...