Нельзя отрицать тот факт, что в 2019 году самой большой «звездой» среди кибер-преступников были шифровальщики (ransomware). В прошлом году последовательные волны атак шифровальщиков парализовали государственные учреждения, организации и компании во многих странах мира. Эти атаки привели к потере данных в компаниях, остановили работу ряда организаций, а также причинили значительный экономический ущерб из-за затрат на восстановление после этих атак. Одна компания потратила более 50 миллионов евро на то, чтобы вернуться к нормальной операционной деятельности после одного такого инцидента с безопасностью. Некоторые организации, которые пострадали от атак шифровальщиков, даже приняли спорное решение заплатить выкуп, чтобы восстановить свои файлы.

Если и есть одна характеристика, определяющая кибер-преступность, так это ее способность развиваться и адаптироваться к новым условиям, а также возможность поиска новых способов нарушения информационной безопасности у своих жертв. Шифровальщики не являются исключением, и к концу 2019 года мы начали видеть новые тактики, используемые этим видом вредоносных программ.

Вымогательство в сочетании с шантажом

Последняя тенденция при использовании шифровальщиков состоит в том, чтобы объединить шифрование файлов своих жертв с попыткой их шантажа, и таким образом склонить их к тому, чтобы заплатить выкуп. Было замечено несколько кампаний с использованием шифровальщиков, когда прежде чем шифровать систему, они крадут конфиденциальные данные, после чего жертве можно было угрожать утечкой данных, если выкуп не будет оплачен.

Последний шифровальщик, у которого было замечено использование такой техники, называется Nemty, и те, кто стоял за этой вредоносной программой, создали специальный блог для публикации украденных файлов. На данный момент единственная информация в блоге - это 3,5 ГБ файлов, украденных у жертвы. Существует все большее число образцов шифровальщиков, которые используют эту тактику. Первым зловредом, который объединил подобным образом шифровальщика с шантажом, был Maze; другие образцы, которые использовали подобную тактику, - это DoppelPaymer и Sodinokibi.

Украденная и используемая таким образом информация может включать в себя высоко конфиденциальные данные, такие как финансовая информация компании, личная информация о сотрудниках, сведения о клиентах или другие важные документы.

В начале марта компания Visser Precision, которая поставляет детали для аэрокосмической, автомобильной, промышленной и обрабатывающей промышленности, подверглась атаке подобного рода. Кибер-преступники использовали шифровальщик DoppelPaymer для шифрования файлов компании. Затем злоумышленники начали публиковать файлы, которые были украдены у компании, включая соглашения о неразглашении и схемы ракетных антенн, разработанных компанией.

Способ заставить заплатить

С помощью такой тактики кибер-преступники надеются, что жертвы с большей вероятностью заплатят выкуп: в результате угрозы потенциального нарушения данных организация, которая пострадала от такого рода атаки, может столкнуться с очень жесткими последствиями нарушения правил защиты данных. Более того, в случае нарушения данных им придется принимать дополнительные необходимые меры, такие как уведомление пострадавших клиентов, что может негативно сказаться на репутации организации.

Ущерб от шифровальщиков

Эта новая тенденция – еще один из способов получить деньги от жертв шифровальщиков. Однако согласно данным, опубликованным ФБР, данный вид кибер-преступности показал значительный успех в течение последних нескольких лет. С января 2013 по июль 2019 года владельцы шифровальщиков заработали в биткоинах 144,35 млн. долларов США.

Защита от новейших угроз

Кибер-преступность неоднократно доказывала, что она способна эволюционировать и адаптироваться к любым попыткам остановить ее. Вот почему так важно принять все возможные меры для борьбы с ней. Во-первых, необходимо сделать так, чтобы кибер-преступники не могли проникнуть в систему через плохо защищенный протокол: по данным ФБР, от 70 до 80% шифровальщиков проникают через RDP (протокол удаленного рабочего стола). Чтобы этого не происходило, данный протокол должен быть отключен, если в нем нет необходимости.

Следующим наиболее распространенным вектором проникновения шифровальщиков в систему является фишинг. Чтобы предотвратить проникновение угроз с помощью этих угроз, лучше всего придерживаться позиции нулевого доверия: если вы не знаете отправителя, не открывайте никаких вложений и не нажимайте на ссылки, которые они присылают.

Даже если мы будем проявлять осторожность, все еще есть шанс, что кибер-преступники смогут найти способ проникнуть в систему компании. Вот почему так важно использовать решение информационной безопасности с опциями расширенной защиты (EDR), которое точно знает, что происходит в сети в любое время. Panda Adaptive Defense непрерывно отслеживает все процессы, происходящие на каждом компьютере. Решение останавливает любой неизвестный процесс, пока он не будет классифицирован как доверенный. Более того, он не использует сигнатуры для обнаружения вредоносных программ – метод, который может позволить новым или неизвестным вредоносным программам оставаться в сети незамеченным. Точнее сказать, решение использует принцип нулевого доверия.

Шифровальщики не перестанут создавать проблемы для организаций в глобальном масштабе, и эта новая тенденция не будет последним нововведением, используемым кибер-преступниками для создания угрозы корпоративной информационной безопасности. Защитите себя с помощью Panda Adaptive Defense.