Ransomware attack что это
Ransomware — новый способ организации утечек данных
Утечки данных — больной вопрос для службы безопасности. А сейчас, когда большинство работает из дома, опасность утечек оказывается намного выше. Именно поэтому известные киберпреступные группы уделяют повышенное внимание устаревшим и недостаточно защищенным протоколам удаленного доступа. И, что интересно, все больше утечек данных на сегодняшний день связано с Ransomware. Как, почему и каким образом — читайте под катом.
Центр безопасности Acronis Cyber Protection Operation Center (CPOC), расположенный в Сингапуре, подтверждает активизацию киберпреступности в области Ransomware. Во второй половине мая по всему миру было заблокировано на 20% больше программ-вымогателей, чем обычно. После небольшого спада сейчас, в июне, мы снова наблюдаем рост активности. И для этого есть сразу несколько причин.
Попасть на компьютер жертвы
Технологии защиты развиваются, и злоумышленникам приходится несколько менять свою тактику, чтобы попасть на конкретную систему. Целевые атаки Ransomware по-прежнему распространяются при помощи хорошо продуманных фишинговых писем (тут дело не обходится без социальной инженерии). Однако в последнее время разработчики вредоносного ПО уделяют много внимания именно удаленным сотрудникам. Чтобы атаковать их, можно найти плохо защищенные сервисы удаленного доступа, например, RDP, или VPN-серверы с уязвимостями.
Этим они и занимаются. В даркнете появились даже сервисы ransomware-as-a-service, которые предоставляют все необходимое, чтобы атаковать выбранную организацию или человека.
Злоумышленники ищут любые способы проникнуть в корпоративную сеть и расширить спектр атаки. Так, популярным направлением стали попытки заразить сети сервис-провайдеров. Поскольку облачные услуги сегодня только набирают популярность, заражение популярного сервиса позволяет атаковать сразу десятки или даже сотни жертв за один раз.
В случае взлома веб-консолей управления системами безопасности или резервного копирования, атакующие могут отключить защиту, удалить резервные копии, а также обеспечить своему вредоносному ПО развертывание по всей организации. Кстати, именно поэтому эксперты рекомендуют тщательно защищать все сервисные учетные записи при помощи многофакторной авторизации. Например, все облачные сервисы Acronis позволяют установить двойную защиту, потому что в случае компрометации пароля, злоумышленники могут свести на нет все преимущества от использования комплексной системы киберзащиты.
Расширение спектра атаки
Когда заветная цель достигнута, и вредоносное ПО уже находится внутри корпоративной сети, для дальнейшего распространения, как правило, используются вполне типовые тактики. Злоумышленники изучают ситуацию и стремятся преодолеть те барьеры, которые созданы внутри компании для противодействия угрозам. Эта часть атаки может происходить в ручном режиме (ведь если они уже попали в сеть, значит наживка на крючке»!). Для этого используются уже хорошо известные инструменты, такие как PowerShell, WMI PsExec, а также более новый эмулятор Cobalt Strike и другие утилиты. Некоторые криминальные группы целенаправленно атакуют менеджеры паролей, чтобы проникнуть глубже в корпоративную сеть. А такое вредоносное ПО как Ragnar недавно было замечено в полностью закрытом образе виртуальной машины VirtualBox, которая помогает скрывать присутствие постороннего ПО на машине.
Таким образом, попадая в корпоративную сеть, вредоносное ПО старается проверить уровень доступа пользователя и применить украденные пароли. Такие утилиты как Mimikatz и Bloodhound & Co. помогают взламывать учетные записи администраторов доменов. И только тогда, когда атакующий считает возможности распространения исчерпанными, на клиентские системы загружается непосредственно программа-вымогатель.
Ransomware как прикрытие
Учитывая серьезность угрозы потери данных, с каждым годом все больше компаний воплощают в жизнь так называемый «Disaster recovery plan». Благодаря этому они не очень-то беспокояться о зашифрованных данных, и в случае атаки Ransomware не начинают собирать выкуп, а запускают процесс восстановления. Но и злоумышленники не спят. Под прикрытием Ransomware происходит массовая кража данных. Первыми применять массово такую тактику начали Maze еще в 2019 году, хотя и другие группы периодически комбинировали атаки. Теперь же кражей данных параллельно с шифрованием занимаются как минимум Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO и Sekhmet.
Иногда злоумышленникам удается выкачать из компании десятки терабайт данных, которые могли быть обнаружены средствами сетевого мониторинга (если бы они были установлены и настроены). Ведь чаще всего передача данных происходит просто при помощи FTP, Putty, WinSCP или скриптов PowerShell. Для преодоления DLP и систем сетевого мониторинга данные можно зашифровать или отправить как архив с паролем, и это новый вызов для служб безопасности, которым нужно проверять исходящий трафик на наличие подобных файлов.
Изучение поведения infostealer’ов показывает, что злоумышленники не собирают все подряд — их интересуют именно финансовые отчеты, клиентские базы, персональные данные сотрудников и клиентов, контракты, записи, юридические документы. Вредоносное ПО сканирует диски в поиске любой информации, которая теоретически могла бы быть использована для шантажа.
Если подобная атака прошла успешно, обычно злоумышленники публикуют небольшой тизер, показывая несколько документов в подтверждение, что данные утекли из организации. А некоторые группы публикуют вообще весь набор данных на своем сайте, если время выплаты выкупа уже вышло. Чтобы избежать блокировки и обеспечить широкий охват, данные публикуют в том числе в сети TOR.
Сайты, на которых публикуются утечки, бывают самыми разными. Это может быть простая страница, на которую попросту выложили все украденное, а бывают и более сложные структуры с разделами и возможностью покупки. Но главное, что все они служат одной цели — повысить шансы атакующих на получение реальных денег. Если же эта бизнес-модель покажет хорошие результаты для злоумышленников, можно не сомневаться, что подобных сайтов станет еще больше, а техники кражи и монетизации корпоративных данных будут расширены дополнительно.
Вот так выглядят актуальные сайты, на которых публикуются утечки данных:
Что делать с новыми атаками
Основной вызов для служб безопасности в этих условиях заключается в том, что в последнее время все больше инцидентов, связанных с Ransomware, оказываются просто методом отвлечения от кражи данных. Злоумышленники уже не делают ставку только на шифрование серверов. Наоборот, основной целью оказывается организация утечки, пока вы боретесь с шифровальщиками.
Таким образом, использование одной только системы резервного копирования даже с хорошим планом восстановления оказывается недостаточно для противодействия многослойным угрозам. Нет, конечно, без резервных копий тоже не обойтись, ведь злоумышленники обязательно попробуют что-нибудь зашифровать и попросят выкуп. Речь идет скорее о том, что теперь каждая атака с использованием Ransomware должна рассматриваться как повод для всестороннего анализа трафика и запуска расследования возможной атаки. А также следует подумать о дополнительных средствах безопасности, которые могли бы:
Эволюция Ransomware
В наши дни ни месяца не проходит без новостей о новой крупной атаке криптовымогателей. Поначалу сумма выкупа составляла всего несколько сотен долларов, но теперь возросла до миллионов. Как же мы дошли до такой ситуации, когда наши данные и сервисы могут быть захвачены с требованием выкупа? А если единственная атака позволяет заработать миллионы долларов, то закончится ли это когда-нибудь?
История Ransomware
Доктор Джозеф Попп, работавший над исследованиями области биологии, известен и как первый человек, потребовавший выкуп с помощью компьютерного программного обеспечения. В декабре 1989 года Попп разослал по почте 20 тысяч гибких дисков с подписью «Информация о СПИДе — ознакомительная дискета» сотням медицинских исследовательских институтов в 90 странах. На каждом диске был интерактивный опрос, измерявший риск заражения СПИДом на основании ответов пользователя. Во время прохождения опроса первое ransomware — «AIDS Trojan» шифровало файлы на компьютерах пользователей после перезапуска определённого количества раз.
Принтеры, подключённые к заражённым компьютерам, распечатывали инструкции о том, что нужно отправить банковский перевод или чек на сумму 189 долларов в почтовый ящик в Панаме. Попп планировал распространить ещё 2 миллиона дисков с «AIDS», но его арестовали на пути в США с семинара ВОЗ по СПИДу. Несмотря на улики против доктора Поппа, его так и не признали виновным в этом преступлении.
К счастью для компьютерных специалистов того времени, в коде Поппа использовалось симметричное шифрование, поэтому для устранения последствий первого ransomware был написан инструмент расшифровки. С 1991 по 2004 год значительных ransomware-атак не проводилось, но некоторые называли это лишь затишьем перед бурей.
Технологический прогресс в эволюции криптовымогателей
К началу 2000-х у киберпреступников уже имелась схема ransomware и доступ к её трём неотъемлемым технологическим аспектам, которыми не владел Попп…
(1) Эффективная и сверхбыстрая система доставки, соединяющая миллионы компьютеров по всему миру, т.е. world wide web. (2) Доступ к более надёжным инструментам асимметричной криптографии для шифрования файлов, которые невозможно взломать. (3) Платёжная платформа, обеспечивающая скорость, анонимность и возможность автоматизации расшифровки после проведения платежа, например Bitcoin.
Благодаря сочетанию всех этих трёх элементов ransomware и получило такую популярность. Вот ключевые события в истории криптовымогателей:
Эволюция тактики Ransomware
Кроме использования прогрессивных технологий криптовымогатели стали агрессивнее и применяют изобретательные способы повышения успеха выплат выкупа.
Киберпреступники начали делать основной упор на критически важную инфраструктуру и крупные организации. Например, в 2016 году ransomware-атакам подверглись несколько больниц, в том числе Hollywood Presbyterian Medical Center, Ottawa Hospital и Kentucky Methodist Hospital. Во всех случаях блокировались больничные устройства или шифровались медицинские файлы, что подвергало опасности пациентов. Некоторым больницам повезло, они использовали надёжные политики резервного копирования и восстановления. Однако остальным, к сожалению, приходилось платить выкуп, чтобы как можно быстрее восстановить доступ к услугам здравоохранения.
Эволюция Ransomware: 1989 — 2019 годы
В марте 2018 года многие онлайн-сервисы Атланты были выведены из строя после ransomware-атаки. Выкуп 55 тысяч долларов в биткойнах не был выплачен, однако по оценкам затраты на восстановление составили 2,6 миллиона долларов.
В мае 2021 года ransomware DarkSide на неделю вывело из строя критически важную инфраструктуру, отвечавшую за доставку 45% бензина, потребляемого 13 штатами США. Жертва этой атаки, Colonial Pipeline, выплатила 4,4 миллиона долларов для возврата доступа к своим системам. Подобные крупные выплаты лишь сильнее мотивируют нападающих находить всё более изобретательные способы заработка на ransomware.
Трубопровод Colonial Pipeline длиной почти 9 тысяч километров был выведен из строя на несколько дней после ransomware-атаки, скомпрометировавшей его компьютерную сеть. Автором атаки стала восточноевропейская киберпреступная группа DarkSide.
Также нападающие используют тактику «шифруй и извлекай данные». Они поняли, что те уязвимые места сетей, которые помогают заражать ransomware, можно использовать и для похищения данных. Атакующие не только шифруют файлы жертв, но и крадут критичную информацию, угрожая её публикацией, если не будет выплачен выкуп. Поэтому даже если организация может восстановиться после атаки при помощи резервных копий, она не может допустить публикацию данных.
Финская психотерапевтическая клиника Vastaamo с 40 тысячами пациентов стала жертвой самой новой тактики «тройного вымогательства». Обычно нападающие шифруют медицинские файлы, а затем требуют солидный выкуп. Однако в данном случае они также украли данные пациентов. Вскоре после первой атаки пациенты получили электронные письма с требованием меньших сумм, чтобы избежать публикации записей сеансов личной терапии. Из-за утечки данных и финансового урона Vastaamo объявила себя банкротом и прекратила свою работу.
Будущее Ransomware
Cybersecurity Ventures сообщает, что с начала 2021 года количество атак увеличилось на 57% и в 2020 году урон от них составил 20 миллиардов долларов — на 75% больше, чем в 2019 году.
Кроме того, ransomware-атаки становятся всё более направленными на конкретных жертв: организации из сферы здравоохранения, коммунальных услуг и страхования/юриспруденции, обеспечивающие критически важные услуги, а значит с большей охотой готовые выплатить приличный выкуп.
Еженедельная статистика Ransomware-атак в разных отраслях по количеству организаций
Примерно 40% от всех вариантов ransomware включают в себя компоненты похищения данных для применения техник двойного или тройного вымогательства. Кроме того, RaaS-группа REvil предлагает своим партнёрам (которые и осуществляют сами атаки) бесплатные услуги атак Distributed-Denial-of-Service (DDoS) и VoIP-звонков со скрэмблингом, чтобы оказывать давление на жертв с целью выплаты выкупа в нужный период времени.
Почему возник внезапный рост ransomware-атак?
Это доходная сфера! Даже если успехом завершается малый процент ransomware-атак, он всё равно даёт огромную прибыль. Рассмотрим для примера крупнейшие на сегодня выплаты:
Ещё один важный фактор — постоянно расширяющаяся поверхность атак. В 2017 году из-за человеческой ошибки атаке WannaCry подверглись 55 дорожных камер в Виктории (Австралия). Хотя вред от атаки оказался минимальным, это даёт нам понять, какие устройства киберпреступники выбирают в качестве целей. Учитывая медленный процесс обновления безопасности и растущее число уязвимых устройств Internet of Things (IoT), это открывает новые возможности для операторов ransomware.
Специалисты также опасаются, что ransomware начнёт появляться в облачных сервисах и в основном будет нацелено на Infrastructure-as-a-Service (IaaS) и Platform-as-a-Service (PaaS). Также важным фактором являются новички — новое поколение взломщиков, вдохновлённых сериалами наподобие «Мистер Робот». У них есть больше ресурсов для взлома, чем у любого прошлого поколения. Эти новички с готовностью обучаются и с ещё большей готовностью тестируют свои навыки.
Ransomware находится в центре сложной и активно развивающейся экономики, имеющей все признаки настоящей коммерческой деятельности. Представьте сообщество опытных взаимодействующих разработчиков зловредного ПО, поставщиков услуг RaaS, их партнёров, отделов ИТ и клиентской поддержки и даже операторов, отвечающих за пресс-релизы и «брендирование» атакующих групп.
Передавая свои личные данные поставщикам различных услуг и полагаясь на технологии в выполнении своих повседневных задач, мы ненамеренно даём криптовымогателям возможность похищать информацию и удерживать нас в заложниках. Следовательно, следует ожидать роста масштабов ransomware-атак, повышения их агрессивности и изобретательности в вымогательстве выкупа. Вероятно, первый выкуп будет платиться за расшифровку данных, а второй — за то, чтобы они не были опубликованы.
Свет в конце туннеля шифрования
Взлом Colonial Pipeline выявил уязвимость современного общества. Атака привела к распространению панических настроений в городах, скупке топлива, дефициту бензина и повышению цен на него.
Ущерб от ransomware не ограничивается суммами выкупа. Повреждение и уничтожение данных, простои сервисов, снижение продуктивности после атак, затраты, связанные с расследованием, восстановлением системы и улучшением её безопасности, а также обучение сотрудников — всё это сокрытые и незапланированные затраты, вызванные атаками.
Органы правопорядка обеспокоены и тем, что кибератаки на больницы могут приводить к смертям. Негативное влияние ransomware на человеческие жизни и общество больше нельзя отрицать и игнорировать.
В конце 2020 года была запущена программа Ransomware Task Force (RTF). Коалиция более чем 60 участников из различных секторов — промышленности, государственных органов, полиции — начала искать решения по предотвращению ransomware-атак. В апреле 2021 года RTF выпустила отчёт «Combating Ransomware: A Comprehensive Framework for Action» с описанием 48 приоритетных рекомендаций по борьбе с ransomware.
Эти сконцентрированные усилия принесли свои плоды. Хотя не было произведено ни одного ареста, ФБР удалось вернуть 63,7 биткойна (около 2,3 миллиона долларов) выкупа, выплаченного после атаки на Colonial Pipeline. ФБР и другие правоохранительные органы по всему миру смогли нарушить работу NetWalker — элемента ransomware-as-a-service, использовавшегося для связи с жертвами. В начале этого года также была прекращена работа ботнета Emotet — важного инструмента для доставки ransomware жертвам при помощи фишинга.
Может показаться, что это капля в море по сравнению с количеством ransomware-атак в недавнем прошлом, однако общество и международные организации активно работают над нейтрализацией угрозы криптовымогательства, предпринимая необходимые шаги в правильном направлении.
Хотите узнать, как именно происходит атака Ransomware?
Ransomware или программы-вымогатели являются одним из наиболее разрушительных видов вредоносного ПО, и в последние годы доля Ransomware среди атак на бизнес неуклонно растет. По данным исследования Acronis Cyber Threats Report по итогам 2020 года именно вымогатели стали угрозой №1 для бизнеса и организаций по всему миру.
Сегодня мы предлагаем вам принять участие в очень познавательном мероприятии — 16 июня 2021 года мы проведем разбор атаки Ransomware и практики противодействия ей в реальном времени. Кроме этого мы расскажем об основных трендах на фронте Ransomware, а также проведем дискуссию с экспертами и ответим на вопросы участников. Зарегистрироваться на демонстрацию можно здесь.
Многие считают, что для защиты от Ransomware достаточно настроить резервное копирование. Но на практике все оказывается не так просто. Например, недавно случившиеся атаки на американскую топливную компанию Colonial Pipeline, а также австралийско-американского поставщика мяса JBS SA показали, что ущерб от Ransomware может быть внушительным. И даже если вы думаете, что с защитой “все в порядке”, только реальная атака может показать, так ли это.
Поскольку сегодня проблема Ransomware волнует многих, мы решили провести специальное мероприятие, на котором будет подробно рассмотрен механизм атаки современных программ-вымогателей с детальным разбором техники противодействия в реальном времени.
Что именно мы будем показывать?
Если вы хотите показать своим коллегам, в чем опасность современных Ransomware, а также посмотреть, как именно происходит проникновение вредоносного ПО на компьютер и шифрование файлов, эта демонстрация будет информативной и полезной.
Тофер Тебоу, старший исследователь в сфере кибербезопасности Acronis проведет живую презентацию, “натравив” вредоносное ПО на реальную систему. Вместе с комментариями нашего эксперта вы сможете наблюдать этапы атаки. Кроме этого Тофер поделится своей экспертизой, которую он накопил за 6 лет работы исследователем вредоносного ПО, а также за 7 лет работы в ИТ-поддержке и сопровождении систем.
Мы специально решили провести демонстрацию атаки, чтобы ответственные лица могли четко представить себе, от чего нужно защищать сети, сервера и рабочие места компании, а также выбрать подходящие средства защиты. Ведь чем лучше руководство понимает, через какие бреши в защите может пролезть “вымогатель”, тем проще аргументировать использование нужных инструментов ИБ.
Демонстрация — это хорошо. Что дальше?
На конференции, на которую мы приглашаем вас и ваших коллег сегодня, будет не только демонстрация атаки и победы над ней. Кроме этого Кандид Вуэст, вице-президент Acronis по исследованиям в области кибербезопасности поделится нашим видением трендов развития Ransomware. В том числе вы узнаете о наиболее эффективных лазейках, которые используют разработчики этого вредоносного ПО, а также о новых тактиках психологического давления, которые заставляют жертв шифровальщиков платить выкуп. В ходе доклада будут рассмотрены новейшие семейства Ransomware, а также последствия их атак на различные компании.
Опыт Кандида позволяет широко оценивать и анализировать тенденции в области атак и защиты: более 16 лет он занимал должность Tech Lead в глобальной команде быстрого реагирования Symantec. На счету Кандида — множество публикация в известных СМИ по вопросам информационной безопасности, а также серия выступлений на таких конференциях, как RSA и AREA 41. Г-н Вуэст является советником швейцарского правительства по вопросам оценки кибер-рисков. И это тот самый спикер, к мнению которого прислушиваются руководители компаний из разных стран и различных размеров.
Панельная дискуссия экспертов по Ransomware
После разбора атаки в рамках нашей виртуальной конференции пройдет панельная дискуссия, в которой примут участие как Кандид Вуэст, так и еще два известных эксперта из отрасли ИБ:
Грэхем Клули (Graham Cluley), ведущий популярного развлекательного подкаста Smashing Security podcast. (Если вы смотрели Acronis Global Cyber Summit, то могли также видеть его со-ведущую Кароль Терьё (Carole Theriault), которая была одним из спикером форума). Как широко известный специалист по киберпреступлениям, Грэхем также ведет популярный ИБ-блог, а также занимается исследованиями и оказывает консалтинговые услуги компаниям по всему миру.
Джеймс Гров (James Grove), глава по ИТ в команде премьер-лиги Southampton FC. За плечами у Джеймса — более чем 16 лет опыта работы в отрасли. включая 10 лет на ведущих позициях в Navitas. В этой компании он отвечал за технологические партнерства в Великобритании и Европе, а также возглавлял подразделение ИТ-сервисов. Джеймс активно продвигает инновации в футбольной премьер-лиге, где от успешной работы с данными зависит конкурентоспособность команды. И, естественно, он часто сталкивается в своей работе с различными вызовами из области киберзащиты.
Цель дискуссии, в которой примут участие ветераны технической экспертизы — пойти глубже в вопросах практических подходов к противодействию Ransomware. По итогам обсуждения спикеры поделятся своим чек-листом, который можно будет использовать для построения своей собственной системы защиты от Ransomware, включая методы обнаружения, противодействия и реагирования. Мы хотим обсудить и найти наиболее эффективные методы организации людей, процессов и применения технологий (включая искусственный интеллект), которые позволят улучшить защиту и добиться устойчивости компаний к атакам Ransomware.
Кстати, спикеры будут отвечать на вопросы участников, так что вы можете заранее подготовить парочку тем, которую вы хотели бы обсудить с общепризнанными экспертами.
Для заинтересованных в конце мероприятия будет проведена краткая демонстрация технических решений Acronis и их возможностей по противодействию Ransomware. Однако до этого момента мероприятие будет исключительно экспертным, а доклады и дискуссии пройдут без привязки к продуктам Acronis.
Регистрируйтесь сегодня!
Способность защитить бизнес от атак Ransomware, которые становятся все более изощренными с каждым месяцем, становится в наши дни необходимой. Виртуальная конференция продлится около часа и поможет сформировать целостное понимание, что такое современный вирус-вымогатель, какие бреши в защите он использует, и как с ним бороться. Этот семинар будет полезен как для ИТ-специалистов, так и для руководителей, потому что рекомендации экспертов помогут составить свой собственный план по борьбе с угрозой, опираясь на те продукты и технические решения, которые уже используются в компании или которые вы планируете внедрять.
Мероприятие состоится в среду 16 июня в 16:00 МСК (15:00 по времени CEST). Доклады будут проходить на английском языке. Регистрируйтесь, а также приглашайте коллег и руководителей, которым нужно лучше разобраться в вопросах противодействия Ransomware!
Демонстрация атаки и противодействия в реальном времени с комментариями специалиста по ИБ
Анализ новейших тенденций в сфере Ransomware, разбор векторов атак и техник психологического давления
Панельная дискуссия о противодействии Ransomware и формирование чек-листа для организации защиты