30 сентября 2019 г.
При таких атаках на компьютер жертвы устанавливается вредоносное ПО, которое шифрует важные для пользователя файлы либо блокирует систему целиком, после чего злоумышленник требует выкуп за разблокирование. Растущее количество таких атак заставляет организации увеличивать инвестиции в защиту данных, сетей и клиентских устройств.
Большое количество атак с использованием программ-вымогателей наблюдалось в сфере здравоохранения в США после перехода к использованию электронных медкарт. Банковский сектор и фирмы финансовых услуг также всё чаще страдают от вирусов-вымогателей ввиду растущего использования мобильных и веб-приложений для транзакций и платежей.
Согласно прогнозу исследовательской фирмы MarketsandMarkets, к 2021 году рынок защиты от программ-вымогателей достигнет 17,36 млрд долл. дохода и будет демонстрировать среднегодовой темп роста (в сложных процентах, CAGR) 16,3% по сравнению с предыдущим пятилетием. Азиатско-Тихоокеанский регион открывает самые большие возможности роста благодаря увеличению расходов на кибербезопасность в Китае, Австралии и Индии.
В рамках своей традиционной «Недели кибербезопасности» CRN/США рассказывает о новых особенностях использования программ-вымогателей, применяемых в ходе длительных целенаправленных атак, от которых должны уметь защищаться организации.
Резервные копии на прицеле
Злоумышленники ищут теперь не только критически важные файлы, но и резервные копии файлов, изображений и документов, говорит Терри Рей (Terry Ray), старший вице-президент и почетный сотрудник (Fellow) компании Imperva (Редвуд-Шорз, шт. Калифорния), специалиста в кибербезопасности. Поэтому организации не должны хранить свои копии там, где находятся их системные и рабочие файлы.
Даже осуществляя резервное копирование, организации часто хранят резервные копии в том же дата-центре, что и все свои данные, и это упрощает для злоумышленников поиск и блокирование таких копий, говорит Рей. Чтобы исключить подобные риски, следует использовать сторонние хранилища или SaaS-услуги резервного копирования, говорит он.
При этом Рей не рекомендует отправлять резервные копии в облако AWS или Microsoft Azure, так как если злоумышленникам удастся получить доступ к внутренним серверам в организации, то они смогут тогда делать всё, что угодно, с файлами, которые хранятся в общедоступном облаке. И даже если резервная копия хранится вне корпоративного дата-центра, не должно быть открытого канала связи с таким хранилищем, чтобы злоумышленники не могли до нее добраться, сказал Рей.
Комбинированные атаки
Программы-вымогатели всё чаще используются в сочетании с другими средствами атак, такими как руткиты или трояны, чтобы осуществить взлом методом «грубой силы» и получить регистрационные данные с правами администратора, говорит Адам Куджава (Adam Kujawa), директор исследовательской лаборатории компании Malwarebytes (Санта-Клара, шт. Калифорния). Использование эксплойтов, таких как EternalBlue или EternalRomance, помогает дальше расширить фронт атаки.
Такой способ позволяет инфицировать не какой-то единичный компьютер, а все системы в корпоративной сети компании, говорит Куджава. После того, как вся сеть скрытно заражалась вирусом-вымогателем в течение нескольких дней или даже недель, неизвестно, откуда и когда будет нанесен удар. Поэтому Куджава рекомендует определить, какие данные являются наиболее ценными для организации или могут принести наибольший ущерб, если будут утрачены, и ввести дополнительные меры безопасности, чтобы злоумышленникам было труднее до них добраться.
Шифрование баз данных
Вирусы-вымогатели способны теперь шифровать не просто отдельные файлы, а элементы баз данных и даже вытаскивать данные из БД, оставляя вместо них сообщение с требованием выкупа, говорит Рей из Imperva.
При использовании даже бесприцельных атак часто оказываются заражены файл-серверы, поскольку доступ к ним в организации открыт и все сотрудники могут хранить на них свои данные, говорит Рей. Поэтому злоумышленникам бывает легко получить доступ к файл-серверам, даже не занимаясь для этого фишингом.
В отличие от файл-серверов, у баз данных, как правило, весьма ограниченный круг пользователей в организации, говорит Рей. Поэтому злоумышленникам приходится нацелить свой фишинг на администратора базы данных в конкретной организации, чтобы добыть логин и пароль от сервера приложений, который обращается к этой базе данных. но сами действия для шифрования или кражи данных с файл-сервера и из базы данных, по сути, одинаковы, говорит Рей.
Загрузчики и стиллеры
Как правило, сначала в сеть организации будет заслан стиллер для кражи паролей или загрузчик вредоносного ПО, говорит Райан Калембер (Ryan Kalember), исполнительный вице-президент по стратегии кибербезопасности компании Proofpoint (Саннивейл, шт. Калифорния). Первый предназначен для сбора регистрационных данных, веб-логинов и куки-файлов и чтобы попытаться узнать, где именно находятся самые важные для организации файлы.
Загрузчик ведет себя иначе: он скрытно устанавливается на компьютер жертвы и до поры никак себя не проявляет, чтобы злоумышленник мог установить свой эксплойт в нужный момент. Взломщики стали чаще использовать такие загрузчики, так как они помогают внедрять вирусы-вымогатели, приносящие быстрые деньги, а стиллеры отстают от них после того, как Emotet ушел в тень в конце мая, говорит Калембер.
Как бы то ни было, злоумышленники будут использовать доступ, даваемый стиллером или загрузчиком, для более широкомасштабных атак с внедрением программ-вымогателей, говорит Калембер. Другими словами, первичная функция вредоносного ПО в фишинговой атаке состоит в том, чтобы подготовить почву для внедрения программ-вымогателей.
Шифрование совершенствуется
Поначалу в большинстве программ-вымогателей были неумело реализованы алгоритмы шифрования, поэтому многим пострадавшим организациям удавалось самим дешифровать данные, игнорируя требование выкупа, говорит Куджава из Malwarebytes.
Дело в том, что многие взломщики были новичками, а не профессиональными разработчиками и зачастую неумело, вручную делали свои ключи шифрования, говорит Куджава. Как результат, они не могли создать корректно работающие инструменты дешифрования, то есть пострадавший всё равно не вернул бы свои данные, даже если бы заплатил.
Ситуация изменилась с тех пор, как Microsoft создала новую платформу криптографии для Windows, и CryptoLocker выполнил шифрование на отлично, напомнил эту историю Куджава. Сегодняшние вирусы-вымогатели, как правило, хорошо сделаны, и большинство злоумышленников решают теперь вопрос: как корректно осуществлять шифрование в массовом масштабе.
Геозонирование атак
Вредоносное ПО с проверкой геозон срабатывает только на определенных IP-адресах, позволяя злоумышленникам нацелить свои атаки на определенные географические регионы, говорит Калембер из Proofpoint. Например, было замечено, что многие разновидности вредоносного ПО совсем не затрагивают Россию и другие бывшие советские республики, говорит он.
Сегодня многие злоумышленники создают варианты программ-вымогателей, чтобы нацелить их на определенные страны, сказал он. К примеру, они могут создать приманку на итальянском или немецком языке, чтобы пытаться поймать на нее сотрудников каких-то организаций в этих странах.
Проявления такого вируса на других IP-адресах, вне Италии или Германии, создают лишний риск обнаружения без всякой пользы для атакующих, поскольку получатели в других странах просто не смогут прочесть сообщение, пояснил Калембер.
Атаки на более слабых
Раньше вымогатели атаковали компании, можно сказать, без разбора, но теперь, когда более солидные организации укрепили свою оборону и надежнее защитили резервные копии, они всё чаще способны восстановить работу после атаки, не платя никакого выкупа, говорит Калембер. Поэтому злоумышленники перенесли прицел на мелкие фирмы и муниципальные органы власти, которые не столь хорошо оснащены в плане защиты.
Злоумышленники ориентируются на демографический профиль, выявляя мелкие организации в секторах с традиционно низким бюджетом и уровнем подготовки персонала, говорит Калембер, а затем ищут свободно доступные в Сети адреса электронной почты с общим ящиком, чтобы повысить вероятность успеха, поскольку письмо увидят сразу несколько человек.
Также, взломщики частично отошли от попыток обработать первого же пользователя с помощью фишинга, избирая нужную жертву внутри организации и атакуя ее методом «грубой силы». Хакеры стали также использовать протокол удаленного рабочего стола для проникновения в заведомо известные ресурсы в экосистеме организации, которые были открыты Интернету, добавил Калембер.
Вымогательство-как-услуга
Создатели программ-вымогателей стали привлекать владельцев ботнетов, предлагая им распространять вредоносный код за «комиссионные», говорит Куджава из Malwarebytes. Если всё прошло успешно и получен выкуп, такой партнер-соучастник получит определенную долю, а остальную часть денег возьмет себе создатель вируса.
Если взломщик пытается сам создавать и сам же распространять свои вирусы, он использует лишь один канал и способ распространения, говорит Куджава. Когда действует сеть партнеров-сообщников, гораздо труднее заблокировать определенные типы программ-вымогателей, поскольку их распространением занимаются
Построение «цепочки поставок» программ-вымогателей помогло их создателям монетизировать свое творение и сохранять свои штаммы активными в течение даже нескольких лет после обнаружения, говорит Куджава. Однако создание такой сети подразумевает определенное доверие к сообщникам, которых они на самом деле не знают, и всегда есть риск, что те применят обратное декодирование, восстановят исходный код и, создав собственный штамм вируса-вымогателя, запустят его в дело.
© 2019. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США