Ransomware: як не стати жертвою криптоздирників
Хто такі криптоздирники? Та в чому полягає суть ransomware? Тема кібербезпеки та криптоздирників для нашого колеги Михайла Судді, QA Automation Engineer на проєкті PitchBook, є дуже цікавою, і він з радістю ділиться своїми знаннями з іншими.
Почнемо з простого. Ransomware — це вірус-вимагач або зловмисна програма, яка надає злочинцям можливість віддалено заблокувати комп’ютер та зашифрувати вміст жорсткого диска. Після цього програма показує вікно з повідомленням, що комп’ютер заблокований і користувач не зможе отримати до нього доступ, якщо не сплатить певну суму.
Ransomware — це не просто вірус, це цілий комплекс. Перше, що роблять зловмисники, — це інфікують комп’ютер певного користувача. Роблять вони це за допомогою фішингового повідомлення з посиланням або файлом, що містить вірус. Потрапляючи на комп’ютер, цей вірус повертається до сервера зловмисника, щоб завантажити ще одну шкідливу програму, яка буде копіювати дані. А потім ще один вірус шифрує ці дані.
Перший вірус-вимагач був помічений ще у 2005 році. З 2013 року з розвитком криптовалют почався бум ransomware. Якщо раніше атаки були спрямовані на окремих користувачів, то від середини 2017 року і донині злочинні угрупування фокусуються головним чином на великі компанії. Оскільки розмір викупу може сягати сотень тисяч, а то і мільйонів доларів США. Найбільшого розмаху атаки отримали з початком світової пандемії.
Які загрози несе в собі ransomware?
Для компанії атака криптовимагача закінчується втратою операційної діяльності, адже не працюють всі сервери, пошта і т.д. Це може призвести до великих збитків.
Медичні установи втрачають можливість надати необхідну медичну допомогу. Варто також згадати, що у 2020 році вже відбулася перша смерть через атаку ransomware саме на медичну установу. В Дюссельдорфі працівники госпіталю не змогли надати необхідну допомогу пацієнту в критичному стані, оскільки не мали доступу до будь-яких медичних записів пацієнта — історії хвороби, інформації про алергічні реакції і т.д.
Також існує загроза оприлюднення даних (персональних, фінансових, результатів досліджень тощо), якщо компанія відмовляється сплачувати викуп. Мало того, оператори ransomware стали застосовувати тактику подвійного вимагання. У такому випадку викуп платиться не тільки за ключ розшифрування, але і за те, щоб дані не були викладені у публічний доступ.
Останнім часом іде зростання тренду ransomware-as-a-service. Його суть полягає в тому, що злочинне угрупування розробляє та створює вірус-вимагач, а потім продає цей вірус усім бажаючим або ж за певну фіксовану ціну, або ж за 20–30% від заробленого викупу.
Як захиститись від ransomware?
- Мати чіткий план дій на випадок атаки криптоздирника
- Налаштувати сканування мережі на наявність вразливостей
- Робити бекапи всіх критично важливих елементів інфраструктури — вони мають бути зашифровані та зберігатись в офлайні
- Регулярно оновлювати програмне забезпечення
- Проводити регулярні тренінги та навчання для всіх колег компанії
І саме останній пункт є найбільш важливим, адже все розпочинається з простої фішингової атаки, яка не є технічно складною. Це може бути повідомлення на електронну адресу з пошти компанії або організації, що, на перший погляд, не викликає жодних підозр, але насправді відправлена зловмисниками. Наприклад, замість @spd-ukraine.com може бути @sdp-ukraine.com.
Особливою популярністю користуються фішингові email-повідомлення з темою: “Змінити пароль” чи “Підтвердити акаунт”, “Змінити умови підписки”, “Встановити оновлення на MacOS”. Починаючи з березня 2020 року, кіберзлочинці розгортають фішингові атаки COVID-19 проти співробітників компаній, зокрема й в галузі охорони здоров’я.
Як в SPD-Ukraine захищаються від ransomware?
Крім перелічених вище заходів, ми в компанії використовуємо стандартний антивірус Windows Defender на корпоративних ноутбуках та ПК Windows. Останнім часом він є лідером на ринку.
Зараз для корпоративних ноутбуків та ПК на Mac OS в компанії запроваджується MDM рішення Jamf. Параметри безпеки в ньому налаштовуються таким чином, щоб мінімізувати вплив ransomware. При розумному користуванні та налаштуванні MDM Jamf для Mac OS, ризик підхопити ransomware мінімальний.
Також, про всяк випадок, нагадаємо, що не потрібно користуватися торентами. Це найпростіший спосіб це підхопити ransomware.
