Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво е рансъмуер?

Научете какво е рансъмуер, как работи и как да защитите бизнеса си от този вид кибератака.

Разбиране на рансъмуер

Рансъмуерът е вид злонамерен софтуер или опасен софтуер, който киберпрестъпниците използват, за да блокират достъпа до, унищожат или публикуват важни данни на жертвата, освен ако не бъде платен откуп. Традиционният рансъмуер е насочен както към физически лица, така и към организации, но две скорошни разработки – рансъмуер, управляван от хора, и рансъмуер като услуга – се превърнаха в по-голяма заплаха за предприятията и други големи организации.

При рансъмуер, управляван от хора, група нападатели използват колективната си интелигентност, за да получат достъп до мрежите на предприятията. Преди да инсталират рансъмуер, те проучват компанията, за да разберат уязвимостите и в някои случаи откриват финансови документи, които им помагат да определят размера на откупа.

При модела „откуп като услуга“ група криминални разработчици създават рансъмуер и след това наемат други свързани с киберпрестъпността лица, които да хакнат мрежата на организацията и да го инсталират. Двете групи си поделят печалбата по договорен процент.

Всички рансъмуер програми нанасят значителни щети на атакуваните лица и организации. Възстановяването на засегнатите системи може да отнеме дни, седмици или дори месеци, което води до загуба на производителност и продажби. Организациите могат също така да претърпят вреди на репутацията си пред клиентите и обществото.

Ключови изводи

  • Рансъмуер е вид злонамерен софтуер, който криптира данни и изисква заплащане на откуп за декриптирането им.
  • Той може да се разпространява чрез фишинг имейли, злонамерени уебсайтове и комплекти за експлоатиране.
  • В рансъмуер, управляван от хора, група нападатели използват колективната си интелигентност, за да получат достъп до мрежите на предприятията.
  • Двата основни вида рансъмуер са крипто рансъмуер, който шифрова чувствителни данни и файлове, и рансъмуер за заключване, който блокира устройствата на жертвите.
  • Атаките с рансъмуер могат да причинят значителни финансови, репутационни и оперативни щети на физически лица и предприятия.
  • Има стъпки, които можете да предприемете, за да се предпазите от атаки с рансъмуер, като например да използвате силен софтуер за сигурност, да създавате резервни копия на данните си и да насърчавате осведомеността за киберсигурността във вашата организация.

Видове рансъмуер

Рансъмуер се среща в две основни форми: крипто рансъмуер и за заключване, които допълнително се разделят на няколко подтипа.

Крипто рансъмуер
При крипто рансъмуер, атакуващият шифрова чувствителни данни или файлове на жертвата, така че тя няма достъп до тях, освен ако не плати искания откуп. Теоретично, след като жертвата плати, нападателят предава ключ за декриптиране, който ѝ дава достъп до файловете или данните, което обаче не е гарантирано. Много организации са загубили трайно достъпа до своите файлове дори след заплащане на откупа.

Рансъмуер за заключване
При рансъмуер за заключване лошите извършители заключват жертвата от нейното устройство и ѝ представят бележка за откуп на екрана с инструкции как да плати откупа, за да си възвърне достъпа. Тази форма на рансъмуер обикновено не включва шифроване, така че след като жертва получи достъп до устройството си, всички чувствителни файлове и данни са запазени. Рансъмуер за заключване обикновено се използва за мобилни устройства.

Тези две основни форми на рансъмуер се разделят на следните подтипове:

Скеъруер
Скеъруер използва страх, за да накара хората да платят откуп. При тези видове кибернетични атаки, лошите извършители се представят за правоприлагаща агенция и изпращат съобщение до жертвата, в което я обвиняват в престъпление и искат глоба.

Doxware
При Doxware лошите извършители крадат лична информация и заплашват да я разкрият публично, ако не бъде платен откуп.

Двойно изнудване за рансъмуер
При рансъмуер с двойно изнудване нападателите не само шифроват файлове, но и крадат чувствителни данни и заплашват да ги разкрият публично, ако не бъде платен откуп.

Уайпърс
Уайпърс заплашват да унищожат данните на жертвата, ако тя не плати откупа.

Как работи рансъмуерът

Повечето атаки с рансъмуер следват процес от три стъпки.

1. Получаване на достъп
Лошите извършители използват различни методи, за да получат достъп до чувствителни данни на дадена компания. Един от най-разпространените е фишингът, при който киберпрестъпниците използват електронна поща, текстови съобщения или телефонни обаждания, за да подмамят хората да предоставят своите идентификационни данни или да изтеглят зловреден софтуер. Лошите извършители се насочват и към служители и други потребители чрез злонамерени уебсайтове, които използват т.нар. комплект за експлоатиране, за да изтеглят и инсталират автоматично зловреден софтуер на устройството на жертвата.

2. Шифроване на данни
След като нападателите на рансъмуер получат достъп до чувствителните данни, те ги копират и унищожават оригиналния файл заедно с всички резервни копия, до които са успели да получат достъп. След това криптират своето копие и създават ключ за дешифроване.

3. Искат откуп
След като направи данните недостъпни, рансъмуер предоставя съобщение чрез предупредително поле, в което се обяснява, че данните са били криптирани, и се изискват пари, обикновено в криптовалута, в замяна на ключа за декриптиране. Лошите извършители, които стоят зад тези атаки, могат също така да заплашат, че ще публикуват данните, ако жертвата откаже да плати.

Въздействие на атака с рансъмуер

Освен непосредственото прекъсване на работата, последиците от атака с рансъмуер могат да включват значителни финансови загуби, увреждане на репутацията и дългосрочни оперативни предизвикателства.

Финансови последици
Разходите за плащане на откуп могат да бъдат значителни, като често достигат милиони долари, а няма гаранция, че нападателите ще предоставят ключа за декриптиране или че той ще работи правилно.

Дори когато организациите откажат да платят откупа, пак може да има големи финансови разходи. Прекъсването на работата, причинено от атака с рансъмуер, може да доведе до продължителен престой, да засегне производителността и потенциално да доведе до загуба на приходи. Възстановяването след атака е свързано с допълнителни разходи, включително разходи за съдебни разследвания, правни такси и инвестиции в подобрени мерки за сигурност.

Увреждане на репутацията
Клиентите и партньорите могат да загубят доверие в предприятие, което е било компрометирано, което води до спад в лоялността на клиентите и потенциална загуба на бъдещ бизнес. Високопрофилните атаки често привличат вниманието на медиите, което може да навреди на репутацията и имиджа на дадена компания.

Оперативни предизвикателства
Дори и с резервни копия съществува риск от загуба или повреда на данни, което може да повлияе на непрекъснатостта на бизнеса и оперативната ефективност. Предприятията могат да се сблъскат и с правни и регулаторни санкции за това, че не са защитили чувствителните данни, особено ако са обект на разпоредби за защита на данните като Общия регламент за защита на данните в Европейския съюз или Калифорнийския закон за защита на личните данни на потребителите.

Примери за рансъмуер в реалния свят

Много от най-известните атаки с изнудвачески софтуер, управлявани от хора, се извършват от групи за изнудвачески софтуер, които работят по бизнес модела „изнудвачески софтуер като услуга“.

 
  • От появата си през 2019 г. LockBit е насочен към различни сектори, включително финансови услуги, Здраве­опазване и производство. Този рансъмуер е известен със способността си да се саморазпространява в мрежите, което го прави особено опасен. Филиалите на LockBit са отговорни за многобройни атаки на високо ниво, като използват сложни техники за криптиране на данни и искане на откупи. 
  • Атаките на BlackByte често включват двойно изнудване, при което киберпрестъпниците криптират и ексфилтрират данни, като заплашват да публикуват откраднатите данни, ако откупът не бъде платен. Този рансъмуер е бил използван за атакуване на сектори от критичната инфраструктура, включително правителствени и финансови услуги.
  • Групата, стояща зад рансъмуера Hive, който беше активен между юни 2021 г. и януари 2023 г., използваше двойно изнудване и обикновено се насочваше към публични институции и критична инфраструктура, включително здравни заведения. В значителна победа срещу киберпрестъпността ФБР проникна в мрежата на Hive през 2022 г., като прихвана ключовете за декриптиране и предотврати искания за откуп на стойност над 130 млн. щатски долара. 
  • Akira рансъмуер е усъвършенстван зловреден софтуер, който е активен от началото на 2023 г. и е насочен както към Windows, така и към Linux системи. Лошите извършители използват Akira, за да получат първоначален достъп чрез уязвимости във VPN услугите, особено тези без многофакторно удостоверяване. От момента на появата си Akira е засегнал над 250 организации и е изискал приблизително 42 млн. щатски долара под формата на приходи от откуп.
 
Предотвратяване

Стратегии за превенция и защита от рансъмуер

Защитете крайните си точки и облаците

Най-добрата форма на защита е превенцията. Много атаки с рансъмуер могат да бъдат идентифицирани и блокирани с надеждно решение за откриване и реагиране в крайна точка, като например Microsoft Defender for Endpoint. Решенията за разширено откриване и реагиране (XDR), като Microsoft Defender XDR, надхвърлят защитата на крайните точки, за да ви помогнат да защитите устройствата, електронната поща, приложенията за съвместна работа и идентичностите си. И тъй като толкова голяма част от бизнеса се извършва в облака, е важно да защитите цялата си инфраструктура и приложения в облака с решение като Microsoft Defender for Cloud.

Провеждане на редовни обучения

Дръжте служителите информирани как да откриват признаците на фишинг и други атаки с рансъмуер, с редовни обучения. За да затвърдите наученото и да определите възможностите за допълнително обучение, провеждайте периодични симулации на фишинг атаки. Това ще помогне на служителите ви да научат по-безопасни практики за работа, а също и как да бъдат по-безопасни, когато използват личните си устройства.

Приемане на модел Zero Trust

Моделът Zero Trust приема, че всяка заявка за достъп, дори и тази, която идва от вътрешността на мрежата, е потенциална заплаха. Принципите на Zero Trust включват изрична проверка чрез непрекъснато удостоверяване, налагане на достъп с най-малки права, за да се сведат до минимум разрешенията, и допускане на нарушение чрез прилагане на силни мерки за ограничаване и наблюдение. Този допълнителен контрол намалява вероятността злонамерена самоличност или устройство да получи достъп до ресурси и да инсталира софтуер за откуп.

 Присъединяване към група за споделяне на информация

Групите за споделяне на информация, често организирани по отрасъл или географско местоположение, насърчават структурираните по подобен начин организации да работят заедно за решения за киберсигурност. Групите предлагат на организациите и различни ползи, като например услуги за реагиране на инциденти и цифрова криминалистика, информация за заплахите и наблюдение на публични IP диапазони и домейни.

Поддържане на офлайн архивни копия

Тъй като някои типове рансъмуер ще се опитат да намерят и изтрият всички онлайн архивни копия, които трябва да имате, е добра идея да поддържате актуализирано офлайн архивно копие на чувствителните данни, което редовно тествате, за да сте сигурни, че ще може да бъде възстановено, ако някога бъдете подложени на атака с рансъмуер.

Поддържане на софтуера актуален

В допълнение към поддържането на актуализирани решения срещу злонамерен софтуер, не забравяйте да изтегляте и инсталирате всички други актуализации на системата и софтуерни корекции веднага щом бъдат налични. Това помага за минимизиране на всички уязвимости в защитата, които киберпрестъпникът може да използва, за да получи достъп до вашата мрежа или устройства.

Създаване на план за реакция при инциденти

Планът за реагиране при инциденти ще ви предостави стъпките, които да предприемете при различни сценарии на атака, така че да можете да се върнете към нормална и безопасна работа възможно най-скоро.

Реагиране на атака с рансъмуер

Ако сте станали жертва на атака с рансъмуер, има възможности за защита и отстраняване.

Изолирайте заразените данни
Веднага щом можете, изолирайте компрометираните данни, за да предотвратите разпространението на рансъмуера в други области на вашата мрежа.

Изпълнете програма срещу злонамерен софтуер
След като изолирате всички заразени системи, използвайтепрограма срещу злонамерен софтуер, за да премахнете рансъмуера.

Декриптиране на файлове или възстановяване на резервни копия
Ако е възможно, използвайте инструменти за декриптиране, предоставени от правоприлагащи органи или изследователи в областта на сигурността, за да декриптирате файловете, без да плащате откуп. Ако декриптирането не е възможно, възстановете файловете от резервните си копия.

Съобщете за атаката
Свържете се с местните или федералните правоохранителни органи, за да съобщите за атаката. В Съединените щати това са вашият Местният полеви офис на ФБР, IC3 или Секретната служба. Въпреки че тази стъпка вероятно няма да реши нито едно от вашите непосредствени притеснения, е важна, тъй като тези органи активно проследяват и наблюдават различни атаки. Предоставянето им на подробности за вашия опит може да бъде полезно в усилията им да открият и преследват киберпрестъпник или киберпрестъпна група.

Бъдете внимателни с плащането на откупа
Въпреки че може да е изкушаващо да платите откупа, няма гаранция, че киберпрестъпниците ще удържат на думата си и ще ви предоставят достъп до данните ви. Експертите по защитата и правоприлагащите агенции препоръчват жертвите на атаките с рансъмуер да не плащат исканите откупи, тъй като това може да остави лицето открито за бъдещи заплахи, и то активно ще поддържа престъпна индустрия.

Често задавани въпроси

  • рансъмуер е вид зловреден софтуер, който криптира ценни данни и изисква заплащане на откуп в замяна на декриптирането им.
  • За съжаление, почти всеки с онлайн присъствие може да стане жертва на атака с рансъмуер. Както личните устройства, така и корпоративните мрежи са често срещани цели на киберпрестъпниците.
  • Традиционните атаки с рансъмуер възникват, когато човек бъде подмамен да се ангажира със злонамерено съдържание, като например да отвори заразен имейл или да посети вреден уеб сайт, които инсталират рансъмуер на устройството му.
    При атака с рансъмуер, управляван от хора, група атакуващи се насочва и прави пробив в чувствителни данни на организация, обикновено чрез откраднати идентификационни данни.
    Обикновено както при рансъмуера, продукт на социално инженерство, така и при рансъмуера, управляван от хора, на жертвата или организацията ще бъде представена бележка за откуп, която описва подробно данните, които са откраднати, и цената за връщането им. Плащането на откупа обаче не гарантира, че данните действително ще бъдат върнати или че ще бъдат предотвратени бъдещи пробиви.
  • Ефектите от атака с рансъмуер може да са опустошителни. Както на индивидуално, така и на организационно ниво, жертвите може да се почувстват принудени да плащат високи откупи без гаранция, че техните данни ще бъдат върнати или че няма да възникнат по-нататъшни атаки. Ако киберпрестъпник изложи на показ чувствителна информация на дадена организация, репутацията ѝ може да бъде опетнена и тя да бъде сметната за ненадеждна. И в зависимост от типа на изтеклата информация и размера на организацията хиляди лица може да са изложени на риск да станат жертва на кражба на самоличност или други киберпрестъпления.
  • Киберпрестъпниците, които заразяват устройства на жертви с рансъмуер, искат пари. Те обикновено искат откупи в криптовалути поради тяхната анонимна и непроследима природа. Когато целта е физическо лице, откупът може да бъде стотици или хиляди щатски долари. Кампаниите с рансъмуер, управлявани от хора, често изискват милиони щатски долари.
  • Жертвите трябва да съобщават за атаките с рансъмуер на местните или федералните правоприлагащи органи. В Съединените щати това са вашият Местният полеви офис на ФБР, IC3 или Секретната служба. Експертите по защитата и правоохранителните органи препоръчват на жертвите да не плащат откупи – ако вече сте платили, незабавно се свържете с вашата банка и местните органи. Банката ви може да блокира плащането, ако сте платили с кредитна карта.

Следвайте Microsoft Security