Что такое программы-шантажисты?

Программы-шантажисты бывают двух основных разновидностей: шифровальщики и блокировщики, которые, в свою очередь, делятся на несколько подтипов.

Программы-шантажисты — шифровальщики
При атаке программы-шантажиста — шифровальщика злоумышленник шифрует важные данные или файлы. Жертвы лишаются доступа к ним до тех пор, пока не заплатят выкуп. Теоретически после оплаты злоумышленник предоставляет ключ расшифровки, дающий жертве доступ к файлам или данным, однако гарантии нет. Многие организации окончательно потеряли доступ к своим файлам, несмотря на то, что заплатили выкуп.

Программы-шантажисты — блокировщики
При использовании программы-шантажиста — блокировщика злоумышленники блокируют доступ жертвы к устройству и выводят на экран устройства сообщение о том, что оно заблокировано, с инструкциями о том, как заплатить выкуп, чтобы восстановить доступ. Такие программы-шантажисты обычно не шифруют данные, поэтому при восстановлении доступа к устройству важные файлы и сведения сохраняются. Программы-шантажисты — блокировщики обычно применяются на мобильных устройствах.

Эти две основные формы программ-шантажистов разделяются на следующие подтипы:

Запугиватели
Программа-запугиватель использует страх, чтобы заставить жертву заплатить выкуп. В кибератаках этого типа злоумышленники выдают себя за представителей правоохранительных органов и отправляют жертве сообщение, в котором обвиняют ее в преступлении и требуют выплатить штраф.

Разоблачители
С помощью программ-разоблачителей злоумышленники похищают личные сведения и грозятся опубликовать их, если жертва не заплатит.

Программы-шантажисты с двойным вымогательством
При использовании программ-шантажистов с двойным вымогательством злоумышленники не только шифруют файлы, но и похищают конфиденциальные данные и грозятся опубликовать их, если не получат выкуп.

Вайперы
Вайперы требуют выкуп и грозятся в случае неуплаты уничтожить все данные жертвы.

Большинство атак программ-шантажистов состоят из трех шагов.

1. Получение доступа
Для получения доступа к конфиденциальным данным компании злоумышленники используют различные методы. Один из наиболее распространенных — фишинг, когда злоумышленники используют электронную почту, SMS или телефонные звонки, чтобы обманным путем заставить жертву раскрыть свои учетные данные или загрузить вредоносные программы. Злоумышленники также могут заманить сотрудников компаний и других пользователей на вредоносные веб-сайты, использующие так называемый пакет эксплойта для автоматического скачивания вредоносных программ и установки их на устройство пользователя.

2. Шифрование данных
После того как злоумышленники, использующие программу-шантажист, получают доступ к конфиденциальным данным, они копируют их и уничтожают исходный файл вместе с любыми резервными копиями, к которым им удалось получить доступ. Затем они шифруют свою копию и создают ключ расшифровки.

3. Требование выкупа
После того как данные становятся недоступными, программа-шантажист выводит окно с сообщением, что данные зашифрованы, и требует денег (как правило, в криптовалюте) в обмен на ключ расшифровки. Злоумышленники, стоящие за атакой, также могут пригрозить публикацией данных, если жертва отказывается платить.

Помимо непосредственного перерыва в операциях компании, последствия атаки программы-шантажиста могут включать в себя значительные финансовые убытки, репутационный ущерб и долгосрочные проблемы в работе.

Финансовые последствия
Сумма выкупа может быть значительной и часто достигает миллионов долларов. При этом нет гарантии, что злоумышленники в самом деле предоставят ключ расшифровки или что он будет работать правильно.

Даже если организация откажется платить выкуп, это может все равно привести к большому финансовому ущербу. Нарушение, вызванное атакой программы-шантажиста, может привести к длительному перерыву в работе компании, что негативно влияет на производительность и потенциально приводит к потере дохода. Восстановление после атаки ведет за собой дополнительные расходы, включая затраты на расследование, оплату труда юристов и инвестиции в улучшенные меры безопасности.

Репутационный ущерб
Клиенты и партнеры могут потерять доверие к компании, которая подверглась атаке, что может привести к снижению уровня лояльности клиентов и уменьшению притока новых клиентов в будущем. Крупномасштабные атаки часто привлекают внимание прессы, что может привести к ущербу для репутации и имиджа бренда компании.

Операционные проблемы
Даже при наличии резервных копий данных существует риск их потери или повреждения, что в свою очередь прерывает работу бизнеса и снижает эффективность операций. Компания также может понести наказание в соответствии с юридическими и нормативными актами за необеспечение защиты конфиденциальных данных, особенно если на нее распространяются такие правила защиты данных, как Общий регламент по защите данных в Европейском Союзе или Закон Калифорнии о конфиденциальности потребителей.

Многие из наиболее распространенных атак программ-шантажистов, управляемых человеком, выполняются группами злоумышленников, работающих по бизнес-модели "программа-шантажист как услуга".

 

• Программа-шантажист LockBit, которая появилась в 2019 г., с тех пор использовалась для атаки в различных секторах, в том числе финансов, здравоохранения и промышленного производства. Эта программа-шантажист известна своей способностью самостоятельно распространяться в сетях, что делает ее особенно опасной. Злоумышленники, использующие LockBit, совершают многочисленные крупные атаки, используя сложные методы для шифрования данных и требования выкупа. 
• Атаки с использованием программы BlackByte часто связаны с двойным вымогательством, когда киберпреступники шифруют и крадут данные, требуя выкуп и грозя публикацией украденных данных в случае неуплаты. Эта программа-шантажист применяется для критичных секторов инфраструктуры, в том числе государственных и финансовых служб.
• Группа, стоящая за программой-шантажистом Hive, которая была активна с июня 2021 г. по январь 2023 г., использовала двойное вымогательство и, как правило, атаковала государственные учреждения и критичную инфраструктуру, включая медицинские учреждения. В 2022 г. ФБР проникло в сеть Hive, захватило ключи расшифровки и сорвало требования выкупа в размере более 130 миллионов долларов США. Это была значительная победа над киберпреступностью. 
• Программа-шантажист Akira — усовершенствованная вредоносная программа, которая появилась в начале 2023 года и нацелена как на системы Windows, так и на системы Linux. Злоумышленники используют Akira для получения первоначального доступа через уязвимости в службах VPN, особенно там, где не реализована многофакторная проверка подлинности. С момента появления Akira затронула более 250 организаций, при этом общая сумма выкупа, полученного злоумышленниками, составила 42 миллиона долларов США.

 

Если вы стали жертвой атаки с применением программы-шантажиста, вам доступен ряд действий для защиты и нейтрализации угрозы.

Изолируйте затронутые данные
Как только появится такая возможность, изолируйте взломанные данные, чтобы избежать проникновения программы-шантажиста в другие участки сети.

Запустите антивредоносные программы
После того как вы изолируете все зараженные системы, удалите программу-шантажиста с помощью антивредоносной программы.

Расшифровка файлов или восстановление резервных копий
По возможности используйте средства расшифровки, предоставляемые правоохранительными органами или исследователями в области безопасности, для расшифровки файлов без уплаты выкупа. Если расшифровка невозможна, восстановите файлы из резервных копий.

Сообщите об атаке
Сообщите об атаке в местные или федеральные правоохранительные органы. В США этоместное отделение ФБР, IC3 илиСекретная служба. Скорее всего, это не поможет вам непосредственно решить свою проблему. Но эта мера важна, поскольку помогает властям отслеживать различные виды атак. Предоставив описание своей ситуации правоохранительным органам, вы поделитесь важной информацией, позволяющей дополнить общую картину, найти и осудить злоумышленника или преступную группу.

С осторожностью отнеситесь к требованию выкупа
Вам покажется, что проще заплатить. Однако нет никакой гарантии, что злоумышленники сдержат слово и вернут вам доступ к данным. Специалисты в области безопасности и сотрудники правоохранительных органов рекомендуют жертвам не платить выкуп, так как в результате те подвергают себя угрозам дальнейших атак, а также фактически спонсируют преступную деятельность.

Исследователи в области безопасности ожидают, что в ближайшие годы сложность программ-шантажистов и частота атак будут расти. Развитие ИИ помогает киберпреступникам быстро автоматизировать и улучшать свои программы-шантажисты. Кроме того, в игру вступает все большее число технически несведущих злоумышленников, так как инструменты работы с программами-шантажистами на основе ИИ можно приобрести в "темном Интернете" или вступить в партнерство с организацией, предоставляющей программу-шантажист как услугу.

Более крупные и изощренные киберпреступные организации, в том числе разведки иностранных государств, также все чаще атакуют критичную инфраструктуру и цепочки поставок, что приводит к значительным перебоям в работе муниципальных образований и бизнесов. Эти организации злоумышленников часто выбирают жертвой правительственные учреждения, транспортные системы и медицинские организации, желая парализовать обслуживание населения.

Чтобы отреагировать на эти меняющиеся угрозы, организации берут на вооружение ИИ для кибербезопасности, который помогает быстро и эффективно обнаруживать атаки программ-шантажистов и реагировать на них. Эти технологии анализируют большие объемы данных для выявления закономерностей и аномалий, которые могут указывать на атаку программы-шантажиста. Многие из этих решений также могут автоматически реагировать на обнаруженные угрозы, сокращая время, необходимое для снижения последствий атаки.

Принцип безопасности "Никому не доверяй" также приобретает популярность для укрепления кибербезопасности и ограничения распространения программ-шантажистов и других вредоносных действий.