Що таке зловмисна програма з вимогою викупу?

Є два основних види зловмисних програм із вимогою викупу: шифрувальники та блокувальники, які у свою чергу поділяються на кілька підтипів.

Зловмисні програми-шифрувальники з вимогою викупу
Під час атаки зловмисною програмою-шифрувальником із вимогою викупу зловмисник зашифровує важливі дані або файли жертви, позбавляючи її доступу до них, доки не буде сплачено викуп. Теоретично, коли жертва заплатить, зловмисник передає ключ розшифровки, який надасть доступ до файлів або даних, однак гарантій немає. Багато організацій назавжди втратили доступ до своїх файлів навіть після сплати викупу.

Зловмисні програми-блокувальники з вимогою викупу
У зловмисних програмах-блокувальниках зловмисники блокують доступ до пристрою жертви й показують їй на екрані вимогу викупу з інструкціями про те, як заплатити викуп, щоб відновити доступ до нього. Зазвичай такі зловмисні програми з вимогою викупу не виконують шифрування, тому щойно жертва відновить доступ до пристрою, вона гарантовано отримає свої делікатні файли та дані. Зловмисні програми-блокувальники з вимогою викупу зазвичай використовуються на мобільних пристроях.

Ці дві основні форми зловмисної програми з вимогою викупу належать до наведених нижче підтипів.

Підробний антивірус
Підробний антивірус використовує страх, щоб змусити людей заплатити викуп. У цих типах кібератак зловмисники видають себе за правоохоронні органи та надсилають жертві повідомлення зі звинуваченням у злочині й вимогою сплатити штраф.

Doxware
У Doxware зловмисники викрадають персональні дані та погрожують оприлюднити їх, якщо не буде сплачено викуп.

Подвійна зловмисна програма з вимогою викупу
У подвійних зловмисних програмах із вимогою викупу зловмисники не лише шифрують файли, але й викрадають конфіденційні дані та погрожують оприлюднити їх, якщо викуп не буде сплачено.

Вайпери
Вайпери погрожують знищити дані жертви, якщо вона не заплатить викуп.

Більшість атак зловмисних програм із вимогою викупу дотримуються трьох етапів.

1. Отримання доступу
Зловмисники використовують різні методи, щоб отримати доступ до конфіденційних даних компанії. Одним із найпоширеніших є фішинг, коли кіберзлочинці використовують електронну пошту, текстові повідомлення або телефонні дзвінки, щоб обманом змусити людей надати свої облікові дані або завантажити шкідливе програмне забезпечення. Зловмисники також атакують співробітників та інших користувачів за допомогою шкідливих веб-сайтів, які використовують так званий набір експлойтів для автоматичного завантаження й установлення шкідливого програмного забезпечення на пристрої жертви.

2. Шифрування даних
Як тільки зловмисники отримують доступ до конфіденційних даних, вони копіюють їх і знищують оригінальний файл разом з усіма резервними копіями, до яких вони мали доступ. Потім вони шифрують свою копію та створюють ключ дешифрування.

3. Вимагання викупу
Після того, як дані стають недоступними, зловмисна програма з вимогою викупу надсилає повідомлення через вікно сповіщення, у якому пояснює, що дані були зашифровані, і вимагає гроші, зазвичай у криптовалюті, в обмін на ключ для розшифрування. Зловмисники, які стоять за цими атаками, можуть також погрожувати оприлюднити дані, якщо жертва відмовиться платити.

Наслідки атаки зловмисної програми з вимогою викупу, окрім безпосереднього порушення роботи, можуть включати значні фінансові збитки, шкоду репутації та довгострокові операційні проблеми.

Фінансові наслідки
Вартість викупу може бути значною, часто сягати мільйонів доларів, і немає жодних гарантій, що зловмисники нададуть ключ розшифрування або що він буде працювати належним чином.

Навіть якщо організації відмовляться платити викуп, усе одно можуть бути великі фінансові витрати. Порушення, спричинені атакою зловмисної програми з вимогою викупу, можуть призвести до тривалого простою, що впливає на продуктивність і потенційно може призвести до втрати прибутку. Відновлення після атаки пов’язане з додатковими витратами, включаючи витрати на криміналістичні розслідування, судові витрати та інвестиції в покращення заходів безпеки.

Репутаційні збитки
Клієнти та партнери можуть втратити довіру до компанії, яка була скомпрометована, що призведе до зниження лояльності клієнтів і потенційної втрати майбутніх угод. Гучні атаки часто привертають увагу ЗМІ, що може зашкодити репутації та іміджу компанії.

Операційні проблеми
Навіть за наявності резервних копій існує ризик втрати або пошкодження даних, що може вплинути на безперервність бізнесу та операційну ефективність. Компанії також можуть зіткнутися з юридичними та регуляторними санкціями за нездатність захистити конфіденційні дані, особливо якщо вони підпадають під дію нормативних актів про захист даних, таких як Загальний регламент про захист даних у Європейському Союзі або Каліфорнійський закон про конфіденційність споживачів.

Багато з найгучніших атак із використанням зловмисних програм із вимогою викупу, керованих людиною, здійснюються групами зловмисників, які працюють за бізнес-моделлю "зловмисна програма з вимогою викупу як послуга".

 

• З моменту появи в 2019 році програма LockBit атакувала різні сектори, зокрема фінансові послуги, охорону здоров’я та виробництво. Ця зловмисна програма з вимогою викупу відома своєю можливістю саморозповсюдження в мережах, що робить її особливо небезпечною. Афілійовані особи LockBit відповідальні за численні гучні атаки, під час яких використовували складні методи шифрування даних і вимагали викупу. 
• Атаки BlackByte часто передбачають подвійне вимагання, коли кіберзлочинці шифрують і викрадають дані, погрожуючи опублікувати викрадені дані, якщо викуп не буде сплачено. Ця зловмисна програма з вимогою викупу використовується для визначення критично важливих секторів інфраструктури, включно з державними та фінансовими службами.
• Угруповання, яке стояло за зловмисною програмою з вимогою викупу Hive, що діяло в період із червня 2021 року по січень 2023 року, застосовувало подвійне вимагання та, як правило, націлювалося на державні установи й об’єкти критичної інфраструктури, зокрема медичні заклади. Значною перемогою у боротьбі з кіберзлочинністю стало проникнення ФБР у мережу Hive у 2022 році, захоплення ключів дешифрування та запобігання вимогам викупу на суму понад 130 мільйонів доларів США. 
• Зловмисна програма з вимогою викупу Akira – це складне шкідливе програмне забезпечення, активне з початку 2023 року, яке націлене на системи Windows і Linux. Зловмисники використовують Akira для отримання початкового доступу через вразливості у VPN-сервісах, особливо тих, що не мають багатофакторної автентифікації. З моменту своєї появи програма Akira завдала шкоди понад 250 організаціям і забрала близько 42 мільйонів доларів США у вигляді виручки від діяльності зловмисних програм.

 

Якщо ви стали жертвою атаки зловмисної програми з вимогою викупу, дотримуйтеся зазначених нижче вказівок для захисту й усунення наслідків.

Ізолюйте вражені дані
Якнайшвидше ізолюйте вражені дані, щоб дія зловмисної програми з вимогою викупу не поширилася на інші ділянки мережі.

Запустіть програму для захисту від шкідливого ПЗ
Після того, як ви ізолювали всі заражені системи, скористайтеся антивірусною програмою для видалення зловмисної програми з вимогою викупу.

Дешифруйте файли або відновіть резервні копії
Якщо можливо, використовуйте інструменти розшифровки, надані правоохоронними органами або дослідниками безпеки, щоб розшифрувати файли без сплати викупу. Якщо дешифрування неможливе, відновіть файли з резервних копій.

Повідомте про атаку
Зверніться до місцевих або федеральних правоохоронних органів і повідомте про атаку. У Сполучених Штатах це місцевий оперативний відділ ФБР,Центр розгляду скарг на шахрайство в Інтернеті (IC3) або Секретна служба. Хоча цей крок, імовірно, не вирішить ваші нагальні проблеми, він є важливим, оскільки вказані вище органи активно фіксують і відстежують різні атаки. Надання їм детальної інформації про ваш досвід може бути корисним у їхніх зусиллях із пошуку та переслідування кіберзлочинця або групи кіберзлочинців.

З обережністю ставтеся до вимог викупу
Хоча спершу може здатися, що виплата викупу вирішить усі проблеми, немає жодної гарантії, що кіберзлочинці дотримають слова й повернуть вам доступ до даних. Спеціалісти з питань безпеки й представники правоохоронних органів радять жертвам таких атак не платити викуп, оскільки це може спричинити подальші атаки на них і сприяти процвітанню злочинності.

Дослідники безпеки очікують, що в найближчі роки частота та складність зловмисних програм із вимогою викупу зростатимуть. Завдяки вдосконаленню штучного інтелекту кіберзлочинці можуть швидко автоматизувати та покращити свої зловмисні програми з вимогою викупу. І все більше людей з обмеженими технічними навичками вступають у гру, оскільки вони можуть придбати інструменти зловмисних програм із вимогою викупу на основі ШІ в темному інтернеті або співпрацювати з організаціями, що надають послуги з розробки таких програм.

Більші, досвідченіші кіберзлочинні організації, зокрема національні держави, також усе частіше атакують критично важливу інфраструктуру та ланцюги поставок, що призводить до значних перебоїв у роботі муніципалітетів та бізнесу. Ці організації часто націлені на уряди, транспортні системи та організації охорони здоров’я з метою паралізувати надання послуг.

Щоб протистояти цим новим загрозам, організації впроваджують штучний інтелект для кібербезпеки, який допомагає їм швидко та ефективно виявляти та реагувати на атаки зловмисних програм із вимогою викупу. Ці технології аналізують великий обсяг даних, щоб визначити закономірності та аномалії, які можуть свідчити про атаку зловмисної програми з вимогою викупу. Багато з цих рішень також можуть автоматично реагувати на виявлені загрози, зменшуючи час, необхідний для зменшення атаки.

Модель безпеки з нульовою довірою також набирає сили, щоб покращити кібербезпеку та обмежити поширення зловмисних програм із вимогою викупу та інших зловмисних дій.