Программы-вымогатели и их влияние на ваш бизнес

Виды программ-вымогателей

Есть несколько видов программ-вымогателей. Одни атакуют малый и средний бизнес, другие ориентированы на большие корпорации и государственные медицинские службы. Размер выкупа тоже может отличаться и составлять от сотен долларов до миллионов.

Программа-вымогатель Cryptolocker

Программа Cryptolocker была активна с 2013 года. Считается, что это первый пример программы-вымогателя со времен самой ранней атаки в 1989 году. После внедрения криптовалют в 2010-х киберпреступники получили возможность требовать выкуп с помощью платежа, который нельзя отследить. Cryptolocker — первая программа-вымогатель, использовавшая передовое шифрование и включавшая сообщение с требованием выкупа в биткойнах.

Эта вредоносная программа осуществляла атаки с сентября до мая следующего года, заразив 250 000 устройств. Преступники получили не менее 3 млн долларов США. Cryptolocker обнаруживается после появления на экране сообщения с требованием выкупа.

Программа-вымогатель Ryuk

Программа-вымогатель Ryuk появилась в 2018 году. Она основана на уже существовавшемтрояне Hermes, об использовании которого стало впервые известно в 2017 году. Троян Hermes использовался для атаки группой киберпреступников, спонсируемой Северной Кореей. Но сегодня сложилось убеждение, что вредоносная программа была разработана в России.

В 2021 году был обнаружен новый вариант программы Ryuk, напоминавший червя. Он мог автоматически перемещаться с устройства на устройство, распространяя копии уникальных версий самого себя.

Программа-вымогатель WannaCry

Понять, что ваше устройство заражено программой-вымогателем WannaCry, очень просто: появляется сообщение «Oops, your important files are encrypted» (Ой, ваши важные файлы зашифрованы). Впервые эта атака была использована в 2017 году, когда за один день оказалось заражено более 230 000 компьютеров.

При каждой атаке киберпреступники требовали за расшифровку файлов 300 долларов США в биткойнах. Если требование не выполнялось вовремя, сумма удваивалась. Вредоносная программа WannaCry также основана на модели червя и может автоматически перемещаться по сетям.

Программа-вымогатель Sodinokibi

Sodinokibi — это семейство программ-вымогателей, ориентированных на устройства с ОС Windows. После заражения программой-вымогателем Sodinokibi (другое название — REvil) на экране появляется требование выкупа в биткойнах в обмен на расшифровку всех файлов. Это вредоносное ПО выбирает целью все данные на устройстве, кроме перечисленного в его файле конфигурации. Впервые программа была использована в 2019 году.

Программы-вымогатели Dharma и Phobos

Программа-вымогатель Dharma (другое название — CrySiS) известна своими атаками на малый и средний бизнес. Она запрашивает меньший выкуп, чтобы увеличить вероятность платежа жертвой.

Эта программа-вымогатель обычно атакует через протокол удаленного рабочего стола. Впервые ее обнаружили в 2016 году. Данное вредоносное ПО стало основой для программы-вымогателя Phobos, работающей сходным образом.

Программа-вымогатель Petya

Цель программы-вымогателя Petya — зашифровывать файлы, обеспечивающие функциональность. И если другие вредоносные программы шифруют определенные критически важные данные, Petya может сделать мишенью весь жесткий диск, в результате чего устройство станет неработоспособным. Впервые эта программа-вымогатель была использована в 2016 году, но настоящая известность пришла к ней в 2017 с появлением нового варианта — GoldenEye.

Программа-вымогатель Cerber

Cerber — это пример программы-вымогателя, предоставляемой как услуга (ransomware-as-a-service, RaaS), основанной на модели предоставления программного обеспечения как услуги. Создатели этого вредоносного ПО предоставляют лицензию на Cerber другим киберпреступникам в обмен на долю выкупа. После заражения на экране устройства отображается сообщение от Cerber с требованием выкупа. Кроме того, это вредоносное ПО может зашифровать файлы во всех несопоставленных папках с общим сетевым доступом.

Программа-вымогатель Locky

Впервые программа-вымогатель Locky была обнаружена в 2016 году. Она распространялась по электронной почте. Программа получила известность после атаки на больницу в Лос-Анджелесе с требованием выкупа в размере 17 000 долларов США. За этим последовали атаки на многие другие медицинские организации. Но после первой волны громких атак с помощью Locky не наблюдалось.

Примеры атак программ-вымогателей

Программы-вымогатели оказали огромное влияние на цифровой мир, выманив у жертв миллиарды долларов за прошедшие годы. Давайте рассмотрим несколько примеров наиболее крупных, самых разрушительных и дорогостоящих атак вымогателей.

• Сентябрь 2013 года, Cryptolocker. Вредоносное ПО Cryptolocker стало первой программой-вымогателем, получившей такое название после AIDS Trojan в 1989 году. Чтобы остановить его, потребовалось привлечь Интерпол и ФБР.
• Май 2017 года, NHS. Во время глобальной атаки WannaCry Национальная служба здравоохранения (National Health Service, NHS) Великобритании стала жертвой одной из самых разрушительных программ-вымогателей в истории страны. Системы перестали работать, приемы были отменены, а сотрудникам пришлось перейти на ручки и бумагу. Всего атака WannaCry затронула 200 000 компьютеров в 150 странах. Общий ущерб составил 4 млрд долларов США, из которых 120 млн (или 92 млн фунтов) пришлось на NHS.
• Март 2018 года, Атланта. Власти этого города в штате Джорджия подверглись атаке программы-вымогателя SamSam в 2018 году. На восстановление после атаки властям пришлось потратить даже больше денег (2,6 млн долларов США), чем требовали вымогатели (около 50 000 долларов США).
• Май 2019 года, Балтимор. Хакеры атаковали город Балтимор в 2019 году с помощью программы-вымогателя RobbinHood. Она поразила большинство компьютеров городских властей. Киберпреступники запросили 13 биткойнов (76 280 долларов США), заявив, что в случае неуплаты в течение четырех дней сумма будет расти, а через 10 дней все данные будут безвозвратно удалены. Со временем городу удалось восстановить системы без уплаты выкупа.
• Июнь 2020 года, Калифорнийский университет в Сан-Франциско. Колледж заплатил 1,14 млн долларов США после месяца борьбы с программой-вымогателем Netwalker. Изначально сумма выкупа составляла 4 млн, но университет смог выторговать скидку.
• Сентябрь 2020 года, DUC. Атака Ryuk на Университетскую клинику Дюссельдорфа (Düsseldorf University Clinic, DUC) в Германии привела к смерти пациента, который не смог получить необходимый уход.
• Апрель 2021 года, Quanta. Недавно вымогатели с помощью программы Sodinokobi атаковали компанию Quanta — производителя Macbook. От нее потребовали выкуп в размере 50 млн долларов США. Компания отказалась платить, и киберпреступники опубликовали информацию о Macbook.

Стоимость атак программ-вымогателей

Атака программы-вымогателя будет иметь плохие последствия для финансов вашей компании, и дело не только в выкупе. Вы можете столкнуться со штрафами от регуляторов конфиденциальности данных или потерять бизнес из-за утраты доверия клиентов.

Данные Cybersecurity Ventures показывают, что стоимость одних только глобальных атак программ-вымогателей в 2021 году составила 20 млрд долларов США, а бизнес подвергался атакам вредоносного ПО каждые 11 секунд. Кроме того, европейские компании сталкиваются с дополнительными штрафами за нарушение Общего регламента по защите данных (GDPR) из-за недостаточных мер безопасности. В 2020 году компания British Airways получила от регулятора штраф на сумму 20 млн фунтов (26 млн долларов США). Изначальная же сумма штрафа составляла и вовсе 183 млн фунтов (239 млн долларов США).

Но потеря денег — это еще не все. У многих компаний (особенно небольших) возникают трудности с восстановлением. Около 60 % малых компаний закрываются, став жертвой утечки данных. В 2020 году компания The Heritage Company из Арканзаса, занимавшаяся телемаркетингом, закрылась после утечки данных в результате атаки программы-вымогателя 2019 года. Последствия атак программ-вымогателей могут серьезно повлиять на бизнес и привести как к расходам на противостояние атаке и восстановление, так и к потере клиентов.

Как программа-вымогатель проникает в компанию?

Если у компании нет надежных мер защиты, она становится уязвимой для кибератак.

Недостаточное обучение сотрудников — ключевая причина уязвимости бизнеса. Если сотрудники не знают, как распознать подозрительное письмо, обнаружить программу-вымогателя и доложить о проблеме, они подвергают риску заражения устройства и всю сеть. Сотрудники могут не понимать, что их устройства открыты для атак, или не осознавать риски от программ-вымогателей для Mac и Linux. У двух этих поставщиков сложилась определенная репутация, и считается, что их встроенная защита надежнее, чем у Windows, но они также не имеют иммунитета от киберугроз.

Сторонние приложения тоже могут стать точкой входа, через которую киберпреступники проникнут в вашу сеть. Получить доступ к приложению может быть проще, чем к вашей системе. Затем его можно использовать, чтобы заразить устройства вредоносным ПО.

Сотрудники могут создавать уязвимости, но у защищенной компании в наличии должен быть действующий антивирусный инструмент, способный защищать от случайно загруженных потенциально вредоносных программ. ПО необходимо регулярно обновлять (или устанавливать исправления) для устранения ошибок и уязвимостей. Программы без установленных исправлений могут открыть бреши в вашей обороне.

Как предотвратить атаку программ-вымогателей

Существует много эффективных способов защитить свой бизнес от атаки программ-вымогателей и не стать их жертвой. Как и в случае многих других кибератак, преступники получают доступ к сети из-за ненадлежащих подходов к работе в сфере ИТ. Приведем ниже несколько примеров.

• Недостаточный уровень обучения персонала
• Ненадежные учетные данные
• Предоставление излишних прав доступа сторонним приложениям
• Отсутствие эффективного брандмауэра
• Неиспользование антивируса
• Программы без обновлений и исправлений

Вот почему операционная безопасность крайне важна. Обучение сотрудников и надежность учетных данных неотделимы друг от друга. Персонал нужно научить, как правильно получать доступ к сети, особенно при удаленной работе, как распознавать фишинговые письма, сообщать о подозрительных действиях и создавать надежные пароли. Все это необходимо прописать в плане обеспечения бесперебойной работы. Профилактика — лучшее лекарство, но также важно иметь планы восстановления ИТ-системы и работы компании в кризисной ситуации. Другие ключевые меры для предотвращения атак программ-вымогателей приведены ниже.