Быстрое развитие индустрии программ-вымогателей
Life-Hack [Жизнь-Взлом]/Хакинг
Индустрияпрограмм-вымогателей взрывается. Для киберпреступников это выгодно, с низким уровнем риска и легко доступно. Для генеральных директоров это кошмар, который вызывает в воображении образы отключенных сетей, потерянной производительности, плохой прессы и гневных звонков от членов совета директоров. Каждый день кажется, что появляется история о новой жертве или варианте вымогателя. Не проходит и недели, чтобы не услышать о новой атаке от пострадавшего клиента или от кого-то в нашей личной жизни, кто заразился этим оружием массового вымогательства.
Ransomware — это тип вредоносного ПО, которое блокирует доступ пользователя к своим данным или программам до тех пор, пока киберпреступникам не будет выплачен выкуп. Control Risks, Dell, Symantec и Forcepoint относят программы-вымогатели к числу своих главных киберугроз за 2016 год.1 2 3 4 В мае Группа по обеспечению готовности к чрезвычайным ситуациям в США (US-CERT) и Канадский центр реагирования на киберинциденты (CIRCC) выпустили совместное предупреждение о растущей опасности программ-вымогателей для предприятий и частных лиц.5 Кроме того, в 1 квартале 2015 года в McAfee Labs наблюдалось увеличение числа программ-вымогателей на 165%. Из-за своей распространенности и прибыльности программы-вымогатели становятся неизбежными.
Как следует из названия этой статьи, программы-вымогатели — это индустрия. Как и в любой отрасли, есть прибыль, клиенты и конкуренты. В результате операторы программ-вымогателей стремятся максимизировать рентабельность инвестиций (ROI), успешно привлечь своих клиентов и завоевать долю рынка. В этой статье будет рассмотрен рост индустрии программ-вымогателей через призму бизнеса. Он также предоставит стратегии смягчения последствий, обобщит основные события и рассмотрит, куда может идти угроза.
СПРАВОЧНАЯ ИНФОРМАЦИЯ
Устройства заражаются программами-вымогателями, когда пользователь неосознанно посещает зараженный веб-сайт или открывает вредоносное вложение электронной почты. Оплата обычно требуется в биткойнах, с выкупом в размере от 300 до 500 долларов США для частных лиц и намного выше для предприятий и других организаций.
Существует два основных типа программ-вымогателей: блокировка и шифрование. Блокировка программ-вымогателей просто блокирует доступ к файлам и приложениям, в то время как шифровальщик применяет алгоритм шифрования для скремблирования данных, что делает их непригодными для использования без ключа расшифровки.
Как только устройство заражено, появляется сообщение, инструктирующее пользователя произвести оплату за разглашение своих данных. На этом этапе запаниковавший пользователь вступает в следующий болезненный процесс принятия решений (см. рисунок 1).
Иногда у жертвы будет система резервного копирования данных, только чтобы обнаружить, что она не обновлялась более года или, что еще хуже, также повреждена программами-вымогателями. В результате ключом к смягчению этой угрозы является наличие текущих, безопасных резервных копий, которые регулярно обновляются, но не постоянно подключаются к сети, где они могут быть заражены.
Многие из сегодняшних операторов программ-вымогателей, вероятно, являются теми же людьми, которые стоят за эпидемией фармацевтического спама в начале 2000-х годов, когда спамеры забивали почтовые ящики фармацевтическими предложениями.6 Эти (в основном бывшие советские) киберпреступники были экспертами в области спама и социальной инженерии, которые являются двумя важными навыками для крупных фишинговых кампаний, которые имеют решающее значение для успешных операций вымогателей.
Для борьбы с угрозой фармацевтического спама сотрудники правоохранительных органов нацелились на так называемые пуленепробиваемые хостинговые услуги, хитрых фармацевтических поставщиков и всемирные системы обработки платежей. Но рост Bitcoin и Tor делает это почти невозможным. В настоящее время нет никакого способа остановить поток денег, и очень трудно определить, где размещены незаконные службы, чтобы закрыть их.
ИЗВЕСТНЫЕ СЛУЧАИ ВЫМОГАТЕЛЕЙ
В 2014 году киберпреступники пытались вымогать у города Детройт 800 000 долларов. Городские власти сочли файлы некритичными и отказались платить.7
Полицейские департаменты также кажутся привлекательными целями для операций вымогателей, причем полиция в Иллинойсе, Мэне, Массачусетсе и Теннесси стала жертвой за последние два года.8 В 2015 году местные полицейские департаменты в Иллинойсе и Массачусетсе были вынуждены платить выкупы, когда их данные были захвачены CryptoLocker и Cryptoware соответственно (полицейский департамент в Массачусетсе получил помощь от ФБР, Министерства внутренней безопасности и двух отдельных консалтинговых компаний по кибербезопасности).9 В обоих случаях резервные копии также были повреждены.10
В этом году школьный округ Южной Каролины заплатил 10 000 долларов в биткойнах, чтобы восстановить доступ к своим серверам после того, как они были заражены программами-вымогателями.11 Между тем, образцовый школьный округ в Нью-Джерси отказался платить своим кибер-вымогателям после заражения программами-вымогателями, поскольку они смогли восстановить свои серверы из резервных копий.12 Эти два случая иллюстрируют важность поддержки безопасного автономного резервного копирования.
Также в этом году мы стали свидетелями нескольких громких атак программ-вымогателей на медицинские центры.13 В результате нападений не сообщалось о гибели людей, но нацеливание на такую критическую отрасль нашло отклик у общественности. Эти истории широко освещались в прессе, и политики начали выступать против нападений. Тем не менее, по мере роста ransomware-as-a-service (RaaS), все больше людей смогут участвовать в операциях вымогателей, и это только вопрос времени, когда серьезные реальные последствия произойдут от заражения вымогателями.
ИНДУСТРИЯ ПРОГРАММ-ВЫМОГАТЕЛЕЙ
Как указывалось в прошлом, сектор киберпреступности развивается аналогично законным отраслям. Это бизнес, движимый экономикой; операторы ориентированы на прибыль и сталкиваются с жесткой конкуренцией. Таким образом, мы видели, как киберпреступники диверсифицируют свою деятельность, сегментируют свои целевые рынки и улучшают обслуживание клиентов, чтобы завоевать больше бизнеса.
Оплата обычно требуется в биткойнах, которые большинство людей никогда не использовали. В результате кибер-вымогатели предоставляют явные пошаговые инструкции, чтобы направлять жертв через процесс, причем одна операция даже предлагает опцию чата.14 Кибер-вымогатели склонны рассматривать своих жертв почти как клиентов, поэтому чем лучше предоставляется обслуживание клиентов, тем больше вероятность того, что их жертвы заплатят выкуп.
Операции с программами-вымогателями очень прибыльны. В отчете компании по ИТ-безопасности Trustwave за 2015 год оценивалась рентабельность инвестиций (ROI) в 1 425% для операций с программами-вымогателями.15 При среднем спросе на выкуп колеблется около 300-500 долларов, это не займет много времени, чтобы выйти на безубыточность. Прибыльность зависит от количества людей, готовых платить выкупы, и они платят, особенно в более богатых западных странах, где жертвы с гораздо большей вероятностью отправляют преступникам деньги, чтобы восстановить доступ к своим данным.
Недавний опрос, проведенный румынской охранной компанией Bitdefender, показал, что 33% немецких жертв вымогателей платили злоумышленникам за восстановление своих данных, по сравнению с 44% в Великобритании и 50% в США.16 McAfee ставит мировую цифру намного ниже, при этом около 7% жертв платят.17 Истинный уровень оплаты, вероятно, находится где-то посередине, но в любом случае легко понять, почему операции вымогателей так привлекательны для киберпреступников.
Быстрая эволюция операций вымогателей указывает на растущий уровень инноваций со стороны киберпреступников, стремящихся найти новые способы получения прибыли от этих атак. С этой целью рынок программ-вымогателей как услуг (RaaS) начал появляться в 2015 году, с несколькими вариантами, выпущенными для продажи на форумах киберпреступников. Снижение стоимости развертывания атак программ-вымогателей, вероятно, приведет к расширению выбора целей, поскольку киберпреступники диверсифицируют свои операции, чтобы увеличить вероятность успеха.
По мере того, как рынок программ-вымогателей созревает, он, вероятно, продолжит сегментироваться. Наряду с широко распространенными атаками «распыляй и молись», направленными на заражение как можно большего количества устройств, мы должны увидеть увеличение более целенаправленных атак. Для достижения этой цели злоумышленникам необходимо будет исследовать отдельных жертв для выявления уязвимых целей с более высокой потенциальной рентабельностью инвестиций.
ПРОГРАММА-ВЫМОГАТЕЛЬ КАК УСЛУГА
Хотя частота атак резко возросла за последние три года, программы-вымогатели существуют уже более десяти лет, в основном нацеленные на развитые страны, где предприятия и частные лица с большей вероятностью будут платить более высокие выкупы.
В то время как таргетинг изменился, а уровень сложности увеличился, самым большим недавним событием является появление программ-вымогателей как услуг (RaaS). Продаваемые на форумах киберпреступников в даркнете, Атаки RaaS настраиваются, предлагая возможность выбирать цели и устанавливать условия выкупа. Это позволяет киберпреступникам, которые не имеют необходимых навыков, разрабатывать свои собственные операции вымогателей с учетом их потребностей.
СМЯГЧЕНИЕ
В то время как атаки программ-вымогателей становятся все более изощренными, это не означает, что жертвы бессильны. В этом разделе описываются действия, которые люди и организации могут предпринять для смягчения угрозы, начиная с безопасного резервного копирования критически важных данных.
Если данные не защищены, жертвам программ-вымогателей, как правило, предоставляется два варианта: заплатить выкуп или потерять свои данные. Тем не менее, есть редкие случаи, когда ключи шифрования вымогателей были взломаны. В 2014 году шифрование печально известного вредоносного ПО Cryptolocker было взломано исследователями безопасности, которые предоставили ключи расшифровки многим освобожденным жертвам.18 Совсем недавно программа-вымогатель Petya, которая шифрует загрузочную запись компьютера (делая устройство бесполезным), была взломана исследователем безопасности, который разработал приложения, которые могли взломать пароль вредоносного ПО и получить ключи расшифровки.19
Тем не менее, предполагать, что решение будет доступно в случае заражения, очень рискованно. Помимо того, чтобы не заразиться в первую очередь, ваш лучший курс действий - это безопасное резервное копирование ваших данных. Кроме того, компаниям рекомендуется использовать белые списки приложений, обновлять все исправления программного обеспечения и определения антивирусов, а также ограничивать доступ пользователей к сети и возможность установки нежелательных (потенциально вредоносных) программ. Это лучшие методы защиты от программ-вымогателей в их текущем состоянии.
КУДА ДВИЖЕТСЯ ИНДУСТРИЯ ПРОГРАММ-ВЫМОГАТЕЛЕЙ?
Индустрия программ-вымогателей быстро развивалась в течение последних трех лет. Сочетание высокой доходности, низкого риска и низких барьеров для входа, вероятно, приведет к выходу на рынок растущего числа игроков. Это приведет к усилению конкуренции среди кибер-вымогателей за цели и побудит киберпреступников адаптировать свои операции (улучшенное обслуживание клиентов, более трудное в обнаружении вредоносное ПО) и таргетинг (более целенаправленные атаки с просьбой о большем количестве денег, экспансия в новые сектора).
Также полезно понимать программы-вымогатели в контексте их технологий. Точно так же, как взрывной рост YouTube был бы невозможен без появления широко распространенного широкополосного интернета, рост вымогателей, возможно, был бы невозможен без Биткойна, затрудняющего отслеживание средств, и Tor, делающего почти невозможным идентификацию преступников.
С точки зрения таргетинга, ПК изначально были основными жертвами программ-вымогателей. Позже мы начали видеть зараженные телефоны и серверы. В 2015 году кибер-вымогатели начали блокировать людей на веб-сайтах, шифруя файлы страниц, изображения и каталоги до тех пор, пока не будет выплачен выкуп.20 Проецируясь дальше в будущее, быстрое расширение Интернета вещей (IoT) может привести к тому, что кибер-вымогатели закроют людей из их автомобилей, домов или холодильников. Кроме того, мы также должны начать видеть, как киберактивисты используют операции вымогателей для продвижения политических программ.
Хотя много было написано о цене для жертв атак вымогателей, понимание стоимости для злоумышленников является ключом к устранению этой угрозы. Хотя в Нидерландах, Испании, Великобритании и США было несколько громких арестов, кибер-вымогатели до сих пор были очень эффективны в уклонении от захвата и судебного преследования.21,22,23
Из-за низкой стоимости, высокой прибыли и низкого риска создания успешной схемы вымогателей, законы экономики диктуют, что преступники будут все чаще заниматься этой деятельностью, поскольку прибыльные операции вымогателей приглашают подражателей. Наконец, с ростом RaaS барьеры для входа на этот рынок стали ниже, чем когда-либо.
Каждую неделю открываются новые измерения индустрии программ-вымогателей, и ситуация продолжает быстро развиваться. Недавно появился новый рынок программ-вымогателей, который помогает облегчить платежи в биткойнах между злоумышленниками и жертвами.24 Как и любой прибыльный рынок с низкими барьерами для входа, конкурентная индустрия программ-вымогателей стимулирует инновации. До тех пор, пока тенденции, описанные выше, сохраняется, индустрия программ-вымогателей будет оставаться серьезной проблемой кибербезопасности.