Код Морзе и двойное вымогательство:состояние вредоносного ПО сегодня

Программы-вымогатели знакомы с корпоративными сетями, поскольку они сопряжены с огромными рисками и даже более серьезными усилиями по восстановлению, которые обходятся довольно дорого. Успешные атаки программ-вымогателей могут привести к блокировке систем, похищению личных данных и данных в заложниках, что может вызвать хаос и катастрофу для целевых организаций.
Когда программа-вымогатель достигает своей цели, игра практически заканчивается. Вредоносная программа шифрует файлы и распространяется по всей системе, чтобы максимизировать ущерб, что вынуждает многие компании блокировать сети, чтобы остановить распространение.

Хотя шифрование используется повсеместно, его не следует путать с хешированием или обфускацией файлов. Методы хеширования и запутывания полезны для обхода средств обнаружения, в то время как программы-вымогатели берут ваши данные в заложники из-за шифрования.

В каждом из них используются разные типы криптографии, от современных симметричных шифров до асимметричных шифров. Идея состоит в том, чтобы предотвратить любые обратные операции без ключа.

Многие штаммы вымогателей отображают после шифрования «специальную заметку», согласно которой единственный способ расшифровать файлы - это отправить биткойны в кошелек злоумышленников. Однако, как мы знаем, некоторые формы программ-вымогателей являются дешифровать, и выкуп не нужно платить, или бремя не должно ложиться исключительно на киберстрахование. Например, Jigsaw, древняя форма вредоносного ПО, впервые созданная в 2016 году, содержит ключ, используемый для шифрования файлов в исходном коде. Недавно мы снова увидели этот тип атаки в этом году в коде Морзе, доказав, что, несмотря на то, что вредоносное ПО продолжает развиваться, преступники будут использовать все, что работает, а это означает, что предприятиям необходимо знать не только о новых угрозах, но и о старых способах атак.

Недавние атаки не просто шифруют данные. Вредоносная программа также может извлекать важную информацию перед шифрованием. По мере того как защита от программ-вымогателей улучшается, особенно со стратегиями удаления и восстановления, хакеры обращаются к использованию украденных данных в качестве нового рычага, чтобы они по-прежнему могли угрожать жертвам, если они не заплатят выкуп, создавая двойную угрозу вымогателей.

Недавно мы наблюдали, как злоумышленники применяют модель «двойного вымогательства», при которой они шифруют данные цели и не только требуют выкуп за ее возврат, но и используют дополнительные платежные стимулы, чтобы заставить жертву заплатить выкуп. Некоторые злоумышленники даже используют более адресный подход и угрожают публично опубликовать или продать данные с аукциона, если жертва не заплатит, ситуация, которая подчеркивает риск несоблюдения требований Общего регламента ЕС по защите данных (GDPR) и сотни данных политика конфиденциальности и законы. Двумя такими примерами являются Conti и REvil, оба из нашего списка самых опасных вредоносных программ на 2021 год, которые, как известно, публикуют утечки данных на темных веб-сайтах, если выкуп не выплачивается.

Важнейший способ повышения киберустойчивости - способности противостоять атакам и обеспечения непрерывного доступа к данным - это наличие надежной стратегии резервного копирования. Однако усилия могут оказаться бесполезными, если организации забудут четко перечислить и идентифицировать свои требования, а затем не будут регулярно проверять свои процедуры, чтобы предотвратить массовые отказы в самые худшие моменты.

Защита данных - это снижение рисков, и вам нужно задать себе несколько ключевых вопросов, чтобы составить наиболее полный план:

• Как ваши данные связаны с вашими бизнес-операциями или доходами и нужно ли их архивировать?
• Хранятся ли данные в устаревшей системе, где они могут подпадать под действие нормативной базы, которая может подвергнуть ваш бизнес штрафным санкциям в случае утечки данных?
• Без каких данных не может функционировать ваш бизнес?
• Сколько времени может потребоваться для восстановления этих данных?
• Сколько может стоить полное восстановление?

Киберпреступники будут продолжать совершенствовать свои подходы и экспериментировать с различными бизнес-моделями, поскольку эволюционные атаки программ-вымогателей создают огромную нагрузку на доступность сервисов и потоков данных.

В то время как эти злоумышленники, без сомнения, будут продолжать искать дополнительные способы давления на жертв, чтобы максимизировать их шансы на получение оплаты, вы можете получить возможность сохранить то, что является для вас наиболее ценным сегодня, путем развертывания эффективных методов обеспечения киберустойчивости как сейчас, так и в будущем.

Дэвид Дюфур, вице-президент по кибербезопасности и анализу угроз с Компании Webroot и Carbonite, OpenText.