Рансъмуер – тъмната страна на новите технологии
Рансъмуер (Ransomware) е в топ 5 на заплахите изобщо и значима опасност в сферата на киберсигурността. Зад тази многопластова чуждица се крие цял процес. Най-общо, това е зловреден софтуер, който криптира файловете и ги прави недостъпни, докато потребителите не платят откуп. Създаден е точно затова – за генериране на приходи от хора/ компании, които искат обратно данните си. Неприятната новина е, че повечето антивирусни програми не предпазват от рансъмуер. И тъй като няма 100% работещ метод за защита, комбинирането на различни възможности за защита и редовно архивиране са задължителни.
В Geletron имаме случаи на атаки срещу наши клиенти и от опит можем да Ви кажем, че превенцията остава най-добрата защита, поне засега. Минаваме за кратко в тъмната страна на киберпространството, за да Ви разкажем още за тази опасност.
Рансъмуерът е предназначен предимно за изнудване за пари, но може да се използва и за политически атаки. Примерът – кибератака NotPetya срещу Украйна през 2017 г. Най-предпочитаният метод за плащане на откуп е с криптовалута, тъй като се проследява трудно. Преди няколко години не допускахме, че рансъмуер засяга облака, но тази практика вече е обичайна.
Можем спокойно да кажем, че кибератаките с рансъмуер са си голям и доходоносен бизнес – толкова голям, че изследванията предвиждат до 2021 година атаки на всеки 11 секунди с разходи за щети в размер около 20 милиарда долара. За да си представите още по-добре мащабите на това „явление“, вижте какви са интересите на кибертерористите по сектори и по държави: https://www.blackfog.com/the-state-of-ransomware-in-2020/
Как се разпространява рансъмуерът?
От втората графика прави впечатление, че най-засегнати са водещи по чисто икономически показатели страни, където освен напредък на технологиите можем да отбележим и по-осъзнато потребителско мислене (т.е. целево прилагане на различни практики за защита). Оказва се обаче, че рансъмуер за момента успява да преодолее много от ограничения и да процъфтява. Защо? Защото като повечето зловредни софтуери е базиран на гъвкавостта и на не особено почтени практики в социалното инженерство.
Има много начини за заразяване с рансъмуер. Най-популярен е фишингът. Вероятно сте попадали на такъв и се надяваме да не сте се хванали на кукичката. Хората биват подвеждани да отварят злонамерени имейли и да кликват върху фалшиви връзки от sms или имейл или да свалят прикачен файл, който заразява компютъра с рансъмуер. Обикновено, съобщението изглежда надеждно, за да убеди потребителя да предприеме необходимите действия. Например имейл, представящ се за съобщение от компания за доставка на колети изпраща прикачен файл за пропусната доставка. Често използваните прикачени файлове са с разширения: .doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx, .pptm, .pdf, .js и .lnk. Тези файлове са в архивен файл като .zip, .rar или .7z.
Някои сложни видове рансъмуер заразяват системата „отвътре“. Типичен пример е WannaCry, който използва като носител операционната система Microsoft Windows. В крайна сметка, атаката засегна 200 000 компютри по целия свят и причини щети за стотици милиони долари.
Друг начин да „хванете” рансъмуера е да добавите или изтеглите фалшиво приложение, например от Play Store. Той работи чрез разрешения – самото изтегляне няма да зарази устройството или облака. Ако предоставите разрешения, които приложението иска, то ще зарази файловете. Например, фалшиво приложение за редактиране на снимки иска достъп до фотогалерия и след това я шифрира.
В миналото, най-популярният метод за заразяването на устройства е чрез физически носители – например USB.
Веднъж попаднал в устройството, рансъмуер си набавя подробности за операционната система, IP адреси, географско местоположение и разрешения за достъп на акаунта. Често се зарежда и допълнителен злонамерен софтуер на машината на потребителя, за да събира лична информация, интелектуална собственост, идентификационни данни и впоследствие те да се продават за допълнителни приходи. Престъпниците могат също да използват тази информация, за да предприемат допълнителни атаки, ако например рансъмуерът има права на администратор на домейн.
Когато рансъмуерът получи ключовете за шифроване, той започва да шифрова файлове. Тези файлове не са злонамерени и обикновено не се откриват или премахват от антивирусни програми. След като информацията е вече криптирана, той изпраща съобщение за откуп. За да упражни натиск при вземането на решение, рансъмуерът често включва часовник за обратно отброяване с краен срок за плащане на откупа или иначе ключът за дешифриране ще бъде унищожен, премахвайки всякакъв шанс за възстановяване.
Накрая, рансъмуерът се самоизтрива, за да се намалят шансовете компаниите за сигурност да се доберат до него и да го анализират.
В повечето случаи рансъмуерът не вреди на заразеното устройство. Ако все пак операционната система бъде засегната, това е по-скоро страничен ефект.
Видове рансъмуер
Рансъмуерът, често наричан CryptoLocker, CryptoDefense или CryptoWall има свои уникални функции и специален ключ за дешифриране.
Ето примери:
Заключващ екрана (Screen locker): блокират достъпа на потребителите до техните устройства. Обикновено потребителят се опитва да включи своя компютър, но се натъква на блокиран интерфейс. Клавиатурата, мишката и екранът са заключени. Единственото нещо, с което могат да си взаимодействат, е рансъмуерът. Например, той позволява на потребителя да въведе цифри в поле за своите банкови данни. Технически грамотните потребители могат да разберат как да го премахнат. Ето защо хакерите често използват трикове от социалното инженерство, за да притиснат жертвите да платят откуп.
Шифроващ рансъмуер (Encrypting ransomware): блокира достъпа до потребителски данни, като ги криптира. Използва както симетрични, така и асиметрични техники за криптиране. Рансъмуерът, който използва симетрично криптиране, обикновено генерира ключ на заразения компютър и го изпраща на нападателя или иска ключ от нападателя, преди да криптира файловете на потребителя. Когато потребителят се опита да отвори заразен файл, той вижда знак, който казва, че данните са криптирани и за достъп до него потребителят трябва да закупи ключ за дешифриране. Данните сочат, че близо 40% от жертвите плащат откупа, за да си възвърнат информацията.
Кои са потенциалните мишени?
Буквално всяко лице или организация, които боравят с данни:
- редови потребители с ниска IT грамотност, най-вече домашни потребители, които освен всичко останало нямат навик да архивират информацията от своя компютър.
- бизнеси – при тях присвояването на информация за клиенти, ценни имейли, документи и презентации нанася големи щети на цялостната дейност. Именно това ги прави привлекателна мишена – готови са да платят повече.
- обществени организации – данните в сектори като образование, правителство, здравеопазване, финанси, правоприлагане са чувствителни към времето и са от решаващо значение. Степента на неотложност повишава и размера на искания откуп.
През десетилетията хакерите действаха на принципа „колкото по-широко е въздействието, толкова повече шансове за откуп“. Дори ако 300 от 10 000 потребители плащат, играта си струва. Атаките с рансъмуер вече стават все по-персонализирани – насочени са директно към определени организации. Те са по-трудни за преодоляване и при тях размерът на поискания откуп е значителен.
Знаменитостите сред рансъмуер
Sodinokibi се появява през 2019 г. и е четвъртият най-разпространен рансъмуер в света оттогава. Високото ниво на гъвкавост и постоянното обновяване го правят изключително опасен за организациите. Любопитен факт е, че групата зад Sodinokibi избягва заразяване на системи от страни, които са били част от бившия СССР.
WannaCry се появява през 2017 г. и оставя дълбока следа в историята на кибератаките. Разрушава над 200 000 системи в 150 страни, причинявайки финансови загуби от над 4 милиарда долара. Някои държави като САЩ, Обединеното кралство и Австралия настояваха, че зад атаката стои Северна Корея.
Ryuk стартира през 2018 г. и оттогава е спечелило около 3,7 милиона долара само с 52 плащания. Той е насочен към големи организации, използвайки военни алгоритми за криптиране, които са изключително трудни за декриптиране. Когато прониква в системата, преобразува файловете с разширение .ryk и пуска известие с искания за откуп.
Petya и NotPetya може да унищожи цялата операционна система Microsoft. Появява се през 2017 г. и е насочен най-вече срещу Украйна. И докато зловредният софтуер Petya е оформен само за получаване на откуп с няколко биткойна, NotPetya еволюира като мащабна политическа кибератака.
Какво се прави очи в очи с рансъмуер?
Съвети от рода „просто не плащайте“ може и да са добри, но не са универсални. Всеки случай трябва да се разглежда поотделно.
Дори и да платите, може да не получите ключ, да Ви изпратят частичен и след това да поискат още пари или откупеният инструмент изобщо да не е подходящ, защото за този рансъмуер просто няма създаден ключ. Освен това, ако веднъж платите, попадате в списък и скоро може пак да Ви навестят, насърчили сте ги. Нещо повече – в САЩ всяко лице, бизнес или организация, които плащат откуп или които помагат на други да договарят и изпълняват сделки с рансъмуер-нападатели, може да бъде обект на наказателно преследване или значителни глоби. Вероятно вече разбирате смисъла на горния съвет.
Тук е мястото да изброим няколко полезни начина да избегнете тази атака. Те не са панацея, но могат да спестят известно главоболие:
- поддържайте всичките си системи актуални, инсталирайте редовно ъпдейти.
- не бързайте да кликвате върху нещо, което изглежда толкова примамливо, та чак подозрително.
- не предоставяйте паролите си на ненадеждни сайтове
- използвайте антивирусна програма, така увеличавате шансовете да бъдете защитени
- използвайте услуги за предотвратяване на рансъмуер, запознайте се отблизо с такива продукти.
Екипът на Geletron предлага цялостни IT решения за малкия и среден бизнес. Не можем да Ви обещаем, че ако си партнираме със сигурност ще избегнете среща с рансъмуер, но можем да намалим значително шансовете за това. Свържете се с нас, ще Ви разкажем автентични истории от нашата практика и ще Ви помогнем да направите най-добрата комбинация от инструменти точно за Вашата фирма.
Case study – Фишинг атака
Фишинг атака Визитка на клиента Българска компания, оперираща на световните пазари. Клиент на Geletron в продължение на 5 години. В конкретния казус участва представител на отдел „Бизнес развитие и търговска дейност“ от [...]
Case Study – Класическа хакерска атака
Класическа хакерска атака Визитка на клиента Клиентът се занимава с внос и търговия на хранителни добавки. Има физически магазин, онлайн магазин, офис и склад – всички свързани със защитена VPN връзка. Базата [...]
Case Study – Комуникацията преди всичко
Комуникацията преди всичко Екипът на Geletron има дългогодишна практика в изграждането, поддържането и управлението на IT системи. За нас всяко решение е не просто последователност от технически стъпки, а внимателно подбран микс [...]
Пиратски софтуер – бялата захар в света на IT
Пиратски софтуер – бялата захар в света на IT Пиратският софтуер е едно от съвременните изкушения. От една страна, предимството да се ползва безвъзмездно е достатъчно примамлива, даже пристрастяваща – като бялата [...]
Microsoft 365 и Office 365 – решения за всяка ситуация
Microsoft 365 и Office 365 – решения за всяка ситуация Близо 155 милиона са активните потребители на Microsoft Office 365, твърдят от Microsoft. Това представлява девет от десет компании, сред които огромен [...]
Настолният компютър – класика или отживелица
Какво да изберем? Настолният компютър – класика или отживелица Как да изберем правилния компютър? Когато липсват знания в тази област, изглежда мисия невъзможна. Компютрите се предлагат в безброй конфигурации, като осигуряват различни [...]
Geletron представя интересни статии, проучвания и практики от света на ИТ технологиите.
Абонирайте се сега, за да получавате винаги актуална информация от нашия блог.