Загрузка...

Ransomware: почему вирусы-вымогатели так опасны?

Случаи вымогательских атак становятся все более частыми и серьезными. Достаточно вспомнить вирус WannaCry, получивший широкое распространение в мае 2017 года. Тогда заражению подверглись компьютеры в 150 странах, а жертвами стали более 200 000 организаций, включая Национальную службу здравоохранения Великобритании. 
Вымогатель, как и любой другой вирус, может попасть на компьютер разными способами. Чаще всего заражение происходит по вине самого пользователя, который недостаточно осведомлен о безопасной работе в интернете. 

Вымогатель может прилететь на компьютер в безопасном на первый взгляд файле – в JPG-картинке, PDF-документе или PPT-презентации. После запуска зараженного документа пользователь попадает на поддельный сайт Google, где ему предлагается ввести свои данные для входа. Если он не успеет заподозрить неладное, мошенники украдут аккаунт и потребуют за него выкуп.
Не стоит всецело полагаться на антивирус или системный фаервол. В арсенале хакеров есть множество методов, которые позволяют вредоносному ПО обходить защиту. Так, продвинутое ransomware не распознается локальными антивирусами, не привлекает внимание сотрудников службы безопасности и не вызывает подозрений у исследователей компьютерных угроз. 
Чем дольше вымогатель остается незамеченным, тем больший объем данных он может собрать. Это значит, что ущерб от его деятельности будет серьезнее. Вот некоторые приемы, которые используются хакерами при создании скрытого анонимного вымогателя.

  • Связь с командным сервером шифруется и трудно обнаруживается в сетевом трафике.
  • Чтобы избежать отслеживания правоохранительными органами и получать платежи от жертв, вирус содержит анонимные инструменты передачи данных - TOR-протоколы, Bitcoin-адреса и т.п.
  • Для обхода антивируса вредонос использует антипесочные механизмы.
  • При помощи «затенения» доменов вирус скрывает эксплойты и связь между загрузчиком и серверами киберпреступников. 
  • Fast Flux – сложный метод анонимизации IP-адресов злоумышленников.
  • Вирус выполняет полезную нагрузку. Это затрудняет обнаружение вредоносного кода антивирусным сканером и дает дополнительное время для внедрения в систему.
  • Полиморфоное поведение – способность ransomware к незначительным изменениям в коде. В результате вирус принимает новую форму, но при этом сохраняет свою основную функцию.
  • Ransomware может уходить в спящий режим и оставаться неактивным, пока не получит команду от сервера или система сама не создаст условия для его пробуждения. 

Случай с WannaCry показывает, насколько важно своевременно обновлять операционную систему: вымогатель воспользовался уязвимостью в устаревшем программном обеспечении Microsoft. Несмотря на то, что компания успела выпустить обновления, устраняющие угрозу, миллионы пользователей пренебрегли им.
По сравнению с другими вредоносными программами, история ransomware намного короче. Первый случай заражения вымогателем произошел в 80-ых годах в медицинской сфере, которая и сегодня подвергается нападкам хакеров. Ту форму, в какой мы знаем ransomware сейчас, вымогатели приняли в 2005 году. С тех пор наибольшее распространение получили две формы – криптографические шифровальщики и блокировщики. 
Криптошифровальщик занимается тем, что шифрует данные, так что пользователь не в состоянии разобраться, где какой файл лежит. Блокировщик просто запрещает доступ к файлам. Есть и гибридная форма вымогателей, которая объединяет возможности обоих типов. 
В последние пять лет наблюдается рост активности ransomware, хакеры требуют выкупы в новых формах. Если раньше плата принималась на анонимные QIWI-кошельки, то сейчас чаще всего в криптовалюте. В 2016 году на долю вымогателей приходилось около 4000 ежедневных вирусных атак. 70% предприятий предпочли заплатить мошенникам выкуп в надежде восстановить доступ к утраченным файлам. Новые инструменты автоматизации позволяют хакерам атаковать все больше людей с минимальными усилиями, поэтому количество ransomware продолжает расти.
Предполагается, что в будущем атакам подвергнутся экосистемы интернета вещей. Предположение не безосновательно, так как устройства IoT имеют постоянное подключение к интернету, а их ПО не получает достаточно обновлений безопасности.

Компания «Vamark» специализируется на IT Безопасности. Свяжитесь с нами чтобы получить бесплатную консультацию или заказать ИТ услуги (Киев) для своей компании. Для этого достаточно позвоним к нам по контактным номерам или заполнить форму обратной связи и мы перезвоним вам сами.