Код времени: ускоренное шифрование снижает успех в борьбе с хакерами
Программы-вымогатели научились шифровать данные значительно быстрее, чем раньше — у потенциальных жертв остается меньше времени реагировать на угрозы, следует из отчета международной компании Sophos. Специалисты изучили 15 семейств программ-вымогателей: REvil, Ryuk, Conti и ряд других. Отмечается также, что злоумышленники стали прибегать к методу «частичного шифрования», когда кодируются определенные части дисков или самые ценные файлы. Подробности — в материале «Известий».
Угроза номер один
В январе–мае 2023 года лаборатория цифровой криминалистики компании F.A.C.C.T. зарегистрировала рост числа киберинцидентов на 43% по сравнению с аналогичным периодом прошлого года. Девять из десяти инцидентов, на которые реагировали криминалисты, были связаны именно с программами-вымогателями, сообщили «Известиям» в самой компании. Наиболее часто используемыми вирусами в России в текущем году стали LokiLocker и BlackBit, Phobos, а также шифровальщики LockBit, Conti и Babuk благодаря утекшим исходным кодам и билдеру.
Отмечается, что, начиная с апреля 2022 года, «близнецы-вымогатели» LokiLocker и BlackBit атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России. Примечательно, что злоумышленники не похищали информацию и не шифровали файлы на компьютерах, где выбран персидский в качестве основного языка интерфейса.
— В России в текущем году жертвами шифровальщиков чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании, — рассказывают эксперты F.A.C.C.T.
Средняя сумма выкупа колеблется от $10 тыс. до $100 тыс., хотя новая преступная группировка Shadow Ransomware, использующая в своем арсенале программы LockBit и Babuk, например, просила выкуп в $2 млн. Также недавно появилась группа, которая применяет легитимную утилиту DiskCryptor для шифрования дисков целиком (выкуп составляет до $10 тыс.).
В последнее время злоумышленники всё больше используют технику «частичного шифрования» — сейчас уже практически не встретить шифровальщика, который закрывает файл целиком, рассказывает руководитель группы расшифровки компании «Доктор Веб» Алексей Иванов. При этом тенденция используемых шифров сменилась с Rijndael (AES) на более скоростные Salsa/ChaCha. В схемах с открытым ключом всё чаще и чаще появляется X25519. Примечательно, что злоумышленники любят запускать вымогательское ПО ночью, когда на серверах минимальная CPU/HDD активность, поделился Алексей Иванов.
— В целом сбывается наш прогноз: в текущем году вымогатели останутся киберугрозой номер один для российского бизнеса, — отмечает генеральный директор F.A.C.C.T. Валерий Баулин. — К сожалению, во время реагирований на инциденты наши специалисты видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент.
Как защититься от шифровальщиков
Компаниям необходимо быстро адаптироваться к новой реальности угроз, применяя комплексный подход, предупреждает руководитель блока анализа защищенности Infosecurity a Softline Company Андрей Найденов.
— Персональные компьютеры, серверы, мобильные устройства и сетевые шлюзы должны быть обновлены и поддерживаться в актуальной версии. Важно обучать персонал вопросам информационной безопасности и использовать современные антивирусные решения, — советует эксперт.
Предприятиям стоит строить эшелонированные системы информационной безопасности, отталкиваясь от конкретных собственных рисков: безопасности персональных данных, производственных процессов и так далее, отмечает директор по продуктам компании «Гарда Технологии» Павел Кузнецов. Применять следует как специализированные средства защиты, например database firewall для защиты баз данных, так и классические средства мониторинга и реагирования, такие как решения network detection & response. Если обнаружить угрозу на ранних подступах и не дать ей запуститься, то скорость, с которой она зашифрует данные, уже не будет иметь критического значения, ведь процесс даже не начнется, замечает эксперт.
— В целом прямого влияния на средства защиты ускоренное шифрование данных не окажет, лишь на объемы поврежденных данных до момента обнаружения вредоноса, — говорит Павел Кузнецов. — Надо понимать, что качественное шифрование с целью вымогательства должно предусматривать еще и качественное уничтожение исходных данных, у которого есть понятные технические ограничения, которые никуда не делись.
Руководитель направления «Расследование инцидентов информационной безопасности» FBK CyberSecurity Игорь Собецкий соглашается, что скорость работы вредоносной программы не имеет никакого значения. Но если для частного пользователя обычно вполне достаточно качественной антивирусной программы и обыкновенной осмотрительности, то в корпоративных компьютерных сетях ситуация несколько сложнее, оговаривается он. Часто при защите своей информации компании допускают одни и те же ошибки: использование для защиты бесплатных антивирусных программ или иностранных коммерческих решений, купленных ранее, отсутствие системы резервного копирования.
— Пока не придумали ничего лучше грамотно спланированного механизма backup’ов (резервного копирования). Не нужно «держать яйца в одной корзине», backup’ы должны находиться на изолированных дисках, — советует Алексей Иванов. — Кроме того, в антивирусах есть специальный компонент — «защита от вымогателей», который ограничивает доступ к файлам на уровне процессов вообще.
Как быть рядовым пользователям
Что касается обычных пользователей, то для них в ситуации ускорения шифрования, по большому счету ничего не меняется, успокаивает руководитель аналитического центра компании Zecurion Владимир Ульянов. Если вредоносная программа проникла на устройство и начала шифровать файлы, не так важно, сделает она свою работу за пять или за 20 минут, она всё равно ее закончит.
— Обычный человек вряд ли успеет обнаружить проблему, понять, что произошло и адекватно отреагировать, — говорит Владимир Ульянов. — В теории можно выключить устройство (прервать электропитание), чтобы остановить работу любых программ, в том числе и вредоносных. А затем попытаться аккуратно скопировать оставшиеся нетронутыми файлы, подключив носитель с данными к другому безопасному устройству. Но я не знаю людей, которые действовали бы аналогичным образом. Большинство ничего не заметит, пока не станет поздно.
Для рядовых пользователей, чьи антивирусные решения не поддерживают развитых технологий защиты, можно рекомендовать в первую очередь не посещать сомнительные веб-ресурсы и не скачивать приложения ради заманчивых финансовых предложений или компьютерных игр, отмечает ведущий консультант по ИБ Aktiv.Consulting Александр Моисеев. У любого серьезного разработчика ПО есть официальные каналы дистрибуции, это во многом защитит от действий злоумышленников.
Генеральный директор «Центра исследования безопасности информационных технологий» Олег Иванов отмечает, что антивирус — это не панацея от угроз, поэтому нет однозначного ответа на вопрос, как полностью обезопасить себя от таких рисков.
— При неграмотном использовании ресурсов антивирус может и вообще не помочь. Например, когда пользователь переходит по вирусной ссылке, несмотря на предупреждение системы защиты, — рассуждает собеседник.
Директор «Гарда Технологии» Павел Кузнецов советует изучать доступную в Сети информацию по кибергигиене, а также включить в важных сервисах мультифакторную аутентификацию.
В Минцифры и Национальном координационном центре по компьютерным инцидентам «Известиям» на момент публикации не прокомментировали, как рядовым пользователям и компаниям эффективнее всего защищаться от угроз ускоренного шифрования данных.