Программы-шифровальщики стали еще опаснее: теперь они научились атаковать и систему macOS, до которой раньше не могли добраться, сообщили в «Лаборатории Касперского». «Известия» выяснили, чем опасны шифровальщики для пользователей и бизнеса, кто чаще всего становится их жертвами и можно ли вернуть украденные данные.
Новая угроза
У одной из самых активных в мире групп программ-вымогателей LockBit появились вредоносные образцы для разных операционных систем. К такому выводу эксперты «Лаборатории Касперского» пришли, обнаружив ZIP-файл с модулями LockBit под разные платформы, в том числе Apple M1, ARM v6, ARM v7 и FreeBSD.
Все эти варианты были созданы на основе более ранней версии вредительской программы — LockBit Linux/ESXi. Некоторые образцы, например, для macOS, еще требуют доработки, но LockBit уже активно тестирует свою программу-вымогатель в различных операционных системах.
— LockBit — печально известное семейство программ-вымогателей, прославившееся разрушительными атаками на крупный бизнес по всему миру, — говорит руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов. — Группа активно совершенствует инфраструктуру и использует код других подобных зловредов, поэтому представляет серьезную угрозу для предприятий в разных отраслях.
Для того чтобы снизить риски, связанные с LockBit и другими шифровальщиками, эксперт посоветовал корпорациям принять меры: усилить защиту и улучшить систему безопасности, а пользователям — не скачивать сомнительные приложения, под которые маскируется вирус.
Что такое шифровальщики?
Троянцы-шифровальщики — это один из типов программ-вымогателей, объясняет «Известиям» Дмитрий Галов. Они представляют собой вредоносный софт, который проникает на смартфон или компьютер пользователя, шифрует там все данные, а потом требует выкуп за предоставление ключей для расшифровки.
Кроме того, операторы программ-вымогателей часто шантажируют жертв, угрожая выложить украденную информацию в публичный доступ.
— В основном для организации атак программ-вымогателей существует целая экосистема с распределением ролей: одни участники занимаются разработкой вредоносных программ, другие продают доступ к сетям потенциальных жертв, третьи используют этот доступ для горизонтального перемещения в сети организации, и впоследствии — для кражи и шифрования данных на скомпрометированных машинах, — рассказывает эксперт по кибербезопасности.
Впрочем, программы могут не только зашифровывать данные. У них есть еще одна разновидность — вайперы, которые попросту уничтожают всю информацию на устройстве. Восстановить файлы в случае атаки такого зловреда будет невозможно.
По словам руководителя отдела продвижения продуктов компании «Код безопасности» Павла Коростелева, вирусы-шифровальщики начали распространяться примерно с 2015 года. Они быстро стали популярными у злоумышленников из-за простоты «заработка»: больше не нужно было думать о том, кому продать зашифрованные данные, ведь жертва платила за них сама.
Со временем вирусы развивались и становились всё более опасными, и сегодня они представляют серьезную угрозу как для обычных пользователей, так и для бизнеса.
Цели шифровальщиков
Как отмечает эксперт по кибербезопасности, сегодня условно существует два вида задач: атака большого количества пользователей с требованием небольшого выкупа и целенаправленная атака на крупную организацию, шифрование ее инфраструктуры и получение большого выкупа, после выплаты которого компания может продолжить работу.
— Во втором случае размер выкупа может составлять несколько десятков миллионов долларов, например, 20, 50 и даже больше, — говорит Павел Коростелев.
Обычных пользователей злоумышленники могут шантажировать распространением личных данных: такую схему реализовали, например, авторы Rasket — программы-вымогателя для Android, которая атакует пользователей в России и просит 5 тыс. рублей, рассказывает «Известиям» Дмитрий Галов.
Впрочем, иногда авторы программ публикуют не только личные данные людей, но и сведения, украденные у компаний. Так, например, было с LockBit, которая много раз обнародовала внутреннюю информацию крупных организаций в разных странах.
В то же время многие злоумышленники, атакующие бизнес, в прошлом году переключились с финансово-мотивированной деятельности на деструктивную. Теперь их цель — нарушить работу компании, остановить производственные процессы и зашифровать данные без возможности восстановления.
Как «подхватить» шифровальщика?
Пользователи могут установить программы-шифровальщики под видом популярных приложений и бесплатных версий программ — именно поэтому так важно скачивать их только из проверенных источников, а затем проверить антивирусом.
В компаниях заражение компьютеров чаще всего происходит из-за проблем безопасности при обращении с паролями, уязвимостей в ПО и за счет социальной инженерии. Сам факт заражения становится очевиден практически сразу, ведь в отличие от многих зловредов цель программ-вымогателей — заявить о себе, говорит Дмитрий Галов.
— Обычно при таких атаках сразу сообщается информация о сумме выкупа (если, конечно, цель не в удалении данных или попытке помешать работе компании). Но мы не рекомендуем переводить злоумышленникам деньги: нет никакой гарантии, что шантаж не продолжится и вам вернут данные. Так вы только проспонсируете их дальнейшую деятельность, — говорит Галов.
Как восстановить данные?
В случае если человек столкнулся с программой-шифровальщиком эксперт «Лаборатории Касперского» рекомендует восстановить данные из резервной копии и поменять пароли или попробовать найти дешифратор на специальном бесплатном сайте www.nomoreransom.org.
При этом нужно понимать, что вернуть потерянные файлы можно не всегда. Поэтому лучше заранее защитить свое устройство.
— Для того чтобы снизить риски, связанные с шифровальщиками, компаниям важно совершенствовать систему безопасности, повышать уровень цифровой грамотности сотрудников и создавать протоколы для реагирования на инциденты, — говорит Дмитрий Галов. — Кроме того, нужно не забывать обновлять ПО, делать резервные копии важных данных, чтобы их можно было восстановить, и применять комплексные защитные решения.
Пользователям он тоже порекомендовал регулярно делать резервные копии важных данных и своевременно обновлять приложения (а также операционные системы) на всех устройствах.
— Важно не переходить по сомнительным ссылкам, не открывать подозрительные вложения из писем, сообщений в мессенджерах или соцсетях, скачивать ПО только с официальных ресурсов и использовать надежное защитное решение (в том числе и на смартфоне), — заключает Галов.