Какво представлява рансъмуерът?
Научете повече за това какво е рансъмуер, как работи и как можете да защитите себе си и бизнеса си от този тип кибератака.
Дефиниране на рансъмуер
Рансъмуерът е вид злонамерен софтуер, или опасен софтуер, който заплашва жертва чрез унищожаване или блокиране на достъпа до критични данни или системи, докато не бъде платен откуп. В исторически план, по-голяма част от рансъмуера беше насочена към отделните хора, но напоследък рансъмуерът, управляван от хора, който е насочен към организациите, стана по-голямата и по-трудна заплаха за предотвратяване и възстановяване. При рансъмуера, управляван от хора, група атакуващи използват колективната си интелигентност, за да получат достъп до корпоративна мрежа на организация. Някои атаки от този вид са толкова сложни, че атакуващите използват вътрешни финансови документи, които са разкрили, за да определят цената на откупа.
Атаки с рансъмуер в новините
За съжаление, напоследък в новините често се съобщава за заплахи от рансъмуер . Скорошни атаки с рансъмуер с висок профил засегнаха критичната инфраструктура, Здравеопазването и доставчиците на ИТ услуги. Тъй като тези атаки станаха по-смели в обхвата си, ефектът от тях стана по-непредсказуем. Ето поглед върху някои скорошни атаки с рансъмуер и как те засегнаха организациите:
- През март 2022 г. пощенската система в Гърция стана жертва на рансъмуер. Атаката временно прекъсна доставянето на поща и засегна обработката на финансови транзакции.
- През май 2022 г. една от най-големите авиокомпании в Индия претърпя атака с рансъмуер. Инцидентът доведе до закъснения и анулирания на полети, както и стотици закъснели пътници.
- Голяма компания за човешки ресурси беше жертва на атака с рансъмуер през декември 2021 г., при която беше засегната системата за заплати и отпуски на клиентите, които използват нейната система в облака.
- През май 2021 г. тръбопровод за гориво в САЩ прекрати своите услуги, за да предотврати по-нататъшни пробиви след атака с рансъмуер, компрометирала личните данни на хиляди служители. Ефект беше, че се вдигнаха цените на газа по целия източен бряг.
- Немска компания за разпространение на химикали претърпя атака с рансъмуер през април 2021 г. Бяха откраднати рождените дати, номерата на социалните осигуровки и номерата на шофьорските книжки, както и някои медицински данни на повече от 6000 души.
- Най-големият доставчик на месо в света стана жертва на атака с рансъмуер през май 2021 г. След като временно премести своя уеб сайт офлайн и спря продукцията, фирмата накрая плати откуп от 11 милиона USD в биткойни.
Как работи рансъмуерът?
Атаките с рансъмуер разчитат на присвояването на контрола над данни или устройства на отделни лица или организации като средство за искане на пари. През изминалите години атаките, продукт на социално инженерство, бяха най-разпространени, но напоследък рансъмуерът, управляван от хора, стана популярен за престъпниците поради потенциала за огромно плащане.
Рансъмуер, който е продукт на социално инженерство
Тези атаки използват фишинг – форма на измама, при която атакуващият се представя като легитимна фирма или уеб сайт – за да подмами жертва да щракне върху връзка или да отвори прикачен файл към имейл, които ще инсталират рансъмуер на устройството ѝ. Атаките често включват тревожни съобщения, които да накарат жертвата да действа от страх. Например киберпрестъпник може да се представи за добре известна банка и да изпрати имейл, уведомяващ някого, че акаунтът му е замразен поради подозрителна дейност, като го подканва да щракне върху връзка в имейла, за да реши проблема. След щракването върху връзката се инсталира рансъмуер.
Рансъмуер, управляван от хора
Рансъмуерът, управляван от хора, често започва чрез откраднати идентификационни данни за акаунт. След като атакуващите са получили достъп до мрежата на дадена организация по този начин, те използват откраднатия акаунт, за да определят идентификационните данни за акаунти с по-широк обхват на достъп и да търсят данни и критични за бизнеса системи с потенциал за високо финансово плащане. След това те инсталират рансъмуер в тези чувствителни данни или критични за бизнеса системи, например като шифроват чувствителните файлове, така че организацията да няма достъп до тях, докато не плати откуп. Киберпрестъпниците обикновено искат плащане в криптовалута поради анонимността ѝ.
Тези атакуващи са насочени към големи организации, които могат да плащат повече от средностатистическия човек, понякога искайки милиони долари. Поради високите залози при пробив в този мащаб много организации избират да платят откупа, вместо чувствителните им данни да изтекат или да рискуват по-нататъшни атаки от киберпрестъпниците, въпреки че плащането не гарантира предотвратяването на който и да е от двата резултата.
Тъй като атаките с рансъмуер, управлявани от хора, нараснаха, престъпниците зад атаките станаха по-организирани. Всъщност много операции с рансъмуер сега използват модел „рансъмуер като на услуга“, което означава, че група разработчици престъпници създават самия рансъмуер и след това наемат други киберпрестъпници, за да хакнат мрежата на дадена организация и да инсталират рансъмуера, като разделят печалбите между двете групи при уговорен процент.
Различни типове атаки с рансъмуер
Рансъмуерът има две основни форми: рансъмуер за шифроване и рансъмуер за заключване.
Рансъмуер за шифроване
Когато физическо лице или организация е жертва на атака с рансъмуер за шифроване, атакуващият шифрова чувствителни данни или файлове на жертвата, така че тя да няма достъп, освен ако не заплати искания откуп. По принцип, след като жертвата плати, тя получава шифроващ ключ, за да получи достъп до файловете или данните. Дори ако жертвата плати откупа обаче, няма гаранция, че киберпрестъпникът ще изпрати шифроващия ключ или ще отстъпи контрола. Doxware е форма на рансъмуер за шифроване, който шифрова и заплашва да разкрие публично лична информация на жертвата, обикновено с цел да я унижи или да я засрами, за да я накара да плати откупа.
Рансъмуер за заключване
При атака с рансъмуер за заключване, жертва не може да влезе в устройството си, защото то е заключено за нея. На жертва ще бъде представена бележка за откуп на екрана, която обяснява, че не може да влезе в устройството си, защото то е заключено за нея, и включва инструкции как да плати откуп, за да си възвърне достъпа. Тази форма на рансъмуер обикновено не включва шифроване, така че след като жертва получи достъп до устройството си, всички чувствителни файлове и данни са запазени.
Реагиране на атака с рансъмуер
Ако откриете, че сте жертва на атака с рансъмуер, имате опции да се обърнете за помощ и да го премахнете.
Бъдете внимателни с плащането на откупа
Въпреки че може да е изкушаващо да платите откупа с надеждата проблемът да се реши, няма гаранция, че киберпрестъпниците ще удържат на думата си и ще ви дадат достъп до вашите данни. Експертите по защитата и правоприлагащите агенции препоръчват жертвите на атаките с рансъмуер да не плащат исканите откупи, тъй като това може да остави лицето открито за бъдещи заплахи, и то активно ще поддържа престъпна индустрия. Ако вече сте платили, незабавно се свържете с банката си – възможно е тя да успее да спре плащането, ако сте платили с кредитна карта.
Изолирайте заразените данни
Веднага щом можете, изолирайте компрометираните данни, за да предотвратите разпространението на рансъмуера в други области на вашата мрежа.
Изпълнете програма срещу злонамерен софтуер
С много атаки с рансъмуер можете да се справите чрез инсталиране на програма срещу злонамерен софтуер за премахване на рансъмуера. След като сте избрали реномирано решение срещу злонамерен софтуер, като например Microsoft Defender, не забравяйте да го поддържате актуално и винаги работещо, така че да имате защита срещу най-новите атаки.
Съобщете за атаката
Свържете се с местните или федералните правоохранителни органи, за да съобщите за атаката. В САЩ това са местният офис на ФБР, IC3 или тайните служби. Въпреки че тази стъпка вероятно няма да реши нито едно от вашите непосредствени притеснения, е важна, тъй като тези органи активно проследяват и наблюдават различни атаки. Предоставянето на подробни данни за вашето изживяване може да бъде полезна информация в по-голямата картина на намирането и преследването на киберпрестъпник или киберпрестъпническа група.
Защита против рансъмуер
Тъй като броят на атаките с рансъмуер е по-висок от всякога и толкова много от личните данни на хората се съдържат дигитално, потенциалното попадане под прицел на атака е плашещо. За щастие, има много начини да запазите дигиталния си живот както е – да бъде вашият дигитален живот, а не този на някого другиго. Ето как да си осигурите спокойствие с проактивна защита против рансъмуер.
Инсталиране на програма срещу злонамерен софтуер
Най-добрата форма на защита е превенцията. Много атаки с рансъмуер могат да бъдат открити и блокирани с надеждна услуга срещу злонамерен софтуер, като например Microsoft Defender за крайна точка, Microsoft Defender XDR или Microsoft Defender за облака. Когато използвате програма срещу злонамерен софтуер, вашето устройство първо сканира всички файлове или връзки, които се опитвате да отворите, за да гарантира, че са безопасни. Ако даден файл или уеб сайт е злонамерен, програмата срещу злонамерен софтуер ще ви предупреди и ще ви предложи да не го отваряте. Тези програми могат също да премахват рансъмуер от устройство, което вече е заразено.
Провеждане на редовни обучения
Дръжте служителите информирани как да откриват признаците на фишинг и други атаки с рансъмуер, с редовни обучения. Това не само ще ги научи на по-безопасни практики за работа, но и как да бъдат в по-голяма безопасност, когато използват личните си устройства.
Преместване в облака
Когато преместите данните си в услуга, базирана в облака, като например „Услуга за архивиране в облака на Azure“ или „Архивиране в Blob хранилище от блокове на Azure“, ще можете лесно да архивирате данни за по-безопасно запазване. Ако вашите данни някога бъдат компрометирани от рансъмуер, тези услуги помагат да се гарантира, че възстановяването е незабавно и цялостно.
Приемане на модел Zero Trust
Моделът Zero Trust оценява риска, свързан с всички устройства и потребители, преди да им позволи достъп до приложения, файлове, бази данни и други устройства, което намалява вероятността злонамерена самоличност или устройство да има достъп до ресурси и да инсталира рансъмуер. Например за внедряването на многофакторно удостоверяване, единият от компонентите на модела Zero Trust, е показано, че намалява ефективността на атаките срещу самоличности с повече от 99 процента. За да оцените етапа на готовност за Zero Trust на вашата организация, използвайте предлаганата от Microsoft „Оценка на готовността за Zero Trust“.
Присъединяване към група за споделяне на информация
Групите за споделяне на информация, често организирани по отрасъл или географско местоположение, насърчават структурираните по подобен начин организации да работят заедно за решения за киберсигурност. Групите също така предлагат на организациите различни ползи, като например реакция при инциденти и цифрови услуги за съдебно разследване, новини за най-новите заплахи и наблюдение на публични диапазони от IP адреси и домейни.
Поддържане на офлайн архивни копия
Тъй като някои типове рансъмуер ще се опитат да намерят и изтрият всички онлайн архивни копия, които може да имате, е добра идея да поддържате актуализирано офлайн архивно копие на чувствителните данни, което редовно тествате, за да сте сигурни, че ще може да бъде възстановено, ако някога бъдете подложени на атака с рансъмуер. За съжаление, поддържането на офлайн архивно копие няма да реши проблема, ако сте били засегнати от атака с рансъмуер за шифроване, но това може да бъде ефективен инструмент за използване при атака с рансъмуер за заключване.
Поддържане на софтуера актуален
В допълнение към поддържането на актуализирани решения срещу злонамерен софтуер (обмислете избора на автоматични актуализации), не забравяйте да изтегляте и инсталирате всички други актуализации на системата и софтуерни корекции веднага щом бъдат налични. Това помага за минимизиране на всички уязвимости в защитата, които киберпрестъпникът може да използва, за да получи достъп до вашата мрежа или устройства.
Създаване на план за реакция при инциденти
Точно както наличието на план за спешни случаи за това как да излезете от дома си, ако има пожар, който ви помага да сте в безопасност и по-подготвени, създаването на план за реакция при инциденти за това какво да направите, ако сте били засегнати от атака с рансъмуер, ще ви предостави стъпки за действие, които да предприемете в различни сценарии на атака, така че да можете да се върнете към нормалната и безопасната работа възможно най-скоро.
Помогнете за защитата на всичко с Microsoft Security
Microsoft Sentinel
Получете цялостен изглед върху предприятието си с решение за управление на инциденти и събития, свързани със защитата, в облака (SIEM).
Microsoft Defender XDR
Защитавайте своите крайни точки, самоличности, имейл и приложения с разширено откриване и реакция (XDR).
Microsoft Defender за облака
Защитавайте своите среди с множество облаци и хибридни среди от разработването до изпълнението.
Разузнаване за заплахи на Microsoft Defender
Разбирайте действащите лица в заплахите и техните инструменти с пълна, непрекъснато актуализирана карта в интернет.
Борба със заплахите от рансъмуер
Бъдете винаги пред заплахите, като използвате автоматични прекъсвания и реакции на атаките с Microsoft Security.
Отчет за дигитална защита на Microsoft
Запознайте се с текущия пейзаж на заплахите и как да изградите дигитална защита.
Създаване на програма срещу рансъмуер
Разгледайте как Microsoft създаде „Оптимално състояние за устойчивост на рансъмуер“, за да премахне рансъмуера.
Използвайте тактически наръчник за блокиране на рансъмуера
Обяснете и визуализирайте каква е ролята на всеки в процеса на блокиране на рансъмуера.
Често задавани въпроси
-
За съжаление, почти всеки с онлайн присъствие може да стане жертва на атака с рансъмуер. Както личните устройства, така и корпоративните мрежи са често срещани цели на киберпрестъпниците.
Инвестирането обаче в проактивни решения, като например услуги за защита от заплахи, е осъществим начин да предотвратите заразяването на вашата мрежа или устройства с рансъмуер. Следователно лица и организации с внедрени програми срещу злонамерен софтуер и други протоколи за защита, като например модел Zero Trust, преди да възникне атака, е най-малко вероятно да станат жертва на атака с рансъмуер.
-
Традиционните атаки с рансъмуер възникват, когато човек бъде подмамен да се ангажира със злонамерено съдържание, като например да отвори заразен имейл или да посети вреден уеб сайт, които инсталират рансъмуер на устройството му.
При атака с рансъмуер, управляван от хора, група атакуващи се насочва и прави пробив в чувствителни данни на организация, обикновено чрез откраднати идентификационни данни.
Обикновено както при рансъмуера, продукт на социално инженерство, така и при рансъмуера, управляван от хора, на жертвата или организацията ще бъде представена бележка за откуп, която описва подробно данните, които са откраднати, и цената за връщането им. Плащането на откупа обаче не гарантира, че данните действително ще бъдат върнати или че ще бъдат предотвратени бъдещи пробиви.
-
Ефектите от атака с рансъмуер може да са опустошителни. Както на индивидуално, така и на организационно ниво, жертвите може да се почувстват принудени да плащат високи откупи без гаранция, че техните данни ще бъдат върнати или че няма да възникнат по-нататъшни атаки. Ако киберпрестъпник изложи на показ чувствителна информация на дадена организация, репутацията ѝ може да бъде опетнена и тя да бъде сметната за ненадеждна. И в зависимост от типа на изтеклата информация и размера на организацията хиляди лица може да са изложени на риск да станат жертва на кражба на самоличност или други киберпрестъпления.
-
Киберпрестъпниците, които заразяват устройства на жертви с рансъмуер, искат пари. Те обикновено искат откупи в криптовалути поради тяхната анонимна и непроследима природа. При атака с рансъмуер, продукт на социално инженерство, която е насочена към отделен човек, откупът може да е стотици или хиляди долари. При атака с рансъмуер, управляван от хора, която е насочена към организация, откупът може да е милиони долари. Тези по-сложни атаки срещу организации могат да използват поверителна финансова информация, която киберпрестъпниците са открили при пробив в мрежата, като основание за определяне на откуп, който според тях организацията може да си позволи.
-
Жертвите трябва да съобщават за атаките с рансъмуер на местните или федералните правоприлагащи органи. В САЩ това са местният офис на ФБР, IC3, или тайните служби. Експертите по защитата и правоохранителните органи препоръчват на жертвите да не плащат откупи – ако вече сте платили, незабавно се свържете с вашата банка и местните органи. Вашата банка може да успее да блокира плащането, ако сте платили с кредитна карта.
Следвайте Microsoft Security