Що таке шкідливе програмне забезпечення?
Дізнайтеся більше про шкідливе програмне забезпечення, принцип його роботи й способи захисту себе та своєї компанії від цього типу кібератак.
Визначення шкідливого програмного забезпечення
Шкідливе програмне забезпечення – це зловмисна програма або код, які шкодять кінцевим пристроям. Якщо пристрій уражено шкідливим програмним забезпеченням, може відбуватися несанкціонований доступ, ураження даних або блокування пристрою, поки ви не сплатите викуп.
Люди, які поширюють шкідливе програмне забезпечення, або кіберзлочинці, умотивовані фінансово та використовуватимуть уражені пристрої для запуску атак, щоб, наприклад, отримувати банківські облікові дані, збирати й збувати персональні дані, продавати доступ до обчислювальних ресурсів або вимагати від жертв платіжну інформацію.
Принцип дії шкідливого програмного забезпечення
Шкідливе програмне забезпечення використовує прийоми, що перешкоджають нормальній роботі пристроїв. Коли кіберзлочинці отримують доступ до вашого пристрою, застосувавши одну або кілька різних технік, як-от фішинговий електронний лист, уражений файл, уразливість системи чи програмного забезпечення, уражений USB-носій або зловмисний веб-сайт, вони користуються цим положенням і здійснюють додаткові атаки, отримують дані облікового запису, збирають та збувають персональні дані, продають доступ до обчислювальних ресурсів або вимагають від жертв викуп.
Будь-хто може стати жертвою атак шкідливого програмного забезпечення. Можливо, деякі користувачі знають, як визначити, що зловмисники намагаються застосувати шкідливе програмне забезпечення, як-от фішинговий електронний лист. Але кібератаки складні та постійно розвиваються, щоб відповідати технологіям і вдосконаленням засобів безпеки. Зловмисні атаки також виглядають і функціонують по-різному, що залежить від типу шкідливого програмного забезпечення. Наприклад, жертви руткіт-атак можуть навіть не здогадуватися про них, оскільки цей тип шкідливого програмного забезпечення створений таким чином, щоб якомога довше залишатися непомітним.
Нижче наведено кілька способів, якими кіберзлочинці намагаються розповсюджувати шкідливе програмне забезпечення на пристроях.
Типи шкідливого програмного забезпечення
Існують різні типи шкідливого програмного забезпечення. Нижче описано найпоширеніші з них.
Фішинг
Фішингові атаки спрямовані на викрадення делікатної інформації, маскуючи електронну пошту, веб-сайти, текстові повідомлення або інші форми електронного спілкування під надійне джерело. Вони слугують механізмом для розповсюдження шкідливого програмного забезпечення. Під час таких атак зловмисники зазвичай викрадають імена користувачів, паролі, дані кредитних карток і банківську інформацію. У результаті може статися крадіжка ідентифікаційних даних або грошей безпосередньо з банківського рахунку або кредитної картки особи.
Наприклад, кіберзлочинець може замаскуватися під відомий банк і надіслати електронний лист з оповіщенням про те, що обліковий запис особи заблоковано через підозрілі дії, закликаючи її перейти за посиланням для вирішення проблеми. Коли особа переходить за посиланням, інсталюється шкідливе програмне забезпечення.
Шпигунські програми
Шпигунське програмне забезпечення інсталюється на пристрій без згоди користувачів або відповідного повідомлення. Після інсталяції воно може відстежувати поведінку користувачів в Інтернеті, збирати делікатну інформацію, змінювати параметри пристрою та зменшувати його продуктивність.
Рекламне програмне забезпечення
Рекламне програмне забезпечення, подібно до шпигунського, інсталюється на пристрій без згоди користувача. Але воно призначене для показу агресивної реклами, зазвичай у формі спливаючих оголошень. Так зловмисник заробляє на їх кліках. Ці рекламні оголошення часто сповільнюють продуктивність пристроїв. Небезпечніші типи рекламного програмного забезпечення також передбачають інсталяцію додаткової програми та зміну параметрів браузера, що робить пристрій уразливим до інших зловмисних атак.
Віруси
Віруси порушують нормальну роботу пристроїв, записуючи, пошкоджуючи або видаляючи дані на них. Зазвичай вони поширюються на інші пристрої після того, як введені в оману користувачі відкривають зловмисні файли.
Експлойти та набори експлойтів
Експлойти обходять засоби захисту комп’ютера й уражають його, використовуючи вразливості програмного забезпечення. Кіберзлочинці сканують застарілі системи з критичними вразливостями, а потім використовують їх для розгортання шкідливого програмного забезпечення. Додавши код оболонки в експлойт, кіберзлочинці можуть завантажувати більше шкідливого програмного забезпечення, щоб уражати пристрої та проникати в системи організацій.
Набори експлойтів включають кілька експлойтів, які сканують різні типи вразливостей програмного забезпечення. Якщо такі виявлено, набори розгортають додаткове шкідливе програмне забезпечення. Вони можуть уражати таке програмне забезпечення, як Adobe Flash Player, Adobe Reader, браузери, Oracle Java та Sun Java. Angler/Axpergle, Hubtrino й Axtrino – це поширені типи наборів експлойтів.
Експлойти та набори експлойтів зазвичай потрапляють у мережу або на пристрої через зловмисні веб-сайти чи вкладення електронної пошти. Іноді вони також приховуються в рекламних оголошеннях на надійних веб-сайтах.
Безфайлове шкідливе програмне забезпечення
Цей тип шкідливого програмного забезпечення, якому не потрібні файли, як-от уражене вкладення електронної пошти, щоб потрапити в мережу. Наприклад, воно може поширюватись у вигляді зловмисних мережевих пакетів, які інсталюють шкідливе програмне забезпечення виключно в пам’ять ядра, використовуючи вразливості системи. Безфайлові загрози надзвичайно важко виявляти та видаляти, оскільки більшість антивірусних програм не передбачають сканування мікропрограм.
Шкідливе програмне забезпечення на базі макросів
Можливо, ви чули про макроси – способи швидкої автоматизації поширених завдань. Це шкідливе програмне забезпечення використовує макроси, щоб уражати вкладення електронної пошти та ZIP-файли. Щоб ввести користувачів в оману й змусити їх відкрити ці файли, кіберзлочинці часто маскують їх під рахунки, чеки або юридичну документацію.
У минулому шкідливе програмне забезпечення на базі макросів використовувалося частіше, оскільки макроси запускались автоматично під час відкриття документа. Але в останніх версіях Microsoft Office макроси вимкнено за замовчуванням. Це означає, що зловмиснику, який уражає пристрій таким способом, потрібно переконати користувача ввімкнути макроси.
Зловмисні програми з вимогою викупу
Зловмисні програми з вимогою викупу – це програми, створені зловмисниками, які погрожують жертві знищити або заблокувати доступ до важливих даних, доки вона не сплатить викуп. Керовані зловмисні програми з вимогою викупу уражають організації за допомогою поширених неправильних конфігурацій систем і засобів захисту. Вони проникають у систему організації, переміщуються в корпоративній мережі й адаптуються до середовища та вразливостей. Щоб отримати доступ до корпоративної мережі та поширити зловмисну програму з вимогою викупу, кіберзлочинці часто крадуть облікові дані справжніх працівників, видають себе за них і отримують доступ до їхніх облікових записів.
За допомогою керованих зловмисних програм із вимогою викупу злочинці уражають великі організації, оскільки ті можуть виплачувати більші викупи (часто мільйони доларів), ніж середньостатистичні користувачі. Через серйозні ризики, пов’язані з такими масштабними порушеннями, багато організацій сплачують викуп, щоб уникнути витоку делікатних даних або ризику подальших атак кіберзлочинців. Однак це не гарантує їм захисту від жодного із зазначених наслідків.
Що більше розвиваються керовані зловмисні програми з вимогою викупу, то організованішими стають кіберзлочинці. На практиці багато зловмисних програм із вимогою викупу тепер використовуються як модель служби. Це означає, що одна група кіберзлочинців самостійно створює зловмисні програми з вимогою викупу, а потім наймає інших афілійованих осіб, щоб зламати корпоративну мережу й інсталювати ці програми. Потім ці дві групи ділять прибуток відповідно до погодженої суми.
Руткіти
Кіберзлочинці використовують руткіти, щоб якнайдовше приховувати шкідливе програмне забезпечення на пристрої (іноді навіть роками) і постійно викрадати інформацію та ресурси. Руткіт перехоплює контроль над стандартними процесами операційної системи та може змінювати інформацію на ваших пристроях. Наприклад, на ураженому руткітом пристрої може відображатися неточний список активних програм. За допомогою руткітів кіберзлочинці можуть отримати права адміністратора або розширені права, що дає їм змогу повністю контролювати пристрій і вчиняти потенційно зловмисні дії, зокрема викрадати дані, шпигувати за жертвою й інсталювати додаткове шкідливе програмне забезпечення.
Атаки на ланцюжки постачання
Цей тип шкідливого програмного забезпечення націлений на розробників і постачальників ПЗ та дає змогу отримати доступ до вихідних кодів, збірок або механізмів оновлення у звичайних програмах. Коли кіберзлочинці виявляють ненадійний мережевий протокол, незахищену інфраструктуру сервера або проблеми в програмуванні, вони проникають у мережу, змінюють вихідні коди та приховують шкідливе програмне забезпечення в збірках і пакетах оновлення.
Шахрайство з технічною підтримкою
Шахрайство з технічною підтримкою – це поширена проблема в багатьох галузях. Зловмисники використовують тактику залякування, щоб змусити користувачів оплатити непотрібні послуги технічної підтримки, які пов’язані з усуненням вигаданих проблем із пристроями, платформами або програмним забезпеченням. Наприклад, кіберзлочинці можуть зателефонувати користувачеві, видаючи себе за працівника компанії з розробки програмного забезпечення. Завоювавши довіру потенційної жертви, вони спонукають її інсталювати програми або надати віддалений доступ до її пристроїв.
Троянське програмне забезпечення
Принцип його дії: користувач ненавмисно завантажує його під виглядом надійних файлів або програм. Після завантаження може трапитися таке:
- завантаження й інсталяція додаткового шкідливого програмного забезпечення, як-от вірусів або хробаків;
- використання ураженого пристрою для шахрайства за допомогою повторюваних кліків;
- запис натискання клавіш і відвіданих веб-сайтів;
- надсилання зловмиснику інформації (наприклад, паролів, облікових даних і журналу браузера) про уражений пристрій;
- установлення кіберзлочинцем контролю над ураженим пристроєм.
Небажане програмне забезпечення
Якщо на пристрої є небажане програмне забезпечення, користувач може спостерігати зміни в користуванні браузером і керуванні завантаженнями й інсталяціями. Крім того, він може отримувати оманливі повідомлення та виявляти неавторизовані зміни в параметрах пристрою. Деяке небажане програмне забезпечення входить у комплект програмного забезпечення, яке мають намір завантажити користувачі.
Хробаки
Хробаки здебільшого містяться у вкладеннях електронної пошти, текстових повідомленнях, програмах для обміну файлами, соціальних мережах, мережевих папках і на знімних дисках, а також поширюються мережею, використовуючи вразливості та копіюючи себе. Залежно від типу хробака він може викрасти делікатну інформацію, змінити параметри безпеки або обмежити доступ до файлів.
Криптомайнери
Зі зростанням популярності криптовалют зловмисники все частіше вдаються до криптомайнінгу. Криптомайнери використовують обчислювальні ресурси пристроїв для видобування криптовалют. Ураження цим типом шкідливого програмного забезпечення часто починається з вкладення електронної пошти або веб-сайту, який додає зловмисні програми до пристроїв, використовуючи вразливості в браузерах або можливості електронної обробки даних.
Криптомайнери використовують складні математичні обчислення та реєстр блокчейну, щоб викрадати обчислювальні ресурси, які дають їм змогу створювати нові монети. Криптомайнінг базується на можливостях електронної обробки значної кількості даних, однак дає змогу викрадати відносно невелику кількість криптовалют. Тому кіберзлочинці часто працюють у командах, щоб максимально збільшити та розділити прибуток.
Однак не всі криптомайнери – кіберзлочинці. Іноді як окремі користувачі, так і цілі організації купують апаратне забезпечення й електронні потужності та займаються законним криптомайнінгом. Процес стає незаконним, якщо кіберзлочинець таємно проникає в корпоративну мережу та використовує можливості електронної обробки даних для видобування криптовалют.
Засоби захисту від шкідливого програмного забезпечення
Хоча будь-хто може стати жертвою атак шкідливого програмного забезпечення, існує багато способів запобігти їх виникненню.
Інсталяція антивірусних програм
Найкращий захист – це запобігання. Організації можуть блокувати або виявляти багато зловмисних атак за допомогою надійного рішення для захисту або служби захисту від зловмисного програмного забезпечення, як-от Microsoft Defender для кінцевих точок чи Антивірусу для Microsoft Defender. Коли ви використовуєте такі програми, пристрій спочатку сканує всі файли або посилання, які ви намагаєтеся відкрити, щоб переконатись у їхній безпечності. Якщо файл або веб-сайт зловмисний, програма сповіщатиме про це та пропонуватиме не відкривати їх. Також ці програми можуть видаляти шкідливе програмне забезпечення з уражених пристроїв.
Упровадження розширеного захисту електронної пошти та кінцевих точок
Запобігайте атакам шкідливого програмного забезпечення за допомогою системи фільтрації Microsoft Defender для Office 365, яка сканує посилання та вкладення в електронних листах, а також таких інструментах для співпраці, як SharePoint, OneDrive і Microsoft Teams. Defender для Office 365 у складі Microsoft Defender XDR пропонує можливості виявлення загроз і реагування на них, щоб захиститися від атак шкідливого програмного забезпечення.
Крім того, Microsoft Defender для кінцевих точок у складі Microsoft Defender XDR використовує датчики поведінки кінцевих точок, аналіз безпеки в хмарі й аналіз кіберзагроз, щоб допомагати організаціям виявляти, досліджувати та реагувати на вдосконалені загрози, а також запобігати їм.
Організація регулярного навчання
Регулярно проводьте навчальні курси, щоб інформувати працівників про те, як виявляти ознаки фішингу й інших кібератак . Ці заходи безпеки знадобляться їм не лише в роботі, а й під час використання особистих пристроїв. Завдяки симуляторам і навчальним інструментам, зокрема тренінгу із симуляції атак, у Defender для Office 365 можна імітувати реальні загрози у вашому середовищі та на основі результатів цього процесу призначати навчальні курси користувачам.
Хмарне резервне копіювання
Якщо перемістити дані до хмарної служби, можна легко створювати їх резервні копії для безпечнішого зберігання. Якщо ваші дані уразить шкідливе програмне забезпечення, ці служби допоможуть швидко й повністю відновити їх.
Упровадження моделі нульової довіри
Модель нульової довіри дає змогу оцінювати ризики для всіх пристроїв і користувачів, перш ніж надавати їм доступ до програм, файлів, баз даних та інших пристроїв. Отже, імовірність того, що зловмисні ідентичності або пристрої зможуть отримати доступ до ресурсів та інсталювати шкідливе програмне забезпечення, зменшується. Наприклад, упровадження багатофакторної автентифікації, що є одним із компонентів моделі нульової довіри, зменшує ефективність атак на ідентичності на більш ніж 99%. Щоб оцінити готовність своєї організації до впровадження нульової довіри, проведіть відповідне оцінювання.
Групи обміну інформацією
Групи обміну інформацією часто впорядковані за галуззю або географічним розташуванням. Вони заохочують аналогічно структуровані організації до співпраці над рішеннями з кібербезпеки . Завдяки участі в таких групах організації отримують різноманітні переваги, серед яких доступ до служб реагування на інциденти й цифрових експертиз, новини про найновіші загрози та відстеження діапазонів загальнодоступних IP-адрес і доменів.
Офлайнове резервне копіювання
Оскільки деяке шкідливе програмне забезпечення намагатиметься виявляти та видаляти будь-які онлайнові резервні копії конфіденційних даних, рекомендовано зберігати їх оновлену офлайнову резервну копію, щоб її можна було відновити в разі зловмисної атаки.
Підтримка програмного забезпечення в актуальному стані
Крім підтримки антивірусного програмного забезпечення в актуальному стані, зокрема його автоматичного оновлення, рекомендовано завантажувати й інсталювати інші системні оновлення та доповнення до ПЗ відразу після їх випуску. Це допомагає мінімізувати вразливості системи безпеки, які використовують кіберзлочинці, щоб отримувати доступ до мережі або пристроїв.
Створення плану реагування на інциденти
Як план евакуації з будинку допоможе оперативніше діяти під час пожежі, так і план реагування на інциденти включатиме дієві заходи для реагування на різні сценарії атак шкідливого програмного забезпечення в разі їх виникнення, що дасть змогу якомога швидше повернутися до нормальної й безпечної роботи.
Способи, як виявити й усунути шкідливе програмне забезпечення
Шкідливе програмне забезпечення не завжди легко виявити, особливо якщо це безфайлова зловмисна програма. Ми рекомендуємо як організаціям, так і окремим користувачам стежити за збільшенням кількості спливаючих рекламних оголошень, переспрямувань у браузері, підозрілих дописів в облікових записах соціальних мереж і повідомлень про уражені облікові записи або пристрої. Крім того, радимо стежити за змінами в продуктивності пристроїв. Наприклад, якщо вони працюють набагато повільніше, можливо, це ознака проблеми.
На щастя, ви можете виявляти атаки шкідливого програмного забезпечення й усувати їх, тож не варто цього боятися. Спочатку скористайтесь антивірусною програмою, наприклад тією, що інтегрована у Windows, і скануйте пристрій на наявність шкідливого програмного забезпечення. Інсталювавши антивірусну програму, запустіть сканування пристрою, щоб виявити зловмисні програми або коди. Якщо програма виявить шкідливе програмне забезпечення, вона вкаже його тип і надасть рекомендації щодо його видалення. Після видалення не забудьте оновити та запустити програмне забезпечення, щоб запобігти атакам у майбутньому.
Якщо ви маєте справу зі складними атаками на організації, які неможливо виявляти й блокувати за допомогою антивірусних програм, радимо скористатися інструментами керування захистом інформації (SIEM), а також засобами розширеного виявлення й реагування (XDR). Вони дають змогу фахівцям із безпеки використовувати методи захисту кінцевих точок у хмарі, а також виявляти й усувати атаки на кінцеві пристрої. Оскільки ці типи атак багатоаспектні, а кіберзлочинці мають намір не лише керувати пристроями, SIEM і XDR дають змогу організаціям отримати комплексну картину атак в усіх доменах, зокрема на пристроях, в електронній пошті та програмах.
Використання таких інструментів SIEM & XDR , як Microsoft Sentinel, Microsoft Defender XDR та Microsoft Defender for Cloud – це надійне рішення для захисту від вірусів. Фахівці з безпеки повинні стежити за постійними оновленнями параметрів пристроїв відповідно до останніх рекомендацій щодо запобігання загрозам і шкідливому програмному забезпеченню.
Дізнайтеся більше про Захисний комплекс Microsoft
Microsoft Sentinel
Виявляйте складні загрози й оперативно реагуйте на них за допомогою простого у використанні та потужного рішення SIEM, яке працює на основі хмарних технологій і ШІ.
Microsoft Defender XDR
Запобігайте міждоменним атакам завдяки уніфікованому рішенню XDR із розширеною видимістю й неперевершеним ШІ.
Microsoft Defender for Cloud
Посилюйте захист у хмарі, а також відстежуйте й захищайте робочі процеси в багатохмарних середовищах.
Microsoft Defender для Office 365
Убезпечуйте свою організацію від загроз в електронних листах, посиланнях та інструментах для співпраці.
Звіт про цифровий захист Microsoft
Ознайомтеся з поточним станом загроз і способами створення цифрового захисту.
Запитання й відповіді
-
На жаль, будь-хто. Кіберзлочинці створюють дедалі складніші імітації електронних листів та інших форм спілкування від імені організацій, з якими ви співпрацюєте, наприклад банків. Інші типи шкідливого програмного забезпечення ще менш помітні та можуть бути приховані в ПЗ, яке ви маєте намір завантажити.
Однак інвестиції в превентивні рішення, як-от служби захисту від загроз, – це надійний спосіб убезпечити свою мережу або пристрої від ураження шкідливим програмним забезпеченням. Так окремі користувачі й цілі організації, які використовують антивірусні програми та інші протоколи безпеки, зокрема модель нульової довіри, мають більше шансів не стати жертвами атак шкідливого програмного забезпечення.
-
По-різному. Ви можете перейти за зловмисним посиланням, відкрити уражене вкладення електронної пошти або нічого взагалі не робити. Деякі атаки спрямовані на вразливості системи безпеки пристроїв і відбуваються без будь-яких дій.
-
Вони можуть бути серйозними, наприклад викрадення ідентифікаційних даних і грошей, або менш серйозними й одночасно нав’язливими, наприклад відображення небажаних рекламних оголошень на пристрої.
-
Це тип програмного забезпечення, яке активно захищає вас від зловмисних програм і видаляє їх на вашому пристрої. Якщо ви інсталювали антивірусну програму та намагаєтесь отримати доступ до уражених файлів або посилань, ви отримаєте сповіщення з попередженням про те, що вони потенційно небезпечні.
-
Найкращий спосіб – це завантажити й інсталювати антивірусну програму, яка відстежуватиме активність пристроїв і позначатиме підозрілі файли, посилання або програми, перш ніж вони завдадуть шкоди.
Підпишіться на Microsoft