VietNamNet представляет статью г-на Дао Чунг Тханя, эксперта по кибербезопасности и заместителя директора Института блокчейна и искусственного интеллекта, которая поможет лучше понять кибератаку на компанию VNDirect Securities и опасности программ-вымогателей.
Программы-вымогатели, тип вредоносного ПО, которое шифрует данные на системе жертвы и требует выкуп за их расшифровку, стали одной из самых опасных угроз кибербезопасности в современном мире . Фото: zephyr_p/Fotolia

Дело VNDirect и что делает программы-вымогатели опасными?

24 марта 2024 года компания VNDirect Securities во Вьетнаме стала последней точкой на карте международных атак с использованием программ-вымогателей. Эта атака — не единичный случай.

Программы-вымогатели, тип вредоносного программного обеспечения, предназначенного для шифрования данных в системе жертвы и требования выкупа за их расшифровку, стали одной из самых распространенных и опасных угроз кибербезопасности в современном мире. Растущая зависимость от цифровых данных и информационных технологий во всех областях общественной жизни делает организации и отдельных лиц уязвимыми для этих атак.

Опасность программ-вымогателей заключается не только в их способности шифровать данные, но и в способе их распространения и требования выкупа, создавая канал финансовых транзакций, через который хакеры могут получать незаконную прибыль. Сложность и непредсказуемость атак программ-вымогателей делают их одной из самых больших проблем, с которыми сегодня сталкивается кибербезопасность.

Атака на VNDirect — это суровое напоминание о важности понимания и предотвращения программ-вымогателей. Только понимая, как работают программы-вымогатели и какую угрозу они представляют, мы можем внедрить эффективные меры защиты, от обучения пользователей, внедрения технических решений до разработки комплексной стратегии профилактики для защиты критически важных данных и информационных систем.

Как работает программа-вымогатель

Программы-вымогатели, ужасающая угроза в мире кибербезопасности, действуют изощренно и многогранно, вызывая серьезные последствия для жертв. Чтобы лучше понять, как работают программы-вымогатели, нам нужно углубиться в каждый шаг процесса атаки.

Инфекция

Атака начинается, когда вирус-вымогатель заражает систему. Существует несколько распространенных способов, которыми вирус-вымогатель может проникнуть в систему жертвы, в том числе:

Фишинговые письма: поддельные письма, содержащие вредоносные вложения или ссылки на веб-сайты, содержащие вредоносный код; Эксплуатация уязвимостей системы безопасности: использование уязвимостей в неисправленном программном обеспечении для автоматической установки программ-вымогателей без взаимодействия с пользователем; Вредоносная реклама: использование интернет-рекламы для распространения вредоносного ПО; Загрузки с вредоносных веб-сайтов: пользователи загружают программное обеспечение или контент с ненадежных веб-сайтов.

Шифрование

После заражения вирус-вымогатель начинает процесс шифрования данных в системе жертвы. Шифрование — это процесс преобразования данных в формат, который невозможно прочитать без ключа дешифрования. Вирусы-вымогатели часто используют надежные алгоритмы шифрования, гарантируя, что зашифрованные данные невозможно восстановить без определенного ключа.

Требование выкупа

После шифрования данных вирус-вымогатель выводит на экран жертвы сообщение с требованием выкупа за расшифровку данных. Сообщение обычно содержит инструкции о том, как заплатить (обычно с помощью биткоинов или других криптовалют, чтобы скрыть личность преступника), а также крайний срок оплаты. Некоторые версии вирусов-вымогателей также угрожают удалить данные или сделать их общедоступными, если выкуп не будет заплачен.

Транзакции и расшифровка (или нет)

Затем жертва сталкивается с трудным выбором: заплатить выкуп и надеяться вернуть свои данные или отказаться и потерять свои данные навсегда. Однако оплата не гарантирует, что данные будут расшифрованы. На самом деле, это может побудить преступников продолжать свои действия.

То, как работают программы-вымогатели, демонстрирует не только техническую сложность, но и печальную реальность: готовность эксплуатировать доверчивость и невежество пользователей. Это подчеркивает важность повышения осведомленности и знаний в области кибербезопасности, от распознавания фишинговых писем до поддержания актуальности программного обеспечения безопасности. Перед лицом постоянно меняющейся угрозы, такой как программы-вымогатели, образование и профилактика важны как никогда.

Распространенные варианты программ-вымогателей

В мире угроз программ-вымогателей некоторые варианты выделяются своей изощренностью, способностью распространяться и влиянием на организации по всему миру. Ниже приведены описания семи распространенных вариантов и того, как они работают.

REvil (также известный как Sodinokibi)

Особенности: REvil — это вариант Ransomware-as-a-Service (RaaS), позволяющий киберпреступникам «арендовать» его для проведения собственных атак. Это значительно увеличивает возможности Ransomware по распространению и количество жертв.

Методы распространения: Распространение через эксплойты, фишинговые письма и инструменты удаленной атаки. REvil также использует методы атаки для автоматического шифрования или кражи данных.

Рюк

Особенности: Ryuk в первую очередь нацелен на крупные организации, чтобы максимизировать выкуп. Он имеет возможность настраивать себя для каждой атаки, что затрудняет его обнаружение и удаление.

Метод распространения: через фишинговые письма и сети, зараженные другими вредоносными программами, такими как Trickbot и Emotet, Ryuk распространяет и шифрует сетевые данные.

Робинхуд

Особенности: Robinhood известен своей способностью атаковать правительственные системы и крупные организации, используя сложную тактику шифрования для блокировки файлов и требования крупных выкупов.

Метод распространения: распространение посредством фишинговых кампаний, а также использование уязвимостей безопасности программного обеспечения.

DoublePaymer

Особенности: DoppelPaymer — это автономный вариант программы-вымогателя, способный нанести серьезный ущерб путем шифрования данных и угрозы раскрытия информации в случае неуплаты выкупа.

Метод распространения: Распространяется с помощью инструментов удаленной атаки и фишинговых писем, в частности, нацеленных на уязвимости в неисправленном программном обеспечении.

ЗМЕЯ (также известная как ЭКАНС)

Особенности: SNAKE предназначен для атак на промышленные системы управления (ICS). Он не только шифрует данные, но и может нарушить промышленные процессы.

Метод распространения: посредством фишинговых и эксплойтовых кампаний с упором на конкретные промышленные системы.

Фобос

Особенности: Phobos во многом похож на Dharma, другой вариант программы-вымогателя, и часто используется для атак на малый бизнес через RDP (протокол удаленного рабочего стола).

Метод распространения: в основном через открытый или уязвимый RDP, позволяющий злоумышленникам получить удаленный доступ и внедрить программу-вымогатель.

LockBit

LockBit — еще один популярный вариант программы-вымогателя, работающий по модели Ransomware-as-a-Service (RaaS) и известный своими атаками на предприятия и государственные организации. LockBit осуществляет свои атаки в три основных этапа: эксплуатация уязвимостей, глубокое проникновение в систему и развертывание криптографической нагрузки.

Фаза 1 — Эксплуатация: LockBit использует уязвимости сети, используя такие методы, как социальная инженерия, например, с помощью фишинговых писем или атак методом подбора паролей на интрасетевые серверы и сетевые системы.

Фаза 2 — Проникновение: После проникновения LockBit использует инструмент «пост-эксплуатации», чтобы повысить свой уровень доступа и подготовить систему к атаке шифрования.

Фаза 3 — Развертывание: LockBit развертывает зашифрованную полезную нагрузку на каждом доступном устройстве в сети, шифруя все системные файлы и оставляя записку с требованием выкупа.

LockBit также использует ряд бесплатных и открытых инструментов в процессе вторжения, от сетевых сканеров до программного обеспечения для удаленного управления, для выполнения сетевой разведки, удаленного доступа, кражи учетных данных и эксфильтрации данных. В некоторых случаях LockBit также угрожает раскрыть персональные данные жертв, если требования выкупа не будут выполнены.

Учитывая его сложность и способность к распространению, LockBit представляет собой одну из самых больших угроз в современном мире программ-вымогателей. Организациям необходимо внедрить комплексный набор мер безопасности, чтобы защитить себя от этой программы-вымогателя и ее разновидностей.

Дао Трунг Тхань

Часть 2: От атаки VNDirect до стратегии борьбы с программами-вымогателями