Дело VNDirect и чем опасны программы-вымогатели?
24 марта 2024 года вьетнамская компания VNDirect Securities стала очередной точкой на карте международных атак программ-вымогателей. Эта атака — не единичный случай.
Программы-вымогатели, тип вредоносного программного обеспечения, предназначенного для шифрования данных на компьютере жертвы и требования выкупа за их расшифровку, стали одной из самых распространённых и опасных угроз кибербезопасности в современном мире. Растущая зависимость от цифровых данных и информационных технологий во всех сферах общественной жизни делает организации и отдельных лиц уязвимыми для этих атак.
Опасность программ-вымогателей заключается не только в их способности шифровать данные, но и в способе их распространения и требования выкупа, создавая канал финансовых транзакций, через который хакеры могут получать незаконную прибыль. Сложность и непредсказуемость атак программ-вымогателей делают их одной из самых серьёзных проблем кибербезопасности сегодня.
Атака VNDirect — яркое напоминание о важности понимания и предотвращения программ-вымогателей. Только понимая принципы работы программ-вымогателей и представляемую ими угрозу, мы можем разработать эффективные меры защиты: от обучения пользователей и применения технических решений до разработки комплексной стратегии профилактики для защиты критически важных данных и информационных систем.
Как работают программы-вымогатели
Программы-вымогатели, представляющие собой ужасающую угрозу в мире кибербезопасности, действуют изощрённо и многогранно, вызывая серьёзные последствия для жертв. Чтобы лучше понять, как работают программы-вымогатели, необходимо подробно рассмотреть каждый этап атаки.
Инфекция
Атака начинается с заражения системы программой-вымогателем. Существует несколько распространённых способов проникновения программ-вымогателей в систему жертвы, включая:
Фишинговые письма: поддельные письма с вредоносными вложениями или ссылками на веб-сайты, содержащие вредоносный код; Использование уязвимостей системы безопасности: использование уязвимостей в неисправленном программном обеспечении для автоматической установки программ-вымогателей без взаимодействия с пользователем; Вредоносная реклама: использование интернет-рекламы для распространения вредоносного ПО; Загрузки с вредоносных веб-сайтов: пользователи загружают программное обеспечение или контент с ненадежных веб-сайтов.
Шифрование
После заражения программа-вымогатель начинает шифровать данные на системе жертвы. Шифрование — это процесс преобразования данных в формат, который невозможно прочитать без ключа дешифрования. Программы-вымогатели часто используют стойкие алгоритмы шифрования, гарантирующие невозможность восстановления зашифрованных данных без ключа.
Требование выкупа
После шифрования данных программа-вымогатель выводит на экран жертвы сообщение с требованием выкупа за расшифровку. Это сообщение обычно содержит инструкции по оплате (обычно в биткоинах или других криптовалютах, чтобы скрыть личность злоумышленника), а также срок оплаты. Некоторые версии программ-вымогателей также угрожают удалить данные или опубликовать их в случае неуплаты выкупа.
Транзакции и расшифровка (или нет)
Жертва сталкивается с непростым выбором: заплатить выкуп и надеяться на возвращение своих данных или отказаться и потерять их навсегда. Однако оплата не гарантирует расшифровку данных. Более того, она может подтолкнуть преступников к продолжению своих действий.
То, как работают программы-вымогатели, демонстрирует не только техническую сложность, но и печальную реальность: готовность эксплуатировать доверчивость и неосведомлённость пользователей. Это подчёркивает важность повышения осведомлённости и знаний в области кибербезопасности, от распознавания фишинговых писем до поддержания актуальности антивирусного ПО. В условиях постоянно меняющейся угрозы, такой как программы-вымогатели, обучение и профилактика важны как никогда.
Распространенные варианты программ-вымогателей
В постоянно меняющемся мире программ-вымогателей некоторые их разновидности выделяются своей изощрённостью, способностью к распространению и серьёзным воздействием на организации по всему миру. Ниже приведены описания семи популярных разновидностей и принципы их работы.
REvil (также известный как Sodinokibi)
Особенности: REvil — это разновидность программы-вымогателя как услуги (RaaS), позволяющая киберпреступникам «арендовать» её для проведения собственных атак. Это значительно увеличивает возможности программы-вымогателя по распространению и число жертв.
Методы распространения: распространение через уязвимости безопасности, фишинговые письма и инструменты удалённой атаки. REvil также использует методы атак для автоматического шифрования или кражи данных.
Рюк
Особенности: Ryuk в первую очередь нацелен на крупные организации, чтобы получить максимальный выкуп. Он способен адаптироваться к каждой атаке, что затрудняет его обнаружение и удаление.
Способ распространения: через фишинговые письма и сети, зараженные другими вредоносными программами, такими как Trickbot и Emotet, Ryuk распространяется и шифрует сетевые данные.
Робинхуд
Особенности: Robinhood известен своей способностью атаковать правительственные системы и крупные организации, используя сложную тактику шифрования для блокировки файлов и требования крупных выкупов.
Метод распространения: Распространение посредством фишинговых кампаний, а также использование уязвимостей безопасности программного обеспечения.
DoppelPaymer
Особенности: DoppelPaymer — это отдельный вариант вируса-вымогателя, способный нанести серьезный ущерб путем шифрования данных и угрозы раскрытия информации в случае неуплаты выкупа.
Метод распространения: Распространяется с помощью средств удаленной атаки и фишинговых писем, в частности, нацеленных на уязвимости в неисправленном программном обеспечении.
ЗМЕЯ (также известная как ЭКАНС)
Особенности: SNAKE предназначен для атак на промышленные системы управления (ICS). Он не только шифрует данные, но и может нарушить промышленные процессы.
Метод распространения: посредством фишинговых и эксплойт-кампаний с упором на конкретные промышленные системы.
Фобос
Особенности: Phobos имеет много общего с Dharma, еще одним вариантом программы-вымогателя, и часто используется для атак на малый бизнес через RDP (протокол удаленного рабочего стола).
Метод распространения: в основном через открытый или уязвимый RDP, позволяющий злоумышленникам получать удаленный доступ и развертывать программу-вымогатель.
LockBit
LockBit — ещё один популярный вариант программы-вымогателя, работающий по модели Ransomware-as-a-Service (RaaS) и известный своими атаками на коммерческие и государственные организации. LockBit осуществляет свои атаки в три основных этапа: эксплуатация уязвимостей, глубокое проникновение в систему и внедрение криптографической нагрузки.
Фаза 1 — Эксплуатация: LockBit использует уязвимости сети, используя такие методы, как социальная инженерия, например, с помощью фишинговых писем или атак методом подбора паролей на интрасетевые серверы и сетевые системы.
Фаза 2 — Проникновение: после проникновения LockBit использует инструмент «пост-эксплуатации», чтобы повысить свой уровень доступа и подготовить систему к атаке шифрования.
Фаза 3 — Развертывание: LockBit развертывает зашифрованную полезную нагрузку на каждом доступном устройстве в сети, шифруя все системные файлы и оставляя записку с требованием выкупа.
LockBit также использует ряд бесплатных инструментов с открытым исходным кодом для взлома, от сетевых сканеров до программного обеспечения для удалённого управления, для сетевой разведки, удалённого доступа, кражи учётных данных и извлечения данных. В некоторых случаях LockBit даже угрожает раскрыть личные данные жертвы, если требования выкупа не будут выполнены.
Благодаря своей сложности и способности к широкому распространению, LockBit представляет собой одну из самых серьёзных угроз в современном мире программ-вымогателей. Организациям необходимо принять комплекс мер безопасности для защиты от этого вируса-вымогателя и его модификаций.
Дао Чунг Тхань
Урок 2: От атаки VNDirect к стратегии борьбы с программами-вымогателями
Источник
![[Фото] Премьер-министр Фам Минь Чинь начал кампанию по достижению высот в честь 14-го съезда Национальной партии.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/5/8869ec5cdbc740f58fbf2ae73f065076)
![[Фото] Оживленный фестиваль середины осени в Музее этнологии](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/4/da8d5927734d4ca58e3eced14bc435a3)
![[ВИДЕО] Краткое описание церемонии празднования 50-летия Petrovietnam](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/10/4/abe133bdb8114793a16d4fe3e5bd0f12)
![[ВИДЕО] ГЕНЕРАЛЬНЫЙ СЕКРЕТАРЬ LAM НАГРАЖДАЕТ PETROVIETNAM 8 ЗОЛОТЫМИ СЛОВАМИ: «ПИОНЕРСКИЙ — ОТЛИЧНЫЙ — УСТОЙЧИВЫЙ — ГЛОБАЛЬНЫЙ»](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/7/23/c2fdb48863e846cfa9fb8e6ea9cf44e7)
Комментарий (0)