Новости / декабрь 2016
Рубрики: Информационная безопасность

Вымогатели переживают расцвет

Денис Шишулин
Елизавета Титаренко
© ComNews
26.12.2016

По данным "Лаборатории Касперского", интенсивность кибератак с использованием программ-шифровальщиков и вымогателей за последние 12 месяцев увеличилась более чем в два раза. В этом году из-за таких атак 67% атакованных компаний полностью или частично потеряли корпоративные данные, а каждая пятая организация (из сегмента SMB) не сумела восстановить файлы даже после уплаты выкупа, средняя сумма которого составила около $300. Игроки рынка информационной безопасности (ИБ) связывают рост угроз в том числе и с тем, что многие компании до сих пор не осознали необходимость в специалистах по ИБ, бюджете на ИБ, а также в обучении сотрудников цифровой гигиене.

Эксперты "Лаборатории Касперского" говорят о том, что 2016 г. имеет все шансы войти в историю как год расцвета программ-шифровальщиков и вымогателей, которые "захватывали в плен" данные и устройства как отдельных пользователей, так и целых компаний.

"Лаборатория Касперского" выяснила, что интенсивность атак с использованием этих зловредов за последние 12 месяцев увеличилась как минимум вдвое, количество новых модификаций шифровальщиков выросло в 11 раз, а среди троянцев-вымогателей появилось 62 новых семейства.

Руководитель отдела технического маркетинга Eset Russia Алексей Оськин также отмечает рост количества и активности использования этих зловредов. В беседе с корреспондентом ComNews он отметил, что киберпреступники прикладывают максимум усилий для совершенствования этого типа вредоносного ПО. "Программы-вымогатели - в приоритете у злоумышленников, поскольку их сравнительно легко монетизировать - использовать для получения денежной выгоды", - говорит Алексей Оськин.

Заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин сетует на то, что, к сожалению, в большинстве случаев пользователи сами виноваты в заражении устройств. "Распространение таких программ происходит преимущественно через почтовую рассылку и рассылку в социальных сетях, а не через эксплуатацию уязвимостей. К сожалению, люди до сих пор открывают вложения к письмам, переходят по различным ссылкам, особенно если сообщения приходят от их друзей и знакомых. Сами программы-шифровальщики весьма простые, легко изменяются злоумышленниками и отлично прячутся от антивирусных программ. Кроме того, злоумышленники стали использовать математически стойкие алгоритмы шифрования, которые, в случае правильной реализации, не оставляют шансов на расшифровку данных без выплаты выкупа", - говорит Сергей Никитин.

Эксперты "Лаборатории Касперского" тоже отмечают, что шифровальщики становятся сложнее и разнообразнее. Так, появились вымогатели, меняющие тактику при встрече с финансовым ПО. К примеру, троянец Shade, попадая на компьютер сотрудника финансового департамента, вместо стандартного шифрования файлов устанавливает в системе шпионскую программу, вероятно, с целью возможной кражи денег в будущем. Помимо этого, все чаще стали встречаться зловреды, которые шифруют не отдельные файлы, а главные файловые таблицы или полностью жесткий диск. 

Вместе с тем исследователи заметили, что многие впервые обнаруженные в 2016 г. троянцы-вымогатели оказались довольно низкого качества - незамысловатые, с ошибками в коде и банальными опечатками в текстах требования выкупа.

"Эта тенденция говорит о том, что шифровальщики набирают славу как средство быстрого и легкого заработка, что привлекает к ним внимание менее квалифицированных киберпреступников, не обладающих достаточными навыками для разработки ПО. Кстати, именно эта армия любителей и спровоцировала бурное развитие схемы распространения вымогательств как услуги: в 2016 г. все больше вирусописателей предлагали подобных зловредов своим "коллегам по цеху" за определенную плату", - сообщают в "Лаборатории Касперского".

По словам ведущего аналитика отдела развития компании "Доктор Веб" Вячеслава Медведева, в "расцвете шифровальщиков" виновны не только злоумышленники, но в большей степени те, кто не предпринимает адекватных мер по борьбе с ними. "Администраторы систем допускают отключение средств защиты, а пользователи ее отключают. Пользователям разрешается запускать новые файлы из присланных ссылок. Получается, что компании не предпринимают адекватных мер защиты. По нашим опросам, практически 100% компаний не знают, для чего они закупили и установили те или иные средства защиты, в том числе антивирусы", - говорит Вячеслав Медведев, добавляя при этом, что, по данным компании "Доктор Веб", несмотря на то что шифровальщики действительно в этом году стали "персоной года", большую часть вредоносных программ, как и прежде, занимают иные типы зловредов.

По данным исследования "Лаборатории Касперского", увеличение количества атак шифровальщиков на бизнес привело к тому, что 67% атакованных компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа.

Некоторые индустрии в 2016 г. приняли на себя больший удар от программ-вымогателей. Жертвами шифровальщиков стала практически четверть компаний, работающих в сфере образования, ИТ и телекоммуникаций, развлечений и СМИ, а также в финансовом секторе. 

По данным "Лаборатории Касперского", средний размер выкупа за возвращение доступа к данным сегодня составляет $300. Большинство злоумышленников при этом предпочитают оплату в биткоинах.

Алексей Оськин отмечает, что средний размер выкупа варьируется в зависимости от финансовых возможностей потенциальной жертвы. "Шифраторы, нацеленные на заражение корпоративных сетей, претендуют на более крупные суммы. В частности, сумма выкупа шифратора Crysis составляла 400-900 евро. Некоторые же вымогатели, изученные вирусной лаборатории Eset, требовали 1 биткоин - около 55 тыс. руб. по нынешнему курсу", - говорит он.

Вячеслав Медведев при этом указывает на то, что размеры выкупа самые разные, но обычно невелики. "По нашему мнению, это больше связано с тем, что злоумышленники не разбираются с тем, кого именно они заразили. И здесь нужно сказать о том, что выкуп не гарантирует расшифровку. Популярность темы шифровальщиков привела на "темную сторону силы" много желающих заработать. Далеко не всегда их программы работают корректно", - отмечает он.

По словам Сергея Никитина, для более успешной борьбы с подобного рода угрозами нужно, чтобы компании осознали необходимость в специалистах по ИБ, выделении бюджета на ИБ, а также обучении сотрудников цифровой гигиене и основам ИБ. "К сожалению, обычно такое осознание приходит только после того, как компании нанесен урон", - говорит Сергей Никитин.

Вячеслав Медведев отмечает, что компании - разработчики средств защиты выпускают достаточно продуктов, которые в сумме могут предотвратить потери от вредоносного ПО. По его словам, проводятся семинары, вебинары, конференции. Обучаются специалисты. Но при этом, например, использование средств резервирования в большинстве регионов России не достигает и 30%, а обычно эта цифра гораздо меньше. "Система безопасности находится в плену мифов. Игнорируются индустриальные стандарты безопасности. Мы открыты для проведения любых мероприятий, но что делать, если в кулуарах после мероприятия можно услышать, что "это они рассказывают, чтобы поднять продажи, у нас все нормально"? Вот эта уверенность и губит защиту", - уверен Вячеслав Медведев.  

По словам старшего антивирусного аналитика "Лаборатории Касперского" Федора Синицына, программы-вымогатели и шифровальщики - прибыльный киберпреступный бизнес. И противостоять ему можно только при объединении усилий экспертов по информационной безопасности, правоохранительных органов, бизнеса и общественности. Главная задача - сделать так, чтобы злоумышленникам было все труднее проводить свои атаки и получать от них прибыль. "Именно на это, например, направлена инициатива No More Ransom, которую мы запустили в этом году совместно с Европолом, полицией Нидерландов и Intel Security. За шесть месяцев этот проект помог почти 6000 пользователей восстановить свои данные и сэкономить в общей сложности более $1,5 млн, которые не пошли на выкуп злоумышленникам. Так что 2016 г. запомнится, пожалуй, не только как год расцвета шифровальщиков, но и как год, когда в мире началось организованное противостояние этой угрозе", - резюмирует Федор Синицын.