4 апреля 2017

Целевой кибершантаж с шифрованием

Бизнес

Сегодня зловреды-шифровальщики угрожают не только конечным пользователям, но и компаниям. Сначала авторы вредоносных программ вымогали деньги, массово рассылая троянцев. Потом поняли, что у организаций гораздо чаще хранится коммерчески ценная информация, а ради сохранения своей работоспособности и имиджа те подчас попросту вынуждены платить. Тогда киберпреступники перешли от массовых рассылок к целевым и принялись заваливать малый и средний бизнес фальшивыми «счетами», «письмами из налоговой» и прочими псевдодокументами со зловредным кодом. И вот мы дождались следующего этапа — целевых атак с применением шифрующего вредоносного ПО.

«Эволюция зла» логична: если тщательно выбрать жертву, хорошо изучить ее IT-инфраструктуру и зашифровать конкретные критически важные для бизнеса файлы, то шансы получить солидный выкуп возрастут. Такое развитие истории с ransomware наши аналитики предвидели. Что удивительно, так это масштабы происходящего.

Ransomware Actors

На текущий момент эксперты «Лаборатории Касперского» выявили как минимум восемь группировок, шантажирующих бизнес таким образом. В отдельных случаях цена выкупа доходит до полумиллиона долларов. Чаще всего страдают от их деятельности финансовые организации, которые обычно не видят иного выхода, кроме как платить за то, чтобы вернуть в строй свои серверы с данными. В принципе вполне логичный выбор цели: у финансовых компаний денег больше всего.

Такая схема преступления становится все популярнее не в последнюю очередь из-за нежелания жертв рассказывать о том, что их конфиденциальные данные были зашифрованы. В результате, прежде чем об очередной целевой кампании станет известно всем вендорам защитного ПО, она успеет «окучить» многих. Ведь далеко не все продукты для обеспечения кибербезопасности позволяют выявлять шифровальщики по поведению.

Наш совет: если вы стали жертвой вредоноса-вымогателя, сразу же сообщите о случившемся в правоохранительные органы. Узнать, как это сделать, а также получить советы по защите от таких угроз можно на сайте объединенной инициативы No More Ransom. Кроме того, имеет смысл прибегнуть к услугам экспертов, которые могут провести полноценное расследование инцидента. Наконец, разнообразные утилиты для расшифровки данных в тех случаях, когда это возможно, находятся на сайте NoRansom.kaspersky.com.

Подробности обо всем разнообразии целевых атак с применением шифровальщиков — в нашем исследовании, опубликованном на сайте SecureList.

Базовые рекомендации по защите от ransomware

  • Своевременно проводите резервное копирование критически важной для бизнеса информации и обеспечьте защиту серверов, где эти резервные копии хранятся.
  • Используйте защитные решения, которые способны выявлять попытки несанкционированного шифрования данных по поведению. Например, Kaspersky Endpoint Security для бизнеса.
  • Следите за осведомленностью собственных сотрудников о современных киберугрозах: многие атаки по-прежнему используют технологии социальной инженерии.
Security Analyst Summit