«Компании платят выкуп по 14 млн рублей». В мире отмечается День борьбы с шифровальщиками

12 мая специалисты из ИБ-сферы по всему миру отмечают профессиональный праздник. С 2020-го года этот день официально стал международным Днем борьбы с шифровальщиками или Anti-Ransomware Day. Редакция IT Speaker собрала последние громкие атаки с использованием этого вредоносного ПО, а также спросила экспертов: в чем суть и почему шифровальщики так опасны.

Перед тем, как перейти к фактам, необходимо определиться с терминами. Так, вирус-шифровальщик (он же вирус-вымогатель, англ. ransomware) – вредоносное ПО, которое используют киберпреступники, чтобы заблокировать доступ к файлам или целым системам.

Истории атак: королевская почта, сэндвичи и Мексика

Начнем с января 2023 года. Именно тогда произошла громкая атака группировки LockBit на Королевскую почту Великобритании. Поистине великосветский скандал!

По итогам атаки при помощи шифровальщиков была парализована доставка международной почты, из-за чего в системе Королевской почты застряли миллионы писем и посылок. Более того, «упали» сайт для отслеживания доставки посылок, возможность онлайн-оплаты отправлений и некоторые другие системы.

Также в распределительном центре Королевской почты в Северной Ирландии принтеры начали массово распечатывать копии записки характерного оранжевого цвета с требованием выкупа от группировки LockBit. Они требовали около $80 млн в качестве выкупа.

Отметим, что Королевская почта не стала платить. Таким образом, злоумышленники исполнили свою угрозу: слили украденные данные в сеть.

Январь, похоже, любимый месяц у группировки LockBit. Так, 1 января 2024 года они заявили, что им удалось взломать ИТ-инфраструктуру сети фастфудов Subway. По словам злоумышленников, в их руках были сотни гигабайт конфиденциальной информации. Угрозы схожие с описанными выше: платите или все сольем в сеть. Размер выкупа неизвестен, как и действия пострадавших.

Первым делом самолеты – и это не только про советскую песню, но и про атаки при помощи шифровальщиков. Так, группировка BianLian буквально шантажировала авиакомпанию Air Canada.

По словам вымогателей, им удалось украсть более 210 Гбайт различной информации, включая данные сотрудников, конфиденциальные документы, данные поставщиков и так далее. В том числе преступникам удалось выкрасть сведения, касающиеся технических нарушений и проблем безопасности авиакомпании.

В мае 2024 года была обнаружена атака уже не на отдельные организации или бизнес, а на госструктуры. Так, эксперты «Лаборатории Касперского» обнаружили новую программу-вымогатель под названием ShrinkLocker, которая атакует организации госсектора. В числе пострадавших уже оказались госструктуры в Индонезии, Иордании и Мексике.

ИБ-специалисты отметили, что ShrinkLocker эксплуатирует программу BitLocker, которая предназначена для защиты пользователей. Вирус запускает BitLocker, после чего начинается процесс шифрования данных и их перенос в новый раздел. Раздел получает название электронной почты злоумышленников, чтобы атакованные организации могли связаться с ними для выкупа.

Тем не менее, как заявляют эксперты, главная цель хакеров не деньги, а уничтожение данных и нарушение работы атакованных учреждений.

Что думают эксперты

Почему именно такие атаки становятся настолько громкими? Дело в самой схеме, подчеркивают эксперты. Злоумышленники применяют такие программы для шифрования ИТ-инфраструктуры, чтобы затем требовать выкуп за расшифровку. С этим они могут атаковать кого угодно, в особенности крупные известные компании. Важно, что вредоносное ПО зачастую позволяет вымогателям полностью парализовать ИТ-инфраструктуру скомпрометированной организации.

«Сегодня такие атаки реализуются как с целью получения выкупа (финансовая мотивация), так и с целью выведения инфраструктуры из строя без возможности восстановления. При этом атаки могут быть связаны с кражей и публикацией конфиденциальных данных. Кроме того, злоумышленники могут использовать дополнительные факторы давления на организацию, например, реализовывать DDoS-атаки на ее инфраструктуру или оповещать клиентов о взломе», – рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Однако вся эта схема в какой-то момент напоминает замкнутый круг. Если компания примет решение о выплате выкупа, помимо убытков от простоя, добавятся и финансовые потери. В 2024 году средняя сумма выкупа при атаке вирусов-вымогателей за восстановление доступа к зараженной системе компании составила 14 млн рублей. Если жертва соглашалась, в среднем она выплачивала 10 млн рублей – не меньше, подчеркнул Скулкин.

К сожалению, для жертвы никуда не деваются и репутационные риски.

«Главная опасность атак с шифровальщиками – это потеря важной информации, блокировка доступа к инфраструктуре, простой в работе, потеря финансов и, что немаловажно, удар по имиджу компании. Например, если под удар попадет компания из отрасли информационной безопасности, то доверия к ней уже не будет», – объяснил руководитель отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев.

Кого-то это расстроит, но от шифровальщиков мир избавиться не скоро. По словам Скулкина, такого рода атаки остаются наиболее актуальными для финансово мотивированных хакеров.

«Дело в том, что реализовать ее злоумышленники могут практически в отношении любой организации, поскольку чаще всего их цель – получение выкупа. Такой широкий набор целей и обусловливает их актуальность в сложившемся ландшафте киберугроз», – заявил Скулкин.

Остается главный вопрос – как спастись от атак при помощи шифровальщиков? Если кратко: все не так просто. По словам Олега Скулкина, на данный момент такие атаки – комплексные и человекоуправляемые. Это значит, что для защиты организациям необходимо выстраивать полноценную систему обеспечения кибербезопасности и осуществлять круглосуточный мониторинг.

Для этого можно использовать центры мониторинга и реагирования на инциденты (SOC), а для мониторинга активности на конечных устройствах – решения класса EDR (endpoint detection and response).

«Также одним из наиболее важных факторов является своевременное получение информации о таких угрозах, например, при помощи порталов киберразведки. Эти данные позволят спрогнозировать поведение злоумышленников и, следовательно, предотвратить подобные атаки», – подытожил Скулкин.