Типы атак
Программы-шантажисты, как и все специализированные продукты и инструменты, имеет лексикон терминов, таких как стандартная программа-шантажист или программа-шантажист, управляемая человеком. Знание некоторых из этих ключевых терминов полезно для получения более точного анализа типа атаки программой-вымогателя и способов борьбы с ней.
Стандартные программы-шантажисты
Стандартные программы-шантажисты помогли неквалифицированным и потенциальным киберпреступникам быстро развертывать атаки. Этот тип программ-шантажистов обычно разрабатывается киберпреступной организацией и продается в даркнете. Эти наборы могут быть быстро настроены и развернуты отдельными киберпреступниками или небольшими группами злоумышленников. Обычно эти атаки программ-шантажистов предполагают собой обман с целью заставить пользователей открыть файлы, которые устанавливают вредоносную программу (вредоносное ПО) на устройства.
Программы-шантажисты, управляемые человеком
Поскольку атаки программ-шантажистов стали полноценным бизнесом для киберпреступников, они стремятся максимизировать свой доход. Они активно атакуют определенные компании, которые либо в состоянии заплатить крупный выкуп, либо работают в отрасли, где они не могут позволить, чтобы информация о клиентах находилась в открытом доступе. Это называется программой-шантажистами, управляемыми человеком.
Как правило, атаки становятся:
- Более ориентированными на хорошо финансируемые организации.
- Более ориентированными на организации, в которых влияние на клиентов будет наиболее серьезным.
- Более дорогими, так как требования выкупа резко растут.
Пример: в США произошла атака, управляемая человеком, когда киберпреступнику удалось захватить компьютерную систему, которая контролировала питьевую воду в крупном городе. Им удалось повысить уровень гидроксида натрия в воде до опасного уровня.
В следующем разделе описываются основные типы атак и принципы их работы, а также рассматриваются некоторые типичные признаки.
Распределенные атаки типа «отказ в обслуживании» с целью выкупа
Распределенная атака типа «отказ в обслуживании» (DDoS) с целью получения выкупа происходит, когда законные пользователи не могут получить доступ к своей обычной системе, потому что она была заполнена ложным трафиком от киберпреступника. Субъект продолжает отправлять запросы к цели или сети до тех пор, пока система не выйдет из строя. Существуют разновидности DDoS-атаки, поэтому вы можете услышать такие термины, как:
- Smurf-атака
- flood-атака SYN
По сути, все они работают, заваливая компанию ложными запросами в сеть до тех пор, пока служба не будет перегружена. Затем требуется выкуп, чтобы компания могла использовать свои системы. Иногда достаточно просто помешать компании выполнять свою законную работу.
Признаками DDoS-атаки с целью выкупа могут быть:
- Открытие файлов занимает много времени.
- Очень долгая загрузка сайтов.
- Веб-сайты не загружаются или недоступны.
Пример: европейская игорная компания подверглась самой крупной и сложной атаке из когда-либо зарегистрированных. К счастью, атака была остановлена до того, как был выплачен выкуп, но в другом случае известный интернет-магазин подвергся атаке, которая длилась три дня.
Шифрование и блокировка атак вредоносных программ
Атаки программ-шантажистов с шифрованием — это когда киберпреступник добавляет в файлы дополнительный код, чтобы предотвратить доступ к ним в ИТ-системе пользователя. Это называется шифрованием. После загрузки программы-шантажиста на экране появится сообщение, информирующее пользователя о требовании выкупа.
При шифровании файлов они блокируются киберпреступником и не могут быть открыты до тех пор, пока не будет выплачен выкуп.
Программа-шантажист может быть загружена в систему несколькими различными путями. Например:
- Атаки, основанные на социотехнике
- уязвимые места системы безопасности.
Атаки, основанные на социотехнике
Атаки, основанные на социотехнике, основаны на том, чтобы обманом заставить пользователей сообщить свое имя пользователя и пароль или предоставить информацию, которая позволяет киберпреступникам получить доступ к устройствам или сетям. Они могут заставить пользователя скачать файлы, которые могут привести к атаке программ-шантажистов.
Существует три основных типа атак, основанных на социотехнике:
- Фишинговое
- Вишинг
- Смишинг
Фишинговое
Фишинг использует электронную почту или веб-сайты для получения персональных данных от отдельных лиц, что затем позволяет киберпреступнику получить доступ к несанкционированным областям, таким как банковские счета или другие конфиденциальные поля. Используемый адрес электронной почты или веб-сайт будут выглядеть очень профессионально и часто будут выдавать себя за законные организации, пользуясь текущими событиями, чтобы играть на симпатиях общественности. Хотя фишинг часто используется для получения денег от пользователей с помощью обмана, электронные письма могут содержать вложения, открытие которых может привести к атаке программы-шантажиста. По оценкам, 90 процентов всех утечек данных происходят из-за фишинговых атак, что подчеркивает тот факт, что самым слабым звеном в любой ИТ-системе является пользователь.
Пример. В 2016 году хакерская организация начала рассылать электронные письма с вложением Word, которое при открытии предлагало пользователям включить макросы. Это, в свою очередь, установило вредоносную программу-шантажиста и запустило вирус под названием Locky, который зашифровал файлы. Затем ссылка перенаправляла пользователей на веб-сайт, который требовал оплаты через биткойны за разблокировку файлов.
Вишинг
Вишинг использует голосовую связь для атаки жертвы. Звонящий может притвориться сотрудником законной организации и произвести впечатление искреннего и правдоподобного, чтобы извлечь конфиденциальную информацию. Они могут побудить кого-то позвонить по поддельному номеру, чтобы подтвердить учетную запись или другие сведения о безопасности. Этот метод вряд ли приведет к атаке программы-шантажиста, но обычно используется, чтобы обманом заставить людей раскрыть банковские реквизиты для извлечения средств.
Пример. Звонящий может сказать, что вам причитается налоговая льгота, но прежде чем она будет обработана, необходимо подтвердить банковские реквизиты. После того как вы сообщите эту информацию, банковский счет окажется пуст.
Смишинг
Смишинг использует обмен текстовыми сообщениями для того, чтобы воспользоваться пользователями. Сообщения содержат ссылки, ведущие на мошеннические сайты, имитирующие законные сайты. Хотя эти ссылки часто используются для получения денег от пользователей, они также могут побудить людей загрузить файлы, которые затем могут запустить программу-шантажиста и привести к атаке.
Пример. Текстовые сообщения, выдаваемые за мошеннические компании, утверждающие, что они пытались доставить посылку, и требующие оплаты за повторную доставку. На такие простые уловки легко попасть, если вы действительно ожидаете посылку и могли пропустить доставку.
уязвимые места системы безопасности.
Любая программа-шантажист может использовать бреши в системе безопасности. Точно так же, как в доме может быть незаперта дверь или неплотно заперто окно, киберпреступники ищут пути в системы, которые не были заперты должным образом. Вот почему важно устанавливать обновления безопасности на любое оборудование или программное обеспечение.
Пример. В 2021 году была совершена атака на крупную компанию-разработчика программного обеспечения в США. Она затронула до 60 000 частных компаний, девять государственных учреждений и еще тысячи по всему миру, поскольку злоумышленники воспользовались уязвимостью в системе организации.
Атаки с утечкой данных
Атаки с утечкой данных также известны как атаки эксфильтрации и сочетают в себе стандартную атаку, которая шифрует данные, с кражей данных. Обычно мишенью становятся конкретные компании или отдельные лица, угроза обнародования данных которых может нанести серьезный ущерб. Чтобы оказать дополнительное давление на жертву, чтобы она заплатила, киберпреступники также начинают рассылать электронные письма клиентам, деловым партнерам или другим лицам, которые могут быть затронуты, если данные будут обнародованы.
Даже если оплата будет произведена, сомнительно, что вся информация будет возвращена, поскольку данные могут быть проданы на черном рынке и использованы для повторного удержания жертвы с целью получения выкупа.
Пример: крупная компания по производству компьютерного оборудования подверглась атаке со стороны группы киберпреступников под названием REvil. Это привело к утечке данных в открытый доступ и выплате выкупа в размере 50 миллионов долларов.