Ransomware
Ransomware (от англ. ransom — выкуп и software — программное обеспечение) — это тип вредоносного программного обеспечения, которое, после проникновения в компьютерную систему, блокирует доступ к данным или устройствам либо шифрует файлы, требуя от жертвы выкуп за восстановление доступа или расшифровку информации. Относится к классу программ-вымогателей. Основной целью атаки является получение финансовой выгоды.
История
Первые известные атаки с использованием программ-вымогателей относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп создал троянскую программу AIDS (PC Cyborg), которая после 90 загрузок системы шифровала имена файлов на диске и требовала отправить выкуп в размере 189 долларов на почтовый ящик в Панаме. Программа распространялась на дискетах, и её эффективность была низкой из-за слабого шифрования и отсутствия глобальной сети.
Массовое распространение ransomware началось с развитием интернета и криптовалют. В середине 2000-х годов появились первые варианты, требующие оплаты через анонимные платежные системы. Ключевым рубежом стало появление в 2013 году шифровальщика CryptoLocker, который использовал сильное шифрование RSA и требовал выкуп в биткоинах. Это привело к значительным финансовым потерям и стимулировало развитие целого криминального рынка.
В 2010-х годах ransomware стал одной из главных угроз кибербезопасности. Появились модели «Ransomware-as-a-Service» (RaaS), позволяющие неопытным злоумышленникам арендовать инфраструктуру для атак. В 2017 году атаки WannaCry и NotPetya нанесли ущерб на миллиарды долларов по всему миру, поразив тысячи организаций, включая больницы, транспортные и государственные системы. В 2020-х годах атаки стали более целенаправленными, нацеленными на крупные корпорации и критическую инфраструктуру, с использованием методов двойного вымогательства (шифрование + угроза утечки данных).
Классификация
Ransomware можно классифицировать по нескольким признакам.
По способу блокировки
- Шифровальщики (Crypto-ransomware): Наиболее распространенный тип. Программа шифрует файлы пользователя (документы, базы данных, изображения) с помощью криптостойких алгоритмов (AES, RSA). Оригинальные файлы удаляются, и жертве предлагается купить ключ дешифрования.
- Блокировщики (Locker-ransomware): Не шифруют файлы, а блокируют доступ к операционной системе или устройству в целом. Обычно выводят на экран сообщение с требованием выкупа, имитируя действия правоохранительных органов (например, блокировка за якобы нарушение авторских прав). Восстановление доступа часто возможно без уплаты выкупа, с помощью специализированных утилит.
По модели атаки
- Классическая атака: Шифрование или блокировка с последующим требованием выкупа за восстановление доступа.
- Двойное вымогательство (Double extortion): Перед шифрованием злоумышленники похищают конфиденциальные данные. Они требуют выкуп не только за расшифровку, но и за неразглашение украденной информации. В случае отказа данные публикуются в открытом доступе или продаются на теневых форумах.
- Тройное вымогательство (Triple extortion): Дополнительно к шифрованию и угрозе утечки данных, атака включает в себя DDoS-атаку на инфраструктуру жертвы или давление на её клиентов и партнеров (например, рассылка угроз о публикации их данных).
По способу распространения
- Фишинг: Массовая рассылка электронных писем с вредоносными вложениями (документы Word, PDF, архивы) или ссылками на зараженные сайты.
- Эксплойты: Использование уязвимостей в операционных системах, программном обеспечении (например, в протоколах удаленного рабочего стола RDP) или веб-приложениях.
- Вредоносная реклама (Malvertising): Распространение через зараженные рекламные баннеры на легитимных сайтах.
- Компрометация цепочки поставок: Внедрение вредоносного кода в обновления легитимного программного обеспечения (например, атака на SolarWinds в 2020 году, хотя она не была классическим ransomware, но показала вектор).
Устройство и механизм работы
Типичная атака ransomware состоит из нескольких этапов:
- Проникновение: Вредоносная программа попадает в систему одним из описанных выше способов. Часто используется социальная инженерия для обмана пользователя.
- Закрепление и разведка: После запуска программа устанавливает связь с командным сервером (C&C) злоумышленников, получает инструкции и ключ шифрования. Она может сканировать сеть, искать подключенные диски, сетевые папки и базы данных для максимального охвата.
- Шифрование: Программа начинает шифрование файлов, используя быстрый симметричный алгоритм (например, AES) для каждого файла. Сам ключ шифрования затем шифруется асимметричным алгоритмом (RSA) с использованием публичного ключа злоумышленника. Это делает расшифровку без приватного ключа практически невозможной.
- Завершение и требование: После завершения шифрования программа удаляет свои следы, изменяет обои рабочего стола и выводит на экран сообщение с инструкциями по оплате выкупа (обычно в криптовалюте, чаще всего в биткоинах или Monero). В сообщении указывается сумма, срок оплаты и часто — угрозы уничтожения ключа или утечки данных.
Применение и цели
Основная цель атак ransomware — финансовая выгода. Злоумышленники нацеливаются на организации, для которых простой критически важен или потеря данных неприемлема. К таким целям относятся:
- Медицинские учреждения: Больницы, клиники, лаборатории. Блокировка доступа к электронным медицинским картам может парализовать работу и угрожать жизни пациентов.
- Государственные и муниципальные органы: Администрации, суды, полиция. Нарушение работы госуслуг и документооборота.
- Промышленные предприятия и критическая инфраструктура: Энергетика, транспорт, водоснабжение. Атаки могут привести к остановке производственных линий или авариям.
- Финансовые организации: Банки, страховые компании, инвестиционные фонды. Утечка финансовых данных клиентов и нарушение операций.
- Образовательные учреждения: Университеты, школы. Часто имеют слабую защиту, но хранят важные исследовательские данные и личную информацию студентов.
Защита и противодействие
Защита от ransomware требует комплексного подхода, включающего технические и организационные меры.
Технические меры
- Резервное копирование: Регулярное создание резервных копий критически важных данных на автономных носителях (offline) или в облачных хранилищах с возможностью версионности. Копии должны быть защищены от изменения и удаления.
- Обновление программного обеспечения: Своевременная установка обновлений безопасности для операционных систем, приложений и антивирусных баз.
- Антивирусная защита и EDR: Использование современных антивирусных решений и систем обнаружения и реагирования на конечных точках (EDR), которые могут выявлять подозрительное поведение (например, массовое шифрование файлов).
- Сегментация сети: Разделение сети на изолированные сегменты, чтобы ограничить распространение вредоносного ПО в случае заражения одного из участков.
- Контроль доступа: Минимизация привилегий пользователей (принцип наименьших привилегий), отключение ненужных служб (например, RDP, если он не используется), использование многофакторной аутентификации.
- Фильтрация почты и веб-трафика: Использование систем для блокировки фишинговых писем и вредоносных сайтов.
Организационные меры
- Обучение персонала: Регулярные тренинги по кибергигиене, распознаванию фишинговых писем и правилам безопасной работы с информацией.
- План реагирования на инциденты: Разработка и тестирование плана действий в случае атаки ransomware, включая процедуры отключения зараженных систем, уведомления правоохранительных органов и восстановления данных из резервных копий.
- Политика безопасности: Разработка и внедрение политик, регламентирующих использование устройств, доступ к данным и действия в нештатных ситуациях.
Что делать при атаке
- Немедленно отключить зараженное устройство от сети (кабельной и Wi-Fi). Это может предотвратить распространение шифрования на другие компьютеры и серверы.
- Не платить выкуп. Нет гарантии, что злоумышленники предоставят ключ дешифрования или не опубликуют данные. Оплата стимулирует дальнейшую преступную деятельность.
- Сообщить об инциденте в правоохранительные органы (например, в МВД России, ФСБ России) и в национальный центр реагирования на компьютерные инциденты (например, CERT-GIB, НКЦКИ).
- Сохранить все улики: Не выключать компьютер, если это возможно, сделать криминалистическую копию памяти и диска для последующего анализа.
- Попытаться восстановить данные из резервных копий. Если копии есть и они не были зашифрованы, это самый надежный способ.
- Обратиться к специалистам по кибербезопасности для анализа атаки, идентификации варианта ransomware и, возможно, поиска бесплатных дешифраторов (некоторые варианты имеют известные уязвимости).
Критика и этические аспекты
Деятельность, связанная с ransomware, является уголовно наказуемой в большинстве стран мира, включая Российскую Федерацию (статья 272 УК РФ «Неправомерный доступ к компьютерной информации», статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»). Критике подвергается не только сама преступная деятельность, но и практика выплаты выкупов. Выплата выкупа финансирует организованные преступные группы, стимулирует развитие новых атак и не гарантирует возврата данных. В некоторых юрисдикциях выплата выкупа может быть запрещена или рассматриваться как финансирование терроризма, если злоумышленники связаны с террористическими организациями (например, ИГИЛ — террористическая организация, запрещена в РФ).
Источники
- Уголовный кодекс Российской Федерации (статьи 272, 273).
- Отчеты по кибербезопасности: «Лаборатория Касперского», Group-IB (организация признана нежелательной в РФ), Positive Technologies.
- Публикации Национального координационного центра по компьютерным инцидентам (НКЦКИ).
- Материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
- Исследования в области криптографии и безопасности информационных систем.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →