Открыть сервис

Ransomware

Ransomware (от англ. ransom — выкуп и softwareпрограммное обеспечение) — это тип вредоносного программного обеспечения, которое, после проникновения в компьютерную систему, блокирует доступ к данным или устройствам либо шифрует файлы, требуя от жертвы выкуп за восстановление доступа или расшифровку информации. Относится к классу программ-вымогателей. Основной целью атаки является получение финансовой выгоды.

История

Первые известные атаки с использованием программ-вымогателей относятся к концу 1980-х годов. В 1989 году биолог Джозеф Попп создал троянскую программу AIDS (PC Cyborg), которая после 90 загрузок системы шифровала имена файлов на диске и требовала отправить выкуп в размере 189 долларов на почтовый ящик в Панаме. Программа распространялась на дискетах, и её эффективность была низкой из-за слабого шифрования и отсутствия глобальной сети.

Массовое распространение ransomware началось с развитием интернета и криптовалют. В середине 2000-х годов появились первые варианты, требующие оплаты через анонимные платежные системы. Ключевым рубежом стало появление в 2013 году шифровальщика CryptoLocker, который использовал сильное шифрование RSA и требовал выкуп в биткоинах. Это привело к значительным финансовым потерям и стимулировало развитие целого криминального рынка.

В 2010-х годах ransomware стал одной из главных угроз кибербезопасности. Появились модели «Ransomware-as-a-Service» (RaaS), позволяющие неопытным злоумышленникам арендовать инфраструктуру для атак. В 2017 году атаки WannaCry и NotPetya нанесли ущерб на миллиарды долларов по всему миру, поразив тысячи организаций, включая больницы, транспортные и государственные системы. В 2020-х годах атаки стали более целенаправленными, нацеленными на крупные корпорации и критическую инфраструктуру, с использованием методов двойного вымогательства (шифрование + угроза утечки данных).

Классификация

Ransomware можно классифицировать по нескольким признакам.

По способу блокировки

  • Шифровальщики (Crypto-ransomware): Наиболее распространенный тип. Программа шифрует файлы пользователя (документы, базы данных, изображения) с помощью криптостойких алгоритмов (AES, RSA). Оригинальные файлы удаляются, и жертве предлагается купить ключ дешифрования.
  • Блокировщики (Locker-ransomware): Не шифруют файлы, а блокируют доступ к операционной системе или устройству в целом. Обычно выводят на экран сообщение с требованием выкупа, имитируя действия правоохранительных органов (например, блокировка за якобы нарушение авторских прав). Восстановление доступа часто возможно без уплаты выкупа, с помощью специализированных утилит.

По модели атаки

  • Классическая атака: Шифрование или блокировка с последующим требованием выкупа за восстановление доступа.
  • Двойное вымогательство (Double extortion): Перед шифрованием злоумышленники похищают конфиденциальные данные. Они требуют выкуп не только за расшифровку, но и за неразглашение украденной информации. В случае отказа данные публикуются в открытом доступе или продаются на теневых форумах.
  • Тройное вымогательство (Triple extortion): Дополнительно к шифрованию и угрозе утечки данных, атака включает в себя DDoS-атаку на инфраструктуру жертвы или давление на её клиентов и партнеров (например, рассылка угроз о публикации их данных).

По способу распространения

  • Фишинг: Массовая рассылка электронных писем с вредоносными вложениями (документы Word, PDF, архивы) или ссылками на зараженные сайты.
  • Эксплойты: Использование уязвимостей в операционных системах, программном обеспечении (например, в протоколах удаленного рабочего стола RDP) или веб-приложениях.
  • Вредоносная реклама (Malvertising): Распространение через зараженные рекламные баннеры на легитимных сайтах.
  • Компрометация цепочки поставок: Внедрение вредоносного кода в обновления легитимного программного обеспечения (например, атака на SolarWinds в 2020 году, хотя она не была классическим ransomware, но показала вектор).

Устройство и механизм работы

Типичная атака ransomware состоит из нескольких этапов:

  1. Проникновение: Вредоносная программа попадает в систему одним из описанных выше способов. Часто используется социальная инженерия для обмана пользователя.
  2. Закрепление и разведка: После запуска программа устанавливает связь с командным сервером (C&C) злоумышленников, получает инструкции и ключ шифрования. Она может сканировать сеть, искать подключенные диски, сетевые папки и базы данных для максимального охвата.
  3. Шифрование: Программа начинает шифрование файлов, используя быстрый симметричный алгоритм (например, AES) для каждого файла. Сам ключ шифрования затем шифруется асимметричным алгоритмом (RSA) с использованием публичного ключа злоумышленника. Это делает расшифровку без приватного ключа практически невозможной.
  4. Завершение и требование: После завершения шифрования программа удаляет свои следы, изменяет обои рабочего стола и выводит на экран сообщение с инструкциями по оплате выкупа (обычно в криптовалюте, чаще всего в биткоинах или Monero). В сообщении указывается сумма, срок оплаты и часто — угрозы уничтожения ключа или утечки данных.

Применение и цели

Основная цель атак ransomware — финансовая выгода. Злоумышленники нацеливаются на организации, для которых простой критически важен или потеря данных неприемлема. К таким целям относятся:

  • Медицинские учреждения: Больницы, клиники, лаборатории. Блокировка доступа к электронным медицинским картам может парализовать работу и угрожать жизни пациентов.
  • Государственные и муниципальные органы: Администрации, суды, полиция. Нарушение работы госуслуг и документооборота.
  • Промышленные предприятия и критическая инфраструктура: Энергетика, транспорт, водоснабжение. Атаки могут привести к остановке производственных линий или авариям.
  • Финансовые организации: Банки, страховые компании, инвестиционные фонды. Утечка финансовых данных клиентов и нарушение операций.
  • Образовательные учреждения: Университеты, школы. Часто имеют слабую защиту, но хранят важные исследовательские данные и личную информацию студентов.

Защита и противодействие

Защита от ransomware требует комплексного подхода, включающего технические и организационные меры.

Технические меры

  • Резервное копирование: Регулярное создание резервных копий критически важных данных на автономных носителях (offline) или в облачных хранилищах с возможностью версионности. Копии должны быть защищены от изменения и удаления.
  • Обновление программного обеспечения: Своевременная установка обновлений безопасности для операционных систем, приложений и антивирусных баз.
  • Антивирусная защита и EDR: Использование современных антивирусных решений и систем обнаружения и реагирования на конечных точках (EDR), которые могут выявлять подозрительное поведение (например, массовое шифрование файлов).
  • Сегментация сети: Разделение сети на изолированные сегменты, чтобы ограничить распространение вредоносного ПО в случае заражения одного из участков.
  • Контроль доступа: Минимизация привилегий пользователей (принцип наименьших привилегий), отключение ненужных служб (например, RDP, если он не используется), использование многофакторной аутентификации.
  • Фильтрация почты и веб-трафика: Использование систем для блокировки фишинговых писем и вредоносных сайтов.

Организационные меры

  • Обучение персонала: Регулярные тренинги по кибергигиене, распознаванию фишинговых писем и правилам безопасной работы с информацией.
  • План реагирования на инциденты: Разработка и тестирование плана действий в случае атаки ransomware, включая процедуры отключения зараженных систем, уведомления правоохранительных органов и восстановления данных из резервных копий.
  • Политика безопасности: Разработка и внедрение политик, регламентирующих использование устройств, доступ к данным и действия в нештатных ситуациях.

Что делать при атаке

  1. Немедленно отключить зараженное устройство от сети (кабельной и Wi-Fi). Это может предотвратить распространение шифрования на другие компьютеры и серверы.
  2. Не платить выкуп. Нет гарантии, что злоумышленники предоставят ключ дешифрования или не опубликуют данные. Оплата стимулирует дальнейшую преступную деятельность.
  3. Сообщить об инциденте в правоохранительные органы (например, в МВД России, ФСБ России) и в национальный центр реагирования на компьютерные инциденты (например, CERT-GIB, НКЦКИ).
  4. Сохранить все улики: Не выключать компьютер, если это возможно, сделать криминалистическую копию памяти и диска для последующего анализа.
  5. Попытаться восстановить данные из резервных копий. Если копии есть и они не были зашифрованы, это самый надежный способ.
  6. Обратиться к специалистам по кибербезопасности для анализа атаки, идентификации варианта ransomware и, возможно, поиска бесплатных дешифраторов (некоторые варианты имеют известные уязвимости).

Критика и этические аспекты

Деятельность, связанная с ransomware, является уголовно наказуемой в большинстве стран мира, включая Российскую Федерацию (статья 272 УК РФ «Неправомерный доступ к компьютерной информации», статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»). Критике подвергается не только сама преступная деятельность, но и практика выплаты выкупов. Выплата выкупа финансирует организованные преступные группы, стимулирует развитие новых атак и не гарантирует возврата данных. В некоторых юрисдикциях выплата выкупа может быть запрещена или рассматриваться как финансирование терроризма, если злоумышленники связаны с террористическими организациями (например, ИГИЛ — террористическая организация, запрещена в РФ).

Источники

  1. Уголовный кодекс Российской Федерации (статьи 272, 273).
  2. Отчеты по кибербезопасности: «Лаборатория Касперского», Group-IB (организация признана нежелательной в РФ), Positive Technologies.
  3. Публикации Национального координационного центра по компьютерным инцидентам (НКЦКИ).
  4. Материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
  5. Исследования в области криптографии и безопасности информационных систем.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →