Какво е рансъмуер?

Рансъмуер се среща в две основни форми: крипто рансъмуер и за заключване, които допълнително се разделят на няколко подтипа.

Крипто рансъмуер
При крипто рансъмуер, атакуващият шифрова чувствителни данни или файлове на жертвата, така че тя няма достъп до тях, освен ако не плати искания откуп. Теоретично, след като жертвата плати, нападателят предава ключ за декриптиране, който ѝ дава достъп до файловете или данните, което обаче не е гарантирано. Много организации са загубили трайно достъпа до своите файлове дори след заплащане на откупа.

Рансъмуер за заключване
При рансъмуер за заключване лошите извършители заключват жертвата от нейното устройство и ѝ представят бележка за откуп на екрана с инструкции как да плати откупа, за да си възвърне достъпа. Тази форма на рансъмуер обикновено не включва шифроване, така че след като жертва получи достъп до устройството си, всички чувствителни файлове и данни са запазени. Рансъмуер за заключване обикновено се използва за мобилни устройства.

Тези две основни форми на рансъмуер се разделят на следните подтипове:

Скеъруер
Скеъруер използва страх, за да накара хората да платят откуп. При тези видове кибернетични атаки, лошите извършители се представят за правоприлагаща агенция и изпращат съобщение до жертвата, в което я обвиняват в престъпление и искат глоба.

Doxware
При Doxware лошите извършители крадат лична информация и заплашват да я разкрият публично, ако не бъде платен откуп.

Двойно изнудване за рансъмуер
При рансъмуер с двойно изнудване нападателите не само шифроват файлове, но и крадат чувствителни данни и заплашват да ги разкрият публично, ако не бъде платен откуп.

Уайпърс
Уайпърс заплашват да унищожат данните на жертвата, ако тя не плати откупа.

Повечето атаки с рансъмуер следват процес от три стъпки.

1. Получаване на достъп
Лошите извършители използват различни методи, за да получат достъп до чувствителни данни на дадена компания. Един от най-разпространените е фишингът, при който киберпрестъпниците използват електронна поща, текстови съобщения или телефонни обаждания, за да подмамят хората да предоставят своите идентификационни данни или да изтеглят зловреден софтуер. Лошите извършители се насочват и към служители и други потребители чрез злонамерени уебсайтове, които използват т.нар. комплект за експлоатиране, за да изтеглят и инсталират автоматично зловреден софтуер на устройството на жертвата.

2. Шифроване на данни
След като нападателите на рансъмуер получат достъп до чувствителните данни, те ги копират и унищожават оригиналния файл заедно с всички резервни копия, до които са успели да получат достъп. След това криптират своето копие и създават ключ за дешифроване.

3. Искат откуп
След като направи данните недостъпни, рансъмуер предоставя съобщение чрез предупредително поле, в което се обяснява, че данните са били криптирани, и се изискват пари, обикновено в криптовалута, в замяна на ключа за декриптиране. Лошите извършители, които стоят зад тези атаки, могат също така да заплашат, че ще публикуват данните, ако жертвата откаже да плати.

Освен непосредственото прекъсване на работата, последиците от атака с рансъмуер могат да включват значителни финансови загуби, увреждане на репутацията и дългосрочни оперативни предизвикателства.

Финансови последици
Разходите за плащане на откуп могат да бъдат значителни, като често достигат милиони долари, а няма гаранция, че нападателите ще предоставят ключа за декриптиране или че той ще работи правилно.

Дори когато организациите откажат да платят откупа, пак може да има големи финансови разходи. Прекъсването на работата, причинено от атака с рансъмуер, може да доведе до продължителен престой, да засегне производителността и потенциално да доведе до загуба на приходи. Възстановяването след атака е свързано с допълнителни разходи, включително разходи за съдебни разследвания, правни такси и инвестиции в подобрени мерки за сигурност.

Увреждане на репутацията
Клиентите и партньорите могат да загубят доверие в предприятие, което е било компрометирано, което води до спад в лоялността на клиентите и потенциална загуба на бъдещ бизнес. Високопрофилните атаки често привличат вниманието на медиите, което може да навреди на репутацията и имиджа на дадена компания.

Оперативни предизвикателства
Дори и с резервни копия съществува риск от загуба или повреда на данни, което може да повлияе на непрекъснатостта на бизнеса и оперативната ефективност. Предприятията могат да се сблъскат и с правни и регулаторни санкции за това, че не са защитили чувствителните данни, особено ако са обект на разпоредби за защита на данните като Общия регламент за защита на данните в Европейския съюз или Калифорнийския закон за защита на личните данни на потребителите.

Много от най-известните атаки с изнудвачески софтуер, управлявани от хора, се извършват от групи за изнудвачески софтуер, които работят по бизнес модела „изнудвачески софтуер като услуга“.

 

• От появата си през 2019 г. LockBit е насочен към различни сектори, включително финансови услуги, Здраве­опазване и производство. Този рансъмуер е известен със способността си да се саморазпространява в мрежите, което го прави особено опасен. Филиалите на LockBit са отговорни за многобройни атаки на високо ниво, като използват сложни техники за криптиране на данни и искане на откупи. 
• Атаките на BlackByte често включват двойно изнудване, при което киберпрестъпниците криптират и ексфилтрират данни, като заплашват да публикуват откраднатите данни, ако откупът не бъде платен. Този рансъмуер е бил използван за атакуване на сектори от критичната инфраструктура, включително правителствени и финансови услуги.
• Групата, стояща зад рансъмуера Hive, който беше активен между юни 2021 г. и януари 2023 г., използваше двойно изнудване и обикновено се насочваше към публични институции и критична инфраструктура, включително здравни заведения. В значителна победа срещу киберпрестъпността ФБР проникна в мрежата на Hive през 2022 г., като прихвана ключовете за декриптиране и предотврати искания за откуп на стойност над 130 млн. щатски долара. 
• Akira рансъмуер е усъвършенстван зловреден софтуер, който е активен от началото на 2023 г. и е насочен както към Windows, така и към Linux системи. Лошите извършители използват Akira, за да получат първоначален достъп чрез уязвимости във VPN услугите, особено тези без многофакторно удостоверяване. От момента на появата си Akira е засегнал над 250 организации и е изискал приблизително 42 млн. щатски долара под формата на приходи от откуп.

 

Ако сте станали жертва на атака с рансъмуер, има възможности за защита и отстраняване.

Изолирайте заразените данни
Веднага щом можете, изолирайте компрометираните данни, за да предотвратите разпространението на рансъмуера в други области на вашата мрежа.

Изпълнете програма срещу злонамерен софтуер
След като изолирате всички заразени системи, използвайтепрограма срещу злонамерен софтуер, за да премахнете рансъмуера.

Декриптиране на файлове или възстановяване на резервни копия
Ако е възможно, използвайте инструменти за декриптиране, предоставени от правоприлагащи органи или изследователи в областта на сигурността, за да декриптирате файловете, без да плащате откуп. Ако декриптирането не е възможно, възстановете файловете от резервните си копия.

Съобщете за атаката
Свържете се с местните или федералните правоохранителни органи, за да съобщите за атаката. В Съединените щати това са вашият Местният полеви офис на ФБР, IC3 или Секретната служба. Въпреки че тази стъпка вероятно няма да реши нито едно от вашите непосредствени притеснения, е важна, тъй като тези органи активно проследяват и наблюдават различни атаки. Предоставянето им на подробности за вашия опит може да бъде полезно в усилията им да открият и преследват киберпрестъпник или киберпрестъпна група.

Бъдете внимателни с плащането на откупа
Въпреки че може да е изкушаващо да платите откупа, няма гаранция, че киберпрестъпниците ще удържат на думата си и ще ви предоставят достъп до данните ви. Експертите по защитата и правоприлагащите агенции препоръчват жертвите на атаките с рансъмуер да не плащат исканите откупи, тъй като това може да остави лицето открито за бъдещи заплахи, и то активно ще поддържа престъпна индустрия.

Изследователите в областта на сигурността очакват, че рансъмуерът ще продължи да нараства по честота и сложност през следващите години. Напредъкът в областта на изкуствения интелект улеснява киберпрестъпниците в бързото автоматизиране и усъвършенстване на техния рансъмуер. А все повече хора с ограничени технически умения се включват в играта, защото могат да си купят инструменти за рансъмуер, управлявани от ИИ, в тъмната мрежа или да си партнират с организация, предлагаща рансъмуер като услуга.

По-големи и по-усъвършенствани киберпрестъпни организации, включително национални държави, също така все по-често се насочват към критичната инфраструктура и веригите за доставки, което води до значителни нарушения на общинските и бизнес операции. Тези структури често се насочват към правителства, транспортни системи и здравни организации с цел парализиране на услугите.

За да се противопоставят на тези развиващи се заплахи, организациите внедряват ИИ за киберсигурност, за да им помогнат да откриват и реагират на атаки с рансъмуер бързо и ефективно. Тези технологии анализират огромни количества данни, за да идентифицират модели и аномалии, които могат да показват атака с рансъмуер. Много от тези решения могат също така автоматично да реагират на откритите заплахи, като намаляват времето, необходимо за смекчаване на атаката.

Моделът за сигурност с нулево доверие също набира популярност като начин за повишаване на киберсигурността и ограничаване на разпространението на рансъмуер и други злонамерени дейности.