Федьков Н.А., Цибизов В.А., Михайлова Е.М.
АНАЛИЗ АКТИВНОСТИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ *
Аннотация:
в век информатизации риск заражения компьютерных систем является главной угрозой мировой инфраструктуры и систем управления. Злоумышленники все чаще наносят атаки, находят уязвимости в программном обеспечении и похищают персональные данные пользователей. В статье рассмотрены признаки потенциальной жертвы программ-вымогателей и наиболее распространенных методов доставки зловредов
Ключевые слова:
программа-вымогатель, информационная безопасность, персональные данные, утечка, шифровальщик
УДК 004.056.5
Федьков Н.А.
студент, кафедра математического моделирования
и информационных технологий,
Тамбовский государственный университет им. Г.Р. Державина
(г. Тамбов, Россия)
Цибизов В.А.
студент, кафедра математического моделирования
и информационных технологий,
Тамбовский государственный университет им. Г.Р. Державина
(г. Тамбов, Россия)
Научный руководитель:
Михайлова Е.М.
к.п.н. доцент кафедры математического моделирования
и информационных технологий,
Тамбовский государственный университет им. Г.Р. Державина
(г. Тамбов, Россия)
АНАЛИЗ АКТИВНОСТИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ
Аннотация: в век информатизации риск заражения компьютерных систем является главной угрозой мировой инфраструктуры и систем управления. Злоумышленники все чаще наносят атаки, находят уязвимости в программном обеспечении и похищают персональные данные пользователей. В статье рассмотрены признаки потенциальной жертвы программ-вымогателей и наиболее распространенных методов доставки зловредов.
Ключевые слова: программа-вымогатель, информационная безопасность, персональные данные, утечка, шифровальщик.
За последнее десятилетие мошенники использующие программы-вымогатели стали более агрессивными, обновили инструментарий и начали использовать неизвестные ранее методы. Главным трендом киберзлоумышленников стали программы-вымогатели, которые быстро распространяются внутри системы и в течении небольшого периода времени - 8-30 дней – парализуют систему и зашифровывают данные компании, делая их недоступными. Усугубляет ситуацию тот факт, что для реализации подобных кибератак необязательно обладать узкоспециализированными знаниями – достаточно обратиться к соответствующему рынку услуг, который находится в сети и развивается в геометрической прогрессии.
От мошеннических действий с использованием программ-вымогателей страдает бизнес-сфера как в России, так и за рубежом. Например, по информации SecurityLab, российского специализированного портала по информационной безопасности, в апреле 2022 года сообщники одной из самых известных кибервымогательских группировок провели атаку на сервера Microsoft Exchange, украв учетные записи администраторов, конфиденциальную информацию и установив вымогатели-шифровальщики. Также, согласно заявлению специалистов Threat Intelligence Group-IB, в начале 2022 года количество кибератак в России с использованием программ-вымогателей увеличилось в четыре раза по сравнению с аналогичным периодом прошлого года.
В текущем году специалистами «Лаборатории Касперского» были выявлены кибергруппы вымогателей, способные без обращения к мультиплатформенным языкам программирования одновременно атаковать различные операционные системы.
Рисунок 1. Количество атак в 2021 и 2022 годах (по кварталам)
На сегодняшний день программы вымогатели уже значительное время находятся на первых местах в повестке специалистов по информационной безопасности по всему миру. Аналитический отчет Group-IB показал, что за восстановление доступа к данным в 2022 году кибермошенники просили до 1 млрд. рублей, в то время как в 2021 году сумма выкупа составляла 250 млн. рублей. Вместе с тем количество кибератак атак на российские компании увеличилось в три раза. Согласно тем же отчетам специалистов Group-IB, наиболее опасной группировкой можно считать OldGremlin.
За последнее десятилетие возросло как качество предоставляемых услуг на рынке программ-вымогателей, так и доступность зловредного ПО. В следствие чего, спектр атак злоумышленников значительно расширился и стал охватывать всю бизнес-сферу - от самых маловлиятельных представителей до крупнейших технологических гигантов.
Многие компании, несмотря на отсутствие каких-либо гарантий, платят огромные деньги вымогателям надеясь избежать компрометации конфиденциальной информации, уменьшить финансовый ущерб вследствие простоя бизнес-процессов. Вместе с тем попытки привлечь злоумышленников к ответственности зачастую безуспешны, т.к. рынок «вымогатели как услуга» стал настолько легкодоступным, гибким и мобильным, что в случае обнаружения переносит свои ресурсы и мощности на одну из многочисленных альтернативных платформ. Таким образом злоумышленники создают благоприятную атмосферу для своей деятельности, а компании, которые им платят, усугубляют ситуацию.
«Лаборатория Касперского» выделяет два основных типа программ-вымогателей в зависимости от их способа выведения из строя зараженной системы.
К первому типу относят программы-блокировщики. Вредоносное ПО данного типа не представляет угрозы данным как таковым, оно нацелено на блокировку системы, действий пользователя и вывод сообщения с требованием заплатить за восстановление работоспособности системы и реквизитами злоумышленников. Как правило, последствия заражения программами-блокировщиками устраняются соответствующими специалистами относительно легко, однако для корпоративного сегмента рынка каждая секунда простоя приносит значительные расходы.
Ко второму типу программ-вымогателей относят такое вредоносное ПО, в результате работы которого все данные в зараженной системе принимают нечитаемый вид – зашифровываются, а сама система остается рабочей. Такие программные продукты называются программами-шифровальщиками. Если нет резервной копии образа системы, включающей важные данные, а злоумышленник применил достаточно сложный алгоритм шифрования, время расшифровки, т.е. восстановления, данных стремится к бесконечности.
Главной целью злоумышленников является извлечение выгоды. Для этой цели подойдут как конфиденциальная информация одного пользователя, так и доступ к банковскому счету, ресурсам крупной коммерческой компании или государственного учреждения.
Рисунок 2. Категории жертв среди организаций
Несмотря на то, что вектор атак кажется случайным, жертвы злоумышленников, использующих программы-вымогатели, обладают определенным перечнем признаков. Согласно информации, представленной на официальных ресурсах Positive Technologies, российского разработчика решений в области информационной безопасности, и «Лаборатории Касперского» были выявлены основополагающие критерии, характеризующие типичный портрет потенциальной жертвы:
Использование устаревшего устройства и программного обеспечения. Чем дольше человечество развивается, тем безопаснее становятся устройства. Операционные системы стабильно выпускают обновления безопасности, а также работают совместно с авторами антивирусных решений, тем самым совершенствуя как программную защиту, так и безопасность системы с технической точки зрения.
Отсутствие системы создания резервных копий системы и важных данных.
Пренебрежение правилами цифровой гигиены, а также несоблюдение элементарных правил информационной безопасности. Большое количество как обычных пользователей, так и компаний не придают особого значения защите своих устройств, данных до тех пор, пока не подвергнуться атаке.
Отсутствие организационных методов информационной безопасности. Какая бы надежная не была система защита, главным уязвимым местом всегда является человек.
Если есть соответствие хотя бы по одному из описанных критериев, необходимо срочно предпринять минимум мер по обеспечению информационной безопасности:
Проанализировать систему на наличие вредоносного ПО. Злоумышленники всегда оставляют следы. Например, анализ сетевой активности или логов ПО, операционной системы могут помочь выяснить факт и путь заражения.
Не переходить по подозрительным ссылкам. Следует избегать переходов по ссылке в спам-сообщениях или на незнакомых сайтах. После перехода может автоматически начаться загрузка вредоносного ПО на устройство, что и повлечет дальнейшее заражение. Зачастую процесс загрузки такого ПО не виден пользователю.
Личная информация должна быть скрыта. Для осуществления кибератака применяются самые различные методы, в том числе и социальная инженерия. Зная конфиденциальные данные и, например, персонализируя фишинговые сообщения, злоумышленники кратно повышают шанс успеха.
Не открывать вложения от неизвестных пользователей на электронной почте.
Использовать только известные USB-устройства. Если происхождение и назначение какого-то либо USB-устройства не известны, не следует его использовать. Киберпреступник может внедрить сторонние программные и технические компоненты, которые при подключении передают данные или полностью захватывают систему, и подложить модифицированное устройство потенциальной жертве.
Своевременно обновлять ПО. Регулярное обновление ОС, используемых программ не позволит злоумышленникам эксплуатировать уже обнаруженные и закрытые уязвимости.
Загружать файлы только из доверенных источников, использующие протокол HTTPS и предоставляющие дополнительные данные для проверки целостности, неизменности полученных файлов.
Не использовать открытые Wi-Fi сети. Подключение к открытым беспроводным сетям подвергает устройство и все данные на нем дополнительному риску быть атакованными.
Рисунок 3. Способы распространения
вредоносного ПО в атаках на частных лиц
Если устройство все же подверглось атаке программ-вымогателей, важно не совершать наиболее распространенную ошибку – платить. Это не только не гарантирует восстановление системы и важных данных, но и дополнительно мотивирует киберпреступников повторять противоправные деяния. В некоторых случаях действенным решением является физическое отключение атакованного устройства от сети Интернет, что не позволит злоумышленникам управлять вредоносом удаленно. После выполнения предыдущего действия можно воспользоваться специализированным программным обеспечением для устранения заражения и дешифровки данных, однако иногда без соответствующих специалистов не обойтись. Они помогут не только минимизировать последствия атаки, но и устранить использованный путь проникновения вирусного ПО.
Знание признаков потенциальной жертвы программ-вымогателей и наиболее распространенных методов доставки зловредов, а также соблюдение элементарных правил информационной безопасности значительно снижают вероятность успешной кибератаки. Необходимо осознавать, что эффективную информационную безопасность невозможно представить без комплексной и качественной реализации организационных, физических, программных, программно-аппаратных и криптографических методов, характеризующих обеспечение конфиденциальности, целостности и доступности информации.
СПИСОК ЛИТЕРАТУРЫ:
https://www.websiterating.com/ru/online-security/what-is-ransomware-protection/
https://www.kaspersky.ru/resource-center/threats/ransomware-attacks-and-types
https://www.kaspersky.ru/resource-center/threats/how-to-prevent-ransomware
https://www.kaspersky.ru/resource-center/threats/top-ransomware-2020
https://ru.malwarebytes.com/ransomware/
Номер журнала Вестник науки №12 (57) том 5
Ссылка для цитирования:
Федьков Н.А., Цибизов В.А., Михайлова Е.М. АНАЛИЗ АКТИВНОСТИ ПРОГРАММ-ВЫМОГАТЕЛЕЙ // Вестник науки №12 (57) том 5. С. 135 - 143. 2022 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/6929 (дата обращения: 24.04.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2022. 16+