Вымогательское ПО — это вредоносное программное обеспечение, которое блокирует жертвам доступ к их системам, шифрует их файлы и даже угрожает опубликовать их конфиденциальную информацию, если они не заплатят выкуп.
Обычно целью атак вымогательского ПО становятся бизнесы и организации с ценными данными. Это связано с тем, что они не могут позволить себе потерять данные и могут заплатить выкуп.
Злоумышленники могут нацеливаться на отдельных пользователей и любых других потенциальных жертв для осуществления атак с использованием вымогательского программного обеспечения.
В данной статье описывается, каким образом устройства могут быть инфицированы вымогательским ПО, пути его распространения в сетях и стратегии защиты от подобных атак.
Начнем.
Прежде чем вымогательское ПО сможет распространиться по сети, оно должно сначала заразить конечную точку — обычно, это незащищенное и уязвимое устройство в сети.
Вот общие методы, которые злоумышленники используют для заражения устройств вымогательским ПО.
Фишинговые атаки.
Этот метод отвечает за значительный процент кибератак, связанных с вредоносным ПО, таким как вымогательское ПО.
Злоумышленники обычно целенаправленно атакуют своих жертв и убеждают их загрузить вымогательское ПО на свои устройства. Это происходит через открытие вредоносных вложений или нажатие на фишинговые ссылки.
Загрузки с привлечением.
Так называемые загрузки с привлечением — это незаконные загрузки программного обеспечения, которые происходят без ведома пользователя.
Иногда пользователь может совершить загрузку, не зная, что программа содержит вредоносное ПО, такое как вымогательское ПО.
Такие загрузки происходят при посещении веб-сайтов, на которых размещено вредоносное ПО.
Вредоносные объявления.
Вредоносные объявления — это средство для доставки вымогательского ПО. Эти объявления содержат эксплойты, которые сканируют уязвимости в вашей системе.
Когда пользователь нажимает на объявление, эксплойт использует уязвимость и пытается доставить или запустить вымогательское ПО на системе пользователя.
Зараженное программное обеспечение.
Бесплатное программное обеспечение, взломанные премиум-программы и пакеты программного обеспечения — это каналы, которые злоумышленники используют для внедрения вымогательского ПО в устройства.
Кроме того, сайты, которые размещают взломанное премиум-программное обеспечение, могут содержать вредоносное ПО и могут быть использованы для загрузок с привлечением.
Взломанное премиум-программное обеспечение также увеличивает риск заражения вымогательским ПО, поскольку это программное обеспечение не имеет право на обновления и патчи безопасности.
Зараженные носители информации.
Это более прямой способ заражения устройств вымогательским ПО. Съемные и портативные устройства хранения данных, такие как USB-накопители с вымогательским ПО, могут заразить устройства, к которым они подключены.
После заражения конечной точки, вымогательское ПО сканирует уязвимости для их эксплуатации и запускает свою полезную нагрузку на других взаимосвязанных устройствах и узлах.
Вот различные способы, которые объясняют, как вымогательское ПО распространяется по сети:
Горизонтальное движение.
Это техника распространения по сети, которую вымогательское ПО использует для заражения других устройств в сети после заражения конечной точки.
Это возможно, если вымогательское ПО содержит механизмы саморепликации, позволяющие ему получить доступ и заразить другие подключенные сетевые устройства.
Протокол удаленного рабочего стола (RDP).
Это протокол, используемый для подключения удаленного рабочего стола по сети. Известно, что вымогательское ПО может использовать это подключение для заражения других устройств.
Некоторые варианты вымогательского ПО используют это подключение для горизонтального перемещения по сети. Кроме Windows, вымогательское ПО также может заразить другие машины, использующие RDP.
Уязвимости «нулевого дня».
Это уязвимости, которые уже известны, но они еще не устранены. Обычно другие лица обнаруживают уязвимости раньше разработчика, и поэтому у разработчика мало времени для их исправления.
Неустраненные уязвимости, особенно на сетевых устройствах, представляют собой привлекательную возможность для злоумышленников распространять вымогательское ПО.
Злоумышленники могут эксплуатировать эти уязвимости и запустить вымогательское ПО в сети без обнаружения.
Внутренние атаки.
Такие злоумышленники, как недовольные или скомпрометированные сотрудники, могут неприметно распространять вымогательское ПО по сети.
В этом случае они могут распространять вымогательское ПО на сетевые устройства с помощью уже зараженного устройства хранения данных.
Кроме того, поскольку они являются сотрудниками, они легко обходят большинство протоколов безопасности.
Скомпрометированные учетные данные.
Злоумышленники используют учетные данные из темной сети или фишинга для доступа к системам и другим сетевым устройствам. Они будут выглядеть как законные субъекты в контролях доступа.
Получив доступ к одной системе, злоумышленники могут эксплуатировать уязвимость системы для повышения привилегий и получения доступа к критическим системам.
С повышенными привилегиями злоумышленники могут запустить вымогательское ПО и распространить его по всей сети за считанные моменты.
Вот некоторые из лучших практик защиты от вымогательского ПО и предотвращения его распространения:
Регулярное резервное копирование данных.
Применяйте правильные стратегии резервного копирования и восстановления данных после аварии. Например, вместо снимков, делайте регулярные внешние копии системы и критически важных данных и храните их вне сети.
С надежной резервной копией вам не придется беспокоиться о выкупе, блокировке вашей системы или невозможности доступа к вашим данным. Конечно, обязательно зашифруйте резервные копии.
Использование лучших технологических практик.
Эти практики включают стратегии обнаружения и предотвращения. Они предполагают комплексное решение для защиты от вредоносного ПО, такого как вымогательское ПО.
Лучшие практики гарантируют, что у вас есть автоматизированный процесс установки патчей для регулярного обновления системы и программного обеспечения, всесторонняя система обнаружения, защита электронной почты, безопасные политики контроля доступа для паролей, аутентификации и модель «ноль доверия».
Надежная защита конечных точек.
Прежде чем распространиться на другие устройства в сети, вымогательское ПО сначала заражает уязвимую конечную точку. Чтобы этого не произошло, защитите все конечные точки, включая мобильные устройства.
Стратегии защиты конечных точек включают использование качественного антивирусного/антивредоносного программного обеспечения, брандмауэров, обнаружения и реагирования на конечных точках, а также привилегий доступа.
Сегментация сети.
Сегментация вашей сети ограничивает инфекцию, распространение и влияние вымогательского ПО в сети. Кроме того, бороться с вымогательским ПО на сегментированной сети проще.
Сегментация сети облегчает учет ваших систем, позволяет следить за критическими системами, оценивать риски и применять эффективные контролирующие механизмы к различным сегментам.
Вы также можете усилить безопасность в сегментах сети, отслеживая трафик на предмет подозрительной активности и внедряя политики сети.
Обучение сотрудников осознанному подходу к кибербезопасности.
Организации и учреждения должны обучать и воспитывать сотрудников по лучшим практикам безопасности относительно вредоносного ПО и вымогательского ПО.
Это включает в себя симуляции фишинга, распознавание вредоносных писем, политики паролей и практики защиты технологий.
В сущности, цель обучения осознанности — снизить количество ошибок, совершаемых людьми, и проинформировать сотрудников о том, как предотвращать и справляться со сценариями вымогательского ПО.
Для успешной защиты от вымогательского ПО важно понимать механизмы его распространения и методы восстановления данных после заражения без необходимости выплачивать выкуп.