Чи всі програми-вимагачі походять від російських кіберзлочинних груп?

У Datarecovery.com ми часто співпрацюємо з підприємствами, організаціями охорони здоров’я та іншими підприємствами, які стали жертвами програм-вимагачів. Багато з цих випадків можна відновити — хоча багато з найвідоміших варіантів програм-вимагачів добре розроблені, деякі мають уразливості конструкції, які можна використати для відновлення даних до початкового стану без сплати викупу.

Однак нещодавня хвиля варіантів програм-вимагачів, які перехоплюють заголовки, надзвичайно надійна. У багатьох випадках жертви не мають іншого вибору, окрім як заплатити викуп. Злом шифрування може зайняти місяці — або сотні років, у деяких випадках — і, за визначенням, критично важливі системи не можуть залишатися в автономному режимі протягом тривалого часу.

Газети часто посилаються на російське походження великих атак програм-вимагачів, що призвело до помилкової думки, що всі програми-вимагачі походять від російських груп кіберзлочинців. Це не так; програми-вимагачі можуть (і трапляються) з’являтися звідусіль, але найуспішніші зловмисники часто походять із російськомовних країн.

Докази російськомовного походження останніх кібератак

У лютому 2017 року компанія з безпеки Kaspersky підрахувала, що 75 відсотків програм-вимагачів походять з російськомовних джерел. Однак це не обов’язково означає, що всі зловмисники є російськомовними: зловмисники, які створюють програми-вимагачі, часто є окремими від людей, які здійснюють атаку. Ця друга група діє як «філії», розповсюджуючи програми-вимагачі та збираючи викуп. Немає достатньо достовірних даних, щоб зробити висновок, що фактичні програмісти, швидше за все, будуть російськомовними, ніж, скажімо, китайськими.

Зважаючи на це, багато з найбільш значних атак програм-вимагачів були простежені до російськомовних (зауважимо, що ми використовуємо фразу «російськомовний», а не «Росія», оскільки визначити мову набагато легше, ніж підтвердити національність — і наразі немає доказів того, що уряд будь-якої країни бере активну участь у розповсюдженні програм-вимагачів, за винятком військових хакерських груп Північної Кореї ).

Кілька цікавих прикладів атак програм-вимагачів російськомовного походження:

• 7 липня 2021 року звіт Trustwave SpiderLabs виявив атаку програм -вимагачів від російськомовних хакерів REvil, яка була написана для активного уникнення систем із налаштуваннями мови за замовчуванням з регіону колишнього СРСР.
• DarkSide, російськомовна група, яка атакувала Colonial Pipeline у ​​травні, використовувала програми-вимагачі, написані для уникнення комп’ютерів у Росії та колишніх радянських країнах-сателітах.
• 14 травня 2021 року служба охорони здоров’я Ірландії зазнала серйозної атаки програм -вимагачів, яку приписують Wizard Spider, групі кіберзлочинців, яка, як вважають, базується в Санкт-Петербурзі, Росія.

Більшість кібератак не потрапляють у новини — кожна з перелічених вище атак програм-вимагачів належить до категорії «великий мисливець за дичиною». Ці атаки можуть бути надзвичайно витонченими. У деяких випадках зловмисне програмне забезпечення залишається на сервері місяцями, щоб запобігти відновленню цілі з придатних для використання резервних копій. Менші атаки програм-вимагачів використовують більше методу грубої сили, націлюючись на сотні потенційних жертв. Ці типи атак, швидше за все, можна відновити.

Запобігання зараженню програмами-вимагачами (і відновлення після програм-вимагачів)

Ми не можемо здогадуватися, чому багато великих атак відбуваються з російськомовних країн, але деякі ЗМІ вважають, що слабке застосування Росією законодавства про кіберзлочинність зробило цю практику квазілегальною. Також можливо, що деякі групи зловмисного програмного забезпечення імітують відомі російські групи, щоб ефективніше приховувати свою особу.

Незалежно від походження, атака програм-вимагачів може завдати шкоди бізнесу. Хоча кожне підприємство має запровадити надійну програму запобігання зараженню, ось кілька коротких порад щодо обмеження вразливостей:

• Обмежте периферійний доступ до всіх систем резервного копіювання. Це включає оптичні носії (CD/DVD), зовнішні жорсткі диски та флеш-накопичувачі. Розгляньте можливість встановлення замків USB, щоб запобігти несанкціонованому доступу до периферійних пристроїв.
• Зберігайте резервну копію важливих даних у зазорі. Усі критично важливі дані слід дублювати та зберігати поза мережею. По можливості зберігайте критично важливі резервні копії за межами підприємства.
• Навчайте співробітників. Багато атак програм-вимагачів відбуваються через електронну пошту. Встановіть надійні протоколи, щоб запобігти відкриванню зламаних електронних листів (і вкладень) персоналом.
• Ізолюйте системи, де це можливо. Обмеження доступу до важливої ​​ІТ-інфраструктури є одним із найефективніших способів запобігти успішній атаці.
• Регулярно перевіряйте резервні копії. Майте план аварійного відновлення — запустіть сценарії моделювання та визначте, чи достатньо надійні ваші поточні методи для справжнього зараження.

Нарешті, якщо сталася кібератака, не панікуйте. Негайно вимкніть усі уражені системи. Не намагайтеся виконати відновлення з резервних копій, якщо є ймовірність того, що резервні копії можуть бути заражені під час процесу.

Найбезпечнішим способом дій є звернення до досвідченої фірми з відновлення програм-вимагачів. Щоб отримати безкоштовну консультацію, зателефонуйте на сайт Datarecovery.com за номером 1-800-237-4200 і попросіть поговорити з експертом із зловмисного програмного забезпечення.