Все ли программы-вымогатели исходят от российских киберпреступных группировок?

В Datarecovery.com мы часто работаем с предприятиями, организациями здравоохранения и другими предприятиями, которые стали жертвами программ-вымогателей. Многие из этих случаев поддаются восстановлению — хотя многие из наиболее известных вариантов программ-вымогателей хорошо спроектированы, некоторые из них имеют конструктивные уязвимости, которые можно использовать для восстановления данных в исходное состояние без уплаты выкупа.

Тем не менее, недавняя волна захватывающих заголовков вариантов программ-вымогателей исключительно надежна. Во многих случаях у жертв нет другого выбора, кроме как заплатить выкуп. Взлом шифрования может занять месяцы, а в некоторых случаях и сотни лет, и по определению критически важные системы не могут оставаться в автономном режиме в течение длительного времени.

Газеты часто ссылаются на российское происхождение крупных атак программ-вымогателей, что привело к ошибочному представлению о том, что все программы-вымогатели исходят от базирующихся в России групп киберпреступников. Это не так; Программы-вымогатели могут прийти (и приходят) отовсюду, но самые успешные злоумышленники часто приходят из русскоязычных стран.

Доказательства русскоязычного происхождения в недавних кибератаках

В феврале 2017 года охранная фирма «Лаборатория Касперского» подсчитала, что 75% программ-вымогателей исходят из русскоязычных источников. Однако это не обязательно означает, что все злоумышленники являются русскоязычными: злоумышленники, создающие программы-вымогатели, часто отделены от людей, которые осуществляют атаку. Эта вторая группа действует как «аффилированные лица», распространяя программы-вымогатели и собирая выкуп. Недостаточно достоверных данных, чтобы сделать вывод о том, что настоящие программисты с большей вероятностью будут русскоязычными, чем, скажем, китайскоязычными.

С учетом сказанного, многие из наиболее значительных атак программ-вымогателей были отслежены на русскоязычных (отметим здесь, что мы используем фразу «русскоязычный», а не «Россия», потому что определить язык намного проще, чем подтвердить национальность — и в настоящее время нет никаких доказательств того, что правительство какой-либо страны активно участвует в распространении программ-вымогателей, за заметным исключением военных хакерских групп Северной Кореи ).

Несколько заслуживающих внимания примеров атак русскоязычных программ-вымогателей:

• 7 июля 2021 года в отчете Trustwave SpiderLabs была выявлена ​​атака программы -вымогателя со стороны русскоязычных хакеров REvil, которая была написана для активного избегания систем с языковыми настройками по умолчанию из региона бывшего СССР.
• DarkSide, русскоязычная группировка, атаковавшая Colonial Pipeline в мае, использовала программы-вымогатели, написанные для обхода компьютеров в России и бывших странах-сателлитах СССР.
• 14 мая 2021 года служба здравоохранения Ирландии подверглась серьезной атаке программы-вымогателя, приписываемой Wizard Spider, киберпреступной группе, предположительно базирующейся в Санкт-Петербурге, Россия.

Большинство кибератак не попадают в новости — каждая из перечисленных выше атак программ-вымогателей относится к категории «охотников за крупной дичью». Эти атаки могут быть очень изощренными. В некоторых случаях вредоносное ПО месяцами находится на сервере, чтобы предотвратить восстановление цели из пригодных для использования резервных копий. Меньшие атаки программ-вымогателей используют метод грубой силы, нацеленный на сотни потенциальных жертв. Эти типы атак с большей вероятностью поддаются восстановлению.

Предотвращение заражения программами-вымогателями (и восстановление после программ-вымогателей)

Мы не можем предположить, почему многие крупные атаки происходят из русскоязычных стран, но некоторые новостные агентства считают, что слабое соблюдение Россией законов о киберпреступности сделало эту практику почти законной. Также возможно, что некоторые вредоносные группы имитируют известные российские группы, чтобы более эффективно скрывать свою личность.

Независимо от происхождения, атака программы-вымогателя может нанести ущерб бизнесу. Хотя каждое предприятие должно внедрить надежную программу предотвращения заражения, вот несколько быстрых советов по ограничению уязвимостей:

• Ограничьте периферийный доступ ко всем системам резервного копирования. Сюда входят оптические носители (CD/DVD), внешние жесткие диски и флэш-накопители. Рассмотрите возможность установки замков USB для предотвращения несанкционированного доступа к периферийным устройствам.
• Храните резервную копию важных данных с воздушным зазором . Все критически важные данные должны дублироваться и храниться вне сети. По возможности храните критически важные резервные копии вне офиса.
• Обучайте сотрудников. Многие атаки программ-вымогателей происходят через электронную почту. Установите надежные протоколы, чтобы персонал не открывал скомпрометированные электронные письма (и вложения).
• Изолируйте системы везде, где это возможно. Ограничение доступа к важной ИТ-инфраструктуре — один из самых эффективных способов предотвратить успешную атаку.
• Регулярно проверяйте резервные копии. Имейте план аварийного восстановления — запустите сценарии моделирования и определите, достаточно ли надежны ваши текущие методы для реального заражения.

Наконец, если произойдет кибератака, не паникуйте. Немедленно отключите все затронутые системы. Не пытайтесь восстанавливать из резервных копий, если существует вероятность того, что резервные копии могут быть заражены в процессе.

Самый безопасный способ действий — обратиться в опытную фирму по восстановлению программ-вымогателей. Чтобы получить бесплатную консультацию, позвоните в Datarecovery.com по телефону 1-800-237-4200 и попросите поговорить с экспертом по вредоносным программам.