Данная заметка, создавалась в первую очередь, для помощи руководителям / владельцам малого и среднего бизнеса в Украине. К сожалению, малый бизнес, особенно в период пандемии COVID-19, терпит не самые лучшие времена. Форум ЛК Касперского содержит огромное количество тем с запросами о помощи в расшифровке файлов, от пострадавших в следствии атак шифровальщиков. Несколько моих знакомых, владельцы небольших бизнесов, словили новый вид шифровальщика Thanos, через RDP и потеряли все данные. Все это, побудило меня создать несколько новых заметок, в качестве руководства для владельцев / руководителей малого и среднего бизнеса.
Вирусы-шифровальщики – конец эпохи шифровальщиков, или начало новой эры киберугроз?
Наблюдая за работой известных вымогателей REvil (Sodinokibi), Babuk, Thanos, Avaddon и новым видом шифровальщика Haron, который был обнаружен на virustotal в июле 2021 года, можно видеть неутешительную картину развития данной сферы. Киберпреступники, занимающиеся разработкой и распространением вирусов шифровальщиков, постоянно развивают и улучшают свои инструменты вымогательства и улучшают методы давления на пострадавших. О чем речь?
Новый вымогатель Haron, как и большинство предыдущих шифровальщиков, атакует в основном бизнес сегмент. При этом, для увеличения своей прибыли, у Haron есть собственный сайт для слива данных, на котором преступники выкладывают украденную у жертв информацию, если те отказываются платить за расшифровку файлов.
Новый способ давления вирусов-шифровальщиков на жертв. Выгрузка данных, зашифровка и слив информации в открытый доступ.
На самом деле, новый вымогатель Haron, не первый, кто начал так поступать. Например, упомянутый вымогатель Babuk, также имел свой сайт, где предоставлял жертвам приватную ссылку со скринами, текстовым описанием похищенных данных и угрозами в адрес жертвы. В случае отказа платить выкуп, преступники делали ссылку общедоступной.
Современные шифровальщики, все чаще перед зашифровкой данных, сначала их выгружают на свои сервера, а уже потом удаляют резервные копии и шифруют данные.
Примечательно, что в течении 2021 года можно наблюдать тенденцию увеличения требуемых сумм выкупа, которую преступники запрашивают за конфиденциальную информацию пострадавших компаний. А появление новых методов давления на жертв в виде реальных угроз слива данных в Сеть и активная разработка вредоносного ПО для других платформ помимо Windows, говорит о том, что частота и масштаб атак вымогателей будет увеличиваться в дальнейшем.
Что это за зверь такой? Новый вымогатель Haron.
На данный момент, есть информация от южнокорейской компании S2W Labs, которая проанализировала данную угрозу. Компания увидела сходство с Thanos и Avaddon, о чем и написала у себя в блоге. Как и упоминалось выше, данный зловред, не только шифрует данные, а и предварительно их скачивает с устройств жертв и в последствии, сливает в открытый доступ, если жертвы не платят выкуп. При этом, Haron может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Из темы поддержки пострадавших от шифровльщика Prometheus, ряд специалистов информационной безопасности, делают предположение о том, что Haron новый вариант Prometheus.
Из открытых источников, можно найти информацию о появлении первых сообщений заражения вымогателем Haron, в конце апреля - начале мая 2021 г. Пока, ориентирован в первую очередь на англоязычную аудиторию.
Информации по данному зловреду, еще недостаточно, чтобы делать какие либо выводы. При этом, можно хорошо видеть, что киберпреступники создают новые угрозы с целью последующей наживы на жертвах.
Страшны ли вымогатели (вирусы-шифровальщики) для малого бизнеса?
Чтобы дать ответ на данный вопрос, необходимо понимать, как существует киберпреступный бизнес.
Данный бизнес, в основном существует как услуга или, им занимаются одиночки. В первом случае, есть группа преступников ,которые разрабатывают свой инструмент, создают сайт, форум, организовывают способы анонимной коммуникации и набирает партнеров, которые после внесения залога, получают доступ к инструментам и начинают распространять и заражать устройства. О том, как работает данная схема, рекомендую ознакомиться на сайте SecureList.
Во втором случае, есть одиночки, о которых никто ничего не знает и они не афишируют своей деятельностью. По имеющейся информации, такие одиночки, в основном работают по странам СНГ. Будет полезно ознакомится с заметкой на pikabu.
В любом случае, цель первой и второй группы, сводится к получению прибыли, посредством шантажа и вымогательства.
Если вы, владелец бизнеса, первое, что нужно понять, это то, что вирусы-шифровальщики не создаются и не распространяются ради шутки. Это инструмент заработка, для киберпреступников. Не нужно путать данную угрозу, с популярными в 2000-х годах блокировщиками экрана, которые выводили сообщение о просмотре порно и некоторые из них, еще и имели звуковое сопровождение с порнофильмов. Было достаточно нескольких манипуляций провести в Безопасном режиме и без переустановки системы, можно было восстановить доступ к системе и данным.
Итак, что умеют современные вирусы-шифровальщики:
- Атакуют сервера и персональные устройства
- В случае успешной атаки, злоумышленники скачивают все данные жертвы
- Удаляют / повреждают все резервные копии (в том числе и теневые копии)
- Шифруют всю информацию
- Требуют выкуп за расшифровку
- Шантажируют слить в открытый доступ все данные
На самом деле, это очень упрощенный вариант того, что делают современные шифровальщики.
Второе, это нужно помнить, что шифровальщики, часто называются еще вымогателями. Что будет, если злоумышленники скачают персональные данные ваших клиентов и пообещают слить их в открытый доступ? Что будет, с вами и вашим бизнесом?
Третье, это суммы выкупов. Они бывают разные. От 300 долларов и доходят до миллионов долларов. За 2020 год, сталкивался в Украине из личного опыта в основном с суммами в 1500$ и 3000$ за расшифровку. Вы готовы оплатить такие сумы?
Четвертое, это то, что платя преступникам, вы спонсируете и развиваете преступную деятельность. Конечно, если выбора нет, вы будете вынуждены платить выкуп, однако, нет 100% гарантии, что данные будут расшифрованы после оплаты выкупа. Вы можете найти посредников, которые выкупят ключи расшифровки у преступников и перепродадут вам. Если снова вернуться к личной статистике за 2020 год по шифровальщикам, то в основном данные посредники (ссылка выше), требовали 1200$ - 1500$.
Ищите специалистов IT для реализации своих задач? Доступные цены и лучшие специалисты IT. |
Как с киберпреступностью в Украине?
Не стоит думать, что вирусы-шифровальщики рассчитаны на богатые страны. Данная угроза, актуальна для всех стран. Если доверять информации из открытых источников, как упоминалось уже выше, в СНГ работают в большинстве одиночки, которые распространяют шифровальщики и зарабатывают на этом. Данная мысль является очень логичной, ведь в СНГ страдает в первую очередь от атак шифровальщиков - малый и средний бизнес. Нередки ситуации, когда атакам подвергаются домашние пользователи. Особенно тяжело читать сообщения, когда пользователи умоляют помочь им восстановить семейные альбомы за всю жизнь.
В то время, как в странах с англоязычной аудиторией, кибератакам подвергаются в первую очередь крупные корпорации.
При этом, в Украине недавно была проведена очередная спецоперация, в ходе которой задержали распространителей вируса-вымогателя Clop. Их основная схема работы, заключалась в похищении данных пользователей и их шифровании. То есть, после зашифровки данных, они требовали выкуп за расшифровку и за то, чтобы данные не были слиты в открытый доступ.
По информации от полиции Украины, инфраструктура Clop неактивна, а каналы отмывания денег заблокированы. Вот красивый видосик:
Однако, радоваться рано, так как данный вымогатель Clop, несмотря на недавние аресты, вернулся снова в строй.
Стоит сразу уточнить, что Clop ориентирован в первую очередь на англоязычную аудиторию и от действий данных преступников, не пострадали компании в Украине. Во всяком случае, нет данных по СНГ от тех, кто подвергся атакам Clop. Однако, не стоит думать, что это некие Робин Гуды, которые не трогают своих. По имеющимся данным из заметки выше, есть предположение, что основатели сети Clop, находятся в России. Как следствие, Украина стала некой буферной зоной для преступников России в атаках на англоязычные страны.
Теперь к проблеме о пострадавших от шифровальщиков в Украине. На данном форуме, можно найти постоянно растущее число новых тем от пострадавших в следствии атак шифровальщиков. Все пострадавшие, из стран СНГ.
К чему все эти данные? Да к тому, что угрозы от вирусов-шифровальщиков для малого и среднего бизнеса в Украине — очень высоки.
Вот некоторые из писем, которые мне присылали пострадавшие пользователи в 2020 году от атак шифровальщиков:
Важно! С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по восстановлению данных после атак вирусами-шифровальщиками. Если вам нужна помощь по восстановлению данных, прочитайте внимательно данную заметку. Пожалуйста, не нужно писать мне в личку через страницу «Контакты», просьбы о помощи. Вся нужная информация, есть в данной заметке.
Как защитится малому бизнесу от вирусов-шифровальщиков?
- Максимально обезопасить свой RDP.
- Создавать резервные копии важных данных и надежно их хранить.
- Использовать комплексные коммерческие продукты защиты.
Это банально и может показаться простым решением, однако, это максимально эффективный способ защиты от атак шифровальщиков.
Свой VPN для защиты малого бизнеса.
В своих предыдущих заметках, неоднократно делал акцент на том, что малому бизнесу, может быть сложно создать собственный VPN и поддерживать его. Поэтому, подготовил полезную заметку. Информация будет полезна в первую очередь, для пользователей Украины. Она также содержит информацию, которая позволит найти опытных IT-специалистов в Украине и не переплачивать на IT-услугах.
Резервные копии данных для защиты малого бизнеса.
Для резервных копий, можно использовать облачные решения от компании TUCHA.UA. Есть обзор с реальным переносом компании в облако с расценками и всем перечнем необходимых услуг. Данная компания, сотрудничает с клиентами СНГ, Европы и США.
При этом, доступ к резервным копиям, должен быть надежно защищен. Иначе, рискуете упростить жизнь преступникам, которые скачают все ваши готовые бекапы. Примеры уже есть.
Есть инструкции по настройке дополнительных инструментов защиты RDP:
- Настройка RDP (защита от перебора паролей).
- Защита RDP подключения от брутфорса при помощи IPBan.
- Устанавливаем и настраиваем Cyberarms Intrusion Detection and Defense Software (IDDS).
- Защита главной загрузочной записи (MBR).
- Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.
Однако, это не лучшие способы защиты от шифровальщиков. Будет полезно ознакомиться с общими рекомендациями, которые позволят проанализировать в первую очередь малому бизнесу, в каком состоянии находиться их IT-инфраструктура и принять действенные меры по улучшению ситуации.
Антивирусная комплексная защита для бизнеса.
Бытует мнение, что антивирусные комплексы, не являются надежной защитой и бесполезны. Естественно, антивирусный комплекс корпоративного уровня, не может обеспечить 100% защиту от всех угроз. В таких ситуациях, можно услышать мнение, что достаточно настроить групповые политики контроля учетных записей Windows. Однако, многие современные шифровальщики, умеют обходить UAC и с легкостью удаляют резервные копии (в том числе и теневые копии) данных. В таких ситуациях, действительно стоит использовать комплексные решения:
Компания ESET, имеет офис в Украине и оказывает техподдержку (в том числе на украинском). Есть расширенная поддержка. Хотя, это уже может быть не по средствам для малого бизнеса. По поводу поиска и экономии на IT-услугах уже приводил ссылку на данную заметку.
Дополнительный периметр защиты.
Для обеспечения дополнительного уровня защиты RDP, если позволяют ваши финансы, стоит рассмотреть дополнительное решение для многофакторной аутентификации. Есть пробная версия на 30 дней.
Что делать, если атаковал вирус-шифровальщик?
На протяжении нескольких лет, предоставлял помощь пострадавшим от вирусов-шифровальщиков. Однако, прекратил оказывать как платную так и бесплатную помощь пострадавшим от шифровальщиков. При этом, настоятельно рекомендую ознакомиться вам с ценной информацией из заметок:
- Услуги по расшифровке файлов. Миф или реальность? Данная заметка, будет особенно полезна тем, кто пострадал от атак шифровальщиков. В ней содержаться ссылки на платный сервис по восстановлению базы 1С, ссылки на бесплатную помощь в расшифровке данных и куда нужно писать, если пострадали от киберпреступников.
- Бесплатная расшифровка Trojan-Ransom.Win32.Shade от 06.2020 (шифровальщик Код да Винчи).
- Кто такие Dr. Shifro? «Декодеры» или «переговорщики»?
- Вирусы-шифровальщики. Мифы и реальность. Заключение.
- Где хранить резервные копии для малого бизнеса в Украине?
Данная информация, была создана на протяжении нескольких лет, содержит рабочие и надежные варианты решения проблемы для тех, кто пострадал от шифровальщиков.
Как предотвратить атаку шифровальщика? Заключение.
Как вы видите, нет волшебной кнопки, которая позволит чудом защитится от угроз. Однако, есть чужой опыт и рабочие инструменты, которые позволяют максимально минимизировать вероятность успешной атаки шифровальщиков на ваш бизнес. Использование готовой приватной сети для бизнеса (ссылка на обзор сервиса, приводилась выше), позволит с минимальными финансовыми затратами, обезопасить RDP подключения.
При этом, необходимо понимать, что нет сто процентной защиты, соответственно, задача любого руководителя бизнеса, максимально минимизировать ущерб, в случае успешной атаки. В этом случае, самым простым и доступным способом минимизации потерь от атак шифровальщиков, является полное резервное копирование ценных данных и хранение их в надежном месте. Вы можете хранить резервные копии в готовых и защищенных облачных хранилищах. Это более выгодное решение с меньшими финансовыми затратами, чем покупать и обслуживать собственный сервер для бекапов. В любом случае, по ссылкам выше, вы можете ознакомится с дополнительной информацией, которая позволит вам принять свое решение.
Отдельно, хочется обратить внимание, что если вы, хотите найти исполнителей или фирму, которая предоставит вам 100% гарантии защиты от шифровальщиков, это будут мошенники или дилетанты. Нет 100% защиты, есть минимизация рисков.
Приятно, когда пользователи после атаки шифровальщиков, принимают верные решения, для защиты от угроз в будущем, чтобы минимизировать риски. Благодарственный ответ, от одного предприятия в Украине:
У данной компании, были старые бекапы, которые помогли восстановить потерянные данные. К сожалению, так бывает не всегда. Однако, данная компания, предприняла действия, для минимизации рисков в дальнейшем.Надеюсь, вам поможет данная заметка и будет полезной. Успехов.