Пропустить меню Доступность

Внимание! Распространяются инвестиционные мошенничества. Узнайте больше: Инвестиционные мошенничества

Атаки программ-вымогателей против предприятий

Программы-вымогатели стали одной из крупнейших угроз для всех пользователей интернета. Злоумышленники заражают систему вредоносным ПО, цель которого – зашифровать или похитить файлы жертвы. После шифрования атакующие пытаются потребовать от жертвы деньги за восстановление доступа к файлам или за неразглашение информации. Такие атаки могут быть весьма успешными, особенно в корпоративных сетях, где широко используются файловые серверы.

В 2023 году в Эстонии CERT-EE зарегистрировал 13 атак программ-вымогателей с существенными последствиями, однако не все жертвы сообщают об этом. Количество жертв программ-вымогателей может показаться небольшим, но их влияние на организацию в виде упущенной выгоды и ущерба репутации может быть огромным: В Эстонии есть пример, когда общие расходы, связанные с атакой, достигли миллионов евро.

Заражение программами-вымогателями чаще всего происходит следующими способами:

  • Файл во вложении электронного письма запускает вредоносный код.
  • Ссылки, отправленные по электронной почте, ведут к документам с вредоносным содержимым.
  • Используются уязвимости в веб-браузерах или программных компонентах.
  • Используются общедоступные службы удаленного рабочего стола, такие как Remote Desktop Protocol (RDP), через которые получают доступ к системе жертвы.

Как предотвратить атаку программ-вымогателей?

Восстановление после атак программ-вымогателей сложно – в случае утечки данных это может быть даже невозможно – поэтому разумно принять превентивные меры для предотвращения заражения и смягчения последствий. Для этого вы можете сделать следующее:

  • Всегда используйте последнюю версию программного обеспечения и убедитесь, что установлены все обновления безопасности (включая расширения браузера и плагины);
  • Настройте логирование в веб- и почтовых шлюзах, блокируйте или помещайте в карантин все документы, содержащие исполняемые файлы, контейнерные форматы и другие форматы файлов, которые могут потенциально содержать активное содержимое;
  • Регулярно делайте резервные копии, храня одну копию всегда в автономном режиме (offline), и регулярно проверяйте состояние и целостность резервных копий (вредоносное ПО может работать в фоновом режиме несколько дней, прежде чем оно будет обнаружено, и, следовательно, может уже добраться до резервных копий);
  • Ограничьте права пользователей системы и уменьшите количество устройств, имеющих доступ к системам организации (применяйте принцип минимальных прав или политику доступа, установите политику «Принеси свое устройство» (BYOD), чтобы уменьшить количество устройств, имеющих доступ к системам организации);
  • Обучайте сотрудников по теме киберугроз, напоминая им, что нельзя нажимать на незнакомые ссылки или открывать неизвестные вложения.

Что делать, если вы стали жертвой атаки программы-вымогателя?

Если вы всё же стали жертвой атаки программы-вымогателя, вы можете руководствоваться следующими пунктами:

  • При обнаружении инцидента немедленно отключите зараженное устройство от сети (не забудьте и о беспроводной сети).
  • Если вы стали жертвой программы-вымогателя или подозреваете, что полученный файл является вредоносным, обязательно сообщите об этом в CERT-EE по адресу cert@cert.ee. Мы готовы вам помочь. Полученная информация даст нам полное представление о киберпространстве Эстонии и позволит эффективнее проводить профилактические мероприятия по предотвращению атак вымогательского ПО и подобных инцидентов.
  • Если вы хотите самостоятельно провести первичный анализ вредоносного ПО, необходимо сначала выполнить дамп памяти (если система не была выключена), а затем сделать образ диска.
  • Восстановление:
    • В редких случаях возможно восстановление некоторых файлов (например, из теневых копий Windows, из образов или в случае использования программы-вымогателя с ошибками в шифровании), но на это не стоит рассчитывать.
    • По возможности сохраните само зараженное устройство, которое вы сможете снова использовать после появления дешифратора.
    • В случае заражения CERT-EE рекомендует восстановить операционную систему из резервной копии или переустановить программное обеспечение, чтобы избежать повторного заражения. Перед восстановлением из резервной копии необходимо убедиться, что она также не заражена вредоносным ПО.
  • Тщательно взвесьте риски перед тем, как связываться с атакующими. Нет гарантии, что после уплаты выкупа злоумышленник расшифрует файлы. Кроме того, это посылает злоумышленникам сигнал, что их деятельность успешна, и они могут выбрать вас в качестве жертвы и в следующий раз.
  • Полезные ссылки:
    • О том, какой тип программы-вымогателя используется, можно узнать по адресу id-ransomware.malwarehunterteam.com
    • Наличие дешифратора можно проверить по адресу www.nomoreransom.org.