Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (36)
  • добавить в избранное
    Добавить в закладки

Никто не застрахован от вымогателей

Прочитали: 1629 Комментариев: 35 Рейтинг: 60

27 ноября 2020

По сообщению интернет-издания Bleeping Computer, с использованием шифровальщика Trojan.Encoder.33222 (он же Egregor) был атакован ритейлер Cencosud, работающий на территории половины стран Латинской Америки и имевший в 2019 году доход в 15 млрд. долларов. В результате атаки нормальная работа магазинов оказалась парализована – множество устройств по всей сети оказалось заблокировано. Главным образом неработоспособными оказались цифровые сервисы, включая цифровую оплату и т. п. Вместе с тем, находящиеся в пострадавшей сети принтеры начали печатать т. н. ransom note – требования о выкупе. Можно предположить, что это делалось для популяризации используемого вымогательского ПО.

Алгоритм действий киберпреступников стандартный: в случае отсутствия оплаты они обещают обнародовать очень важную для компании информацию в течение 3 дней, что якобы нанесет несопоставимо больший финансовый урон, нежели выполнение их требований. Сумма выкупа не сообщается.

За последнее время это далеко не единичный случай атак вымогателей на крупные компании. В 2020 году наблюдается рост числа подобных инцидентов. Например, от того же Egregor, который активен с сентября этого года, уже успели пострадать компании – разработчики игр Crytek и Ubisoft, а также американский книжный ритейлер Barnes and Noble.

Компании по-разному реагируют на атаки, но, к сожалению, многие действительно несут ощутимые потери, которые как минимум включают затраты на устранение последствий заражения и расходы, связанные с вынужденным простоем в работе. Если хакерам действительно удалось украсть ценную информацию, Cencosud понесет гораздо большие убытки.

Как выяснили аналитики нашей компании, упомянутый выше Trojan.Encoder.33222 использует алгоритм шифрования Chacha20 для шифровки файлов, при этом ключ генерируется трояном на месте. За время своей эволюции трояны-шифровальщики достигли высокого уровня совершенства и в результате этого восстановить данные после их работы возможно лишь в относительно редких случаях (в случае Trojan.Encoder.33222 данные расшифровке не подлежат с вероятностью 99%), особенно когда речь идет о новом ВПО, нацеленном на организации (зачастую расшифровать данные не могут и сами атакующие). И, как показывает практика, никто не застрахован от этих атак, особенно с развитием модели RaaS (вымогательство как услуга; подобно SaaS – программное обеспечение как услуга). В этом случае операторы шифровальщиков (подобно Egregor, на который переходят хакерские группы, ранее работавшие с владельцами другого шифровальщика, Maze) предоставляют готовые инструменты для атаки всем заинтересованным, а непосредственную цель нападения выбирает клиент.

Ежемесячно мы получаем сотни обращений в техническую поддержку из-за атак вымогателей – как от обычных пользователей, так и от компаний и организаций самого разного размера и рода деятельности.

Все это говорит о том, что атаковать могут любую компанию. И нужно не только защищаться от угрозы заражения, но и иметь план реагирования на компьютерные инциденты. Планы восстановления должны быть не только внутренним делом ИТ-служб, но подразделений Business Continuity Management, в ведение которых должны перейти процедуры реакции и восстановления в случае действий злоумышленников, связанных в том числе с использованием программ-шифровальщиков.

И обычные пользователи, и компании должны понимать, как могут действовать злоумышленники, какие структуры могут быть уязвимыми и для каких угроз – и как можно и нужно защищаться от современных угроз.

Интересно также мнение регулятора – Банка России:

Оператор финансовой платформы должен реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, в том числе потребителей финансовых услуг, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

Источник

Приведенная цитата говорит о том, что нужно не только защищаться от атак, но и предпринимать меры по предотвращению подобных атак в будущем. Для чего, естественно, нужен анализ произошедшего инцидента с выявлением его реальных причин и получением рекомендаций по модернизации системы безопасности. Предоставить такие услуги может компания «Доктор Веб».

#Trojan.Encoder #вымогательство #защита_от_потери_данных #шифровальщик

Антивирусная правДА! рекомендует

  1. Необходимо устанавливать обновления безопасности не только для операционной системы, но и для всего используемого ПО, в том числе средств безопасности.
  2. Необходимо использовать стойкие пароли и периодически их менять. Как минимум, пароли должны меняться в случае их утечек.
  3. Необходимо использовать антивирус и отслеживать установку нового ПО в корпоративной сети.
  4. Необходимо не просто использовать средства безопасности, но и защищать средства хранения резервных копий.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей