Кібербезпека в сучасному світі: еволюція програм-вимагачів та масштаб загрози

Програми-вимагачі (ransomware) перетворилися з простих блокувальників екрану на початку 2010-х років на одну з найбільших кіберзагроз сучасності. За даними звіту Verizon Data Breach Investigations Report 2023, ransomware присутній у 24% всіх підтверджених інцидентів безпеки. Згідно з дослідженням Coveware, середній розмір викупу за четвертий квартал 2023 року становив $568,705, демонструючи зростання на 119% порівняно з $259,993 у третьому кварталі того ж року.

“Сьогодні в ландшафті атак ransomware чітко виділяються два типи операцій: нетаргетовані масові кампанії, де зловмисники вимагають відносно невеликі суми (близько 4000 доларів за сервер), та високоточні цільові атаки на конкретні організації, яким передує ретельна розвідка і підготовка. При цільових атаках зловмисники прагнуть скомпрометувати всю інфраструктуру компанії та вимагають значно більші суми — від десятків і сотень тисяч до мільйонів доларів, залежно від масштабу компанії-жертви”, — зазначають аналітики XRAY Cybersecurity.

Особливо небезпечним стало поширення моделі “подвійного вимагання”, коли злочинці не лише шифрують дані, але й загрожують опублікувати їх. За даними Sophos “The State of Ransomware 2023”, 48% організацій зазнали атак програм-вимагачів протягом року.

Початкові вектори проникнення

Аналіз сотень інцидентів демонструє, що найпоширенішими шляхами проникнення ransomware до корпоративних мереж залишаються:

Фішингові кампанії

Сучасні фішингові листи стали надзвичайно переконливими. Вони часто містять:

• Офіційні логотипи та правильно оформлені шаблони компаній
• Посилання на шкідливі документи Office з макросами та інші типи файлів
• “Термінові” повідомлення про фінансові операції
• Імітації листів від керівництва або HR-відділу

Компрометація віддаленого доступу

Злочинці активно використовують вразливості та слабкі місця у сервісах віддаленого доступу:

• RDP-порти, відкриті до Інтернету
• VPN-сервіси без багатофакторної автентифікації
• Використання скомпрометованих облікових даних

Експлуатація вразливостей периметра

Критично важливим залишається аудит кібербезпеки та своєчасне оновлення публічно доступних сервісів. Найчастіше експлуатованими є вразливості у: VPN-сервісах , веб-серверах, поштових серверах, проксі-серверах та балансувальниках навантаження.

Інші вектори 

Залишається відсоток атак через інсайдерів або скомпрометованих підрядників, фізичний доступ до інфраструктури та ланцюжки постачання.

Технічна механіка атаки та руху всередині мережі

Після первинного проникнення оператори ransomware проводять ретельну розвідку та підготовку. Середній час перебування зловмисників у мережі перед шифруванням (dwell time) може становити від кількох днів до кількох місяців.

Закріплення в системі (persistence)

Для забезпечення постійного доступу використовуються додаткові облікові записи, зміна конфігурації служб Windows, встановлення бекдор , модифікація планувальника завдань чи впровадження завантажувачів у автозапуск.

Бічне переміщення (lateral movement)

Для поширення всередині мережі застосовуються:

• Інструменти віддаленого адміністрування (PsExec, WMI)
• Pass-the-hash та pass-the-ticket атаки
• Експлуатація протоколу Kerberos (Silver Ticket, Golden Ticket)
• Використання вбудованих можливостей PowerShell
• Зловживання легітимними утилітами RMM

Ескалація привілеїв

Для того, щоб отримати права адміністратора зловмисники вдаються до експлуатації не закритих локальних вразливостей, використання незахищених службових облікових записів, атак на керування обліковими записами, вилучення хешів паролів із пам’яті, а також атак на групові політики (GPO) та ін.

Процес шифрування та вимагання

Сучасні програми-вимагачі використовують складні криптографічні схеми, що роблять розшифрування без ключа практично неможливим. Перед активацією шифрування оператори відключають системи резервного копіювання та системні служби, що блокують доступ до файлів, видаляють тіньові копії (Volume Shadow Copies) та журнали подій, зупиняють антивіруси або шифрують також самі системи резервного копіювання і всі існуючі бекапи.

Алгоритми шифрування

Більшість ransomware використовує комбінацію симетричних та асиметричних алгоритмів:

• AES (256-біт) для шифрування файлів
• RSA (2048/4096-біт) для шифрування ключів AES
• ChaCha20 як альтернатива AES у деяких варіантах

Селективне шифрування

Сучасні програми-вимагачі цілеспрямовано обирають файли для максимального впливу:

• Бази даних (.mdb, .sql, .db)
• Документи (.docx, .xlsx, .pdf)
• Креслення та проектні файли (.dwg, .dxf)
• Резервні копії (.bak, .backup)
• Віртуальні машини (.vmdk, .vhd)

При цьому ігноруються системні файли для збереження працездатності системи, що дозволяє жертві прочитати вимоги. Для переговорів можуть бути використані приховані сервіси Tor, одноразові email-адреси, зашифровані месенджери або дедикований портал для кожної жертви.

Вимоги викупу

Механізм оплати зазвичай включає детальні інструкції з купівлі криптовалюти, унікальний гаманець для кожної жертви, демонстрацію розшифрування зразків файлів та часові обмеження зі зростанням суми при затримці.

За даними Chainalysis, обсяг виплачених викупів у 2023 році перевищив $1.1 мільярда, досягнувши історичного максимуму.

Розуміння технічних механізмів роботи програм-вимагачів є ключовим для побудови ефективної стратегії захисту. Атаки ransomware продовжують еволюціонувати, стаючи все більш витонченими та руйнівними.

“Найефективнішим підходом до захисту від ransomware є комбінація технічних заходів, навчання персоналу та регулярне проведення тестів на проникнення для виявлення потенційних векторів атаки до того, як ними скористаються зловмисники”, — підкреслюють експерти XRAY Cybersecurity.