Пару лет назад у наших коллег из одного известного глянцевого журнала случилась беда. Однажды утром они обнаружили, что все компьютеры в офисе заблокированы. И на каждом мониторе красуется предложение заплатить немалую сумму за то, чтобы вернуть доступ к данным и возможность работать дальше. Как выяснилось, программное обеспечение в редакции обновлялось несвоевременно, да и бесплатный антивирус противостоять взлому не смог. Руководство платить мошенникам отказалось, а на восстановление данных и нормального рабочего процесса ушло больше месяца.
К сожалению, этот случай не единичный. По данным Лаборатории Касперского, с января по июль 2021 года троянцы-шифровальщики атаковали 9 193 компьютера в корпоративных сетях нашей страны. Большинство наиболее распространённых на сегодня в странах СНГ шифровальщиков осуществляют атаки через протокол удалённого доступа (RDP). В этом случае злоумышленники подбирают учётные данные, подключаются к устройству удалённо и вручную запускают вредоносное ПО. Большинство таких троянцев распространяется по схеме «Вымогатель как услуга» (RaaS, ransomware as a service).
«Количество инцидентов с вымогательством заметно выросло в 2020-м году, а в 2021-м этот тренд продолжил своё развитие. И конечно, количество и разнообразие шифровальщиков постоянно растёт. Например, только во втором квартале 2021 года мы обнаружили 14 новых семейств таких зловредов. По данным Kaspersky Threat Intelligence, злоумышленники атакуют компании разного размера и уровня дохода, включая малый и средний бизнес — жертвой может стать любая организация. Поэтому очень важно уделять должное внимание кибербезопасности».
Владимир Кусков, руководитель отдела исследования сложных угроз в «Лаборатории Касперского»
Чтобы защититься от подобных атак, специалисты рекомендуют компаниям:
- регулярно напоминать сотрудникам о важности создания стойких к взлому паролей для доменных учётных записей и их регулярной смены; использовать многофакторную аутентификацию и инструменты управления идентификацией и доступом;
- постоянно отслеживать данные об обновлениях от производителей, сканировать сеть на наличие уязвимостей и своевременно устанавливать патчи;
- обязательно делать резервное копирование ценной и конфиденциальной информации;
- не открывать доступ по RDP из интернета, а для подключения к корпоративной сети использовать VPN; проводить сегментацию корпоративной сети, разделяя её на отдельные подсети;
- использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе техник и приёмов, используемых злоумышленниками;
- запланировать внедрение EDR-решения вместе с сервисом, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон, таким как Kaspersky Managed Detection and Response;
- в дополнение к стандартным средствам защиты конечных устройств пользоваться платформой для борьбы со сложными атаками Kaspersky Anti Targeted Attack;
- проводить для сотрудников тренинги с целью повышения цифровой грамотности, например на платформе Kaspersky Automated Security Awareness Platform.
В случае атаки шифровальщика можно воспользоваться сайтом No More Ransom, на котором доступна 121 утилита для расшифровки файлов. Инструменты успешно борются со 150 семействами вымогателей. Благодаря инициативе по борьбе с троянцами-вымогателями, которую поддерживает «Лаборатория Касперского», за пять лет удалось предотвратить получение злоумышленниками более 900 миллионов долларов США. Очень надеемся, что эта информация поможет вам предотвратить взлом. Ну или, хотя бы, вернуть себе доступ к данным.