Эксперт рассказал об изменениях эффективности программ-взломщиков
Программы-вымогатели стали шифровать данные все быстрее, позволяя злоумышленникам использовать метод «частичного шифрования». Теперь они шифруют только определённые части дисков или самые ценные файлы. В этом году в России произошло много кибератак, связанных с такими программами-вымогателями, как LokiLocker, BlackBit, Phobos, LockBit, Conti и Babuk. Особенно часто становятся их жертвами компании в ритейле, производстве, строительстве, туризме и страховании. Преступления, связанные с программами-вымогателями, представляют собой основную киберугрозу для российских компаний. Выкупные требования варьируются от $10 тыс. до $100 тыс., но некоторые группировки требуют выкуп до $2 млн. Злоумышленники предпочитают запускать вымогательское ПО ночью, когда серверы меньше активны.
Сейчас программы-вымогатели используют частичное шифрование и более быстрые методы шифрования, такие как Salsa/ChaCha, а также открытые схемы шифрования, включая X25519. Это означает, что компании должны принимать дополнительные меры безопасности и быть готовыми к таким угрозам. Важно улучшить подготовку и реагирование компаний на атаки программ-вымогателей. Для этого необходимо иметь техническую готовность, разработать планы реагирования на киберинциденты и использовать современные методы защиты данных. Необходимо обеспечить безопасность компании, чтобы минимизировать ущерб от атак и избежать вынужденных выплат выкупа.
Компаниям следует использовать комплексный подход и принимать несколько мер для защиты от новых угроз. Важно регулярно обновлять компьютеры, серверы, мобильные устройства и сетевые шлюзы. Также необходимо обучать сотрудников вопросам безопасности информации и использовать современные антивирусные программы. Рекомендуется создавать системы безопасности, учитывая конкретные риски, связанные с персональными данными и производственными процессами. Важно использовать специализированные средства защиты, например, database firewall, а также классические средства мониторинга и реагирования, такие как решения network detection & response. Раннее обнаружение угрозы и предотвращение её запуска могут замедлить процесс шифрования данных. Однако скорость работы вредоносной программы не играет особой роли.
Для обычных пользователей не так важна скорость шифрования. Если вредоносная программа начала шифровать файлы на устройстве, не имеет значения, сколько времени ей потребуется — пять или 20 минут, она все равно закончит свою работу. Обычным людям будет сложно заметить проблему, понять, что происходит и правильно отреагировать. В теории можно выключить устройство, чтобы остановить работу всех программ, включая вредоносные, и скопировать нетронутые файлы на безопасное устройство. Однако в реальности большинство людей не будут действовать таким образом и могут обнаружить проблему, когда уже будет слишком поздно. Рядовым пользователям, у которых антивирусные программы не обладают продвинутыми технологиями защиты, рекомендуется избегать посещения подозрительных веб-ресурсов и загрузки приложений, обещающих финансовые выгоды или интересные компьютерные игры. Они также должны быть внимательны к официальным каналам распространения программного обеспечения, чтобы уменьшить риски. Антивирусные программы не гарантируют полной защиты, и некорректное использование ресурсов может обойти их защиту.