За 2021 год эксперты «Лаборатории Касперского» обнаружили 49 новых семейств шифровальщиков и более 14 тыс. новых модификаций зловредов этого типа во всём мире. При этом в России атакам с применением программ-шифровальщиков подверглись почти 16 тыс. компаний.
В прошедшем году продолжил своё развитие тренд на организацию атак с целью получения выкупа. Перед шифрованием операторы крадут данные у компаний и угрожают выложить их в публичный доступ, если им не заплатят. Эксперты также отмечают, что группы, применяющие программы-вымогатели, стали чаще использовать сборки Linux, чтобы увеличить поверхность атак.
«Сегодня подготовка и проведение атак с использованием шифровальщиков осуществляется в рамках целых экосистем с чётким разделением труда. Массовые атаки постепенно уступают место таргетированным как потенциально более выгодным для злоумышленников. При этом целью таких атак может стать любая организация, независимо от сферы и размера, ведь с большими объёмами конфиденциальной информации работают уже не только корпорации. В ближайшие годы мы, скорее всего, будем наблюдать усложнение тактик, применяемых мошенниками», — рассказывает Фёдор Синицын, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы свести к минимуму вероятность успешных атак программ-вымогателей на бизнес, эксперты по информационной безопасности рекомендует компаниям:
- не допускать, чтобы сотрудники подключались к службам удалённого рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьёзной необходимости, и удостовериться, чтобы они использовали надёжные пароли для таких служб;
- оперативно устанавливать обновления для коммерческих VPN-решений, обеспечивающих подключение удалённых сотрудников и выступающих в качестве шлюзов в корпоративной сети;
- регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
- сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данные о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
- регулярно создавать резервные копии данных и в экстренной ситуации иметь возможность быстро получить доступ к ним.
В случае атаки шифровальщика на организацию рекомендуется провестии процедуру реагирования (Incident Response) для того, чтобы определить исходный вектор атаки и закрыть его, предотвратив повторные инциденты.
Для дешифровки файлов без уплаты выкупа можно воспользоваться сайтом No More Ransom, на котором доступно более 120 утилит для восстановления файлов. Инструменты успешно борются со 150 семействами вымогателей.