Программы-вымогатели и вымогательство с использованием DoS-атак: в чем разница
This post is also available in:
Английский 
Французский 
Немецкий 
Итальянский 
Португальский, Бразилия 
Испанский
С 2020 года повсеместное распространение получили программы-вымогатели и вымогательство под угрозой проведения DoS-атак (ransom denial-of-service, RDoS). Атаки с использованием программ-вымогателей попадают в главные новости практически еженедельно. Оба вида атак служат одной цели и используют множество сходных методов, но технические решения, результаты, а также уровень опасности и последствия для организаций очень различаются. По мере развития эти виды атак активно заимствуют друг у друга технические решения и репутационный капитал.
Программы-вымогатели
В атаках с использованием программ-вымогателей применяются решения для шифрования и блокировки. Они нарушают работу системы и предотвращают доступ к данным. Злоумышленникам необходимо разместить ПО для шифрования на внутренних серверах организации. Их задача состоит в том, чтобы получить несанкционированный доступ к сети или устройству в сети и затем, перемещаясь между устройствами организации, заразить как можно больше систем и заблокировать как можно больше данных. Первичный доступ, как правило, обеспечивают посредники (брокеры начального доступа — Initial Access Broker), у которых есть готовые методы внедрения в чужие сети. Они продают доступ другим злоумышленникам, в основном группам вымогателей и их подельникам.
Атаки с использованием программ-вымогателей выводят системы из строя и блокируют данные пользователей. Во многих случаях им удается похитить конфиденциальные данные и создать риск утечки информации.
DoS-атаки с целью получения выкупа (RDoS)
В случае RDoS-атаки злоумышленники шантажируют свои жертвы и требуют выкуп под угрозой проведения атаки типа «отказ в обслуживании». Создавая сбои в работе онлайн-сервисов, они могут поставить под угрозу бизнес, ухудшить производительность и репутацию организации. Мишенью хакеров становятся интернет-ресурсы, в том числе веб-сайты, службы доменных имен, веб-API, игровые зоны. Они стремятся нарушить работу онлайн-сервисов и подорвать репутацию организации. Кроме того, они могут снизить эффективность работы организации, атакуя голосовые сервисы, электронную почту или системы удаленного доступа в филиалах или средах для удаленной работы. Также они могут выбрать в качестве цели интернет-каналы для доступа к облачным приложениям или производственные объекты, которые используют удаленное подключение, связываются с облаком и обмениваются логистической информацией со сторонними организациями и приложениями для планирования ресурсов.
В отличие от атак программ-вымогателей, в ходе RDoS-атак и DDoS-атак в целом не происходит взлома сетей или систем. Также во время таких атак не происходит кражи или заражения данных.
Вначале злоумышленник отправляет личное сообщение, например через электронную почтовую систему, гарантирующую анонимность отправителя, с просьбой заплатить определенную сумму за то, чтобы организация не стала объектом их следующей атаки. Если жертва отказывается заплатить в течение отведенного времени, хакеры начинают DDoS-атаку, которая продолжается, пока выкуп не будет получен. Как правило, каждый день просрочки увеличивает сумму выкупа.
Если же организации удается эффективно противостоять DDoS-атаке, нападения обычно прекращаются. Они могут продолжаться несколько часов, при этом хакеры меняют объекты атаки, пытаясь ускользнуть от систем противодействия. Через несколько дней атаки могут возобновиться, но в итоге вымогатели вынуждены ретироваться.
| (Статистика за 2021 год, все суммы приведены в долларах США) | Программы-вымогатели | RDoS-вымогатели |
| Цель | Финансовая выгода | Финансовая выгода |
| Метод | Вымогательство | Вымогательство |
| Основная технология | Криптоблокировка | DDoS |
| Последствия | Постоянные (до восстановления данных) | Временные (на протяжении атаки) |
| Валюта выкупа | Биткоин | Биткоин |
| Средняя сумма требуемого выкупа | 5,3 млн долл. (средн.) [1] | От 5000 до 1 млн долл. [2] |
| Средняя сумма выплачиваемого выкупа | 570 000 долл. | ~ 0,0 долл. |
| Самый крупный выкуп | 40 млн долл. [3] | 6000 долл. в 2015 г. [7] |
| Эффективность | 70% [4] | Очень низкая |
| Ориентировочная сумма ущерба | 1,85 млн долл. (средн.) [5] | 9–12 млн долл. [6] |
| Защита | Эшелонированная защита, сегментация с целью минимизации ущерба, единого решения нет | Эффективная служба защиты от DDoS-атак |
Тройное вымогательство
Чтобы увеличить вероятность успеха, вымогатели развивают и диверсифицируют свои решения. Поскольку теперь жертвы лучше подготовлены и всегда имеют резервные копии для восстановления данных, вымогатели начали похищать конфиденциальные данные для усиления воздействия. Если жертву это не пугает, начинают угрожать DDoS-атаками, чтобы вынудить жертв вернуться к переговорам.
Хакеры, использующие RDoS, выдают себя за вымогателей
Успех, шумиха и результаты, связанные с деятельностью известных групп шантажистов, произвели впечатление на преступное сообщество. Во время одной из недавних RDoS-кампаний, нацеленных против поставщиков VoIP-услуг в Великобритании и Канаде, хакеры выдавали себя за участников REvil, известной группы вымогателей, осуществивших масштабные атаки на JBS SA и Kaseya Ltd. Подражая группам вымогателей, заявлявших о следующих жертвах в преступных блогах, RDoS-хакеры из псевдо-REvil размещали сообщения с требованием выкупа на Pastebin и публично вели переговоры с одной из жертв, Voip.ms, в Twitter, чтобы дополнительно надавить на компанию.
Рисунок 1. Участник группы, выдающей себя за REvil, публикует угрозы в Twitter
Рисунок 2. Снимок экрана с письмом от вымогателей, размещенным на Pastebin участником RDoS-группы, выдающей себя за REvil
Защита от программ-вымогателей и RDoS-атак
На моей памяти не было еще ни одной DDoS-атаки, которая бы прорвала нашу оборону. При этом существует небольшое окно возможностей, когда злоумышленники могут проникнуть в систему, пока алгоритмы обнаружения создают автоматические подписи для блокировки вредоносного трафика и настраивают их, чтобы исключить ложные срабатывания, блокирующие трафик добропорядочных пользователей. Но в целом, по моему опыту, не имеет смысла платить выкуп при условии, что у вас есть эффективная защита от DDoS-атак.
А вот защита от программ-вымогателей представляет немалую сложность. Группы вымогателей организуются в преступные экосистемы и успешно рекрутируют наемных хакеров и пособников, которые готовы разделить добычу, полученную в ходе крупных кампаний. Это слишком лакомый кусок, и после первых успешных атак спрос на умелых хакеров в преступной среде неизменно растет. Поскольку мотивированные «специалисты» активно идут наниматься к организованным киберпреступным группам, они все чаще используют для атак не автоматизированные системы, а живую силу. Бороться с машинами — это одно, а защищаться от нападений, организованных упорным человеческим интеллектом, который бьется за многомиллионный куш, — это совсем другое.
Ссылки и примечания
- Суммы выкупов бьют рекорды на фоне кризиса, связанного с программами-вымогателями (Extortion Payments Hit New Records as Ransomware Crisis Intensifies), paloaltonetworks.com.
- Требования вымогателей разнятся: в ходе кампаний 2020 года злоумышленники требовали суммы до 20 биткоинов, в то время как в недавних кампаниях так называемого «Проклятого патриарха» (The Cursed Partriarch) хакеры соглашались на 0,06 биткоина.
- Атаки с использованием программ-вымогаталей: статистика по 81 показателям, а также данные, тенденции и факты в 2021 году (81 Ransomware Statistics, Data, Trends and Facts for 2021) | Varonis.
- Опрос: 70 процентов компаний, ставших жертвами программ-вымогателей, заплатили выкуп (70 Percent of Businesses Hit with Ransomware Paid the Ransom) | Healthcare Innovation (hcinnovationgroup.com).
- Истинная стоимость программ-вымогателей (The True Cost of Ransomware), backblaze.com.
- Bandwidth.com могут потерять до 12 млн долларов в результате попытки шантажа с использованием DDoS-атак (Bandwidth.com expects to lose up to $12M following DDoS extortion attempt), The Record by Recorded Future.
- Новости о DDoS-атаках (Update regarding the DDoS attack), блог ProtonMail.
