Целевой кибершантаж с шифрованием
Сегодня зловреды-шифровальщики угрожают не только конечным пользователям, но и компаниям. Сначала авторы вредоносных программ вымогали деньги, массово рассылая троянцев.
Потом они поняли, что у организаций гораздо чаще хранится коммерчески ценная информация, а ради сохранения своей работоспособности и имиджа те подчас попросту вынуждены платить. Тогда киберпреступники перешли от массовых рассылок к целевым и принялись заваливать малый и средний бизнес фальшивыми «счетами», «письмами из налоговой» и прочими псевдодокументами со зловредным кодом. И вот мы дождались следующего этапа — целевых атак с применением шифрующего вредоносного ПО.
«Эволюция зла» логична: если тщательно выбрать жертву, хорошо изучить ее IT-инфраструктуру и зашифровать конкретные критически важные для бизнеса файлы, то шансы получить солидный выкуп возрастут. Такое развитие истории с ransomware наши аналитики предвидели. Что удивительно, так это масштабы происходящего.
На текущий момент эксперты «Лаборатории Касперского» выявили как минимум восемь группировок, шантажирующих бизнес таким образом. В отдельных случаях цена выкупа доходит до полумиллиона долларов. Чаще всего страдают от их деятельности финансовые организации, которые обычно не видят иного выхода, кроме как платить за то, чтобы вернуть в строй свои серверы с данными. В принципе вполне логичный выбор цели: у финансовых компаний денег больше всего.
Такая схема преступления становится все популярнее не в последнюю очередь из-за нежелания жертв рассказывать о том, что их конфиденциальные данные были зашифрованы. В результате, прежде чем об очередной целевой кампании станет известно всем вендорам защитного ПО, она успеет «окучить» многих. Ведь далеко не все продукты для обеспечения кибербезопасности позволяют выявлять шифровальщики по поведению.
Разнообразные утилиты для расшифровки данных в тех случаях, когда это возможно, находятся на сайте NoRansom.kaspersky.com.
Подробности обо всем разнообразии целевых атак с применением шифровальщиков — в нашем исследовании, опубликованном на сайте SecureList.