«Незнание не освобождает…» или почему Ransomware продолжает процветать

Привет, Хабр! Сегодня мы хотим рассказать о результатах любопытного опроса, который компания Acronis провела в сети в марте 2018 года. Оказалось, что злоумышленники, делающие ставку на Ransomware, поступают логично – абсолютное большинство не готовы к таким нападениям и объем ущерба продолжает расти.



Под катом – подробная информация и статистика, а также результаты опроса.

Для начала давайте поднимем немного пугающей статистики. Как сообщают эксперты CybeSecurity Ventures, в 2019 году ущерб от Ransomware составит более 11 миллиардов долларов, и это при том, что в 2018 году эксперты ожидают только 5 миллиардного ущерба. Более того, растет и частота атак в «штуках». Мало того, что 2017 году число видов вымогателей выросло на 46%, согласно прогнозам CybeSecurity Ventures к концу 2019 года каждые 14 секунд какую-то организацию будут шифровать программы-вымогатели, когда на конец 2017 года такие нападения в среднем происходили один раз в 40 секунд.


Чтобы прояснить ситуацию, мы заказали опрос среди корпоративных пользователей в таких странах, как США, Великобритания, Австралия, Франция, Испания, Германия и Япония. И, что самое интересное, 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.



На самом деле рост ущерба, о котором говорят аналитики, происходит именно потому, что в большинстве компаний нет никакой защиты от программ вымогателей. Более того, сами злоумышленники постоянно развивают свои методы социального инжиниринга, а также находят все новые лазейки для внедрения вредоносного кода. В большинстве случаев стандартные антивирусы и системы класса Internet Security не могут противодействовать новой разновидности вымогателя – а, чтобы обойти сигнатурную защиту хакеру часто бывает достаточно просто перекомпилировать программу с минимальными изменениями кода.  подобные нападения. Как подтверждение – еще немного статистики. В Ponemon Institute выяснили, что 69% корпоративных пользователей считают, что установленный антивирус не сможет справиться с новыми угрозами. Пожалуй, у них есть все основания считать именно так.

В чем сила? В резервном копировании


Фактически реальную защиту от программ-вымогателей позволяет реализовать только тщательно продуманная и качественно внедренная система резервного копирования. В случае если у вас есть не слишком старая копия данных, можно просто наплевать на зашифрованные файлы и сообщить о вымогателе в компетентные органы. Нужно лишь достаточно часто выполнять резервное копирование, и идеальными в данном вопросе оказываются решения с инкрементальным дополнением.


Впрочем, 2018 год принес еще одну проблему в эту сферу. Сами киберпреступники стали понимать, что отлаженные механизмы резервного копирования справляются с угрозой. Поэтому вектора атак стали распространяться именно на резервные копии и сами системы Backup&Restore. Кстати, именно поэтому нам пришлось добавить эвристические компоненты в Acronis Backup и Acronis True Image, чтобы отражать атаки Ransomware, прекрасно «понимающие» опасность систем резервного копирования.

Простая гигиена


На самом деле перечень действий, которые нужно совершить для противостояния Ransomware, достаточно прост и состоит всего из четырех шагов.

  • Проводите резервное копирование ВСЕХ важных данных на диск в облако
  • Устанавливайте все «заплатки» на ОС и прикладное ПО, чтобы было меньше уязвимостей
  • Помните про фишинг – социальная инженерия достигла больших высот, и заражённые письма выглядят в последнее время очень убедительно
  • Следите, чтобы защитное ПО (антивирус, firewall и средства резервного копирования) были обновлены и включены.


К сожалению, результаты опроса показали неутешительную картину. Мало того, что свыше 62% вообще не в курсе о существовании угрозы Ransomware, 33% участников вообще не сохраняют резервные копии своих данных – ни в облаке, ни на своем компьютере. При этом 39% работают с 4 или более устройствами, на которых хранятся важные для них данные. Именно такое положение дел превращает Ransomware в большую угрозу для бизнеса и частных пользователей, хотя справиться с ней было бы достаточно просто, установив специальную систему защиты.

Комментарии (9)


  1. vilgeforce
    30.03.2018 14:18

    «Ransomware набирает силы» — это не так. Число случаев падает, массовые эпидемии становятся редки. По сравнению, например, с 16-17 годами спад налицо.


    1. XEK Автор
      30.03.2018 22:05

      Привет. Говорить про 2018 год пока рано, потому что любые эпидемии развиваются по синусоиде – всплеск/спад. Активность киберпреступников разнится от месяца к месяцу. Например, в начале 2018 года может наблюдаться некий спад, потому что плохие парни отдыхают, а к осени будет большой рост.

      За 2017 год все отмечают рост, например www.forbes.com/sites/tonybradley/2018/01/31/ransomware-and-cryptomining-spiked-in-2017-according-to-report/#32fb23d87bff

      www.spamtitan.com/blog/ransomware-growth-in-2017

      Можно найти еще кучу подобных примеров. Так что, скорее, все-таки растет, чем падает.


      1. vilgeforce
        31.03.2018 11:25

        Forbes не занимается расшифровкой в таких случаях, я занимаюсь уже много лет и знаю о чем говорю.


  1. teecat
    30.03.2018 14:40

    мы заказали опрос среди корпоративных пользователей… 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.


    Выводы спорные. Зачем сотруднику офиса знать о разновидностях троянов? Нет, оно конечно не вредно, но в общем это дело системных администраторов/специалистов по ИБ. А с учетом выноса задач на аутсорс и страхования и руководство может ничего не знать о троянах — они наняли подрядную организацию, пусть у них голова болит. И то, что никакой защиты нет, тоже спорно — достаточно часто иконки агента защиты прячут, чтобы пользователь не лез в настройки, не пытался все отключить

    Или опрашивали не пользователей, а администраторов?


    1. XEK Автор
      30.03.2018 22:17

      Я сам лично столько раз попадал в разные неприятности в IT-сфере, что не привык надеяться на «дядю». Мой лично опыт такой что «мы наняли — они разберутся» заканчивается при первом же фейле либо печально, либо очень печально. Отвественность за потери там весьма условная.


  1. bogolt
    30.03.2018 23:45

    > Проводите резервное копирование ВСЕХ важных данных на диск в облако
    И с высокой долей вероятности данные в облаке тоже окажутся зашифрованы.


    1. vilgeforce
      31.03.2018 11:27

      Автоматическая синхронизация данных в облако — зашифруй в N раз больше данных, чем обычно! Видел такие случаи…


  1. Ruslan_Vyshnevskiy
    31.03.2018 22:34

    Петя шифровал даже onedrive, который был подключен


  1. Rimoz
    31.03.2018 22:34

    Знаете, а я ведь говорил, что ваша ACtive Protection спорная штука, которая может начать мешать антивирусу. Так и оказалось, Norton Security несовместим с вашей штуковиной. Пришлось службу вырубить (отключение с GUI Acronis-а не помогает). Вы лучше реализуйте server-side защиту от резервного копирования испорченных файлов, чтобы я не волновался о том, что в облако зальются испорченные/зашифрованные файлы или не дай бог ими заменятся здоровые копии. На клиенте только 1 царь — встроенный или сторонний антивирус.