WannaCry და NotPetya დაეხმარნენ 2017 წელი გამოსასყიდის წლად. მაგრამ მიუხედავად იმისა, რომ მოხდა ცვლა კრიპტოჯაკის შეტევებისკენ, ფაილების დაშიფვრის მავნე პროგრამა ადაპტირდება და კვლავ ძლიერია.
უსაფრთხოება
- უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
- როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
- საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
- როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ
გასულ წელს გახმაურებული ინციდენტები, როგორიცაა WannaCry ransomware აფეთქება გახადა ფაილების დაშიფვრის მავნე პროგრამა ინტერნეტის ნომერ პირველი მტერი.
რა თქმა უნდა, WannaCry მარტო არ იყო: NotPetya შეტევა მოჰყვა რამდენიმე კვირის შემდეგ და ამას მოჰყვა მესამე - თუმცა გაცილებით მცირე - გამოსასყიდი პროგრამის გავრცელება, სახელწოდებით ცუდი კურდღელი, რომელიც რუსეთსა და აღმოსავლეთ ევროპაში სექტემბერში მოხვდა.
და ამ დროს რეგულარულად ხდებოდა სხვა, ნაკლებად გახმაურებული გამოსასყიდი პროგრამების შეტევები, რაც უქმნიდა პრობლემებს მთელს მსოფლიოში, მაგალითად,
Locky ransomware, რომელმაც შეაფერხა საავადმყოფოს ქსელები. სხვა გამოსასყიდი პროგრამა, როგორიცაა Cerber ransomware, ხელმისაწვდომი იყო "როგორც სერვისი" თითქმის ყველასთვის ვისაც ამ გზით ფულის შოვნა სურდა.მაგრამ რაც 2017 წელი გავიდა, გამოსასყიდი პროგრამების გავლენა შემცირდა. Locky-ის, Cerber-ის და სხვა გრძელვადიანი გამოსასყიდის ოჯახების გამოვლენა მასიურად შემცირდა.
Ნამდვილად, Kaspersky Lab-ის უახლესი Kaspersky Security Network ანგარიშში ნათქვამია, რომ ransomware მთლიანად „სწრაფად ქრება“ 2017 წლის აპრილიდან 2018 წლის მარტამდე გამოსასყიდი პროგრამების შეტევების 30 პროცენტით შემცირებით, წინა წლის ანალოგიურ პერიოდთან შედარებით.
და McAfee Labs-ის საფრთხის ბოლო მოხსენება ასევე ვარაუდობს გამოსასყიდი პროგრამების შეტევების გამოვლენის შემცირებას - 32 პროცენტამდე შემცირებას. როგორც ჩანს, აქ აშკარა ტენდენციაა - გამოსასყიდი პროგრამების შეტევების რაოდენობა და გამოსასყიდი პროგრამების ოჯახების რაოდენობა მცირდება.
„ერთი წლის წინ ჩვენ ალბათ გვყავდა ოთხი დიდი ჯგუფი, რომლებიც მუშაობდნენ გამოსასყიდის პროგრამებთან, ავრცელებდნენ საკუთარ თავს ან მართავდნენ შვილობილი მოდელს, მაგრამ ჩვენ ვნახეთ, რომ ეს დიდი ჯგუფები გაქრნენ. დარჩენილია რამდენიმე წყვილი, მაგრამ ეს არც ისე დრამატული იქნება 2017 წელს“, - განუცხადა ZDNet-ს Secureworks-ის უსაფრთხოების უფროსმა მკვლევარმა კეიტ ჯარვისმა.
კლების მთავარი ფაქტორი არის ზრდა კრიპტოვალუტის მაინინგის მავნე პროგრამა და დაბალი დონის კიბერ კრიმინალები, რომლებიც ყურადღებას ამახვილებენ „კრიპტოჯაკზე“, როგორც ფულის უკანონო შოვნის უმარტივეს, ნაკლებად სარისკო საშუალებას.
ეს კრიპტოჯაკის შეტევები გულისხმობს თავდამსხმელებს, რომლებიც აინფიცირებენ კომპიუტერს მავნე პროგრამით, რომელიც ფარულად იყენებს დამუშავების ძალას კრიპტოვალუტის მოპოვება - ჩვეულებრივ შედარებით მარტივი მოსაპოვებელი Monero - რომელიც დეპონირებულია მათში საფულე.
გამოსასყიდი პროგრამისგან განსხვავებით, ის ფარულია და სანამ ინფექცია არ არის აღმოჩენილი, ის განაგრძობს თავდამსხმელს შემოსავლის სტაბილურ ნაკადს. თავდასხმის დახვეწილი ბუნება აქვს გაზარდა კრიპტოჯაკის პოპულარობა 2018 წლის განმავლობაში.
Იხილეთ ასევე: Ransomware: აღმასრულებელი სახელმძღვანელო ინტერნეტში ერთ-ერთი ყველაზე დიდი საფრთხის შესახებ
ასე რომ, ყველაფერი დასრულდა გამოსასყიდისთვის? Შეიძლება არა.
გამოსასყიდი პროგრამა კვლავ საფრთხედ რჩება -- რასაც მოწმობს მარტის თავდასხმა ქალაქ ატლანტაზე, რამაც დაშიფრა მონაცემები და გამოიწვია ონლაინ სერვისების დიდი რაოდენობის გათიშვა. ქალაქმა გამოსასყიდი არ გადაიხადა, მაგრამ თავდასხმის გავლენა სავარაუდოდ ატლანტას დაუჯდება მინიმუმ 2,6 მილიონი დოლარი.
ამის შედეგად მოხდა ატლანტას თავდასხმა სამსემი, ransomware-ის ოჯახი, რომელიც ფუნქციონირებს 2015 წლიდან. განსხვავებით შესხურება-და-ილოცეთ ტაქტიკისგან, რომელსაც იყენებენ ზოგიერთი მისი კომერციული კოლეგები, პოტენციურად დაუცველი მიზნები სპეციალურად არის მოძიებული იმის უზრუნველსაყოფად, რომ გამოსასყიდი პროგრამა შეიძლება იყოს დაყენებული, რომ გავრცელდეს ქსელში მას შემდეგ, რაც ჰაკერები შეტევას გაააქტიურებენ.
SamSam გამოსასყიდის შენიშვნა ინფიცირებულ სისტემაზე.
ის წარმატებულია, როდესაც მსხვერპლი ხშირად იხდის ათიათასობით დოლარს მათი ფაილების მოსაპოვებლად: იანვარში საავადმყოფომ ბიტკოინის გამოსასყიდი გადაიხადა $55,000 SamSam ინფექციის შემდეგ - მიუხედავად იმისა, რომ სარეზერვო ასლები ხელმისაწვდომია, რადგან თანხის გადახდა ითვლებოდა სისტემების ონლაინ დაბრუნების უსწრაფეს გზად.
ეს არის იმის გამო, რომ ის ძალიან წარმატებულია - და რომ მთელი ოპერაცია მოითხოვს ექსპერტიზის დონეს გასაშვებად - SamSam-ის მსგავსი გამოსასყიდი პროგრამა რჩება ბიზნესისთვის საფრთხედ.
„არსებობს ძლიერი ადამიანური ელემენტი, რომელიც მას განათავსებს არა მხოლოდ კომპრომისზე და თავდაპირველ თავდასხმაში, არამედ გამოსასყიდის პროგრამის განსათავსებლად“, განუცხადა ZDNet-ს Malwarebytes-ის უსაფრთხოების მკვლევარმა ჯერომ სეგურამ.
„ამ გამოსასყიდის პროგრამის განსათავსებლად ნამდვილად მეტი ძალისხმევაა საჭირო, მაგრამ აზრი აქვს, რადგან ეს არ არის მხოლოდ მასობრივი თოფის მიდგომა, ეს არის ბევრად მეტი. მიზნობრივი მიდგომა ეძებს მსხვერპლებს, რომლებსაც გაცილებით მეტი საფრთხე ემუქრებათ ინფიცირებისას და პოტენციურად გადაიხდიან ბევრად მეტ ფულს მათი ფაილების განბლოკვისთვის, ვიდრე საშუალოდ მომხმარებლები."
კიდევ ერთი წარმატებული გამოსასყიდი ვარიაციაა განდკრაბი, რომელიც გთავაზობთ შვილობილი მოდელს, რომელიც პირველად გამოჩნდა იანვარში და მას შემდეგ მიიღო განახლებები.
"GandCrab იყენებს მოქნილ ტექნოლოგიას, რადგან ისინი იყენებენ ტექნიკას, რომელიც ჰგავს პროგრამული უზრუნველყოფის ინდუსტრიას. ისინი თითქმის ყოველდღიურად ასწორებენ თავიანთ გამოსასყიდ პროგრამას, ასწორებენ შეცდომებს - ეს ნამდვილად კარგი მიდგომაა“, - განუცხადა ZDNet-ს იანივ ბალმასმა, Check Point-ის მავნე პროგრამების კვლევის ჯგუფის ლიდერმა.
„ეს გვეუბნება, რომ ეს ბიჭები დახვეწილნი არიან, იციან, რასაც აკეთებენ, დიდ ძალისხმევას ხმარობენ. ეს არის ერთ-ერთი მიზეზი, რის გამოც ვერ იტყვით, რომ გამოსასყიდი პროგრამა გაქრა: ხალხი ჯერ კიდევ მუშაობს მასზე და დიდ ძალისხმევას ხარჯავს ამისთვის“, - თქვა მან.
GandCrab გამოსასყიდის შენიშვნა.
გამოსასყიდის მესამე ფორმა, რომელიც ჯერ კიდევ უამრავ პრობლემას იწვევს, არის ახალი ბავშვი ბლოკზე -- DataKeeper, რომელიც გაჩნდა თებერვალში და ისინი, ვინც მის უკან დგას, საკმაოდ სერიოზულია, რომ ისინი აკვირდებიან კვლევით ბლოგებს, რომლებიც აღნიშნავენ ის.
„ისინი იყენებენ უამრავ საუკეთესო ტექნიკურ პრაქტიკას, ისინი არიან აქტიური მოწინააღმდეგე. ჩვენ ვხედავთ DataKeeper-ის ბიჭებს, რომლებიც უყურებენ უსაფრთხოების კვლევის ბლოგებს და აღმოჩენის გამოშვებებს -- და როგორც კი რაღაც გამოქვეყნდება, ძალიან ცოტა ხნის შემდეგ ისინი ცვლიან და განაახლებენ თავიანთ პერსონალს“, განუცხადა ZDNet-ს ჯეიმს ლინმა, Sophos-ის გლობალური კვლევის მრჩეველმა.
მაგრამ ამ კამპანიების ეფექტურობის მიუხედავად, ისინი არ არიან იმავე მასშტაბის, როგორც წინა გამოსასყიდი პროგრამების შეტევები. ლოკის ელ.წერილების უზარმაზარ მასასთან შედარებით, რომლებიც გაეგზავნა ორგანიზაციებს -- ათობით მილიონის გაგზავნა შესაძლებელია საათებში -- ეს გამოსასყიდი შეტევები შეიძლება შედარებით მცირე მასშტაბით გამოიყურებოდეს, ამიტომ მათი იგნორირება უფრო ადვილია.
„ეს არის ისეთი ტომების გვერდითი ეფექტი, როგორიცაა Locky კამპანია. ეს იყო ძალიან მაღალი მოცულობა, ათობით მილიონი ელ.წერილი გამოდიოდა და ასობით ათასი ინფიცირებული მანქანები -- ის თქვენს სახეზეა და თვალსაჩინოა და გავლენას ახდენს უამრავ განსხვავებულ ადამიანზე", - თქვა ჯარვისი.
SamSam-ის შემთხვევაში, მას შეუძლია დღეში მხოლოდ რამდენიმე მსხვერპლი იყოს მიმართული.
”თქვენ გაქვთ გაცილებით დაბალი მოცულობები დღეში მხოლოდ ერთი მუჭა, და როდესაც ის დარტყმა, ეს არის ბოლო მცირე ბიზნესებს სურთ ამაზე ლაპარაკი -- მათ სურთ თავიდან აიცილონ საჯაროობასთან დაკავშირებული თავდასხმები. ისინი აზიანებენ თავდასხმებს, მაგრამ უფრო დაბალი მოცულობისაა, ამიტომ ისინი დაფრინავენ რადარის ქვეშ“, - თქვა ჯარვისმა.
Იხილეთ ასევე: რა არის მავნე პროგრამა? ყველაფერი რაც თქვენ უნდა იცოდეთ ვირუსების, ტროასებისა და მავნე პროგრამული უზრუნველყოფის შესახებ
Ransomware შეიძლება აღარ იყოს თვის არომატი, მაგრამ ის მაინც რჩება მნიშვნელოვან საფრთხედ. მოკლევადიანი ზიანი ნიშნავს, რომ ბიზნესი არ შეიძლება გაკეთდეს, სანამ ფაილები დაშიფრულია, ხოლო გრძელვადიანი გავლენა შეიძლება იწვევს კლიენტებისა და მომხმარებლების ნდობის დაკარგვას, რომლებიც შეიძლება არ გრძნობენ, რომ მსხვერპლს შეიძლება ენდობოდეს მათი მონაცემების შენარჩუნებაში უსაფრთხო.
ასევე არსებობს შესაძლებლობა, რომ მსხვერპლი, რომელიც იხდის გამოსასყიდს, ადვილად დაინფიცირდება, რადგან თავდამსხმელები ხვდებიან, რომ მათ ხელში მარტივი სამიზნე აქვთ. კიბერკრიმინალებისთვის ransomware კვლავ სთავაზობს დიდ ანაზღაურებას, სწრაფად, განსხვავებით მავნე კრიპტოვალუტის მაინინგისგან, რომელიც მოითხოვს მოთმინებას ანაზღაურებისთვის.
გამოსასყიდი პროგრამის ძლიერების უკან დგას EternalBlue SMB დაუცველობა რამაც საშუალება მისცა WannaCry-ს, NotPetya-ს და სხვა გამოსასყიდი პროგრამების თავდასხმებს ქსელების ირგვლივ თვითმმართველობის შენარჩუნება.
ერთ წელზე მეტი გავიდა მას შემდეგ, რაც NSA დაუცველობამ გაჟონა ჰაკერებმა, მაგრამ არსებობს უამრავი ორგანიზაცია, რომლებიც, მიუხედავად იმისა, რომ EternalBlue-ის ექსპლუატაციით შეტევებმა შეიძლება გამოიწვიოს აშკარა დემონსტრირება, ჯერ კიდევ არ არის შესწორებული ქსელები.
„თუ შესაძლებლობა გვექნება, ჩვენ მაინც ვიხილავთ გამოსასყიდის პროგრამის ფართომასშტაბიან განთავსებას. ჩვენ ჯერ კიდევ ველოდებით იმის გარკვევას, ვაპირებთ თუ არა სხვა WannaCry-ს ან NotPetya-ს გამოცდილებას - ეს მაინც შეიძლება მოხდეს“, - თქვა სეგურამ.
„ჩვენ ჯერ კიდევ ვხედავთ გამოვლენილ ინფრასტრუქტურას, EternalBlue SMB დაუცველობას, არის უამრავი კომპანია, რომლებიც ჯერ კიდევ გამოვლენილია, ასე რომ ეს ჯერ კიდევ შესაძლებელია“.
ეს ნიშნავს, რომ არსებობს უამრავი შესაძლებლობა კიბერ კრიმინალური ოპერაციისთვის, თუ ის ამას გააკეთებს, გამოიყენოს გამოსასყიდი პროგრამა ისევე, როგორც WannaCry. გამოსასყიდის გადახდების შეგროვების უფრო ეფექტური საშუალებებით, მათ შეუძლიათ პოტენციურად გამოიმუშავონ მილიონები -- განსხვავებით $130,000-ზე ოდნავ მეტი, რომელიც WannaCry-ის უკან მდგომმა განაღდებულმა გამოიტანა.
ყოველივე ეს არის მიზეზი იმისა, რომ კიბერ კრიმინალები კვლავ ავრცელებენ გამოსასყიდ პროგრამას - რადგან ის აგრძელებს მათთვის ფულის გამომუშავებას.
„თუ თქვენ გაქვთ ინფიცირებული მანქანა, რა არის ამით ფულის გამომუშავების ყველაზე მარტივი და სწრაფი გზა? დიდი ხნის განმავლობაში ის ტოვებდა გამოსასყიდ პროგრამას და იმედოვნებდა, რომ მსხვერპლთა პროცენტი, ვინც გადაიხადა, დაგეხმარებოდა ფულის გამომუშავებაში,” - თქვა ჯარვისმა.
"ეს არის კომპიუტერული უსაფრთხოების ფუნდამენტური პრობლემა, რომელიც არ მოგვარდება, ჩვენ არ ვაპირებთ მოულოდნელად გადაჭრას უახლოეს მომავალში, ასე რომ, ეს უბრალოდ გაგრძელდება."
ეს ნიშნავს, რომ ორგანიზაციები მზად უნდა იყვნენ ნებისმიერი კიბერ საფრთხის წინაშე, თუნდაც ისეთები, რომლებიც აშკარად მოდურია.
”მე მესმის ბევრი ხმაური, როდესაც ხალხი საუბრობდა გამოსასყიდის პროგრამებზე, როგორც წარსულს და რომ ახლა ეს ყველაფერი კრიპტოვალუტის მაინინგზეა. მთავარი გაკვეთილი, რომელიც უნდა ვისწავლოთ, არის ის, რომ ეს არ შეესაბამება სიმართლეს: გამოსასყიდი პროგრამა ჯერ კიდევ არსებობს და ჯერ კიდევ ძალიან დიდი საფრთხეა“, - თქვა ბალმასმა.
”სიტუაცია შეიძლება შეიცვალოს ნებისმიერ წუთს, ნებისმიერ დღეს - ეს დამოკიდებულია ბევრ ფაქტორზე და ის ძალიან მყიფეა. ჩვენ შეიძლება გამოვფხიზლდეთ შემდეგ კვირას და გამოსასყიდი პროგრამა შეიძლება კვლავ იყოს უზარმაზარი გარიგება, ამიტომ მის წინააღმდეგ დაცვის შემცირება არ არის ჭკვიანური საქმე. ჩვენ მას ისევე დიდ საფრთხეს უნდა მივუდგეთ, როგორც გასულ წელს“.
წაიკითხეთ მეტი კიბერდანაშაულის შესახებ
- WannaCry ransomware კრიზისი, ერთი წლის შემდეგ: მზად ვართ შემდეგი გლობალური კიბერშეტევისთვის?
- მოერიდეთ გამოსასყიდის გადახდებს მონაცემთა მყარი სარეზერვო გეგმის შედგენით (TechRepublic)
- კრიპტოვალუტის მაინინგის მავნე პროგრამა ახლა ისეთივე მომგებიანია, როგორც გამოსასყიდი პროგრამა ჰაკერებისთვის
- აშშ ჩრდილოეთ კორეას WannaCry-ის კიბერშეტევაში ადანაშაულებს (CNET)
- WannaCry ransomware ანგარიში: NHS ჯერ კიდევ არ არის მზად შემდეგი დიდი შეტევისთვის