Ransomware

Последен ъпдейт на 4 декември 2018 в 17:07 ч.

Ако имате засегнати от Everbe Ransomwere файлове, може да ги декриптирате безплатно. Добрата новина за всички пострадали от дойде от известните изследователи на зловреден софтуер Майкъл Гилеспи и Максим Мейнън, които са автори на инструмента. 

Как да разпознаем Everbe

Everbe Ransomwere криптира файлове с разширения [[email protected]].everbe, .embrace, или .pain, които се добавят към името на криптирания файл.

Когато зловредният софтуер зарази машина, той прикрепя текстови файл за откуп във всяка папка съдържаща криптирани файлове. Въпросният файл е озаглавен !=How_recovery_files=!.txt и съдържа информация за размера на откупа. Начинът на плащане се уточнява след изпращането на мейл на [email protected].

Как да се справим сами

Разполагайки с новия InsaneCrypt Dekryptor, можете сами да се справите със ситуацията и да си възстановите криптираните файлове. Всичко, което трябва да направите, е да влезете в менюто Settings и да изберете опция “Bruteforcer”.

За да декриптирате файловете е необходимо да предоставите на инструмента и двете версии на един и същи файл – криптирана и некриптирана. След като процесът завърши, приложението ще намери ключът за декриптиране, който инструментът ще  използва за възстановяване на файлове.

Когато процесът на декриптиране приключи, ще видите и резюме с информацията за общото количество декриптирани файлове.

Какво да правите след декриптирането – ето съветът на Лорънс Ейбрамс:

Въпреки че файловете ви вече са декриптирани, оригиналните криптирани файлове ще останат на компютъра ви. След като потвърдите, че файловете ви са правилно декриптирани, можете да използвате CryptoSearch, за да преместите всички криптирани файлове в една папка, за да ги изтриете или архивирате.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:12 ч.

Няма спор, че 2017 г. беше годината на криптовирусите (или ransomware). Няма спор, и че от началото на 2018 г. те някак изчезнаха от заглавията на медиите – след гръмкото отразяване на имена като WannaCry, NotPetya и Bad Rabbit.

От началото на годината обаче са засечени с 35% по-малко опити за зараза при крайните потребители и 28% ръст при бизнес потребителите. Да, това е знак, че интересът към този тип зловредни атаки не е намалял – дори обратното. GandCrab, Scarabey и Hermes са сред новите имена на пазара, които засенчиха предишните величия като Locky и Cerber.

От началото на годината няма и твърдо много шум или разкрити гигантски пробиви, огромни масиви източени данни или разкрити атаки – но кибер-престъпността е далеч от изчезнала.

Пример за това твърдение е появата на изцяло нов тип атаки – coinminer. Тези атаки не насочени срещу потребителите – поне не директно. На практика, те експлоатират легална функция на CoinHive, която позволява „копаeнето“ за криптовалутата Monero директно през браузъра на потребителя. Как? Като кодове, изпълняващи тази функция, се инжектират в множество сайтове (обикновено) без знанието на собствениците на самите сайтове.

Така, всеки посетител на даден сайт започва да „копае“ Monero докато е на сайта. Което е довело до 27% на тези атаки за първото тримесечие на годината при десктопи и лаптопи – и им отрежда второ място сред най-разпространените сред бизнес потребителите.  При мобилните атаки ръстът е 40 пъти – или 4000% само за година.

Разбира се, твърде рано е да се каже дали това е „новата тенденция“ в областта на кибер-сигурността, но е хубаво да проверявате редовно сайтовете и уеб приложенията, с които работи бизнеса ви за наличието на подобни снипети код. Спомнете си само каква беше реакцията на хората като разбраха, че сайт като The Pirate Bay планира да замени рекламата с coinminer-и. А сега си представете, че разберат, че сайтът на организацията ви има подобен код и 1) експлоатирате системните ресурси на потребителите си без знанието им и 2) всъщност – какви може да са щетите по репутацията ви, ако се разбере, че на сайта ви могат да бъдат добавяни кодове „просто така“?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:16 ч.

Нов (стар) модел за дистрибуция на ransomware – “Ransomware as a Service” (RaaS) позволява на всеки да си наеме вирус и да печели от това. Като под всеки разбираме буквално всеки с достъп до интернет и средства за електронни разплащания.

Услугата вирус под наем става толкова просто, колкото да си наемете хостинг – или да си купите обувки онлайн. Под примамката за лесна печалба, обаче, се крие огромен риск: наемането на такъв вирус и разпространяването му с цел печалба превръща всеки един в престъпник.

Кибер-престъпността откри нов бизнес модел

И ако кибер-престъпността отдавна е доста печеливш бизнес, то сега тя откри нов модел за печелене на пари от потребителите.

Де факто, услугата вирус под наем позволява на всеки един потребител да създаде своя собствена модификация на криптовирус (или ransomware) – да определи какви съобщения да виждат жертвите му, какъв откуп да плащат… Общо взето – проста работа.

Цената на услугата също е привлекателна -започва около 40 USD и расте според ефективността на вируса и възможностите му за персонализация, степента на прикриване и защита от разкриване от антивирусни програми. Част от услугите предлагат дори и учебни материали, систематизирани „кампании“ на заразяване и други онлайн инструменти за по-ефективна дейност.

Всичко се управлява чрез уеб портал, точно както уеб приложенията, които използвате ежедневно за работа. Заплащанията за абонаментни планове, всички услуги и подкупите се извършват в bitcoin, което ги превръща в много трудно проследими.

Това не са добри новини за законния бизнес

Успехът на тези платформи дава шанс на всеки да атакува информацията и организацията ви. Всеки.

Забравете от необходимостта за осъществяване на атака някой да прекарва безброй часове, в които да учи езици за програмиране, устройство на мрежи и операционни системи. Забравете необходимостта да се търсят нови уязвимости и някой да ги експлойтва. Този някой вече има готови инструменти, с които за минути може да генерира готова атака срещу мрежата ви – и да тества екипа ви за ИТ сигурност.

Това може да означава огромен ръст на атаките от хора, които си няма бегла идея за това какво правят –  познати още като script kiddies. От една страна, не би трябвало да е трудно да се защитим от хора без умения, нали? От друга страна, обаче, ако хората, които ви защитават, са заети да се борят с опитите на неуките, то няма да има кой да реагира на истински прецизната атака, която ще премине през защитата ви и дори няма да остави следа.

Като добавим и факта, че създателите на ransomware произвеждат нови варианти на вирусите си – такива, които биват засичани по-трудно и могат да им донесат по-голяма печалба – ситуацията става далеч от розова.

Затова, препоръчваме да следвате следните

Съвети за системни администратори:

• Не пестете от бекъпи – бекъпвайте често и запазвайте скорошни копия на сигурно местоположение извън фирмената мрежа, като допълнителна мярка за безопасност.
• Внимавайте с прикачените файлове – информирайте колегите и клиентите си, че ако не знаят какво е съдържанието на документа, който са получили, в никакъв случай не трябва да го отварят, за да проверят.
• Забранете използването на макро команди в документи, които са получени по мейл – много от заразите разчитат на това, че допълнително сте включили автоматичното изпълнение на макро и по този начин свалят т.нар. payload.
• Патчвайте редовно – множество заплахи целят да експлоатират уязвимости в приложенията, които използвате. Колкото по-често патчвате, толкова по-малко оставяте пролуки в сигурността си.

Съвети за потребители:

• Не гонете лесните пари – наемането на криптовирус може да ви се струва привлекателна алтернатива за припечелване на някой лев (пардон, bitcoin), но всъщност НЕ Е. Ако криптирате информация на чужди компютри и/или телефони, то вие се превръщате в престъпник и може да бъдете съдени. Ако се замесите с престъпници, може да се превърнете в тяхна марионетка или по-лошо – муле.
• Не влизайте там, където не трябва. Напоследък тъмният интернет се радва на огромно внимание от страна на медиите. Там няма нищо, което да е толкова невероятно или привлекателно. Не влизайте там, където не знаете какво се крие зад всеки ъгъл.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:17 ч.

През последните две години без съмнение станахме свидетели на исторически пик за ransomware заплахите. Вируси като Petya и WannaCryptor причиниха загуби на стойност милиарди долари на бизнеси от цял свят. Докато голяма част от тях все още се борят с щетите от атаките, ние трябва да насочим погледа си към друга належаща заплаха – ransomware за Android.

Мобилните платформи отдавна не са в безопасност

Експлоатирането на уязвимости във функциите за достъпност на системата стана най-новата част от репертоара на хакери от цял свят. Заедно с това подкупите, които се изискват стават все по-солени, тъй като мобилните платформи са вече достатъчно разпространени, за да бъдат апетитни за престъпниците.

Един от най-емблематичните случаи, който демонстрира и двете тенденции, е едно изцяло ново семейство от ransomware, открито от изследователи на ESET. Заплахата изплува на повърхността през последните месеци на миналата година, а вие можете да я разпознаете под името DoubleLocker. Притесняващото при нея е това, че не просто заключва устройството ви или данните на него, но и двете едновременно. Периодът на активизиране на DoubleLocker е отговорен за един от видимите пикове в заплахите за цялата година.

Можем ли да сме спокойни?

Този поглед назад ни показва една изключително притеснителна ситуация. Чисто статистически обаче, заплахите за Android през тази година не следват наблюдаваната тенденция. След достигането на пика си през първата половина на 2016 г., през изминалата година наблюдаваме постепенно намаляване на засечените заплахи

Все пак, не бързайте да сваляте приложения безразборно, тъй като няколко скока в графиката (видима по-долу) към края на годината може да вещаят завръщане.

Съвети за системни администратори

Съветите за предпазване на Android устройства са приложими във всякакви ситуации, дори и да не става въпрос за ransomware. Това са най-важните от тях:

• Сваляйте приложения от доверени източници като Google Play. Информирайте всички потребители, че повечето други източници на приложения носят различни видове опасности.
• Използвайте системата за сигурност на Google – Play Protect. Можете да я включите като отидете на Настройки > Google > Сигурност > Play Protect.
• Използвайте надеждно решение за мобилна сигурност
• Правете чести бекъпи на информацията на устройствата – ако се стигне до заразяване с ransomware, то вие ще можете по-лесно да възстановите устройството си

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:30 ч.

Изминалата 2017 г. беше най-активната в света на кибер-сигурността. С това изречение (но с различна година) започвам обзора на всяка една година през последните 7-8 (защото следя пазара от толкова). Защо смятам така? Ето няколко причини:

• Годината беляза пик на разпространението на криптовируси и ransomware – зловредни кодове, които заключват заразените устройства и искат откуп за освобождаването на информацията на тях
• В края на пролетта станахме свидетели как една уязвимост в операционна система, спряна от поддръжка, стана причина за спирането на транспортни компании и болници – да, става въпрос за WannaCry
• Само за първата половина на годината са отчетени общо 918 пробойни в информационната сигурност на различни организации, довели до загубата на над 1.8 млрд. записа на лични данни на потребители, показват данните на Breach Level Index на Gemalto
• Бизнесът в България и целия свят постепенно осъзна, че GDPR – или новият регламент за защита на личните данни в ЕС е нещо реално, а съвместимостта с него не е никак проста задача

Това са само част от събитията, на които станахме свидетели – а новата 2018 г. не се очертава като по-лека в тази сфера.

Какво можем да очакваме от нея. Ето няколко основни тенденции, които трябва да следим през следващите 12 месеца, а и след тях.

1.      Кибер-престъпниците ще следват парите

Личните данни са толкова ценен актив, че вече не един и двама специалиста я сравняват с „новия нефт“. Затова и платените откупи на данни, криптирани срещу откуп, ще продължат д растат експоненциално – въпреки съветите на нас (и не само) подобни суми да не се плащат. В свят, завладян от смартофни и други умни устройства, хакерите имат още повече средства за атака – а да е забравяме, че и Интернетът на нещата (IoT) чука на вратата с още повече рискове за личната ни информация.

2.      Кибер-светът среща физическия

Това е по-скоро наблюдение на тенденция, която е факт от години насам – виртуалният свят съвсем не е толкова виртуален. Той все повече управлява физическия – и ще има все по-голяма роля в това отношение. Затова, подгответе се – атаките ще имат все по-реално отражение върху физическото ни съществуване.

3.      Скритата истина

Лесният достъп до информация онлайн е нож с две остриета. Защото интернет и социалните медии са брутално мощно оръжие в ръцете на разпространяващите пропаганда и лъжи – а с наличието на толкова много онлайн медии намирането на разликата между истината и лъжата и преиначените факти става все по-трудно. Понякога дори и невъзможно.

4.      Лични данни и съхранението им

Санкциите по GDPR ще влязат в сила на 28 май 2018 г., а подготовката за регламента кипи с пълна сила. Най-големите промени в регулациите за работа с лични данни от 20 години насам ще променят изцяло начина на работа на много компании – а те далеч не са единствената промяна. Да не забравяме, че е на път приемането на новия закон за защита на личното пространство онлайн (ePrivacy Law или Закона за бисквитките), което допълнително затяга регулациите за бизнеса.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 29 май 2020 в 14:41 ч.

Най-важното накратко:

• България е в топ 3 на потърпевшите държави на атака, известна под името „Лошото зайче“ (BadRabbit), стартирала на 24 октомври вечерта – над 10% от засечените зарази са от страната
• BadRabbit е подобрена версия на предшественика си NotPetya – ransomware червей, който се саморазпространява чрез SMB споделени директории
• Как да се защитите от BadRabbit, прочетете тук.

Нова вълна от ransomware в Източна Европа засегна и България. На 13 октомври Украинската служба за сигурност излезе с предупреждение, че е възможно нова голяма кибер атака да бъде стартирана в периода 13 – 17 октомври, което съвпада с честванията на Деня на защитниците на Украйна. Опасенията се оказаха реални и атаката известна под името „Лошото зайче“ (BadRabbit) бе стартирана снощи (24.10.2017), като основна цел наистина се оказаха Украйна – засегнати са железопътния и въздушен транспорт. Според телеметрични данни България е в топ 3 на потърпевшите държави, но все още нямаме официални данни за жертви в правителствения и публичен сектор:

• Russia: 65%
• Ukraine: 12.2%
• Bulgaria: 10.2%
• Turkey: 6.4%
• Japan: 3.8%
• Other: 2.4%

„Лошото Зайче“ към момента се разпознава от 41/66 антивирусните решения, като вариант на  Win32/Diskcoder:

BadRabbit е подобрена версия на предшественика си NotPetya – ransomware червей, който се саморазпространява чрез SMB споделени директории, използвайки Mimikatz инструмента. За разлика от предходната атака, този път EternalBlue експлойта не е включен в арсенала на престъпниците.

Update (2 октомври 2017 г.):
Секюрити рисъчъри направиха по – задълбочен анализ и откриха, че
в Bad Rabbit всъщност е имплантиран експлойтът EternalRomance, имащ за цел да изпълни отдалечено код върху таргетираната машина.

Поради факта, че едновременно са засегнати стратегически обекти и фирми в Украйна, има съмнения за watering-hole attack. Т.е. престъпниците вече са имали достъп до тези мрежи и просто са стартирали криптирането.

Първоначалното разпространение е чрез drive-by сваляне от популярни сайтове!

 Зад Drive-by сваляне (download) терминът стоят два подхвата:

1. Жертвата оторизира свалянето, но не осъзнава последствията – програма която автоматично се изпълнява и инсталира зловреден код;
2. Всяко сваляне, което се извършва без уведомяване на жертвата;

В случая, става въпрос за drive-by сваляния на фалшиво обновление за Flash Player от компрометирани сайтове, за сега идентифицирани два български сайта :

• hxxp://grupovo[.]bg
• hxxp://www.grupovo[.]bg
• hxxp://www.otbrana[.]com

При посещение на някой от заразените сайтове (пълен списък) се изпълнява JavaScript, който от своя страна изпраща данни към престъпниците, чрез които определят дали жертвата е интересна за тях. В случай, че сте един от „печелившите“ ще бъде показан въпросният прозорец за ъпдейт на FlashPlayer:

С натискането на „INSTALL“ се сваля install_flash_player.exe, което всъщност е Win32/Filecoder.D, финалният резултат е бележка за откуп:

За всяка жертва се генерира уникален ключ. който е необходим на престъпниците да идентифицират плащанията в предназначения за целта портал в Tor мрежата:

Екипът на freedomonline.bg Ви съветва никога да не прибягвате до плащания, а да се обърнете към специалисти в случай, че криптираната информация е важна за Вас.

Инфектиране на мрежата през SMB

Веднъж свален и изпълнен „Лошият Заек“ започва да подскача в мрежата на жертвата, търсейки споделени директории, използвайки списък от най–лошите пароли, за да се сдобие с достъп. В случай, че комбинацията (user/pass) липсва в предварително зададените, се изпълнява вече споменатия инструмент – Mimikatz.

Криптирането започва след принудително рестартиране на компютъра

Лошият братовчед на Бъгс Бъни създава планирани задачи за рестарт на компютъра, използвайки имена с референции към сагата „Game of Thrones“.

Метода на криптиране използван от BadRabbit също е подобен на този в NotPetya – използва се open source легитимен софтуер DiskCryptor.

Следва пълно криптиране на диска и файловете с произволно избран ключ (шифър AES-128-CBC), който от своя страна е защитен с RSA 2048 публичен ключ.

Каква е ваксината за бесните зайци

• Спрете да използвате Flash технологията. Не случайно тя ще бъде убита до 2020 година.
  Като премахнете flash player, не само се защитавате от новооткрити уязвимости, но също елиминирате изкушението да приложите фалшиви ъпдейти;
• Обновявайте вашите операционни системи, интернет браузъри и приложения. През последната година станахме свидетели на атаки, чиято успеваемост се дължеше изключително и само на пропуснати ъпдейти. Инсталирайте легален софтуер и доказали се решения за информационна сигурност;
• Бекъп, бекъп, бекъп… 3,2,1 – регулярни бекъпи на различни носители, на повече от една локация. Не забравайте тяхното верифициране!
• Гарантирайте права на потребителите до толкова, колкото им е необходимо. Ненужно привилегировани акаунти често за причина за болки в сърцето :( Защо му е на лошото зайче да отгатва пароли, ако вече се е сдобил с администраторски акаунт?
• Обучение на служители, семейство и приятели – споделяйте добри практики, новини и проблеми с околните. Повишавайте тяхната заинтересованост и изострете тяхната бдителност. Дали ще сте жертва или не, понякога зависи от натискането на бутона „INSTALL“.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:34 ч.

DoubleLocker е ново поколение криптовирус (или ransomware), който залага на двуфакторнозаключване на информацията на потребителя – чрез принудителна смяна на PIN кода на устройството и криптиране на информацията, за всеки случай.

В основата на вируса е добре познатият троянец Android.BankBot.211, който краде банкова информация от засегнатите устройства. DoubleLocker се разпространява подобно на пра-родителя си – най-вече под формата на фалшив Adobe Flash Player чрез заразени сайтове.

Откупът за отключване на информацията е 0.0130 BTC (в момента – около 54 долара) – а срокът за плащането му е 24 часа. Дори и да не бъде платен обаче, информацията на устройството няма да бъде изтрита.

В съобщението за откуп е добавено предупреждение, че потребителят не трябва да се опитва да премахва по какъвто и да било начин или да блокира DoubleLocker: “Без [софтуерът], никога няма да може да получите информацията си обратно”.

А за да предотвратят нежелано деинсталиране на „софтуера“, киберпрестъпниците дори препоръчват деактивиране на наличен антивирус на устройството.

Как може да се предпазите от DoubleLocker и как да премахнете вируса от вече заразено устройство – може да прочетете в блога на ESET, които са откриватели на заразата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:48 ч.

Въвеждането на General Data Protection Regulation (GDPR) и нарастващият брой информационни пробиви са основните причини малкият и среден бизнес да внедрява технологии за защита на данни. За съжаление ограничените ресурси и наситеният пазар на решения за криптиране на информация прави избора на такава технология сравнително труден.

Ако бизнеса ви се затруднява в избора на криптиращ софтуер, опитайте да си дадете отговор на следните въпроси:

Кои компютри представляват най-голям риск?

Дали това са компютрите, които не мърдат от бюрото на служителите ви, или лаптопите, които пътуват с тях в командировки? Въпреки, че шансът една машина да бъде открадната извън офиса е значително по-голям, вашият бизнес може да е много по-застрашен от умишлена злоупотреба на работното място, отколкото от случаен инцидент на улицата. Отговорът на този въпрос е важна отправна точка, защото идентифицира устройствата, които се нуждаят от защита.

Отговаря ли криптиращата система на нуждите на вашия IT отдел за пълен дистанционен контрол върху криптирането на крайни устройства?

Всички сериозни продукти за криптиране предоставят възможността за дистанционно управление на криптирането, но не и без усложнения. Повечето подобни услуги се нуждаят от отворена приходяща връзка към демилитаризирана зона (DMZ) на вашия сървър или VPN връзка. Всички криптиращи системи разчитат на това администраторът да има добри IT умения, а за да функционират изправно, могат да изискват от потребителя да активира връзката. Това от своя страна повишава риска от вътрешен саботаж или злоупотреба в случай на изгубено устройство.

Прочетете повече: 4 стъпки за предотвратяване на изтичане на информация

Добрата криптираща услуга предоставя възможност за дистанционно управление на криптирането:

• Без да създава допълнителни рискове за сигурността
• Без да се нуждае от задълбочена техническа експертиза
• Без да оскъпява целия процес

Защо това е важно?

Възможност за бърза промяна в политиките за сигурност, мигновена подмяна на криптиращите ключове и дистанционно управление на криптирането на крайни устройства: всичко това ви прави по-защитени.

Допускат се изключения, само когато са нужни, и само ако могат лесно и бързо да се премахнат. Ако не прилагате подобна политика, ще ви се наложи да оставите ключа „под изтривалката“ за всеки случай, а това ще отвори дупки в сигурността, които не искате да имате.

Прочетете повече: 5 стъпки за предотвратяване на пробив в системата

Има ли опция за дистанционно заключване и изтриване на криптиращите ключове от крайните устройства?

Този въпрос е от изключителна важност когато работен компютър с изцяло криптиран твърд диск попадне в неправилните ръце, докато е в спящ режим или с включена операционна система. Подобна ситуация се превръща в истински кошмар, когато машината идва с парола за pre-boot, изписана върху стикер или скрита в чантата на лаптопа. Ако не е налична функция за дистанционно заключване и изтриване, системата се оказва или незащитена, или защитена само с паролата за влизане в операционната система. И в двата случая криптирането може да бъде заобиколено.

Осигурява ли криптиращото решение защита от външни носители без да се налага да са в списък с позволени устройства?

Видовете преносими твърди дискове, които служителите използват в ежедневието си, са толкова много, че е почти невъзможно за един системен администратор да верифицира всички, камо ли пък да установява политики за read, write to или access за всяко едно от тях.

Много по-лесно е да се въведе политика на ниво файлове. Този подход идентифицира конкретни файловете за криптиране и осигурява защитата им при движение между устройства, мрежи и носители.

С други думи:

• Ако включите лична флашка, програмата няма да ви принуди да криптирате личната си информация

Но:

• Ако прехвърлите данни от работния компютър на USB носител, те ще останат криптирани
• Ако нямате криптиращ ключ на флашката, данните ще останат недостъпни и съответно защитени

Излишно е да споменаваме, че това избягва изцяло процеса на whitelist на отделни устройства.

Прочетете повече: Рискът от външни устройства: флашката-саботьор

Мерките за информационна сигурност не са нови. Внедряването на едно или друго решение зависи от неговата гъвкавост и лекота.

Последният въпрос, на който трябва да си отговорите е следният:

Колко ще е лесно да се внедри и използва услугата?

Ако конфигурирането на криптиращото решение налага използването на допълнителни инструменти и отнема часове, или не дай си Боже, дни, тогава може би не си заслужава. Потърсете решение, което е лесно за внедряване, не изисква задълбочена техническа експертиза и щади както човешките, така и финансовите ресурси на компанията. Ако софтуерът е лесен за използване от потребителите и същото важи за системните администратори, тогава IT-тата няма да се затормозяват излишно с изгубени данни и прочие проблеми, вследствие на служителска грешка.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:49 ч.

Малко над 301 млн. долара. Това е общата сума откупи за отключване на криптирана информация, която е платена от малки и средни предприятия на глобално ниво само през 2016 г. Данните са от проучване на анализаторската компания Datto, в което са участвали над 1,700 доставчика на IT услуги, обслужващи клиенти от буквално всички сегменти на икономиката.Основните щети от криптовирусите, обаче, не са свързани с платените откупи – а с времето, в което компаниите са били принудени да спрат дейността си. Факт, който голяма част от бизнесите разбират твърде късно – обикновено, след като заразата вече е факт. Данните на Datto показват, че в 75% от изследваните случаи ефектът от спирането на бизнесите е бил толкова висок, че буквално е заплашил съществуването на засегнатите компании.Друго проучване – на американския National Cyber Security Alliance твърди, че около 60% от бизнесите фалират до 6 месеца след осъществяването на успешен пробив в сигурността им. Средната цена за отърсването от ефектите на атаките е около 690,000 долара – ако изключим щетите върху репутацията на компанията, чиято сигурност е компрометирана.Защо малкият и среден бизнес са най-интересните цели за кибер-престъпниците (около 62% от атаките, по данни на IBM)? Защото обикновено тези компании са най-лесни – и апетитни като жертви. Хакерите крадат банкова информация, лични данни (което може да доведе и до допълнителни глоби, ако не са спазени изискванията на GDPR) на клиенти, подправят фактури и т.н., и .т.нВсички числа, споменати по-горе, са достатъчно стряскащи – но реалната картина може да бъде и още по-жестока, защото за периода 2016 – 2017 г. едва 1 от 3 атаки с криптовируси (само за пример) е била оповестена официално – срещу 1 от 4 атаки за периода 2015-2016 г.

Ето още няколко „интересни“ статистики:

• Над 50% от анкетираните компании са платили между 500 и 2000 долара за откупване на информацията си
• 99% от участващите в проучването очакват, че броят атаки с криптовируси ще се увеличава, а няма да намалява (статистиката го показва – и то не само за криптовируси – само за последната година в България са засечени над 4,000,000 уникални атаки, показват данните на ESET)
• Над 96% от малките и средни предприятия, които използват решение за бекъп и възстановяване не са усетили ефект от атаките с криптовируси, защото са възстановили информацията си навреме
• CryptoLocker остава най-разпространеното семейство криптовируси, следван от CryptoWall, Locky, WannaCry и CBT Locker
• Най-интересни за кибер престъпниците са били компаниите от секторите производство, здравеопазване, услуги и финанси
• Атаките срещу таблети и смартфони растат

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Вече всички си дават сметка, че живеем в ерата на ransomware вирусите. Тези зловредните кодове блокират достъпа ни до информация на заразеното устройство, докато не се плати откуп. WannaCry и NoPetya (линк към статията за Petya) ни показаха, че дори и организации, които считаме за непробиваеми, като банки, болници и фармацевтични компании, са почти, ако не и също толкова уязвими на пробив в киберсигурността, колкото и обикновените потребители.

We confirm our company’s computer network was compromised today as part of global hack. Other organizations have also been affected (1 of 2)

— Merck (@Merck) June 27, 2017

Какво е Ransomware и как работи?

През май и юни тази година българска компания за информационна сигурност докладва за заплахите от криптовирусите WannaCry и Petya.

Специалистите обясняват, че вирусът WannaCry засяга само компютри с операционна система Windows, използвайки конкретна уязвимост в нея. Веднъж попаднал на твърдия диск, Ransomware вирусът криптира информацията на компютъра и я „заключва“, докато не бъде платена сумата от 300 щатски долара или еквивалента им в Bitcoin. Западни експерти твърдят, че уязвимостта е била открита от американската агенция за национална сигурност (АНС), която разработва инструменти за нерегламентиран достъп до системата под кодовото название EternalBlue. Хакери от групата Shadow Brokers успяват да откраднат инструментите от американското правителство и дори правят някои от тях безплатни за свои съмишленици.

Според Европол мащабът на заразата с вируса WannaCry е бил главозамайващ. Засегнати са 200 хиляди компютъра в над 150 държави, покосявайки бизнеси, институции и лични устройства. Самият вирус е от типа „червей“. Веднъж засегнал един компютър, червеят се размножава масово на всички останали компютри в мрежата, към която принадлежи първоизточникът. За разлика от повечето зловредни вируси, които засягат един компютър и са резултат на човешко действие като кликване върху линк или отваряне и задействане на файл, червеят не се закача за конкретна програма, разпространява се сам и е много по-заразен. Експертите от Sophos наричат червеите от семейството на Ransomware вирусите „най-страшният сред страшните“.

Как да се предпазим?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Прочетете повече: Как да се защитите от WannaCrypt?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.