Kaip veikia išpirkos reikalaujančios programos ir kaip nuo jų apsisaugoti

Išpirkos reikalaujančios programos (ransomware) tapo viena didžiausių kibernetinio saugumo grėsmių tiek privatiems asmenims, tiek organizacijoms. Šios kenkėjiškos programos užšifruoja kompiuterio failus ir reikalauja pinigų mainais už prieigos atkūrimą. Ekspertai pastebi, kad tokių atakų skaičius kasmet auga 20-30%.

Kibernetiniai nusikaltėliai dažniausiai naudoja tris pagrindinius metodus sistemoms užkrėsti:

• Sukčiavimo el. laiškai sudaro apie 70% visų užkrėtimų. Aukos gauna autentiškais atrodančius laiškus su priedais – dažniausiai „Microsoft Office” dokumentais su makrokomandomis. Atidarius tokį failą ir leidus vykdyti makrokomandas, aktyvuojamas kenkėjiškas kodas.
• Programinės įrangos spragos išnaudojamos, kai kompiuteriuose neįdiegti svarbūs saugumo atnaujinimai. Ypač pažeidžiamos yra pasenusios „Windows” versijos ir nebepalaikomos programos.
• Nuotolinio prisijungimo protokolai (RDP) su silpnais slaptažodžiais leidžia užpuolikams tiesiogiai prisijungti prie įmonių serverių ir paleisti kenkėjišką programinę įrangą.

Atakos eiga

Patekusi į sistemą, išpirkos reikalaujanti programa veikia etapais:

Pirma, ji skenuoja tinklą ir identifikuoja prieinamus kompiuterius bei serverius. Tada programa bando gauti administratoriaus teises, kad galėtų pasiekti svarbius sistemos komponentus.

Prieš pradėdama šifravimą, kenkėjiška programa išjungia antivirusines programas, ištrina šešėlines kopijas ir blokuoja sistemos atkūrimo funkcijas. Kai apsaugos priemonės neutralizuotos, prasideda failų šifravimas naudojant stiprius kriptografinius algoritmus.

Šifravimo mechanizmas

Šiuolaikinės išpirkos programos naudoja asimetrinį šifravimą – kiekvienas failas užšifruojamas unikaliu raktu, o iššifruoti galima tik turint privatų raktą, kurį kontroliuoja užpuolikai. Populiariausios šeimos, tokios kaip „LockBit” ar „BlackCat”, gali užšifruoti tūkstančius failų per kelias minutes.

Išpirkos reikalavimas ir mokėjimas

Baigus šifravimą, ekrane pasirodo pranešimas su instrukcijomis. Išpirkos dydis priklauso nuo aukos – fiziniams asmenims prašoma 200-500 dolerių, o įmonėms sumos gali siekti milijonus. Mokėjimas reikalaujamas kriptovaliuta, dažniausiai Bitcoin arba Monero.

Ekspertai įspėja – net sumokėjus išpirką, tik 60% aukų atgauna prieigą prie savo duomenų. Be to, 80% sumokėjusių organizacijų vėliau patiria pakartotines atakas.

Prevencijos priemonės

Kibernetinio saugumo specialistai rekomenduoja kompleksinį požiūrį:

Techninės priemonės:

• Reguliarūs operacinės sistemos ir programų atnaujinimai
• Patikimų antivirusinių programų su elgesio analize naudojimas
• Tinklo segmentavimas, ribojantis kenkėjiškos programos plitimą
• Daugiafaktorinis autentifikavimas visiems prisijungimams

Atsarginės kopijos:

• 3-2-1 taisyklė: 3 duomenų kopijos, 2 skirtingose laikmenose, 1 saugoma atskirai nuo tinklo
• Reguliarus atsarginių kopijų atkūrimo testavimas
• Neprisijungusių (offline) kopijų kūrimas

Darbuotojų mokymai:

• Reguliarūs kibernetinio saugumo mokymai
• Sukčiavimo atpažinimo įgūdžių ugdymas
• Imitaciniai sukčiavimo testai

Veiksmai užkrėtimo atveju

Jei sistema užkrėsta:

1. Nedelsiant atjunkite užkrėstą įrenginį nuo tinklo
2. Informuokite IT saugumo specialistus
3. Neišjunkite kompiuterio – tai gali apsunkinti tyrimą
4. Nemokėkite išpirkos be specialistų konsultacijos
5. Praneškite teisėsaugos institucijoms

Ateities perspektyvos

Ekspertai prognozuoja, kad išpirkos reikalaujančios programos taps dar rafinuotesnės. Atsiranda „Ransomware-as-a-Service” modeliai, leidžiantys net techniškai neišprususiem nusikaltėliams vykdyti atakas. Dirbtinis intelektas naudojamas tiek atakoms vykdyti, tiek nuo jų gintis.

Organizacijos turėtų investuoti ne tik į technologijas, bet ir į saugumo kultūros formavimą. Statistika rodo, kad 95% sėkmingų atakų prasideda nuo žmogiškosios klaidos, todėl darbuotojų švietimas lieka kritiškai svarbus.