×
Основные уязвимости: расцвет "вымогателей"

Cisco опубликовала очередной отчет по кибербезопасности — на этот раз за первую половину 2016 года. Для понимания масштабов: ежедневно в мире блокируется 20 миллиардов угроз, то есть, 3 штуки на каждого жителя планеты.
Наиболее ярким трендом является эволюция и совершенствование программ-вымогателей. Современные образцы этого ПО — это не примитивные «винлокеры», относительно легко удаляемые из системы даже самим пользователем при наличии базовых компьютерных знаний, а мощные системы выборочного шифрования данных, которые научились, во-первых, скрывать свою активность, почти не расходуя процессорных ресурсов, а во-вторых, стали гораздо более наглыми.

 


Теперь, в частности, уже реализованы такие механизмы, как индивидуальное шифрование каждой жертвы (то есть, нельзя заплатить один раз, получить код и затем использовать его для восстановления данных всех жертв), увеличение суммы выкупа с течением времени, что вводит жертву в панику и заставляет действовать быстрее, а также уничтожение ключа шифрования через некоторое время, после чего данные теряются уже окончательно и навсегда.

 


Для расчетов почти всегда используется криптовалюта (Bitcoin), что обеспечивает преступникам полную анонимность, при этом они даже не всегда знают, кто их жертва. А из-за ошибок во вредоносном ПО данные не всегда расшифровываются даже после оплаты. И даже если данные расшифрованы, резидентный модуль при этом может оставаться в системе и впоследствии снова их зашифровать: преступники знают, что жертва готова платить и даже иногда делают «скидки постоянным клиентам».

 


В России средняя сумма выкупа составляет 5 тысяч рублей. Легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить за расшифровку данных делает программы-вымогатели наиболее доходным из киберпреступлений.
Сильно распространились услуги типа «вредоносная реклама как сервис», то есть, рекламодателям продается возможность принудительной демонстрации рекламы на компьютере пользователя, от которой он, в отличие от того же спама, не может «закрыться» и обязательно ее увидит. Соответственно, заказчики здесь те же, что и у спамеров.
В большинстве случаев атакующие используют здесь уязвимости Adobe Flash и Microsoft Silverlight: первый вообще установлен на большинстве компьютеров и при этом включен в браузере. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома. То есть, достаточно направить пользователя на нужную страницу тем или иным способом, или… просто прятать вредоносный код в баннерах баннерообменных сетей.