Вирусы-шифровальщики в 2025 году: тенденции, виды, особенности, использование криптовалюты
0
Рынок киберпреступности продолжает эволюционировать. В 2025 году такие группировки, как LockBit, RansomHub, Medusa и Play, демонстрируют высокий уровень организованности, совершенствуя свои методы атак. Киберпреступники активно используют криптовалюты для скрытия следов своих действий и привлекают аффилированных специалистов для расширения своей деятельности, что затрудняет борьбу с угрозами на глобальном уровне. Атаки становятся всё более целенаправленными, с акцентом на сферы здравоохранения, финансов и энергетики.
Тенденции 2025 года
Рост подписных моделей и конкуренция в даркнете
1. Дешевый и простой доступ. В даркнете есть множество программ-вымогателей, которые продаются по низким ценам (от 50 до 400 долларов). Эти вредоносные программы приобретают в основном частные лица либо небольшие группы киберпреступников, которые могут атаковать государство, компании и физических лиц, не обладая значительными ресурсами. При этом, если атака удастся, они могут потребовать выкуп в 5-10 раз выше вложенных ими средств на приобретение таких программ.
2. Модель подписки, шифровальщик как услуга. Еще один из факторов, который усиливает теневой рынок, это развитие подписных моделей вирусов шифровальщиков. Эта модель предоставляет доступ к сервисам по фиксированной цене, что снижает барьеры для входа новых пользователей. Продавцы предлагают такой сервис с возможностью технической поддержки и обновления вредоносного программного обеспечения.
3. Бесплатный демо-доступ. Предлагается предоставление демоверсий программ-вымогателей, что позволяет преступникам бесплатно оценивать эффективность продукта перед покупкой полного набора инструментария.
4. Запуск операторами вируса-вымогателя NFT на базе блокчейна TON. С помощью NFT злоумышленники могут создать рынок, где пользователи не только оплачивают доступ к эксклюзивным инструментам и услугам для проведения атак, но и получают уникальные преференции, такие как обучение или специализированное ПО для взлома. Это превращает преступный бизнес в почти самодостаточную систему с возможностью масштабирования.
5. Упрощенное привлечение кадров. Привлечение молодых IT-специалистов через такую экосистему становится проще. Для них это может быть привлекательной возможностью быстро заработать, что, в свою очередь, расширяет базу преступников и усиливает угрозу на глобальном уровне. Такие схемы позволяют киберпреступникам не только зарабатывать на вымогательствах, но и привлекать талантливых специалистов. Это даёт возможность создавать более сложные и изощрённые вирусы. При этом общение происходит чаще всего в даркнете, на специализированных площадках и через мессенджеры со сложным шифрованием, обеспечивая анонимность сторонам общения.
6. Точечная направленность атак. Эта практика позволяет киберпреступникам создавать вирусы, которые пишутся под конкретные цели, что делает атаки более целенаправленными. За дополнительную плату вирусы могут быть дополнены обходом систем защиты, а также на платной основе «прогоняться» через специальные сервисы, которые помогают понять, обнаружит ли антивирусная программа нелегитимный файл перед самой атакой. Такой подход популярен среди профессиональных группировок и новичков, стремящихся освоить более сложные методы взлома. Заказчики получают не только вирусы, но и стратегии для их использования, включая инструкции по проникновению и выманиванию данных с помощью социальной инженерии.
Эволюция тактики атак
Хакеры могут шифровать данные и блокировать доступ к устройствам, а также проникать в уязвимые корпоративные сети через устройства, которые имеют «умный» функционал.
Так, например, группировка вымогателей Akira использовала веб-камеру для обхода системы защиты EDR и шифрования данных в корпоративной сети. Камера, работающая на Linux и не имеющая установленной защиты, позволила хакерам монтировать SMB-ресурсы Windows и зашифровать данные на серверах компании.
Рост выкупа и последствий атак
Средний размер требований по выкупу от вирусов-шифровальщиков, направляемых в организации, значительно возрос. Ранее суммы могли составлять десятки тысяч долларов, но сейчас они достигают $150 тыс. и более. В 25% случаев требования по выкупу превышают $1 млн. Это связано с тем, что хакеры все чаще нацеливаются на крупные компании и организации с ценными данными, такими как финансовые отчеты, персональная информация сотрудников или клиентов. Это увеличивает рыночную стоимость скомпрометированных данных. Также хакеры не брезгуют атаковать частных лиц, которые также становятся жертвами шифровальщиков, например, через уязвимости в программном обеспечении устройств NAS, а также в ходе небезопасного серфинга сети Интернет.
Угрозы публикации украденных данных (двойное вымогательство)
Вымогательство в цифровом мире постоянно прогрессирует, хакеры стали использовать более сложные методы получения выкупа. Одним из таких методов является «двойное вымогательство» — тактика, при которой злоумышленники не только шифруют данные жертв, но и угрожают публичным раскрытием скомпрометированной информации, если выкуп не будет выплачен.
Одним из известных примеров использования тактики двойного вымогательства является группа Qilin, которая шифрует данные своих жертв и требует дополнительный выкуп за нераспространение украденной информации. Другой пример — группа RansomHub, которая сначала крадет конфиденциальные данные, а затем угрожает их публикацией, если жертва не заплатит требуемую сумму.
Однако двойное вымогательство — это лишь один из множества методов, используемых киберпреступниками. Существуют и другие виды вымогательства, которые включают в себя:
Традиционное вымогательство — это наиболее распространенная форма вымогательства, при которой злоумышленники шифруют файлы на компьютере или сервере жертвы, требуя выкуп за ключ для их расшифровки.
Доксинг — в этом случае хакеры угрожают опубликовать личные или конфиденциальные данные жертвы (например, фотографии, переписку) в интернете, если выкуп не будет выплачен, такой вид атак, как правило нацелен на частных лиц.
Моральное вымогательство — схоже с доксингом, но в этом случае злоумышленники угрожают разрушить личную репутацию или даже подорвать социальные отношения жертвы, распространяя компрометирующую информацию или изображения, также требуют выкуп.
Виды вирусов-шифровальщиков
| Тип | Особенности | Примеры |
|---|---|---|
| Вирус вымогатель | Шифрование файлов с требованием выкупа за ключ для дешифрования; Маскировка под легитимное ПО; Использование криптовалюты для выкупа; Нацеленность на разных пользователей | Ryuk, LockBit, RansomHub, Play |
| Вирус блокировщик | Блокировка доступа к устройству или системе; Блокировка доступа к устройству или системе; Несмотря на то, что он не шифрует файлы, при его действиях существует риск потери данных; | MountLocker, Loki Locker |
| Полиморфный вирус | Некоторые полиморфные вирусы могут изменять свой код в зависимости от операционной системы; Эти вирусы могут включать механизмы, которые защищают их от анализа и разрушения; Поскольку полиморфные вирусы изменяют свой код, они становятся почти «невидимыми» для традиционных антивирусных систем | FIN7, Lazarus Group, Panda Banker |
| Мягкий вымогатель | Может запрашивать более умеренные суммы по сравнению с другими вирусами-вымогателями; Четкие и ясные условия для выкупа, возможно, с заранее определенными суммами или даже с возможностью тестового расшифрования данных; В отличие от традиционных вирусов-вымогателей, которые нацелены на крупные корпорации с миллионными суммами выкупа, нацелен на средний и малый бизнес, также могут быть нацелены на частных лиц | Oled-Makop |
Методы распространения
Фишинговые письма, зараженные вложения, уязвимости в программном обеспечении.
Вирус Petya 2.0 распространялся через фишинговые письма, содержащие вредоносные вложения. После того как пользователи открывали зараженные файлы, вирус начинал шифровать данные на их устройствах. Петя использовал известную уязвимость в протоколе SMB для распространения по корпоративным сетям. В результате атак пострадали более 100 крупных организаций.
Целевые группы
-
Малый и средний бизнес: из-за слабой защиты и готовности платить выкуп, так как следят за своей начальной репутацией и хотят сохранить имидж и лицо компании.
-
Крупные компании и госорганизации: 3 февраля 2025 года группа Qilin взломала Региональную коалицию по предотвращению суицидов в Денсоне, похитив около 200 ГБ данных. Группа использовала тактику двойного вымогательства.
-
Частные лица.
Технологии шифрования
AES-256 — симметричный алгоритм шифрования, использующий один ключ для шифрования и дешифрования данных. Он считается очень безопасным благодаря длине ключа и высокой стойкости к атакам. Используется для защиты данных при хранении или передаче.
RSA — асимметричный алгоритм шифрования с парой ключей: публичным для шифрования и приватным для дешифрования. Применяется для создания цифровых подписей и безопасного обмена ключами для симметричного шифрования, как в случае с AES-256.
Меры безопасности для частных лиц и бизнеса от вирусов-шифровальщиков
Для частных лиц:
-
Простой способ защиты — хранить важные файлы не только на локальном диске, но и в облачных сервисах, которые предоставляют возможность автоматического резервного копирования.
-
Чтобы минимизировать возможные потери, можно разделить важные файлы между несколькими устройствами (например, отдельным внешним жестким диском или флеш-накопителем).
-
Операционные системы на базе Linux могут быть менее привлекательной целью для большинства вирусов-шифровальщиков, которые нацелены на Windows. Использование таких систем для работы с важными файлами может снизить вероятность заражения, так как большинство шифровальщиков разрабатывается для ОС Windows.
Для бизнеса:
-
Обеспечьте защиту всех подключённых к сети устройств, включая «умные» устройства и системы автоматизации.
-
Разработайте план действий на случай взлома, включая стратегии восстановления после атаки вируса-шифровальщика.
-
Применение виртуальных машин для открытия подозрительных приложений, программ, поможет снизить риски.
-
Обычные резервные копии могут быть скомпрометированы вирусом, если они находятся в той же сети или на том же устройстве. Для повышения безопасности можно использовать невидимые резервные копии, которые хранятся в зашифрованном виде, недоступны для прямого доступа и не подвержены атаке, например, в облаке с двухфакторной аутентификацией или на внешних устройствах с уникальным хешированием.
Как для организаций, так и для частных лиц обязательным требованием является наличие антивирусной системы, а при необходимости обращение к профессиональным компаниям по информационной безопасности.
Советы, если Ваш компьютер стал жертвой вируса шифровальщика или вымогателя.
-
Отключите зараженный компьютер от локальной сети, интернета, Wi-Fi и Bluetooth, чтобы предотвратить распространение вируса на другие устройства.
-
Определите источник заражения (например, подозрительный файл или сайт) и оцените масштаб ущерба: какие данные зашифрованы и насколько они важны.
-
Не платите выкуп злоумышленникам, так как это не гарантирует возврат данных и может привести к повторным атакам. Понятно, что это может быть легко для частного лица, другой вопрос, когда парализована деятельность компании и часы простоя оборачиваются реальными потерями.
-
Запустите полное сканирование с помощью антивирусных программ для обнаружения и удаления вредоноса. Убедитесь, что антивирусные базы данных обновлены.
-
Смените пароли ко всем учетным записям, особенно если есть подозрение об утечке данных.
-
Обратитесь к специалистам по информационной безопасности, антивирусам и восстановлению информации.