От массовых атак до большой охоты: как эволюционируют шифровальщики — на примере JSWorm
Ландшафт угроз, связанных с программами-шифровальщиками, меняется в последние несколько лет. Многие семейства таких зловредов, которые начинали с массового распространения, позднее переходят к узконаправленным целевым атакам, например JSWorm.
Эксперты «Лаборатории Касперского» впервые обнаружили этот троянец-шифровальщик в апреле 2019 г. и с тех пор выявили в общей сложности восемь его модификаций. Атаки JSWorm фиксируются по всему миру, а Россия входит в пятерку наиболее часто атакуемых этим зловредом стран. Жертвами чаще всего становятся компании в сфере производства и проектирования (41% атакованных организаций в мире были из этой индустрии).
В рамках каждого нового вида этой угрозы разработчики выпускали несколько вариантов программы, в которых менялись функциональность, код, расширения файлов, схемы и ключи шифрования. Также злоумышленники перерабатывали код шифровальщика и пробовали разные способы распространения.
«Лаборатория Касперского» напоминает о мерах, позволяющих защитить организацию от троянцев-шифровальщиков:
изолируйте от публичных сетей службы удаленного рабочего стола (такие как RDP), если нет абсолютной необходимости в доступе к этим службам извне, и всегда используйте для них надежные пароли;
убедитесь, что используете актуальные версии коммерческих VPN-решений и другого серверного ПО, поскольку этот вид программного обеспечения часто является вектором заражения для шифровальщиков. Вовремя обновляйте клиентские приложения;
в своей стратегии защиты уделите особое внимание обнаружению эксфильтрации данных в интернет и дальнейшего распространения зловредов в сети. Обращайте особое внимание на исходящий трафик — это позволит обнаружить подключения злоумышленников. Регулярно выполняйте резервное копирование данных. Обеспечьте быстрый доступ к резервным копиям в экстренных случаях. Используйте сервисы информирования об угрозах, чтобы знать, какие методы и тактики используют злоумышленники в настоящее время;
используйте такие решения, как Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response, которые помогают обнаружить и остановить атаку на ранних этапах, до того как злоумышленники достигнут своих конечных целей;
обучайте своих сотрудников основам информационной безопасности. В этом помогут специализированные курсы, которые доступны, например, на платформе Kaspersky Automated Security Awareness Platform;
используйте надежное решение для защиты рабочих мест, например Kaspersky Endpoint Security для бизнеса, обладающее функциями защиты от эксплойтов, выявления подозрительного поведения и отката вредоносных действий. Это решение также имеет механизмы самозащиты, препятствующие его удалению злоумышленниками.