Программы-вымогатели — одна из самых опасных угроз, с которыми сегодня сталкиваются организации, и системы z/OS не застрахованы от этого риска. Несмотря на свою безопасность и способность обрабатывать большие объемы данных, мэйнфреймы являются привлекательной целью для киберпреступников, которые стремятся зашифровать критически важные файлы и нарушить работу систем.
В этой статье мы рассмотрим, как программы-вымогатели влияют на системы z/OS, что делает их такими разрушительными и как компании могут защитить свою инфраструктуру, чтобы не стать жертвами подобных атак.
Что такое программы-вымогатели? Что они делают?
Программы-вымогатели — это тип вредоносного ПО, предназначенного для захвата данных жертвы путем их шифрования или блокировки доступа к системам с требованием выкупа за разблокировку или восстановление доступа. Несмотря на передовые криптографические технологии, используемые в таких системах, как z/OS, они не застрахованы от атак программ-вымогателей.
При активации программы-вымогателя она захватывает контроль над важными файлами в системе, делая их непригодными для использования до тех пор, пока не будет выплачен выкуп. Оплата обычно производится с помощью криптовалют, таких как биткойн, что позволяет совершать анонимные транзакции и затрудняет отслеживание злоумышленников.
В некоторых случаях программы-вымогатели действуют как логическая бомба, оставаясь в спящем режиме в течение нескольких дней или даже недель, ожидая подходящего момента для удара, что делает их еще более опасными и сложными для обнаружения.
Виды программ-вымогателей
Существует несколько типов программ-вымогателей, каждый из которых использует различные методы для атаки на системы жертв. Ниже перечислены наиболее распространенные из них:
Шифрование программ-вымогателей
Шифрование с помощью программ-вымогателей — наиболее распространенный и распространенный тип. Оно шифрует файлы жертвы, а это значит, что доступ к файлам и данным становится невозможен без ключа расшифровки, предоставленного злоумышленниками, — только после уплаты выкупа.
Этот тип программ-вымогателей в основном поражает конфиденциальные документы, базы данных, изображения и другие важные файлы, вызывая сбои в работе до тех пор, пока требование выкупа не будет удовлетворено. К числу известных атак программ-вымогателей относятся WannaCry и CryptoLocker, которые быстро распространились через уязвимости программного обеспечения и причинили серьезные экономические потери по всему миру.
Используемый этими злоумышленниками метод шифрования чрезвычайно силен, что делает попытки восстановления файлов другими способами, например, с помощью инструментов восстановления, бесполезными без предоставленного ключа.
Программа-вымогатель для блокировки экрана
В отличие от программ-вымогателей, использующих шифрование, программы-вымогатели, блокирующие экран, предотвращают доступ к операционной системе или самому устройству, отображая экран блокировки и требуя выкуп за восстановление доступа.
Этот тип программ-вымогателей не уничтожает и не шифрует данные, а фокусируется на блокировке использования устройства, что, тем не менее, может нанести серьезный ущерб предприятиям или частным лицам, которые используют свои устройства для выполнения повседневных задач. Во многих случаях злоумышленники могут использовать ложное сообщение, выдавая себя за представителей правоохранительных органов (например, полиции), чтобы запугать жертву и заставить её быстро заплатить выкуп.
Хотя программы-вымогатели, блокирующие экран, не шифруют файлы, атаки на мобильные устройства и критически важные системы могут нанести значительный ущерб, если блокировку не устранить вовремя.
Программы для утечки информации (докс-программы)
Программы-вымогатели, также известные как доксерные программы, представляют собой гораздо более опасный тип вредоносного ПО, поскольку они не ограничиваются простым шифрованием данных жертвы. Этот тип вредоносных программ крадет конфиденциальную информацию, такую как пароли, важные документы или частные базы данных, и угрожает опубликовать их в интернете, если не будет выплачен выкуп.
В отличие от других типов программ-вымогателей, программы, осуществляющие утечку данных, ставят под угрозу не только доступ к данным, но и репутацию и конфиденциальность жертвы. Этот тип атаки особенно опасен для компаний, работающих с личными или финансовыми данными клиентов, поскольку утечка конфиденциальной информации может иметь серьезные юридические и финансовые последствия.
Утечки программного обеспечения часто используются киберпреступниками, стремящимися вымогать у жертвы не только выкуп, но и угрозу обнародования украденных данных.
Мобильные программы-вымогатели
Мобильные программы-вымогатели поражают мобильные устройства, такие как смартфоны и планшеты. Хотя они не так распространены, как программы-вымогатели, использующие шифрование, их распространение растет из-за увеличивающейся зависимости от мобильных устройств. Этот тип программ-вымогателей распространяется в основном через вредоносные приложения, загружаемые из неофициальных источников, или через скомпрометированные веб-сайты, которые заражают устройство жертвы.
В отличие от других типов программ-вымогателей, мобильные программы-вымогатели обычно не шифруют данные, а блокируют доступ к устройству или экран, отображая сообщение с требованием выкупа. Часто злоумышленники также могут изменять системные настройки, что затрудняет восстановление без уплаты выкупа.
Мобильные программы-вымогатели представляют особую проблему для пользователей, которые используют свои устройства для финансовых транзакций или доступа к конфиденциальной личной информации.
Программа-вымогатель Wiper
Вирус-вымогатель Wiper — один из самых разрушительных типов программ-вымогателей, поскольку он не только шифрует данные жертвы, но и уничтожает их навсегда, делая восстановление невозможным даже после уплаты выкупа. Этот тип программ-вымогателей используется в основном в крупномасштабных атаках, часто совершаемых государственными структурами или в контексте кибертерроризма.
Вместо того чтобы просто блокировать доступ к файлам или шифровать их, программа-вымогатель «вайпер» необратимо удаляет или уничтожает файлы, причиняя им непоправимый ущерб. Эта атака может быть направлена на компании, работающие с конфиденциальной информацией, такой как базы данных клиентов или государственные данные, и потеря этих данных может иметь гораздо более серьезные последствия, чем просто временная недоступность.
Таким образом, программа-вымогатель Wiper чрезвычайно опасна и используется для массового уничтожения данных или в качестве инструмента политических кибератак.
Атака программ-вымогателей. Этапы.
Атака программ-вымогателей в z/OS проходит через общую последовательность фаз. Каждая фаза разработана для того, чтобы максимизировать воздействие атаки и усложнить восстановление:
Этап 1: Первоначальный доступ
Атака начинается с того, что киберпреступники получают доступ к сети жертвы, часто с помощью фишинговых писем, уязвимостей программного обеспечения или украденных учетных данных. На этом этапе устанавливается точка входа, и злоумышленники ищут ключевые системы в инфраструктуре z/OS, чтобы использовать известные уязвимости.
Фаза 2: Распространение
Попав внутрь, программа-вымогатель распространяется на другие системы в инфраструктуре. Это включает серверы, базы данных и другие критически важные устройства в z/OS, часто используя горизонтальное распространение для заражения большего количества систем и увеличения ущерба.
Этап 3: Шифрование данных
Вредоносная программа начинает шифровать важные файлы, такие как наборы данных, базы данных и ключевые файлы системы z/OS. На этом этапе данные становятся недоступными без ключа расшифровки. Цель злоумышленников — нарушить работу системы и потребовать оплату за восстановление доступа.
Этап 4: Уведомление о выкупе
После шифрования файлов программа-вымогатель отображает экран с требованием выкупа (обычно в биткоинах) за ключ расшифровки. На этом экране обычно предупреждают о последствиях неплатежа, таких как безвозвратная потеря данных или утечка конфиденциальной информации.
Этап 5: Восстановление данных
Если выкуп будет выплачен, злоумышленники предоставят ключ расшифровки для восстановления доступа к файлам. Однако нет гарантии, что все данные будут полностью восстановлены или что система будет чистой. Некоторые атаки включают в себя вторые волны, которые могут привести к дальнейшему шифрованию или атакам даже после уплаты выкупа.
Защитите свою среду z/OS от программ-вымогателей.
Программы-вымогатели представляют собой постоянную угрозу, особенно в критически важных средах, таких как z/OS. Несмотря на передовые технологии шифрования, системы z/OS не застрахованы от них. Лучший способ защитить вашу инфраструктуру — это разработать проактивную стратегию безопасности и план снижения рисков.
Об авторе
