Введение
Ransomware (программа-вымогатель) – категория вредоносного ПО, основная функция которого – зашифровать файлы жертвы (или заблокировать доступ к системе) и предъявить требование выкупа за ключ расшифровки. Современные атаки ransomware используют двойное вымогательство: данные перед шифрованием похищаются, и жертве угрожают как расшифровкой без оплаты, так и публикацией конфиденциальных данных.
По данным отчётов о киберугрозах, ransomware – наиболее разрушительная угроза для бизнеса. Средняя стоимость инцидента с учётом простоя, восстановления и репутационного ущерба многократно превышает требуемый выкуп.
История и контекст
Первый ransomware – AIDS Trojan (1989) – распространялся на дискетах и требовал оплаты по почте. Современная эпидемия началась с CryptoLocker (2013), использовавшего RSA-2048. Глобальные атаки WannaCry (май 2017, 200 тыс. жертв в 150 странах) и NotPetya (июнь 2017, ущерб >10 млрд $) показали катастрофический потенциал ransomware. С 2019 года доминирует модель RaaS (Ransomware-as-a-Service): создатели предоставляют инфраструктуру атаки аффилиатам за процент от выкупа (группы Conti, LockBit, BlackCat, Cl0p).
Как работает Ransomware
Типичная цепочка атаки:
- Проникновение – через фишинговое письмо, уязвимость в публично доступном сервисе (VPN, RDP, Exchange), скомпрометированные учётные данные или supply-chain атаку.
- Разведка и lateral movement – злоумышленник изучает сеть, повышает привилегии (Domain Admin), идентифицирует бэкапы.
- Exfiltration – похищение ценных данных для двойного вымогательства.
- Уничтожение резервных копий – удаление теневых копий (VSS), отключение облачных бэкапов.
- Шифрование – массовое шифрование файлов гибридным шифрованием (AES для данных + RSA/ECC для ключа AES).
- Требование выкупа – файл ransom note, TOR-адрес для переговоров, таймер угрозы публикации данных.
Где применяется (как угроза)
- Здравоохранение – особая уязвимость из-за критичности доступа к данным.
- Промышленность и OT – атаки на АСУ ТП могут останавливать производство.
- Образование – слабая защита при большом объёме данных.
- МСБ – недостаточные ИБ-ресурсы делают малый бизнес мишенью.
Меры защиты
Резервное копирование по правилу 3-2-1 (3 копии, 2 носителя, 1 офлайн); EDR/XDR с поведенческим обнаружением; сегментация сети; ограничение привилегий (PAM); патч-менеджмент; отключение ненужных сервисов (RDP, SMBv1); регулярные учения по восстановлению из бэкапов; страхование киберрисков.
Связь с другими понятиями
Ransomware входит в Kill Chain как финальная стадия. Распространяется через фишинг и Supply-chain Attack. Для расследования применяется цифровая криминалистика. Инциденты с ransomware описываются в Playbook реагирования.
