Сүүлийн жилүүдэд кибер халдлагууд улам бүр нарийн төвөгтэй болж байгаа бөгөөд тэдгээрийн дунд ransomware буюу файл барьцаалах программ хангамж онцгой анхаарал татаж байна. Энэ төрлийн халдлага нь байгууллагын үйл ажиллагааг саатуулж, санхүүгийн ихээхэн хохирол учруулдаг. Олон улсын мэдээллийн аюулгүй байдлын мэргэжилтнүүд ransomware халдлагын эсрэг хамгаалалтаа улам бүр сайжруулж байгаа ч халдлагын бүлгүүд шинэ арга, технологи нэвтрүүлсээр байна.

Энэхүү нийтлэлдээ бид ransomware халдлагын мөн чанар, түүний хөгжлийн чиг хандлага, гол халдлага үйлдэгч бүлгүүд болон Group-IB-ийн хамгаалалтын шийдлүүдийн талаар дэлгэрэнгүй танилцууллаа.

Ransomware гэж юу вэ?

Ransomware нь хортой программ хангамжийн нэг төрөл бөгөөд халдлага үйлдэгчид төхөөрөмжид нэвтэрч, өгөгдлийг шифрлэн түгждэг. Ингэснээр хохирогчоос тодорхой хэмжээний төлбөрийг биткойн болон бусад криптовалютаар нэхэмжилж, төлбөр төлөгдсөний дараа л өгөгдлийг сэргээх эсвэл системийг дахин ашиглах боломжийг олгодог.

Ransomware халдлагууд анх 1989 онд PC Cyborg нэртэй вирус гарч ирснээр эхэлсэн ч, 2010-аад оноос эрчимтэй хөгжиж, сүлжээний халдлага, Ransomware-as-a-Service (RaaS) загварын төлбөрийн схемүүд бий болсон юм.

Ransomware халдлагын үе шат

1. Анхны халдлага, нэвтрэх шат – Халдлага үйлдэгчид спам имэйл, фишинг линк, эмзэг программ хангамжийн сул талыг ашиглан системд нэвтэрнэ
2. Өгөгдлийг шифрлэх – Чухал файлуудыг шифрлэж, хохирогчийг мэдээлэлдээ хандах боломжгүй болгоно
3. Төлбөр нэхэмжлэх – Халдлага үйлдэгчид файлуудыг сэргээхийн тулд тодорхой төлбөр төлөхийг шаардана
4. Хохирол учруулах, дарамтлах – Зарим бүлгүүд хохирогчдын эмзэг мэдээллийг олон нийтэд дэлгэнэ хэмээн сүрдүүлдэг

Ransomware халдлагын хувьсал

Дараа үеийн ransomware халдлагууд улам бүр нарийсаж, зохион байгуулалттай болж байна. Ransomware-as-a-Service (RaaS) гэх мэт загварууд гарч ирснээр халдлага үйлдэгчид өөрсдийн хортой программ хангамжаа бусадтай хуваалцаж, ашиг орлогоо нэмэгдүүлэх боломжтой болсон. Жишээлбэл, RansomHub гэх мэт бүлгүүд нь RaaS загварыг ашиглан халдлагын цар хүрээгээ өргөжүүлж байна. RansomHub нь дэд бүтэц, программ хангамж, төлбөрийн системээ бусад халдлага үйлдэгчдэд түрээслүүлж, ransomware халдлагыг бизнес загварт оруулж байна. Group-IB-ийн мэдээлснээр RansomHub бүлэг нь сүүлийн хэдэн сард идэвхтэй ажиллаж, байгууллагуудад халдаж байгаа аж.

RansomHub бүлэглэл

RansomHub бол сүүлийн саруудад идэвхжиж буй ransomware бүлэг бөгөөд тэдний гол үйл ажиллагаа RaaS (Ransomware-as-a-Service) загвар дээр суурилдаг. RaaS загвар нь халдлага үйлдэгчид өөрсдийн хортой программ хангамжаа бусад кибер гэмт хэрэгтнүүдэд санал болгож, хуваарилдаг бизнес загвар юм.

RansomHub-ийн онцлог шинжүүд

• Халдлагын бүлгүүдийн сэргээх – RansomHub бүлэг нь үйл ажиллагаагаа зогсоосон ransomware халдлагын бүлгүүдэд программ хангамжаа хэрэглүүлж халдлага үйлдүүлдэг. Тухайлбал, Knight Ransomware-ийн үйл ажиллагаа зогссоны дараа RansomHub RaaS үйлчилгээгээрээ үйл ажиллагаагаа сэргээсэн байж магадгүй гэж шинжээчид таамаглаж байна.
• Double Extortion тактик – Зөвхөн өгөгдлийг шифрлэхээс гадна, хэрэв хохирогч төлбөр төлөхөөс татгалзвал тэдний өгөгдлийг олон нийтэд дэлгэнэ хэмээн сүрдүүлдэг.
• Олон улсын байгууллагуудад халдах – Ихэнх ransomware бүлгүүд шиг зөвхөн жижиг, дунд бизнес рүү чиглэхээс гадна томоохон корпорацуудад халддаг.
• RaaS загварын оновчтой хувилбар – RansomHub нь өөрийн хортой программ хангамжаа бусад хакерууд, кибер гэмт хэрэгтнүүдэд түрээслүүлэх буюу ашиглуулах боломж олгодог.
• Шинэчлэгдсэн техник, тактик ашиглах – Өмнөх ransomware бүлгүүдийн ажиллагааг сайжруулж, улам бүр далд ажиллах аргачлалыг боловсруулж байна.

Group-IB-ийн хамгаалалтын арга замууд

Group-IB компани нь ransomware халдлагаас урьдчилан сэргийлэх, хамгаалах дараах шийдлүүдийг санал болгож байна. Үүнд:

• Managed XDR (Extended Detection and Response)

Энэ үйлчилгээ нь байгууллагын сүлжээ, имэйл, төгсгөлийн төхөөрөмжүүдийг 24/7 хянаж, сэжигтэй үйл ажиллагааг илрүүлэн, хурдан хариу арга хэмжээ авах боломжийг олгодог.

• Attack Surface Management

Байгууллагын эмзэг цэгүүдийг тогтмол хянаж, халдлага үйлдэгчдэд нэвтрэх боломжийг багасгах замаар аюулгүй байдлыг хангана.

• Incident Response Retainer

Халдлага тохиолдсон үед шуурхай хариу арга хэмжээ авах багийг бэлэн байлгаж, хохирлыг багасгах, үйл ажиллагааг хурдан сэргээхэд тусалдаг.

• Threat Intelligence

Халдлага үйлдэгчдийн шинэ тактик, арга барилын талаар мэдээлэл цуглуулж, байгууллагын аюулгүй байдлын арга хэмжээг сайжруулахад ашигладаг.

• Ransomware Protection Framework

Group-IB нь өөрийн хамгаалалтын стратегиа боловсруулж, дараах гурван үндсэн зарчмыг баримталдаг. Үүнд:

• Илрүүлэх (Detect) – Байгууллагын системд халдлагын шинж тэмдэг илэрсэн эсэхийг хянана
• Хариу арга хэмжээ авах (Respond) – Халдлагын үед шуурхай арга хэмжээ авах
• Урьдчилан сэргийлэх (Prevent) – Байгууллагын аюулгүй байдлын тогтолцоог сайжруулж, халдлагаас сэргийлэх

Ransomware халдлагын эсрэг авах арга хэмжээ

1. Аюулгүй байдлын программ ашиглах – Антивирус, EDR, XDR, Threat Intelligence зэрэг хамгаалалтын хэрэгслийг ашиглах
2. Фишинг халдлагын эсрэг хяналттай байх – Имэйлүүдийг тогтмол шалгаж, сэжигтэй холбоос дээр дарахгүй байх
3. Өгөгдлийн нөөцлөлт хийх – Чухал файлуудаа тогтмол нөөцөлж, оффлайн горимд хадгалах
4. Сүлжээний хамгаалалт сайжруулах – VPN, MFA, Zero Trust загвар хэрэгжүүлэх
5. Ажилтнуудын сургалт – Байгууллагын ажилчдад мэдээллийн аюулгүй байдлын мэдлэг олгох

Ransomware халдлага нь орчин үеийн кибер аюул заналхийллийн нэг томоохон хэсэг болж, байгууллагуудын үйл ажиллагаа, санхүүгийн байдалд ноцтой хохирол учруулж байна. Group-IB компани нь эдгээр халдлагаас урьдчилан сэргийлэх, хамгаалах цогц шийдлүүдийг санал болгож, байгууллагуудын аюулгүй байдлыг хангахад чухал үүрэг гүйцэтгэж байна.

Байгууллагууд ransomware халдлагын эсрэг бодлогоо сайжруулж, аюулгүй байдлын урьдчилсан арга хэмжээнүүдийг хэрэгжүүлэх нь хамгаалалтын гол түлхүүр юм.

Мэдээллийн аюулгүй байдлын шилдэг шийдлийг нэвтрүүлэгч Вертексмон компани.