Закажи экспресс-аудит своего дела онлайн всего за 199 ₽
и получи рекомендации по улучшению - Жми сюда !
Архив рубрики ~Лента новостей~

Программы-вымогатели: ИИ меняет автора. Он не меняет математику.

Утечка данных в сфере кибербезопасности, взлом системы кибербезопасности, фишинг

В 2013 году CryptoLocker представил современный сценарий действий программ-вымогателей. Он также представил то, с чем большинство в отрасли до сих пор не смирилось: удалённое шифрование. Взломанный компьютер проникает в сеть, чтобы зашифровать файловый сервер, оставляя защищаемый сервер без вредоносного процесса для завершения, без исполняемого файла для помещения в карантин и без сигнала, достаточно сильного для того, чтобы EDR мог с уверенностью отреагировать.

В декабре 2023 года исследование Microsoft показало, что удаленное шифрование используется в 60% успешных атак программ-вымогателей, осуществляемых людьми, причем 80% из них происходят с неуправляемых устройств. В отчете Microsoft Digital Defense Report за 2024 год, опубликованном десять месяцев спустя, эти цифры были обновлены до 70% и 92%.

С тех пор тенденция только ухудшилась: телеметрия Sophos показывает, что количество атак с использованием удалённого шифрования выросло на 50% с 2023 по 2024 год и ещё на 55% с 2024 по 2025 год. Этот метод атаки сохраняется уже более десяти лет. Большинство ведущих решений для защиты конечных точек ищут признаки поведения, похожего на шифрование. В отличие от них, функция CryptoGuard в Sophos Endpoint распознаёт само шифрование данных. Это не просто небольшая разница. Это и есть разница.

В 2016 году компания Sophos выпустила CryptoGuard, чтобы устранить этот пробел. Он не анализирует процессы, исполняемые файлы, поведение или репутацию злоумышленника. Вместо этого он отслеживает данные непосредственно во время операций чтения и записи файлов, прозрачно и на уровне файловой системы, и реагирует, когда контент преобразуется способом, соответствующим шифрованию.

Анализ выполняется на основе самих данных в режиме реального времени, непосредственно на конечной точке, по мере прохождения операций ввода-вывода. Отсутствует обмен данными с облаком, нет потока телеметрии, ожидающего корреляции, и нет принятия решения, отложенного на последующий этап обработки. Когда анализ превышает пороговое значение, CryptoGuard вмешивается и откатывает затронутые файлы, используя собственный механизм журналирования. Основная стратегия практически не изменилась за почти десятилетие.

Поскольку математика есть математика, CryptoGuard обнаружил каждое последующее семейство программ-вымогателей при первом столкновении, без обновления сигнатур или переобучения модели.

CryptoGuard не исключает из числа уязвимых процессов только потому, что они являются доверенными, подписанными или общеизвестными. Доверенный процесс, находящийся под контролем злоумышленника или выполняющий внедренный им код, по-прежнему представляет угрозу. Легитимное шифрование распознается автоматически на основе контекста его работы: процесс, шифрующий собственные данные в своих обычных рабочих местах, выглядит иначе, чем программа-вымогатель, шифрующая документы пользователя или централизованные данные.

CryptoGuard включен по умолчанию, не требует настройки и уже более десяти лет успешно работает на миллионах конечных устройств во всех основных отраслях промышленности. Он продолжает останавливать программы-вымогатели в средах, где другие средства защиты их не замечают, в атаках, которые в противном случае принесли бы прибыль.

Мы не утверждаем, что CryptoGuard невозможно обойти. Опытный противник может найти уязвимости в любой системе защиты. Мы утверждаем, что такой подход значительно превосходит возможности большинства современных продуктов для защиты конечных точек. Победа защитников заключается в преодолении препятствий на нужном уровне.

Проблема видимости

Чтобы получить выкуп с помощью шифрования, злоумышленнику необходимо сделать одно: повредить данные таким образом, чтобы это можно было исправить только с помощью его ключа. Все остальное (загрузчик, расширение файла, записка с требованием выкупа, имя процесса) — это сигналы, которые активируют инструменты обнаружения и реагирования на угрозы на конечных устройствах (EDR), чтобы оповестить людей, оценить масштаб взлома и подготовить ответные меры.

Но сигнал должен существовать, прежде чем он сможет достичь точки принятия решения. В сценарии удаленного шифрования шифрующий двоичный файл находится на неуправляемом устройстве, конечной точке IoT, теневой виртуальной машине или системе третьей стороны за границей доверия. Ни в одном из этих случаев нет агента EDR. Нет телеметрии для передачи, нет событий для сопоставления, нет сигнала для реагирования. Шифрование поступает на защищенный файловый сервер как обычная запись в общий файловый ресурс из доверенной аутентифицированной сессии. Есть какой-то сигнал (доступ к файлам, переименования, возможное сообщение с требованием выкупа), но он поступает без гарантии и после того, как тысячи файлов уже зашифрованы.

И что особенно важно, даже когда EDR подтверждает обнаружение атаки, набор инструментов реагирования не был разработан для её предотвращения. Большинство антивирусных, защитных и EDR-продуктов предназначены для блокировки известных вредоносных URL-адресов, завершения известных вредоносных локальных процессов и помещения в карантин известных вредоносных локальных исполняемых файлов. Они не предназначены для блокировки компьютера в локальной сети, выполняющего операции записи в файловый ресурс, выглядящие как легитимные, из действительной аутентифицированной сессии.

Даже при наличии телеметрии, облачное реагирование требует передачи, корреляции, принятия решений и отправки данных обратно на конечную точку. Производители описывают это как «почти в реальном времени», и самые быстрые архитектуры потоковой передачи стремятся завершить этот процесс за секунды. На практике сквозная задержка для многих продуктов и типов событий по-прежнему измеряется минутами. Пока происходит этот процесс, современные программы-вымогатели шифруют данные с высокой скоростью: десятки тысяч файлов в минуту на небольшом файловом сервере вполне достижимы. Многопоточность распараллеливает шифрование по ядрам. Частичное шифрование (основной выбор для современных предложений Ransomware-as-a-Service (RaaS)) повреждает только часть каждого файла, достаточную для того, чтобы сделать данные невосстановимыми без ключа, но достаточно малую, чтобы в удаленных сценариях через сеть проходила лишь часть каждого файла. Окно атаки составляет секунды, а не часы.

Современные программы-вымогатели также поддаются настройке. Партнеры, предоставляющие услуги по внедрению программ-вымогателей (Qilin, RansomHub, Akira, Fog, Sinobi и другие), настраивают каждое развертывание с помощью параметров командной строки, которые скрывают видимые сигналы: —no-extension, —no-note, —no-local, —ips, —path. Другие параметры обходят средства защиты на других звеньях цепочки: —password блокирует выполнение за предоставленным злоумышленником ключом, —nomutex позволяет нескольким экземплярам работать параллельно против разных удаленных целей одновременно. Каждый из этих параметров снижает прозрачность решений EDR.

Вот почему злоумышленникам не нужны новые программы-вымогатели, чтобы обойти многие решения EDR. Развертывание существующего семейства программ с удаленной неуправляемой машины, утечки сборщиков LockBit, бинарные файлы Conti, любые инструменты последних нескольких лет — все это по-прежнему будет шифровать данные против большинства ведущих продуктов для защиты конечных точек. Уязвимость заключается в архитектуре, а не в бинарном файле.

Почему ИИ не меняет математику

Искусственный интеллект снижает планку для программ-вымогателей. Новички, которые раньше не могли писать работающий код, теперь могут создавать функциональные шифровальщики с помощью ИИ, расширяя круг потенциальных злоумышленников от узкого круга квалифицированных разработчиков до любого, кто имеет намерение и степень магистра права. Это реальный сдвиг, и к нему стоит отнестись серьезно.

Прежде чем продолжить, стоит уточнить масштаб проблемы. Искусственный интеллект меняет другие звенья цепочки атак. Фишинг стал эффективнее. Атаки с целью кражи личных данных стали более многочисленными. Социальная инженерия стала более убедительной. Первоначальный доступ для злоумышленника становится дешевле. Эта статья посвящена тому, что происходит после того, как эти средства защиты обойдены, злоумышленник оказывается внутри, и начинается шифрование. Проблема архитектурной защиты на этом уровне — это то, что ИИ не меняет.

В публичном обсуждении программ-вымогателей, созданных с помощью искусственного интеллекта, легко упустить из виду три момента.

Во-первых, ИИ меняет код, а не цель. Программы-вымогатели существуют для того, чтобы преобразовывать открытый текст в зашифрованный, который жертва не сможет расшифровать без уплаты выкупа. В реальных программах-вымогателях в подавляющем большинстве случаев используется криптография с открытым и закрытым ключами (RSA, ChaCha20, AES) по той же причине, по которой это делают банки: это математика необратимости без ключа. ИИ не изобретает лучшую криптографию для программ-вымогателей; он использует то, что работает.

Во-вторых, результат шифрования имеет свои «отпечатки пальцев». Зашифрованный текст статистически отличается от структурированных данных. Обычный документ Office имеет предсказуемую структуру: заголовок ZIP-архива, XML-схема, повторяющиеся текстовые шаблоны. Зашифрованная версия ничего этого не имеет. Математический анализ содержимого CryptoGuard использует это наблюдение. Ему не нужно знать вариант или семейство программ-вымогателей. Ему нужно распознать, как выглядит зашифрованный файл по сравнению с его предшественником, что является вопросом математики, а не анализа угроз.

Во-третьих, искусственный интеллект не является тем фактором, который делает нынешнюю проблему с программами-вымогателями неразрешимой для большинства специалистов по защите. Пока нет подтвержденных публичных данных о случаях использования программ-вымогателей, созданных с помощью ИИ, в реальных условиях. Злоумышленникам это не нужно. Они могут взять любое известное семейство программ-вымогателей и запустить его удаленно с одной скомпрометированной, неуправляемой машины. Уже одно это сводит на нет большинство полностью защищенных и обновленных сетей, поскольку большинство средств защиты EDR не предназначены для предотвращения шифрования, поступающего из источника, который они не видят. Архитектурный пробел уже существует.

Естественно возникает вопрос: использует ли CryptoGuard собственный искусственный интеллект? Нет. Анализ является математическим и детерминированным. Нет никакой обученной модели, требующей переобучения по мере развития программ-вымогателей, нет распределения обучающих данных, которое могло бы исказить результат, нет враждебных входных данных, которые могли бы обмануть классификатор и заставить его принять зашифрованный текст как легитимную запись. Математический анализ CryptoGuard — это движущая сила обнаружения программ-вымогателей.

Почему это не обновление функций

Наблюдение за злоумышленником и наблюдение за данными — это принципиально разные механизмы, а не незначительные вариации одного и того же подхода. Поставщик не может просто добавить математический анализ на основе содержимого к процесс-ориентированному EDR посредством обновления сигнатур или нового правила поведения. Обнаружение должно находиться на уровне файловой системы, под управлением процесса, с прямым доступом к самим операциям чтения и записи и собственным механизмом журналирования для обеспечения возможности отката.

Первоначальная реализация не занимает годы; при наличии подходящей команды прототип можно создать за несколько месяцев. Настоящая сложность заключается в глубоком знании внутренних механизмов Windows, необходимом для бесперебойной работы в производственной среде в масштабах предприятия, а также в инфраструктуре, необходимой для обеспечения работы механизма параллельно с легитимным шифрованием без сбоев в работе. Это разработка на уровне, на котором большинство поставщиков решений в области безопасности не работают. Она требует иного подхода, иного набора навыков и уровня практического опыта, который невозможно получить, просто наняв специалиста.

Существует также экономический аспект. Программы-вымогатели как услуга — это бизнес. Партнеры настраивают свои бинарные файлы против продуктов защиты с наибольшей установленной базой, потому что именно там отдача от инженерных усилий наиболее высока. Стандартный сценарий (подписанные бинарные файлы, внедрение в процесс, злоупотребление драйверами, настраиваемые параметры) откалиброван для преодоления стандартных средств защиты. Защита, построенная на другой концепции, — это не то, на что злоумышленник потратил время на разработку. Это не постоянный барьер, но он реален.

CryptoGuard — это не отдельный процесс, работающий на компьютере. Он является частью того, как операционная система обрабатывает запись файлов. Для завершения работы EDR-killer не существует отдельного агента. В течение 2024 и 2025 годов операторы программ-вымогателей все чаще использовали уязвимые подписанные драйверы для завершения работы агентов безопасности и служб обнаружения в пользовательском режиме до запуска шифратора. Большинство инструментов нацелены на процессы. CryptoGuard к ним не относится. Когда остальная часть стека выходит из строя, CryptoGuard обеспечивает безопасность данных. Вы можете потерять телеметрию, но не файлы.

В отрасли начинают это признавать.

В течение 2025 года несколько крупных производителей устройств для защиты конечных устройств начали публично признавать проблему удаленных атак программ-вымогателей и выпускать свои первые версии средств защиты. В недавнем заявлении одного из поставщиков это было прямо указано: «Программы-вымогатели быстро развиваются, и атаки с удаленным шифрованием опережают существующие средства защиты». Другой производитель выпустил функцию отката с ограничением размера файла в 30 МБ, что исключает многие деловые документы, которые фактически являются целью программ-вымогателей.

Это важные подтверждения схемы атаки, от которой Sophos защищается с 2016 года. Однако реализация менее важна, чем само подтверждение. В стандартной комплектации новые уровни защиты, как правило, отключены по умолчанию, ограничены статическими шаблонами расширений файлов (которые современные программы-вымогатели специально обходят), ограничены размерами файлов или вообще не предлагают возможности отката. Они подтверждают, насколько сложно достичь цели, когда базовый механизм был разработан для решения другой проблемы.

Цена за задержку оплачивается клиентами. С 2013 года программы-вымогатели почти ежедневно атакуют больницы, школы, производственные предприятия, государственные службы и объекты критической инфраструктуры. Последствия часто носят физический характер: отложенные операции, отмененные процедуры, остановленные производственные линии, закрытые школы. В 2025 году удаленная атака с использованием шифрования на стороннего поставщика авиационных услуг вывела из строя системы обработки пассажиров и багажа в крупных европейских аэропортах, что привело к сбоям, измеряемым днями, и сотням тысяч пассажиров, оказавшихся в затруднительном положении.

Вопросы, которые стоит задать

При оценке эффективности защиты от программ-вымогателей важны практические вопросы.

  • Защитный слой отслеживает только изменяемые данные или только сам процесс, осуществляющий эти изменения?
  • Будет ли это работать, если процесс шифрования выполняется на другом компьютере, на котором у поставщика нет агента?
  • Работает ли это, если процесс шифрования является легитимным, доверенным процессом с внедренным кодом?
  • Ответ обрабатывается локально и непосредственно в системе, или же это зависит от обмена данными с облаком?
  • Восстанавливает ли программа зашифрованные файлы или только предотвращает дальнейшее шифрование?
  • Можно ли отключить уровень защиты с помощью EDR-killer, который отключает службы пользовательского режима?
  • Удалось ли системе защиты обнаружить новые семейства программ-вымогателей, для которых не было обновлений?
  • Защита включена по умолчанию?

Большинство поставщиков заявляют о наличии защиты от программ-вымогателей. Ответы на приведенные выше вопросы помогут определить, какая именно защита имеется.

Итог

Для того чтобы стать проблемой для программ-вымогателей, не обязательно нужен искусственный интеллект. Проблема остаётся неизменной с 2013 года: злоумышленник повреждает данные, требует выкуп, и большинство систем защиты конечных точек настроены на обнаружение злоумышленника, а не ущерба. Искусственный интеллект может сделать злоумышленника быстрее, дешевле и многочисленнее. Но он не изменит того, что ему придётся делать.

Искусственный интеллект пишет код. Sophos отслеживает данные. Математические расчеты не меняются.

Чтобы узнать больше о Sophos Endpoint и протестировать его, посетите сайт sophos.com/endpoint.

✅ Найденные теги: Автора, Вымогатели, Математику, Меняет, новости, Программы, Программы-вымогатели:

Похожие записи

Добавить комментарий

Нет других записей в этой рубрике.

Новости других рубрик

Архив рубрики ~Лента новостей~: Полиция хвастается взломом VPN-сервисов, где преступники «считали себя в безопасности». Архив рубрики ~Лента новостей~: Органические галлюцинозы Архив рубрики ~Лента новостей~: Слух: AMD начала подготовку цепочки поставок к производству процессоров на Zen 7 Архив рубрики ~Лента новостей~: Успешное японское испытание прямоточного воздушно-реактивного двигателя, разработанного для самолетов, способных развивать скорость до 5 Маха. Архив рубрики ~Лента новостей~: Уловка, которая помогла киберспортивному стартапу привлечь 20 миллионов долларов, когда венчурные инвесторы хотели привлечь только ИИ. Архив рубрики ~Лента новостей~: Интерпретация медицинских изображений нового поколения с помощью MedGemma 1.5 и преобразование медицинской речи в текст с помощью MedASR. Архив рубрики ~Лента новостей~: Микробиома опухоли — незаметный, но важный участник лечения рака Архив рубрики ~Лента новостей~: Как устроены world models, что показал Google на прошлой неделе и где это меняет gamedev и робототехнику