Почему эпидемию шифровальщиков уже не остановить

Более половины организаций, столкнувшихся с атаками с использованием программ-шифровальщиков, соглашаются оплатить выкуп. Многие из этого числа платят его повторно.

Может ли законодательный запрет на оплату выкупа помочь в борьбе с шифровальщиками? Как на деятельности ransomware-группировок сказывается деятельность силовых ведомств разных стран? В этой статье разбираемся в том, почему эпидемия шифровальщиков уже не остановится и что делать, чтобы защитить свой бизнес.

Шифровальщики vs ИБ-регуляторы

Законодательный запрет на уплату выкупа ramsomware-группам существует в ряде стран. На первый взгляд, эта идея звучит логично, ведь таким образом можно лишить киберпреступников финансовой мотивации.

Анна Трохалева

Руководитель направления анализа инцидентов ИБ, УЦСБ

Платить вымогателям нельзя по нескольким причинам. Во-первых, это поддержка разработки вредоносных программ. Во-вторых, это не дает гарантии, что данные будут расшифрованы после уплаты выкупа. В-третьих, полученные от выкупа средства могут быть использованы для спонсирования новых противозаконных действий, что при определённых обстоятельствах может рассматриваться как финансирование терроризма.

Введение законодательных запретов на выплату выкупа и ответственности за это может значительно снизить количество обращений после обнаружения инцидентов информационной безопасности, так как компания, заплатившая выкуп, не сможет обратиться в правоохранительные органы для проведения расследования, выявления и наказания преступников.

Перед принятием решения об оплате выкупа следует связаться с правоохранительными органами и экспертами по расследованию инцидентов информационной безопасности для проведения мер по реагированию, расследованию и предотвращению подобных инцидентов в будущем.

Однако на практике эта мера может оказаться неэффективной. Многое зависит от конкретных сумм и форм ответственности. Вероятны сценарии, когда компании будут сталкиваться с повторным вымогательством – по аналогии с кейсами утечек ПДн.

Вадим Матвиенко

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса»

Все будет зависеть от того, в каком виде будет принят закон, что он будет содержать и как будет исполняться. Допустим, будет введен административный штраф для организаций.

Организации будут исходить из финансовых соображений: им будет выгоднее заплатить выкуп и штраф, чем столкнуться с простоями и потерями. Либо они поймут, что штраф может привести их к банкротству, и тогда они будут инвестировать в безопасность и резервное копирование, чтобы эффективно противостоять шифровальщикам.

Во втором случае количество выплат уменьшится, и финансово мотивированные злоумышленники будут искать другие способы заработка.

Кроме того, даже при отказе от оплаты компания может потерять ценные данные, восстановление которых затратно и не всегда возможно. Ну и, конечно же, штраф за оплату выкупа не устраняет причины атак и не делает компания более защищенной от шифровальщиков.

Алексей Гришин

Руководитель направления пентеста Infosecurity (ГК Softline)

Запрет на выплату выкупа шифровальщикам теоретически может уменьшить количество атак, снижая мотивацию преступников. Однако на практике это может привести к негативным последствиям: компании могут нарушать закон или скрывать атаки, чтобы избежать штрафов. К тому же запрет не решает проблему уязвимостей в инфраструктуре, что оставляет организации под угрозой. Чтобы этот запрет был эффективным, его нужно сопровождать мерами по усилению кибербезопасности, международному сотрудничеству и поддержке пострадавших компаний.

Полный запрет вряд ли снизит частоту атак шифровальщиков, но вероятно заставит бизнес искать обходные пути для выплаты выкупа киберпреступника. Именно поэтому закон о запрете еще не принят и находится в стадии разработки — нужно тщательно взвесить все «за» и «против» и найти оптимальное решение проблемы.

Шифровальщики vs Силовые структуры

Киберпреступники, использующие шифровальщики, становятся все более наглыми и агрессивными. Но и правоохранительные органы не сидят сложа руки. В сети можно найти несколько примеров успешных операций силовых структур разных стран против операторов шифровальщиков:

1. В 2022 году ФБР арестовало двух членов группы REvil, которую считают ответственной за атаки на компанию JBS и другие крупные организации.
2. В 2021 году британская полиция арестовала 10 человек, подозреваемых в причастности к шифровальщику LockerGaga, который атаковал больницы и школы.
3. В 2020 году израильская полиция арестовала членов группы Netwalker, которая атаковала более 700 организаций по всему миру.

Эти операции — неоспоримый успех в борьбе с киберпреступностью. Однако стоит ли расслабляться? Успешные операции против отдельных групп шифровальщиков — скорее победы в битве, а не в войне.

Киберпреступники постоянно развиваются, придумывая новые способы атак и изменяя свои методы работы. Они используют анонимные сети и криптовалюты, что усложняет возможность их отслеживания. Кроме того, киберпреступники действуют из разных стран, что усложняет международное сотрудничество и проведение операций. Поэтому надеяться только на силовиков — не стоит.

Шифровальщики vs ИБ-компании

Шифровальщики — одна из самых серьезных киберугроз современности. Количество атак программ-вымогателей в 2023 году выросло на 75%. Шифровальщики не только крадут ценные данные, но и парализуют работу целых организаций. Но и ИБ-индустрия не стоит на месте. 

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

В отрасли есть заметная проблема неправильной оценки риска кибератаки. Существует распространенная точка зрения, что потенциальный ущерб от кибератаки ниже, чем затраты на непрерывное поддержание защищенности. Средства точно нужно потратить, даже если кибератака не случится, а защита не гарантирует отсутствие ущерба. Такая ситуация особенно явно проявляется в области защиты персональных данных, утечка информации о десятках тысяч физических лиц может стоить предприятию штрафа в несколько тысяч рублей. Законодательный запрет может мотивировать государственные организации перераспределять бюджет на закупки в сфере ИБ, но не станет гарантией последующих вложений. Выкуп злоумышленникам обычно переводится в криптовалюте и может быть оплачен анонимно, поэтому платежи злоумышленников отследить не получится, хотя запрет и усложнит такую практику.

В мире идут интенсивные работы по созданию новых решений для защиты от шифровальщиков.

1. Комплексный подход к защите от шифровальщиков. Такой подход включает в себе не только предотвращение атак, но и восстановление данных без оплаты выкупа.
2. Искусственный интеллект на страже. ИИ играет все более важную роль в борьбе с шифровальщиками. Он помогает анализировать большие объемы данных, выявлять подозрительную активность и предупреждать о возможных угрозах.
3. Объединение усилий. ИБ-компании по всему миру тесно сотрудничают друг с другом и с правоохранительными органами, чтобы обмениваться информацией о новых угрозах и методах атак. Этот обмен знаниями помогает разрабатывать новые решения и быстрее реагировать на атаки шифровальщиков.
4. Просвещение и подготовка. ИБ-компании активно проводят обучение и просвещение компаниям по вопросам кибербезопасности, чтобы помочь им укрепить свою защиту от шифровальщиков.
5. Развитие платформ безопасности. Все большее распространение получают платформы безопасности, которые объединяют разные инструменты и технологии в единую систему. Это позволяет компаниям управлять кибербезопасностью более эффективно и быстро реагировать на атаки шифровальщиков.

Борьба с шифровальщиками — это нелегкая задача. Но индустрия ИБ постоянно развивается и ищет новые решения, чтобы защитить бизнес от этой серьезной угрозы.

Как защититься от шифровальщиков

Кто предупрежден, тот вооружен — компаниям нельзя расслабляться ни на минуту. И даже уплата выкупа киберпреступникам не дает гарантии, что через неделю или месяц эта же группировка не атакует компанию вновь.

Дмитрий Зубарев

Заместитель директора Аналитического центра УЦСБ

Чтобы история не повторилась, лучший вариант — провести полноценное расследование инцидента. Расследование позволит определить, как злоумышленник попал в инфраструктуру, покажет, каким образом был получен доступ к атакованным системам, и выявит недостатки, которыми воспользовался злоумышленник. Зачастую нет даже необходимости дожидаться окончательного отчета по расследованию: многие проблемы обнаруживаются в первые дни и даже часы расследования. О важных находках специалисты сообщают оперативно, поэтому они быстро попадают в работу: ограничивается сетевой доступ, блокируются учетные записи, удаляются бэкдоры.

Кроме проведения расследования, есть общие рекомендации: обеспечить как можно большее покрытие инфраструктуры антивирусными средствами и провести сканирования, а также сменить пароли всех пользователей инфраструктуры — причем для таких учетных записей, как krbtgt, сброс пароля нужно выполнять дважды.

А в перспективе, конечно, желательно провести тестирование на проникновение — это самый эффективный способ определить слабые места инфраструктуры и получить рекомендации по устранению проблем.

Шифровальщики — серьезная угроза для любого бизнеса. Потеря данных может привести к финансовым потерям, репутационному ущербу и простою бизнеса. Поэтому важно применять комплексный подход к защите от шифровальщиков.

Тарас Дира

Директор центра сервисов информационной безопасности STEP LOGIC

Если ваша инфраструктура была скомпрометирована, а злоумышленники, скорее всего, имеют доступ в вашу сеть. Нужно тщательно провести анализ данного инцидента, а именно:

1. Определить вектор атаки, зараженные хосты, какие уязвимости были эксплуатированы.
2. Определить, какие данные были похищены.
3. Определить, какие инструменты были использованы злоумышленниками, включая потенциально установленное вредоносное ПО.

Далее необходимо разработать меры, которые позволят убедиться, что последствия данной атаки устранены, вредоносное ПО, возможные бэкдоры нейтрализованы, уязвимости пропатчены и т. д. Это позволит убедиться в том, что злоумышленники как минимум не смогут воспользоваться тем же путем для нелегитимного доступа в вашу сеть. Данная задача может включать следующие шаги:

1. Оценить политику безопасности с учетом новых вводных и прошедшей атаки.
2. Внедрить новые меры, средства, механизмы информационной безопасности. Возможно, рассмотреть внедрение таких классов решений, как NGFW, EDR, NTA.
3. Повысить уровень квалификации и осведомленности сотрудников организации. Практиковать принципы цифровой гигиены в рамках          компании.
4. Провести пентест с целью выявления слабых мест.
5. Внедрить и усовершенствовать процессы анализа защищенности и управления уязвимостями.
6. Хранить копии бэкапов в изолированном сегменте.
7. Рассмотреть возможность использования услуги мониторинга и реагирования на киберинциденты.
8. Совершенствование системы защиты от фишинговых атак.

Грамотно выстроенная система информационной безопасности — единственный способ обеспечить защиту от кибератак. Если вы не знаете, с чего начать, обращайтесь к профессионалам, в итоге это сохранит ваши деньги, нервы и репутацию.

Важно понимать, что кибербезопасность — это не единоразовая акция. Необходимо регулярно обновлять свою стратегию защиты и адаптироваться к новым угрозам. В этой борьбе важно сочетание технических решений и человеческого фактора. Сотрудники должны быть осведомлены об угрозе и знать, как защитить себя от киберпреступников. В этой бесконечной гонке необходимо сохранять бдительность и быть готовыми к любым испытаниям.