Бейкер Тилли в России

Офисы Запрос World

Отправить запрос

E-mail Офисы World

Рынок вредоносного ПО – криминальная индустрия, ежегодный оборот которой оценивается в миллиарды долларов – продолжает расти, при этом вирусы-вымогатели остаются одним из самых прибыльных видов кибермошенничества. Эксперты по кибербезопасности компании Baker Tilly обсуждают наиболее распространенные «болевые точки», а также то, как лучше подготовиться к неизбежному: речь идет о том, когда, а не если, бизнес подвергнется атакам со стороны вымогателей.

Это история об обслуживании клиентов, которую не хочется рассказывать.

Голландская компания, заблокировавшая свои важные ИТ-системы и столкнувшаяся с потерей важных корпоративных и клиентских данных, могла только положительно отзываться о колл-центре, предложившем поддержку. В течение нескольких минут услужливый оператор смог провести компанию через процесс оплаты, чтобы они смогли восстановить свои файлы.

Но загвоздка в том, что по телефону звонили не из службы ИТ-помощи. Это был один из хорошо оснащенных подпольных колл-центров, через которые осуществляются звонки людям с целью убедить их сделать выплаты по факту преступным компаниям, которые изначально украли их данные.

По оценкам экспертов, только за 2021 год подпольная сеть обойдется легальному бизнесу примерно в 20 миллиардов долларов США. И хотя эта сумма в 57 раз больше той, которую вымогатели собирали всего несколько лет назад, худшее еще впереди: ожидается, что в течение ближайшего десятилетия мошенники будут ежегодно похищать и вымогать 265 миллиардов долларов США.

С ростом доходов преступные группировки становятся все более изощренными, эффективно атакуя жертвы: по оценкам, за последний год число атак возросло на 150%.

"Это растущий рынок, - говорит партнер Baker Tilly Netherlands по ИТ-консультированию Мартин ван Эрнст. - Вопрос не в том, подвергнетесь ли вы подобной атаке, а в том, когда это произойдет. Профилактика важна, но не менее важна и ваша реакция. Что вы собираетесь делать? Какой у вас есть план, чтобы вернуть компанию в строй? Если у вас есть такие планы, вы можете спать спокойнее".

Простое преступление с жалом в хвосте

Что отличает вымогателей от многих других видов кибератак, так это простота преступления, которое сочетает в себе как технологические, так и психологические атаки на жертву.

В отличие от вредоносных программ, повреждающих файлы, вирусы-вымогатели направлены на полную блокировку IT-систем бизнеса, а это, в свою очередь, делает невозможным продолжение работы – блокируется логистика, отгрузка товаров, замораживается работа с сотрудниками и клиентами. И хотя ввести такое шифрование относительно легко - некоторые инструменты для выкупа продаются в даркнете всего за 70 долларов - блокировку все же очень трудно отменить.

Некоторые группы, такие как проект No More Ransom, в котором участвует ряд партнеров по кибербезопасности и международной полиции, предоставляют программное обеспечение для дешифровки бесплатно, но это касается лишь малой части обычно используемых инструментов.

Именно здесь используется второй психологический прием, чтобы заставить компании заплатить.

Для многих компаний стоимость выкупа относительно невелика: в первом квартале прошлого года, по данным Coveware, она составила 47 008 долларов США.

Хотя в некоторых случаях назначают выкуп значительно выше, такая цена, по мнению экспертов Baker Tilly, по карману многим предприятиям, что делает более заманчивым авторизацию биткоина или другой криптовалюты, обычно используемой для того, чтобы сделать транзакцию неотслеживаемой.

И чем больше люди платят, говорит партнер американской компании Baker Tilly Джефф Крулл, тем больше стимул для преступных группировок удвоить свои доходы.

"Честно говоря, скорее всего, будет только хуже, а не лучше, и мы, вероятно, увидим больше успешных программ-вымогателей", - говорит г-н Крулл. - Плохие парни зарабатывают на этом деньги, поскольку доля организаций, которые платят выкуп, растет».

Люди, разрабатывающие программы-вымогатели, получают большое финансовое вознаграждение, у них достаточно ресурсов и возможностей преследовать организации. Но стоимость таких атак выходит далеко за рамки выплаты выкупа.

Помимо времени простоя бизнеса (в среднем – около 3 недель), 80% атак с целью выкупа несут угрозу утечки данных компании, а это, в свою очередь, может вызвать потерю доверия клиента. Также у компании, даже если она выберет платить выкуп, неизбежно возникают затраты на восстановление деятельности.

Фактически, исследование, проведенное группой кибербезопасности Sophos среди более чем 5400 компаний в начале прошлого года, показало, что из тех, кто подвергся атаке и заплатил выкуп, только 8% восстановили все свои данные.

"Я считаю, что любая организация, которая полагается только на страховку или низкую относительную стоимость выкупа в качестве способа снижения риска, сейчас действительно ставит организацию на грань выживания ", - говорит г-н Крулл. – «Плохие парни" могут знать, сколько у кого есть страховок, и использовать это при расчете суммы, которую они собираются взимать. Или они могут знать, сколько у кого есть денег в банке, и использовать это для установления болевой точки при выплате выкупа. Спросите практически любого, кто пострадал от вымогателей, стоило ли это того, чтобы игнорировать возможные меры предосторожности, которые можно было предпринять для защиты своего бизнеса, и я подозреваю, что практически все они ответят: "Мы очень жалеем, что не сделали этот шаг"".

Риски вымогательского ПО

Несмотря на то, что средняя сумма выплат за вымогательство может быть небольшой, у рынка вредоносного ПО есть большой потенциал. Объем атак не только резко возрос (до одной атаки каждые 11 секунд), но и усовершенствовался тактически.

Компания Coveware, оказывающая первую помощь в борьбе с вымогательством, отмечает, что размер компаний, ставших жертвами вымогателей, растет: в 2021 году половина жертв насчитывала более 200 сотрудников.

Хотя эксперты расходятся во мнениях относительно того, насколько взвешенно злоумышленники подходят к выбору отрасли, в которой работают их жертвы, все же некоторые группы подвергаются атакам чаще других. Значимым для мошенников фактором может быть устаревшее ПО компании, также они следят за тем, хранит ли компания конфиденциальные данные, поскольку за возвращение доступа к ним бизнес с большой вероятностью заплатит.

К примеру, самой крупной целью является государственный сектор, за ним следуют профессиональные услуги, включая юридические фирмы, бухгалтерские компании и финансовые группы, а также здравоохранение.

А после того, как в мае прошлого года атаке подвергся Colonial Pipeline, крупный нефте- и газопровод США, ответственный за поставку почти половины объемов нефти на Восточное побережье, энергетический сектор неожиданно осознал свою уязвимость.

Анестис Димопулос, руководитель отдела цифровых технологий и консультирования по рискам компании Baker Tilly в Юго-Восточной Европе, говорит, что после атаки на трубопровод Colonial Pipeline и таких событий, как атака вредоносного ПО в 2017 году, которая привела к отключению электроэнергии на Украине, он заметил возросшую осведомленность клиентов из сферы энергетики.

"Существует разница в готовности к реагированию в зависимости от типа отрасли, но для энергетики и сектора финансовых услуг угроза очевидна ", - говорит он.

"Даже за пределами технических областей бизнеса руководители постоянно думают об этом. Недавно мы работали с клиентом из энергетического сектора над совершенно другими вопросами, и речь зашла о риске атак вымогателей. Что они будут делать, если произойдет атака вымогателей и пострадает сеть передачи данных компании? Как они смогут восстановиться после этого? Как они могут отреагировать на это?", - комментирует г-н Димопулос. По его словам, первым шагом в решении этих вопросов является понимание и оценка риска и его последствий.

"Все всегда начинается с оценки рисков, понимания ваших рисков, их важности, критичности и воздействия", - говорит он. - Затем необходимо подготовиться к управлению рисками и эффективному реагированию на них. Это предполагает различные меры, обеспечение безопасности систем, обучение пользователей, частые программы повышения осведомленности и применение всех последних обновлений безопасности в системах".

Фишинговые атаки по электронной почте и скомпрометированный удаленный доступ остаются ключевыми направлениями для вымогателей, причем вредоносное ПО, внедренное в сеть, может инициировать атаку.

"Обычно конечные пользователи, не обладая достаточной осведомленностью, просто нажимают на ссылку и скачивают что-то", - говорит г-н Димопулос. Поэтому вы начинаете с защиты конечных точек и систем, а также уделяете большое внимание резервному копированию и планам реагирования на инциденты и тому, как вы можете использовать их для восстановления в случае необходимости".

Баланс между удобством и риском

По словам г-на Крулла, превентивные меры, необходимые для обеспечения безопасности компании, не обязательно должны быть реализованы технически сложно.

"Если встает вопрос, в каких случаях вымогательские программы оказываются успешными, все хотят свалить вину на человека, который перешел по ссылке, но, когда вы начинаете распутывать осуществленную атаку, вам нужно вернуться к исходной точке", - говорит он.

"Хорошая ли у вас аутентификация? Хорошие пароли? Внедрен ли принцип многофакторной аутентификации? Проводите ли вы качественное обучение пользователей по вопросам безопасности? Есть ли у вас хороший процесс управления исправлениями, чтобы поддерживать системы в актуальном состоянии и исправлять их? Есть ли у вас хорошие системы обеспечения, позволяющие удалять и добавлять пользователей? Имеют ли люди доступ только к тому, к чему они должны иметь доступ, и ограничили ли вы этот доступ? Отделили ли вы административные учетные записи от обычных учетных записей?", - продолжает он.

Предвидение вероятности атаки также означает наличие надежного плана аварийного восстановления, считает г-н Крулл.

"Некоторые люди говорят, что у них есть план аварийного восстановления, но они никогда не тестировали его, а это может занять недели», - предупреждает г-н Крулл.

Проблема есть еще и в том, что некоторые компании не решаются внедрять средства контроля, которые предотвращают проникновение неавторизованного пользователя, ссылаясь на неудобства. Но это также открывает двери для сотрудников, которые могут поддаться соблазну и нажать на ссылку, которая поставит бизнес на колени.

Все три эксперта работали с клиентами, которые считали, что каким-то образом защищены от риска вымогательства, поскольку хранят файлы или используют программное обеспечение в облаке. И хотя это может быть более безопасно, чем использование старого сервера, все же облачное решение тоже не идеально.

"Вирусы - вымогатели могут перемещаться из одного центра обработки данных в другой через вашу компанию, а вредоносные программы могут шифровать файлы в "облаке", - говорит г-н ван Эрнст. У нас есть клиенты, которые думают, что если они передадут свои данные в облако через Microsoft, то все будет безопасно, или что их поставщик облачных услуг сможет обнаружить и защитить их от угроз. Иногда они могут, но иногда и нет".

Г-н Крулл говорит, что проблемы в облаке часто возникают от того, что компания неправильно настраивает доступ к нему. "У крупных облачных провайдеров есть огромный стимул для защиты данных, и если вы видите проблему, то зачастую организация, взаимодействующая с облачным провайдером, что-то неправильно настроила", - говорит он.

"Иногда при планировании аварийного восстановления можно услышать, как компания говорит: "Нет, все находится у этого гигантского облачного провайдера". Это замечательно, но каков ваш план восстановления, если они исчезнут? Они говорят: "Этого никогда не случится". Этого никогда не случится - не лучший ответ", - резюмирует эксперт.

Подготовка плана действий

Руководитель отдела безопасности компании Pitcher Partners Эрик Эекхоф говорит, что всплеск количества вымогательских программ должен вызывать справедливую тревогу, но, чтобы повысить шансы для защиты бизнеса, необходимо планирование.

"Организации могут рассмотреть несколько решений, которые в совокупности могут предотвратить атаки, - говорит г-н Эекхоф. - Хорошим первым шагом будет такая простая вещь, как обновление всех систем последними версиями и исправлениями".

"Подавляющее большинство программ-вымогателей используют известные проблемы безопасности в распространенных операционных системах и приложениях, таких как Microsoft Windows, Office и Acrobat Reader. Поставщики этих программ, как правило, уже предоставили исправления и обновления, и именно организации должны обеспечить их быстрое применение в своей ИТ-среде", - говорит г-н Эекхоф. Он солидарен с коллегами в том, что один из самых больших мифов в решении проблем с атаками вымогательского ПО - это выплата выкупа.

"По оценкам, от трети до половины зараженных компаний платят что-то преступникам, удерживающим их данные, но нет никакой гарантии, что вы получите свои данные обратно, - предупреждает он.

Однако независимо от того, заплатите ли вы, реальные затраты связаны с устранением уязвимостей в вашей системе, что, по оценкам, обычно обходится в 10 раз дороже среднего выкупа.

"Образованные сотрудники с меньшей вероятностью откроют зараженные вложения, поэтому обучение персонала действиям при столкновении с программами-вымогателями значительно снижает риск заражения", - говорит г-н Эекхоф.

Кроме того, на рынке существует множество продуктов, которые постоянно обновляются поставщиками, хотя и нет никакой гарантии, что они обнаруживают последние версии программ - вымогателей. Г-н Эекхоф считает, что организации должны действовать проактивно, чтобы минимизировать ущерб от потенциальной атаки.

"Компании должны всегда иметь свежие и полные резервные копии, которые станут серьезным спасением, если вы станете жертвой атаки и захотите восстановить данные без уплаты выкупа. Регулярно происходят инциденты, когда организации обнаруживают, что резервные копии, в которых они были уверены, оказались неполными или бесполезными, в результате чего они оказываются именно в той ситуации, которую пытались предотвратить", - говорит эксперт.

Материал подготовлен на основе статьи Baker Tilly International, английский вариант которой вы можете прочитать по ссылке https://bit.ly/3rEBOWQ