Что делать, когда ваша компания подвергается ударам вымогателей
Ransomware - это такая прибыльная форма киберпреступности, что она превратилась в самодостаточную индустрию со своими собственными изменениями и тенденциями. Например, несколько лет назад разработчики и операторы вымогателей интересовались прежде всего домашними пользователями. Атака персональных компьютеров была дешевой, а некоторые умные методы социальной инженерии гарантировали, что успех не будет плохим. Между тем, культура резервного копирования людей была не совсем велика, что означало, что для многих единственным вариантом восстановления их данных была выплата выкупа. Затем, однако, все начало меняться.
Table of Contents
Операторы-вымогатели перешли от домашних пользователей к предприятиям и крупным организациям
В 2017 году произошло несколько массовых вспышек вымогателей, WannaCry и NotPetya, которые получили широкую огласку. Они не были специально нацелены на домашних пользователей, но домашние пользователи видели их в новостях, и они постепенно стали лучше знакомы с угрозой. Они поняли, насколько важны резервные копии, и стали лучше подготовлены к атакам вымогателей.
Справедливости ради, киберпреступники не особенно заинтересованы в том, чтобы делиться своими отчетами о доходах, но тот факт, что количество вымогателей на домашних ПК снижается в течение последних нескольких лет, свидетельствует о том, что меньшее количество конечных пользователей склонны уступать хакерам. требует. Это не означает, однако, что бизнес вымогателей сокращается.
В какой-то момент операторы-вымогатели поняли, что дополнительные усилия по атаке организаций, а не отдельных пользователей, могут стоить того, и с тех пор в крупных инцидентах с вымогателями в основном участвовали предприятия, организации здравоохранения и правительственные учреждения. Вспышка вымогателей в частной компании может быть особенно разрушительной, поэтому люди должны научиться реагировать на угрозу не только дома, но и в офисе.
Как заражение вымогателями может повлиять на вашу компанию?
С чисто технической точки зрения атака вымогателей ставит перед компанией две основные проблемы: потеря данных и простои.
Закрытие ваших данных - более очевидная проблема. Успешное заражение вымогателями может зашифровать коммерческие секреты, информацию о конкретном продукте и информацию о клиенте. Потеря данных такого рода может привести к гибели вашей компании, а это значит, что у вас может возникнуть искушение подумать о том, чтобы выполнить требования хакеров и заплатить выкуп. Однако даже если вы это сделаете, у вас нет никаких гарантий, что вся информация будет возвращена в состояние, предшествующее заражению. Это не единственная проблема, однако.
По своей природе инфекции вымогателей довольно шумно. Если вы когда-нибудь окажетесь не на том конце атаки, вы будете осведомлены о том, что происходит, и ваши клиенты также узнают, что что-то не так, довольно быстро. Вирус вымогателей может полностью нарушить работу компании и помешать ей обслуживать своих пользователей. Неизбежно, причина проблемы будет обнародована, и это приведет к появлению у ваших пользователей семени неуверенности, которая будет предполагать, что ваша компания не особенно заботится о безопасности своих данных. Все это означает, что чрезвычайно важно иметь дело с ситуацией как можно быстрее и эффективнее.
Как ваша компания должна реагировать на успешную атаку вымогателей?
Как видите, две основные вещи, о которых вам нужно подумать, это предотвращение потери данных и минимизация простоев. Если вы работаете в компании, которая пострадала от вымогателей, вы должны убедиться, что восстановление после атаки занимает как можно меньше времени, но вы должны также тщательно проверить, что каждый файл находится там, где он должен быть, прежде чем положить Компания вернулась в рабочий режим. Это стрессовый процесс, который требует большой концентрации и скоординированных усилий всех ответственных.
Если вредоносная программа смогла проникнуть в ваши системы, ее распространение должно быть вашим главным приоритетом. Никогда не стоит недооценивать сообщения о странном поведении сотрудников, и если вы обнаружите, что вымогатель подвергся атаке только один компьютер, убедитесь, что в любых частях ИТ-инфраструктуры вашей компании, которые могут быть к нему подключены, отключены сетевые кабели. Современные семейства вымогателей поставляются с червеобразными компонентами, которые позволяют атаке быстро распространяться, и хакеры хотят заблокировать как можно больше конечных точек с идеей требовать более высокого выкупа. Чем больше количество зашифрованных компьютеров, тем больше времени вам потребуется для того, чтобы все снова подключить к сети.
Мы уже упоминали, что минимизация времени простоя должна быть в вашем списке приоритетов. При этом, вы не должны торопить процесс. Прежде чем включить все, вы должны убедиться, что все следы вымогателей были удалены, и вы должны проверить, все ли работает. Дальнейшие задержки не сделают ваших клиентов очень счастливыми, но если они скажут, что вы вернулись в бизнес и столкнетесь с большим количеством проблем, они могут расстроиться еще больше, чем они уже есть.
Кстати, если вы действительно хотите, чтобы ваши пользователи меньше чувствовали себя плохо по поводу произошедшего, постарайтесь быть максимально прозрачным в отношении атаки. Расскажите им, как проникли хакеры, что вы сделали, чтобы остановить их, и что вы планируете сделать, чтобы предотвратить будущие атаки. Расскажите своим пользователям, как атака повлияет на них и услуги, за которые они заплатили, и ничего не сдерживайте. Хотя некоторые компании считают, что это хорошая стратегия, недооценка проблемы, как правило, имеет неприятные последствия и наносит еще больший ущерб репутации, чем сама атака.
Есть над чем подумать, и даже если вы все сделаете по книге, последствия все равно могут быть довольно ужасающими. Например, в июле 2018 года программа-вымогатель SamSam поразила LabCorp, одну из крупнейших в мире сетей лабораторий. Хотя его IT-команда быстро перешла на сдерживание вредоносного ПО, SamSam все же удалось заразить около 7 тысяч конечных точек и около 2 тысяч серверов.
Совсем недавно обмен валюты Travelex подвергся атаке вымогателей Sodinokibi (aka REvil), и в течение более двух недель его сотрудники были вынуждены использовать ручки и листы бумаги для выполнения своей работы.
Атака вымогателей обязательно вызовет всевозможные проблемы, особенно если она нацелена на более крупную организацию. С риском попадания в клише, мы должны сказать, что принятие активных превентивных мер является лучшей стратегией в борьбе с угрозами такого типа.
Что вы можете сделать, чтобы предотвратить успешную атаку вымогателей?
Установка антивирусной программы на компьютеры ваших сотрудников и резервное копирование их жестких дисков не достаточно. Еще раз, мы говорим о сложном процессе, который имеет много подводных камней, и здоровое состояние бизнеса вымогателей ясно показывает, что компании постоянно делают ошибки.
Простой продукт безопасности не может спасти день, если вся ваша IT-система основана на древнем программном обеспечении, которое не получило своих патчей безопасности. Никто, кроме Организации Объединенных Наций, не узнал, насколько важны обновления безопасности, и если вы несете ответственность за поддержание сети всей компании, у вас нет оправданий для запуска программного обеспечения с известными уязвимостями безопасности.
Нет оправдания и для плохо настроенных сетей. Многие из семей вымогателей, которые в настоящее время нацелены на организации, распространяются через незащищенные сетевые протоколы, которые были оставлены открытыми небрежными системными администраторами. Пароли по умолчанию также часто освещают ряд сообщений об инцидентах с вымогателями, что свидетельствует о том, что социальная инженерия в электронных письмах со спамом - далеко не единственное оружие в арсенале хакеров. Тем не менее, обучение ваших сотрудников не нажимать на случайные ссылки и вложения в неожиданных сообщениях всегда хорошая идея.
Как видите, уже есть множество задач, которые нужно решить, и мы даже не затронули вопрос о резервном копировании данных.
У каждой компании должна быть надежная стратегия резервного копирования, и ее создание не так просто, как кажется. В зависимости от того, как вы используете свои данные, вам нужно подумать о том, как часто нужно выполнять резервное копирование, но, что еще важнее, вы должны подумать о реальном механизме создания резервных копий.
В идеале вы должны следовать правилу 3-2-1, которое гласит, что у вас должно быть 3 копии ваших данных, хранящихся в 2 разных местах, 1 из которых находится вне офиса. Если вы не можете придерживаться этой стратегии, вы должны регулярно проверять свои резервные копии, чтобы убедиться, что они работают, и вы также должны держать их отключенными от остальной части ваших ИТ-систем. Таким образом, потенциальная атака вымогателей не сможет повлиять на копии ваших данных.
Это лишь некоторые из вещей, которые вам необходимо учитывать, и в зависимости от бизнеса компании, в которой вы работаете, может быть множество других факторов, которые вам, возможно, придется иметь в виду. В общем, попытка защитить компанию от атаки вымогателей, возможно, даже более трудная задача, чем очистка беспорядка после того, как он уже нанес удар. Однако, учитывая, насколько разрушительным может быть ущерб, усилия того стоят.
