Платить или не платить, вот в чем вопрос

Как поступить компаниям, пострадавшим от атак кибервымогателей?

Основной тенденцией прошлого года стал стремительный рост числа кибератак с использованием вымогательского ПО. При подобных атаках злоумышленники сначала внедряют в ИТ-сеть компании вирус, который блокирует систему и зашифровывает всю находящуюся в ней информацию. Затем взломщики предлагают жертвам заплатить выкуп в обмен на предоставление доступа к данным. В результате ИТ-инфраструктура компании в большинстве случаев оказывается частично или полностью парализованной.

 
В прошлом году кибервымогатели усовершенствовали свой бизнес и окончательно перешли на новую модель работы  — «вымогательское-ПО-как-услуга». Злоумышленники предлагают вредоносное ПО партнерам, которые используют его для блокировки устройств и шифрования данных организаций. Поэтому вымогательское ПО стало доступным для широких слоев населения. Теперь любой желающий, даже не имея технических навыков, может стать партнером вымогателей, приобрести готовый набор взломщика и уничтожить бизнес своих конкурентов. По оценке журнала Cybercrime magazine, ущерб, нанесенный кибервымогателями в 2021 году, составил порядка $20 млрд.

Компании, пострадавшие от атак вымогательского ПО, вынуждены делать мучительный выбор: заплатить злоумышленникам или пытаться восстановить зашифрованные данные самостоятельно либо с помощью специализированных компаний.

Многочисленные исследования показали, что большинство жертв все-таки предпочитают заплатить. По данным ThycoticCentrify, 83% жертв кибервымогателей не видят другого выбора, кроме уплаты выкупа, для получения доступа к своим данным. Пострадавшие компании считают выплату выкупа необходимым злом. Ведь в противном случае бизнесу может быть нанесен огромный ущерб из-за нарушения бизнес-процессов, простоя системы и необходимости тратить ресурсы на восстановление систем.  Причем расходы компании будут только расти по мере увеличения времени, которое потребуется на восстановление. Поэтому многие жертвы кибервымогателей предпочитают сразу откупиться.

Однако, эксперты по безопасности платить вымогателям категорически не рекомендуют. Давайте разберемся, почему они так решительно настроены.

Нет гарантии, что вы получите доступ к данным после выплаты выкупа

Большинство жертв кибервымогателей полагают, что смогут восстановить доступ к своим данным и системам, если заплатят злоумышленникам требуемую сумму. В некоторых случаях это работает. Однако, вот многих случаях организации после выплаты выкупа неожиданно обнаруживали, что ключ дешифрования не работает или восстановленные данные непригодны для использования.

Исследование Cybereason  показало, что только 51% жертв, заплативших вымогателям, смогли успешно получить доступ ко всем своим данным. Около 46% компаний после оплаты выкупа и восстановления информации обнаружили, что их данные полностью или частично повреждены. 3% опрошенных не смогли восстановить доступ к своим зашифрованным данным даже после оплаты.

Другое исследование, проведенное кибербез-компанией Sophos , выявило еще более тревожные цифры. Только 8% предприятий, заплативших выкуп, полностью вернули свои данные. 29% пострадавших восстановили доступ не более чем к половине своей информации. В среднем компании, заплатившие выкуп, получили доступ только к 65% ранее зашифрованных данных.

Уплата выкупа стимулирует новые атаки

Многие организации соглашаются заплатить выкуп, потому что у них отсутствуют резервные копии для восстановления данных после атаки. Другие компании платят, чтобы избежать сбоев в работе и не заниматься разблокировкой зашифрованных данных и систем. В любом случае, платить злоумышленникам не стоит. Наивно полагать, что получившие выкуп киберпреступники оставят вас в покое. Наоборот, ваша компания станет для них привлекательной мишенью.

Заплатившая однажды компания, по мнению вымогателей, будет готова заплатить еще раз в случае повторной атаки. Исследование Cybereason показало, что до 80% организаций, заплативших выкуп, снова подверглись атаке. Причем довольно часто атаковала их та же киберпреступная группа, что и в первый раз.

Заплатив выкуп, вы финансируете киберпреступные инновации

Деньги, заплаченные злоумышленникам, способствуют разработке новинок в индустрии вредоносных программ. 

Большинство вымогателей использует базовые вредоносные инструменты, которые остаются неизменными на протяжении многих лет. Однако, в последнее время некоторые группировки начали применять очень сложные и изощренные вредоносные программы. Например, недавно появившаяся группа BlackCat Gang использует для вымогательства весьма продвинутый инструмент BlackCat. Вредоносная программа обладает широкими возможностями настройки и может быть «на лету» доработана для конкретных атак. Вирус использует несколько процедур шифрования и успешно уклоняется от механизмов обнаружения.

Злоумышленник может обнародовать или продать украденные данные

Атаки с двойным вымогательством стали обычным явлением за последние 2 года. При подобных атаках злоумышленник скачивает данные перед тем, как их зашифровать, а затем использует угрозу обнародовать информацию в качестве дополнительного рычага давления на жертву. В настоящее время подобная практика применяется в большинстве атак программ-вымогателей.

Исследование Group IB показало, что число жертв программ-вымогателей, чьи данные были опубликованы в период со второго полугодия 2020 года по первое полугодие 2021 года выросло на беспрецедентные 935% по сравнению с соответствующим периодом годом ранее. При этом довольно часто выкладывались данные компаний, которые вымогателям уже заплатили. 

Решение о выплате выкупа каждая компания обычно принимает самостоятельно с учетом конкретной ситуации и после оценки всех рисков, тщательно взвесив все “за” и “против”. Тем не менее очевидно, что честному слову вымогателя верить не стоит. Positive Technologies советует не иметь никаких дел с этими “милыми” ребятами и вообще не сталкиваться с подобными проблемами. Наш метапродукт Max Patrol O2 легко справляется с выявлением и предотвращением атак кибервымогателей, помогая защитить бизнес наших клиентов. Один из следующих постов мы посвятим разбору современных средств борьбы с вымогательским ПО.