Эпидемия вымогательства
2020-й год войдет в историю, как год пандемии, вызванной вирусом COVID-19. Меры, принимаемые как на уровне государств, так и на уровне отдельных компаний, привели к изменениям практически во всех отраслях человеческой деятельности. Информационная безопасность не стала исключением.
Кризис, с одной стороны, показал, насколько современные цифровые технологии действительно меняют наш мир в лучшую сторону, а с другой – насколько эти технологии и их пользователи уязвимы.
Ограничения на передвижение и на количество сотрудников в офисах потребовали от бизнеса стремительной адаптации. Вопрос перехода на новые способы работы стал вопросом выживания. Требования к скорости трансформации не могли не сказаться на уровне безопасности.
Вышеперечисленное открыло для преступников новые области для атак, особенно в связи с тем, что на работу на дому перевели не большое количество офисных сотрудников коммерческих компаний, которые, как правило, имеют базовые знания в области ИБ, но и школьников, педагогов и лиц из группы риска, многие из которых вынуждены были работать на собственных устройствах.
Атаки и потери
С начала пандемии злоумышленники стали все активнее использовать уже, казалось бы, несколько подзабытый вид атак, основанный на вымогательстве (Ransomware).
Существенная разница заключается в том, что если несколько лет назад основными жертвами вымогателей становились обычные пользователи, то сейчас в фокусе атакующих находятся крупные организации из разных отраслей промышленности, в том числе медицинские и образовательные. В первую очередь это связано с возможностью получить большую сумму выкупа.
В 2020-м от вымогателей пострадали такие гиганты рынка, как Honda, Mitsubishi, Canon, Evraz, десятки крупных вузов, в первую очередь американских и британских, медицинские учреждения. Общая сумма потерь, по оценкам различных экспертов, за первые три квартала текущего года превысила $70 млрд. И наверное, самой публичной, обсуждаемой и показательной стала атака на компанию Garmin.
Во второй половине дня 23 июля 2020 года компания Garmin официально сообщила о возникновении проблем с сервисом Garmin Connect, сайтом и мобильным приложением. Проблема затронула и кол-центры компании, в результате чего оказались недоступными все инструменты и способы коммуникаций между клиентами и службой поддержки – звонки, онлайн-чаты и электронная почта.
Восстановление сервисов потребовало около пяти дней и, по неподтвержденным официально слухам, Garmin заплатила выкуп в размере $10 млн, чтобы получить ключ для расшифрования собственных данных. Помимо этого, компания понесла и серьезные репутационные потери.
Успехи в реализации подобных атак привели к тому, что злоумышленники стали использовать более продвинутую тактику – двойное вымогательство.
Теперь, прежде чем зашифровать данные жертвы, атакующие извлекают большое количество конфиденциальной информации и угрожают опубликовать ее, если их требования о выкупе не будут удовлетворены.
Это тройной капкан. Компания не только не может продолжать свою обычную деятельность и терпит убытки, но и вынуждена принимать во внимание риски утечки персональных данных и коммерческой информации в публичный доступ. В том числе к прямым конкурентам.
Утечки и перебой в работе сервисов во многих странах требуют уведомления регуляторов в области ИБ и защиты персональных данных, что по результатам расследования может привести к существенным штрафам. В случае медицинских учреждений – последствия могут быть еще серьезнее, так как на кону стоят человеческие жизни.
Десятого сентября в результате атаки на сеть Университета Генриха Гейне в Дюссельдорфе были зашифрованы около 30 серверов университетской клиники, что практически полностью парализовало работу больницы. В процессе перевода пациентов в соседние клиники умерла 78-летняя женщина.
Впервые в истории полиция открыла уголовное расследование за причинение смерти по неосторожности, вызванное кибератакой.
Следует отметить, что после публикации сообщения о смерти вымогатели немедленно предоставили больнице ключи дешифрования без каких-либо условий.
На протяжении последних месяцев все чаще стали появляться сообщения о случаях вымогательства, где в качестве угрозы используется потенциальная DoS-атака на сервисы компании. Таким образом злоумышленники заставляют платить не только за уже реализованные атаки, но и за возможность чувствовать себя в относительной безопасности.
Платить или не платить
Страх, убытки и давление регуляторов заставляют часть организаций платить выкуп немедленно, чтобы не допустить потери или раскрытия данных и серьезно сэкономить на восстановлении работоспособности.
Однако такая практика формирует порочный круг – чем чаще компании платят, тем интенсивнее становятся подобные атаки.
Универсального ответа платить или нет – не существует. Но очевидно, что в большинстве случаев вступить в переговоры с вымогателями выгодно, как минимум для того, чтобы получить дополнительные данные об атаке, снизить цену выкупа или найти альтернативный вариант.
Как защищаться
Атаки с целью выкупа принципиально отличаются от других сценариев монетизации. Способы проникновения в сеть компании, закрепления и распространения в подавляющем большинстве случаев хорошо известны. Тоже относится и к потенциальным атакам типа «отказ в обслуживании».
Поэтому и подходы к защите во многом остаются прежними.
Управление уязвимостями
В случае с погибшей пациенткой клиники в Дюссельдорфе немецкие власти утверждают, что хакеры воспользовались уязвимостью в программном обеспечении виртуальной частной сети Citrix, которая была публично известна с января, но которую ИТ-подразделение университета/больницы не смогло устранить.
Своевременная установка обновлений является важным компонентом защиты от атак с целью получения выкупа, поскольку киберпреступники часто используют эксплойты для недавно опубликованных обновлений программного обеспечения, атакуя системы, на которых эти обновления еще не установлены.
В современных компаниях, где существует высокая степень цифровизации процессов, обновления могут быть столь же опасны, как и атаки злоумышленников. Именно поэтому важно выстраивать процессы тестирования «заплаток» и новых версий ПО, контроля уязвимых активов и реализовать меры по снижению рисков без установки обновлений, когда такая установка потенциально может привести к нарушению непрерывности бизнес-процессов.
Повышение осведомленности пользователей (Security Awareness)
Обучение пользователей тому, как выявлять атаки, направленные на получение выкупа, имеет решающее значение. Большинство современных кибератак начинается с сообщения по электронной почте, которое, как правило, не имеет вредоносных программ, а содержит сообщение, побуждающее пользователя перейти по вредоносной ссылке. Повышение осведомленности и формирование культуры кибербезопасности – ключевой фактор предотвращения таких атак.
Планы по восстановлению после сбоев и непрерывности бизнеса (DRP/BCP)
Резервное копирование – один из столпов обеспечения безопасности систем и данных, но, как показывает практика, до сих пор многие компании на момент атаки либо не имеют необходимых копий, либо же эти копии тоже оказываются уязвимыми. У многих компаний отсутствуют детальные планы по восстановлению бизнес-процессов в случае возникновения инцидентов.
Критически важно, чтобы и ИТ-службы, и бизнес-подразделения были готовы к различным сценариям нарушения работы компании и быстро и эффективно реагировали на них.
Выводы
Изменения в подходах к организации работы хотя и вызваны пандемией, останутся после ее окончания – работа из дома и цифровизация бизнес-процессов.
Киберпреступники никуда не денутся, а отрасль информационной безопасности будет по-прежнему испытывать давление из-за недостатка квалифицированных кадров как на техническом, так и на руководящем уровне. Поэтому решения по автоматизации работы службы ИБ будут пользоваться спросом, так же как и провайдеры услуг MSSP.
Кибербезопасность все чаще будет на повестке высшего менеджмента организаций, и можно ожидать усиления регулирования отрасли, что, в свою очередь, приведет к необходимости выработки новых компетенций у руководителей департаментов информационной безопасности и служб ИТ.
На смену вымогательству обязательно придет другой способ совершения киберпреступлений. По аналогии с вирусами атаки киберпреступников мутируют и подстраиваются под текущую обстановку и средства защиты. Поэтому жизненно важным абсолютно для всех компаний, организаций, государственных учреждений будет вопрос обеспечения киберустойчивости и кибериммунитета. И как бы пафосно это ни звучало, речь уже идет не только о потере денег, речь идет о человеческих жизнях и благополучии всего общества.
Опубликовано 16.11.2020