cover

Шифрование данных — способ замести следы

Вирусы-вымогатели – один из самых известных видов вредоносов. Они возникли практически одновременно с массовым распространением интернета, усложнили жизнь как частным пользователям, так и корпоративным сетям, а масштабность заражений, произошедших за последние несколько лет, сложно переоценить.

Несмотря на былую популярность, интенсивность использования «шантажистского» ПО снижается. В сравнении с пиковыми периодами активности, на сегодняшний день регистрируется в среднем на 30% меньше заражений вирусами-вымогателями. Казалось бы, бизнес может сконцентрировать усилия на защите от более актуальных угроз. Но так ли это на самом деле?

В мире наметилась интересная тенденция: вирусы-вымогатели используются не для получения прибыли, а чтобы замести следы более серьезных преступлений, например кражи ценной коммерческой информации. Теперь кроме затрат на восстановление инфраструктуры бизнес вынужден проводить тщательное расследование инцидента. Ведь есть шанс, что атака была ширмой, и информация о «внутренней кухне», новых разработках или базы клиентов окажутся в руках у конкурентов. В таком подходе нет ничего нового. Раньше для отвлечения внимания использовались DDoS-атаки: пока компания концентрировала усилия на одном фронте, в фоновом режиме шла настоящая операция по хищению данных.

«Фейковые» вымогатели действуют по стандартному алгоритму. Чаще всего вредонос просачивается в организацию благодаря фишингу. Затем данные шифруются, злоумышленники объявляют требования и начинают клянчить деньги. Для большей достоверности театрального представления жертва получает детальные инструкции о том, как и куда платить. Единственное о чем не узнает пострадавшая фирма – был снят перевод или нет, ведь отследить популярные в даркнете криптокошельки невозможно. Выгода для хакеров очевидна: бизнес, поверивший в шантаж, не будет проводить расследование и не узнает, какие цели на самом деле преследовала атака.

Жертвой новых веяний мира киберпреступности стал Far Eastern International Bank, расположенный в Тайване. В 2017 он был атакован одной из разновидностей вируса Hermes. Пока служба безопасности и ИТ-шники восстанавливали зашифрованные данные, злоумышленники попытались украсть 60 миллионов долларов США. В том же 2017 многочисленные компании Японии пострадали от вымогателя ONI. Целью злоумышленников был отнюдь не выкуп: шифровка данных понадобилась для удаления логов событий Windows, благодаря которым специалисты могли расследовать инцидент и обнаружить реальную цель нападения.

Часто вирус-вымогатель появляется на финальной стадии операции, когда цель достигнута и данные украдены. Благодаря тотальной шифровке и удалению информации провести расследование становится практически невозможно: ведь все следы и логи оказываются полностью стерты.

Самое ужасное для бизнеса – неопределенность. Ведь решительно непонятно что делать дальше: восстановить информацию из бэкапа и почить на лаврах или вкладывать средства в дальнейшее расследование? Если шифрование было инструментом отвлечения внимания, следующий удар может прилететь с любой стороны. От конкурентов, перехвативших контракты, от СМИ подхвативших «слив» не самой приятной информации из интернета, от недовольных клиентов, личные данные которых оказались в открытом доступе. Любая неожиданная утечка неминуемо ведет к серьезным материальным убыткам.

К счастью, противостоять таким инцидентам можно. Как и проводить расследования, даже несмотря на полное уничтожение логов. В алгоритме существует серьезный изъян: шифровальщик внедряется уже после кражи информации. А, значит, в процессе хищения будет всплеск перемещаемых данных. Даже небольшое отклонение от нормы обмена файлами внутри корпоративной сети или с внешней средой является маркером активности злоумышленников.

Обнаружить такую атаку можно с помощью DLP-систем и программ мониторинга персонала. Например, отчет «Категории/Отклонения» моментально фиксирует любую нестандартную активность и уведомляет ответственное лицо. Если же заражения вредоносом избежать не удалось, изучение изменений в информационном обмене поможет точно установить: было ли шифрование самоцелью или всего лишь операцией по отвлечению внимания.

Проведя расследование инцидента, обнаружив настоящие цели хакеров и установив, какая информация оказалась под угрозой, руководитель сможет минимизировать риски и убытки, а также найти виновных в атаке.

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>