Вирусы-вымогатели – один из самых известных видов вредоносов. Они возникли практически одновременно с массовым распространением интернета, усложнили жизнь как частным пользователям, так и корпоративным сетям, а масштабность заражений, произошедших за последние несколько лет, сложно переоценить.
Несмотря на былую популярность, интенсивность использования «шантажистского» ПО снижается. В сравнении с пиковыми периодами активности, на сегодняшний день регистрируется в среднем на 30% меньше заражений вирусами-вымогателями. Казалось бы, бизнес может сконцентрировать усилия на защите от более актуальных угроз. Но так ли это на самом деле?
В мире наметилась интересная тенденция: вирусы-вымогатели используются не для получения прибыли, а чтобы замести следы более серьезных преступлений, например кражи ценной коммерческой информации. Теперь кроме затрат на восстановление инфраструктуры бизнес вынужден проводить тщательное расследование инцидента. Ведь есть шанс, что атака была ширмой, и информация о «внутренней кухне», новых разработках или базы клиентов окажутся в руках у конкурентов. В таком подходе нет ничего нового. Раньше для отвлечения внимания использовались DDoS-атаки: пока компания концентрировала усилия на одном фронте, в фоновом режиме шла настоящая операция по хищению данных.
«Фейковые» вымогатели действуют по стандартному алгоритму. Чаще всего вредонос просачивается в организацию благодаря фишингу. Затем данные шифруются, злоумышленники объявляют требования и начинают клянчить деньги. Для большей достоверности театрального представления жертва получает детальные инструкции о том, как и куда платить. Единственное о чем не узнает пострадавшая фирма – был снят перевод или нет, ведь отследить популярные в даркнете криптокошельки невозможно. Выгода для хакеров очевидна: бизнес, поверивший в шантаж, не будет проводить расследование и не узнает, какие цели на самом деле преследовала атака.
Жертвой новых веяний мира киберпреступности стал Far Eastern International Bank, расположенный в Тайване. В 2017 он был атакован одной из разновидностей вируса Hermes. Пока служба безопасности и ИТ-шники восстанавливали зашифрованные данные, злоумышленники попытались украсть 60 миллионов долларов США. В том же 2017 многочисленные компании Японии пострадали от вымогателя ONI. Целью злоумышленников был отнюдь не выкуп: шифровка данных понадобилась для удаления логов событий Windows, благодаря которым специалисты могли расследовать инцидент и обнаружить реальную цель нападения.
Часто вирус-вымогатель появляется на финальной стадии операции, когда цель достигнута и данные украдены. Благодаря тотальной шифровке и удалению информации провести расследование становится практически невозможно: ведь все следы и логи оказываются полностью стерты.
Самое ужасное для бизнеса – неопределенность. Ведь решительно непонятно что делать дальше: восстановить информацию из бэкапа и почить на лаврах или вкладывать средства в дальнейшее расследование? Если шифрование было инструментом отвлечения внимания, следующий удар может прилететь с любой стороны. От конкурентов, перехвативших контракты, от СМИ подхвативших «слив» не самой приятной информации из интернета, от недовольных клиентов, личные данные которых оказались в открытом доступе. Любая неожиданная утечка неминуемо ведет к серьезным материальным убыткам.
К счастью, противостоять таким инцидентам можно. Как и проводить расследования, даже несмотря на полное уничтожение логов. В алгоритме существует серьезный изъян: шифровальщик внедряется уже после кражи информации. А, значит, в процессе хищения будет всплеск перемещаемых данных. Даже небольшое отклонение от нормы обмена файлами внутри корпоративной сети или с внешней средой является маркером активности злоумышленников.
Обнаружить такую атаку можно с помощью DLP-систем и программ мониторинга персонала. Например, отчет «Категории/Отклонения» моментально фиксирует любую нестандартную активность и уведомляет ответственное лицо. Если же заражения вредоносом избежать не удалось, изучение изменений в информационном обмене поможет точно установить: было ли шифрование самоцелью или всего лишь операцией по отвлечению внимания.
Проведя расследование инцидента, обнаружив настоящие цели хакеров и установив, какая информация оказалась под угрозой, руководитель сможет минимизировать риски и убытки, а также найти виновных в атаке.
