Как не допустить повторения атаки шифровальщика?

Почему вы скорее всего будете атакованы шифровальщиком второй раз?

Когда-то авторы шифровальщиков сами пытались атаковать компании, рассылая свои троянцы со спамом. Современные группировки давно работают по принципу Ransomware-as-a-Service: предоставляют всем желающим доступ к инфраструктуре и коду зловреда за долю от выкупа. Да и вообще, «шифровальный бизнес» стремительно превращается в полноценную индустрию, где у каждого участника есть своя специализация. В частности, есть преступные группы, которые ищут (или организовывают) и продают первичный доступ к сетям компаний.

Если в новостях или на хакерских форумах появится информация о том, что ваша организация стала жертвой шифровальщика, это автоматически привлечет внимание других злоумышленников. Особенно, если вы согласитесь заплатить выкуп. Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками. Для современных преступников это явный признак того, что атаку на вашу компанию стоит повторить. И как показывают результаты опроса How business executives perceive ransomware threat, проведенного нашими коллегами, они не далеки от истины: 88% руководителей из компаний, которые пострадали от шифровальщиков, говорят, что готовы заплатить в случае повторения атаки.

Как минимизировать шансы повторения атаки шифровальщика-вымогателя?

Вопросом о том, как не допустить повторения инцидента следует задаться еще в процессе расследования и ликвидации последствий. И начать нужно на этапе принятия решения о выплате выкупа. В краткосрочной перспективе идея заплатить злоумышленникам может казаться реальным решением проблемы. Однако прежде, чем переводить деньги нужно учитывать следующее:

• Выплата выкупа не гарантирует сохранности вашей информации — она уже в чужих руках;

• Даже если злоумышленники не будут публиковать ее, нет гарантий что она не будет продана тайно или же использована преступниками для других атак;

• Платя преступникам, вы финансируете и развиваете их бизнес, а это неизбежно ведет к увеличению количества атак;

• Заплатив, вы однозначно подаете знак, что вас можно атаковать еще раз.

Поэтому мы рекомендуем однозначно не платить. В остальном же наши советы для тех, кто не хочет допустить повторения атаки шифровальщика-вымогателя достаточно стандартны:

• Установите, как именно вы были атакованы: это поможет не только предотвратить повторения атаки по тому же сценарию, но и позволит выбрать дальнейшие правильные шаги. Если у вас не хватает ресурсов для самостоятельного расследования, обратитесь к сторонним экспертам;

• После того, как вы убедитесь, что злоумышленников в вашей инфраструктуре больше нет, уделите время проверке актуальности версий критических программ (ОС, средств удаленного доступа, защитных решений), а может быть и замене их на более надежные;

• Проведите тщательный анализ своей инфраструктуры на уязвимости. После успешной атаки злоумышленники скорее всего начнут искать альтернативные методы входа;

• Если злоумышленники смогли добраться до ваших систем при помощи социальной инженерии — уделите больше внимания обучению персонала основам кибербезопасности;

• Если для заражения были использованы инструменты удаленного доступа и утекшие пароли — настаивайте на смене всех паролей, используемых в этой системе;

• Убедитесь, что все служебные устройства, имеющие доступ в Интернет, защищены надежными решениями.