Как не допустить повторения атаки шифровальщика?
За последние несколько лет злоумышленники выбирали своими целями и небольшие компании, и гигантские заводы, и города и даже целые страны. Атаки такого рода практически всегда оборачиваются внушительными потерями, как финансовыми, так и репутационными, поэтому велик соблазн бросить все силы защитников на ликвидацию последствий. Но важно не упускать из внимания и другой вопрос — как не допустить повторения инцидента.
Почему вы скорее всего будете атакованы шифровальщиком второй раз?
Когда-то авторы шифровальщиков сами пытались атаковать компании, рассылая свои троянцы со спамом. Современные группировки давно работают по принципу Ransomware-as-a-Service: предоставляют всем желающим доступ к инфраструктуре и коду зловреда за долю от выкупа. Да и вообще, «шифровальный бизнес» стремительно превращается в полноценную индустрию, где у каждого участника есть своя специализация. В частности, есть преступные группы, которые ищут (или организовывают) и продают первичный доступ к сетям компаний.
Если в новостях или на хакерских форумах появится информация о том, что ваша организация стала жертвой шифровальщика, это автоматически привлечет внимание других злоумышленников. Особенно, если вы согласитесь заплатить выкуп. Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками. Для современных преступников это явный признак того, что атаку на вашу компанию стоит повторить. И как показывают результаты опроса How business executives perceive ransomware threat, проведенного нашими коллегами, они не далеки от истины: 88% руководителей из компаний, которые пострадали от шифровальщиков, говорят, что готовы заплатить в случае повторения атаки.
Как минимизировать шансы повторения атаки шифровальщика-вымогателя?
Вопросом о том, как не допустить повторения инцидента следует задаться еще в процессе расследования и ликвидации последствий. И начать нужно на этапе принятия решения о выплате выкупа. В краткосрочной перспективе идея заплатить злоумышленникам может казаться реальным решением проблемы. Однако прежде, чем переводить деньги нужно учитывать следующее:
-
Выплата выкупа не гарантирует сохранности вашей информации — она уже в чужих руках;
-
Даже если злоумышленники не будут публиковать ее, нет гарантий что она не будет продана тайно или же использована преступниками для других атак;
-
Платя преступникам, вы финансируете и развиваете их бизнес, а это неизбежно ведет к увеличению количества атак;
-
Заплатив, вы однозначно подаете знак, что вас можно атаковать еще раз.
Поэтому мы рекомендуем однозначно не платить. В остальном же наши советы для тех, кто не хочет допустить повторения атаки шифровальщика-вымогателя достаточно стандартны:
-
Установите, как именно вы были атакованы: это поможет не только предотвратить повторения атаки по тому же сценарию, но и позволит выбрать дальнейшие правильные шаги. Если у вас не хватает ресурсов для самостоятельного расследования, обратитесь к сторонним экспертам;
-
После того, как вы убедитесь, что злоумышленников в вашей инфраструктуре больше нет, уделите время проверке актуальности версий критических программ (ОС, средств удаленного доступа, защитных решений), а может быть и замене их на более надежные;
-
Проведите тщательный анализ своей инфраструктуры на уязвимости. После успешной атаки злоумышленники скорее всего начнут искать альтернативные методы входа;
-
Если злоумышленники смогли добраться до ваших систем при помощи социальной инженерии — уделите больше внимания обучению персонала основам кибербезопасности;
-
Если для заражения были использованы инструменты удаленного доступа и утекшие пароли — настаивайте на смене всех паролей, используемых в этой системе;
-
Убедитесь, что все служебные устройства, имеющие доступ в Интернет, защищены надежными решениями.