В 2023-м во всем мире выросло число кибератак: по сравнению с прошлым годом их стало на 153% больше. Зачастую хакеры использовали вирусы-шифровальщики, чтобы похитить данные компании, а затем потребовать многомиллионный выкуп. «Известия» разобрались, как работают такие схемы, какие самые яркие кейсы произошли в мире за год, что делать бизнесу в случае атак и почему не стоит платить преступникам выкуп.
Как работают шифровальщикиШифровальщик, или по-другому вымогатель, — это вредоносная программа, которая ищет ценную для пользователя или компании информацию, например документы, изображения или базы данных, и шифрует ее. Зашифрованные файлы невозможно открыть и использовать.
Чаще всего, объясняет «Известиям» директор направления систем резервного копирования ИТ-компании «Киберпротект» Сергей Лебедев, мошенническая схема разворачивается по такому сценарию:
1. Хакер с помощью атаки получает доступ к данным компании. Главная цель — сделать так, чтобы вредоносное ПО оказалось внутри контура и сработало. Варианты самих атак могут быть разными:
DDoS — на веб-сервис одновременно отправляется большое количество запросов, из-за чего превышается допустимая нагрузка на сервер, и он перестает работать. Так ослабляется защита инфраструктуры, проникнуть в контур становится проще. Таким способом в августе 2023 года были украдены данные у российской платежной системы «Золотая корона» (KoronaPay);проникновение в контур через уязвимости в публичных сервисах, например через угадывание учетных данных для входа в систему;социальная инженерия: например, сотрудник компании по незнанию может открыть фишинговую ссылку и скачать зараженный файл. Так было в одном из самых громких кейсов года — атаке на сеть казино Caesars Entertainment. Служба безопасности признала, что злоумышленникам удалось попасть в контур с помощью сотрудников аутсорсинговой компании, которая оказывала ИТ-поддержку. Злоумышленники выдавали себя за специалистов технической поддержки, чтобы выманить у пользователей учетные данные. Они потребовали выкуп в размере $30 млн, чтобы не допустить утечки.2. После получения доступа хакер выявляет нужные данные и шифрует их, то есть приводит в нечитаемый вид. Иногда злоумышленник может скачать часть данных, чтобы продемонстрировать их в качестве доказательства взлома и убедить жертву заплатить выкуп.
3. Выплата выкупа. Чаще всего оплата проходит через специальное ПО, в котором указаны данные кошелька. Требования выкупа обычно отправляют с анонимных адресов на электронную почту или в мессенджер.
— Если был совершен перевод, то это же хакерское ПО способно расшифровать данные. Сами шифровальщики и алгоритмы не инновационны, если знать ключ, расшифровать данные несложно. Но даже после внесения выкупа этот ключ могут не прислать — никаких гарантий нет, — заключает Лебедев.
Пострадавшие от атакПо данным исследования «Киберпроекта», которым компания поделилась с «Известиями», за девять месяцев 2023 года сообщалось о 94 крупных атаках вирусов-шифровальщиков (то есть в среднем — три инцидента в неделю). Чаще всего атаки были направлены на компании в тех странах, где цифровые технологии развиваются наиболее быстро. В лидерах — США (51%), Канада (7,4%), Англия (6,4%), Австралия (4,3) и Россия (3%).
— То, что Россия оказалась на пятом месте, может быть связано с подходом к хранению данных. Западные компании чаще всего используют публичные облачные сервисы, которые проще атаковать. Российский бизнес предпочитает хранить информацию в закрытом контуре, куда сложнее попасть хакеру. Такие системы в меньшей степени связаны с внешними сетями, — объясняет Сергей Лебедев.
Сегодня, отмечает эксперт, в России более популярны локальные решения, то есть устанавливаемые на сторону заказчика. Однако поскольку в стране растет тренд на облачные сервисы, возможно, и российский бизнес ждет рост атак на свои структуры. Пока им чаще всего подвергаются госсектор, ИТ-компании и здравоохранение.
Выкуп, который запросили хакеры в этом году, в среднем составлял от $250 тыс. до $10 млн. В половине случаев они требовали внести сумму на криптокошельки. По мнению экспертов, это связано с тем, что в таких переводах сложнее отследить и обнаружить получателя. Самый большой выкуп в 2023 году внесла американская сеть казино Caesars Entertainment — $15 млн (половину от того, что требовали хакеры).
Выкуп за данныеВпрочем, предупреждают эксперты по кибербезопасности, выполнение требований хакеров обычно ничего не гарантирует. После внесения выкупа данные могут и не расшифровать — кроме того, их всё равно могут слить в интернет или передать компаниям-конкурентам. К тому же, если, помимо самого восстановления данных, не закрывается уязвимость, через которую зловредное ПО попало в контур, есть шанс повторной атаки.
— Сегодня всё чаще встречаются гибридные атаки, когда шифрование данных с целью выкупа сопровождается похищением конфиденциальных данных, которые потом злоумышленник может также использовать для наживы, — рассказывает исполнительный директор компании «Киберпротект» Елена Бочерова. — В таком случае, помимо издержек на выплаты хакерам или восстановление данных, бизнес, скорее всего, оштрафуют за утечку данных. Размер выплаты зависит от страны и юрисдикции компании.
В России такой штраф сегодня составляет от 60 тыс. до 100 тыс. рублей, при повторном правонарушении — до 500 тыс. руб. Но в работе у депутатов находится новый законопроект об оборотных штрафах за утечки данных, по которому компания будет обязана выплатить 3–5 млн рублей, если были скомпрометированы данные более 1 тыс. пользователей, от 5 млн до 10 млн — если утекли данные больше 10 тыс. человек, от 10 млн до 15 млн — если речь идет о данных более 100 тыс. человек.
За повторные нарушения предлагается ввести штраф от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
— Также в России внедряются превентивные меры защиты, например принудительный аудит защищенности. Так, еще в 2022 году Минцифры отобрало 58 крупных организаций, которые обязаны провести проверку своих систем, — говорит Елена Бочерова.
По ее словам, для того чтобы защитить себя, многие компании начали прибегать к услуге киберстрахования: так они могут компенсировать часть расходов на восстановление данных. Оценка страхового риска происходит по результату аудита информационной безопасности. Специалисты оценивают инфраструктуру, риски, ценность данных и возможный размер выкупа. В России объем киберстрахования сегодня составляет около $6–7 млн, и эта цифра, по мнению экспертов, будет только расти.
Подрыв репутацииМежду тем хакерские атаки сегодня проводятся не только с целью получения выкупа. Помимо этого, целью может быть нанесение репутационного вреда организации.
— Этому чаще всего подвержены крупные медийные компании, в которых факт вымогательства практически всегда становится публичным. Неважно, получится ли у компании восстановить данные и защитить себя от повторных атак, недоверие пользователей останется с ней надолго, — говорит Елена Бочерова.
К примеру, после атаки на американского TV-провайдера Dish Network в феврале 2023 года сразу в нескольких штатах на него подали коллективные иски. В них пользователи утверждали, что компания, на неделю оставившая зрителей без просмотра телевизора, имеет плохую кибербезопасность и слабую ИТ-инфраструктуру.
В некоторых ситуациях, добавляет собеседник «Известий», целью может быть выведение бизнеса из строя. Особенно это касается небольших компаний, где сумма выкупа может превышать годовую выручку.
— Но и крупный бизнес не защищен: так, последствия взлома хостинг-провайдера Rackspace оказались настолько серьезными, что привели к отключению их почтового сервиса, так как издержки на восстановление были непомерно большими, — заключает эксперт.
Способы защитыДля того чтобы защитить бизнес от программ-вымогателей и других атак, эксперты по кибербезопасности советуют применять комплексные меры. Лучше начинать с обучения сотрудников: научить их распознавать фишинговые сайты, проверять внешние ссылки, по которым переходят, и не подключаться к публичным Wi-Fi-сетям.
— Также нужно работать с сетевой безопасностью, правильной настройкой приложений, составлением политики безопасности. Например, регулярно проверять, что у сотрудников есть доступ только к тем данным, которые нужны им для работы. В правильно настроенной инфраструктуре вирус не сможет распространиться далеко, даже если пользователь открыл фишинговую ссылку. Система обнаружит и ликвидирует зловредное ПО сразу на этом устройстве, — говорит Сергей Лебедев.
Другая обязательная практика борьбы с вымогателями, по его словам, — это резервное копирование данных. Если превентивные меры не помогли, именно бэкап поможет пережить удар и снизить издержки. Копии можно снимать с разных систем — файлов данных, конфигураций, гипервизора, виртуальных машин. При этом Лебедев рекомендует учитывать два момента:
резервные копии должны быть настроены на все типы данных в организации, иначе бэкапы будут неполными и бизнесу всё равно придется выплачивать выкуп. Например, в компании может быть настроено резервное копирование файловой системы, но при этом часть ценных данных хранилась в почте, бэкап которой не делали. Если хакеры атаковали инфраструктуру, которая отвечала за хранение почты, резервная копия файлового хранилища не поможет;при проектировании систем резервного копирования лучше придерживаться правила 3-2-1: создать не менее трех копий данных на двух разных носителях. При этом одну копию стоит хранить на удаленном носителе на случай локального происшествия, например, на специальных лентах.— Это связано с тем, что хакеры чаще всего атакуют резервные копии, повышая вероятность выкупа. По такой схеме происходила атака и на Dish Network, — отмечает собеседник «Известий».
В свою очередь, администратор информационной безопасности в Лиге цифровой экономики Полина Арсентьева напоминает о необходимости использовать антивирусные программы, установленные с официального сайта разработчиков, а также регулярно проверять компьютер на наличие вирусов.
— Не рекомендуется скачивать программы со сторонних форумов и сайтов — возможно, они созданы злоумышленниками и внутри находится вирус. Важно также настроить автоматическое обновление антивирусных баз и всегда скачивать обновления для компьютера и программ, так как они часто содержат устранение уязвимостей. Компаниям рекомендуется использовать антивирусное программное обеспечение, — говорит она в беседе с «Известиями».
В случае если атака уже произошла, для ИБ-специалистов важно не только восстановить данные, но и закрыть уязвимую часть инфраструктуры. Специалисты по расследованию подобных инцидентов называются реверс-инженерами. Они могут «посмотреть» внутренности программы и найти способ расшифровать данные, не зная исходный ключ. Например, самостоятельно сгенерировать его.
— Самих сотрудников компании нужно обязательно проинструктировать, что делать, если с ними связываются вымогатели. Сначала они должны обратиться в службу безопасности компании, а те, в свою очередь, свяжутся с компетентными органами. Они и займутся расследованием инцидента, — заключает Сергей Лебедев.