Кибервымогательство – это онлайн-атака с целью получения крупного выкупа. Обычно это делается путем угрозы выхода из строя сервера с помощью DDoS-атаки или шифрования ваших данных, закрывая доступ к ним. Позвольте мне рассказать о некоторых печально известных попытках кибервымогательства и возможных способах их пресечения. Ограбление банка очень небезопасно для искушенного злодея. Оно подвергает преступника физическому риску во время совершения преступления и в случае поимки сурово наказывает. В отличие от этого, вы останетесь практически нетронутыми, если организуете футуристическую атаку с выкупом. Вывод: кибервымогательство гораздо менее рискованно и более выгодно по сравнению с обычными кражами или грабежами. Кроме того, ослабление наказаний еще больше благоприятствует киберпреступникам. Добавьте к этому не отслеживаемые криптовалюты, и мы уже должны начать укреплять свою оборону. Кибервымогательство – это акт шантажа в таких формах:
Заложник данных
Злой агент лишает вас доступа к сети компьютеров и требует выкуп за восстановление доступа. Обычно это происходит, когда вы случайно переходите по вредоносной ссылке, которая загружает вредоносное ПО, шифрует файлы и блокирует ваш доступ. Или же кто-то взламывает вашу систему, копирует конфиденциальные данные и пугает вас, чтобы вы заплатили или рискнули обнародовать их. Иногда для этого используется социальная инженерия, в ходе которой злоумышленники используют психологические трюки, заставляя вас ошибочно поверить во взлом, хотя на самом деле его нет.
DDoS
Распределенный отказ в обслуживании (DDoS) иногда используется для прикрытия кражи данных, когда ваша сеть наводняется поддельными запросами на обслуживание, не позволяя реальным пользователям получить доступ.
Это происходит с помощью сети зараженных серверов (ботнетов) или мемкэширования, что приводит к замедлению работы сервера или его отказу. В зависимости от масштабов вашего онлайн-бизнеса потери могут быть огромными. DDoS-атака может быть проведена всего за 4 доллара в час и при этом принести жертве сотни тысяч убытков. Помимо непосредственных потерь, простои в работе отталкивают ваших клиентов к конкурентам, что со временем приводит к дополнительным убыткам.
Крупнейшие атаки кибервымогателей
Давайте посмотрим на некоторые из крупнейших событий, зафиксированных в прошлом.
WannaCry
12 мая 2017 года началась глобальная атака вируса WannaCry на компьютеры под управлением Microsoft Windows. Ее реальные масштабы пока неизвестны, поскольку она все еще сохраняется в некоторых формах. В первый же день работы WannaCry заразила 230 тысяч компьютеров в 150 с лишним странах. Это затронуло крупные корпорации и правительства по всему миру. Она могла копировать, устанавливать, исполнять и распространять себя в сети без какого-либо участия человека. В вирусе WannaCry хакеры воспользовались уязвимостью Windows с помощью эксплойта EternalBlue. Интересно, что EternalBlue был разработан АНБ США для использования уязвимости Windows. Код эксплойта каким-то образом был украден и опубликован хакерской группой под названием The Shadow Brokers. Microsoft, зная о проблеме, выпустила обновление для ее устранения. Но большинство пользователей, работавших на устаревших системах, стали главной мишенью. На этот раз спасителем стал Маркус Хатчинс, который случайно заблокировал вредоносную программу, зарегистрировав домен, упомянутый в коде эксплойта. Это сработало как “выключатель” и удержало WannaCry на расстоянии. Но это еще не все, в том числе и то, что “рубильник” пострадал от DDoS-атаки, а Хатчинс передал “рубильник” компании Cloudflare, о чем вы можете узнать на TechCrunch. Глобальные потери оцениваются примерно в 4 миллиарда долларов.
CNA Financial
21 марта 2021 года чикагская компания CNA Financial узнала, что кто-то скопировал конфиденциальные личные данные ее сотрудников, контрактников и их иждивенцев. Об этом стало известно более чем через две недели, так как взлом оставался незамеченным с 5 марта 2021 года. Это была гибридная атака, включавшая кражу данных, а также захват системы CNA в заложники. Хакеры, российская хакерская группа Evil Corp, использовали вредоносное ПО для шифрования серверов CNA. После переговоров о первоначальной сумме выкупа в 60 миллионов долларов хакеры в итоге согласились на 40 миллионов долларов, сообщает Bloomberg.
Colonial Pipeline
Взлом Colonial Pipeline привел к перебоям в поставках топлива с одного из крупнейших трубопроводов в США. В ходе расследования выяснилось, что это произошло в результате утечки одного пароля в темной паутине. Однако неизвестно, как злоумышленники получили правильное имя пользователя, соответствующее скомпрометированному паролю. Хакеры получили доступ к системам Colonial через виртуальную частную сеть, предназначенную для удаленных сотрудников. Поскольку многофакторная аутентификация отсутствовала, было достаточно имени пользователя и пароля. Через неделю такой активности, 7 мая 2021 года, один из действующих сотрудников увидел записку с требованием выкупа в размере 4,4 миллиона долларов в криптовалюте. В течение нескольких часов чиновники полностью перекрыли трубопровод, наняли специалистов по кибербезопасности для проверки и уменьшения ущерба. Они также заметили кражу 100 ГБ данных, и хакер угрожал раскрыть их в случае неуплаты выкупа. Программа-вымогатель нарушила работу биллинговой и бухгалтерской части ИТ-систем Colonial. Сумма выкупа была выплачена вскоре после атаки DarkSide, хакерской группе, базирующейся в Восточной Европе. DarkSide предоставила инструмент для расшифровки, который оказался настолько медленным, что на нормализацию работы трубопровода ушла неделя. Интересно, что 7 июня 2021 года Министерство юстиции США опубликовало публичное заявление, в котором говорится о возврате 63,7 биткоина от первоначального платежа. Каким-то образом ФБР завладело приватными ключами, связанными с аккаунтами хакеров, и вернуло 2,3 миллиона долларов, что, очевидно, меньше, чем было заплачено из-за резкого падения цен на биткоины в тот период.
Dyn
Помимо того, что Dyn занимается многими вещами в интернете, она выступает в качестве поставщика DNS-услуг для некоторых крупных компаний, включая Twitter, Netflix, Amazon, Airbnb, Quora, CNN, Reddit, Slack, Spotify, PayPal и др. Они были уничтожены в результате крупной DDoS-атаки 21 октября 2016 года. Злоумышленник использовал ботнет Mirai, в котором было задействовано множество взломанных IoT-устройств для отправки ложных DNS-запросов. Этот трафик забивал DNS-серверы, вызывая экстремальные замедления, что приводило к неизвестным потерям по всему миру. Хотя масштаб атаки не позволяет подсчитать точную сумму ущерба, понесенного сайтами, Dyn понес большие потери. Около 14 500 доменов (примерно 8 %) перешли к другому DNS-провайдеру сразу после атаки. Хотя многие другие компании пострадали от подобных атак, например Amazon Web Services, GitHub, давайте не будем съезжать с дороги и перейдем к разработке надежной стратегии по предотвращению подобных кибервымогательств.
Как предотвратить кибервымогательство?
Вот некоторые из основных профилактических мер, которые помогут вам защититься от подобных интернет-атак:
Избегайте переходов по вредоносным ссылкам
Злоумышленники часто пользуются этим детским свойством человеческой психологии – любопытством.
Фишинговые письма стали источником около 54 % атак на вымогателей. Поэтому, помимо напоминания себе и своим сотрудникам о спаме, организуйте семинары. Это может включать в себя фиктивные фишинговые письма и еженедельные кампании для обучения в реальном времени. Это больше похоже на вакцинацию, когда небольшое количество мертвых вирусов защищает от живых угроз. Кроме того, вы можете обучить сотрудников технологиям, подобным “песочнице”, для открытия подозрительных ссылок и приложений.
Обновления программного обеспечения и решения для обеспечения безопасности
Независимо от вашей ОС устаревшее программное обеспечение подвержено атакам кибервымогателей. Люди могли бы легко избежать WannaCay, если бы вовремя обновили свои компьютеры с Windows. Еще одно распространенное заблуждение – вы в безопасности, если используете Mac. Это абсолютная неправда. А отчет Malwarebytes о состоянии вредоносных программ разрушает ложное чувство безопасности у пользователей Mac. Windows OS подвергалась серьезным атакам только потому, что Mac не был так популярен. Доля рынка ОС от Microsoft по-прежнему составляет около 74 %, и нацеливаться на пользователей Mac просто не стоит.
Но ситуация постепенно меняется: с 2018 по 2019 год Malwarebytes зафиксировала 400-процентный скачок угроз, направленных на Mac OS. Кроме того, они отметили 11 угроз на один Mac по сравнению с 5,8 угрозами для Windows-устройств. В итоге, инвестиции в комплексное решение для обеспечения интернет-безопасности, такое как Avast One, определенно оправдывают себя. Кроме того, вы можете установить системы обнаружения вторжений, такие как Snort или Suricata, для большей безопасности.
Используйте надежные пароли
Атака на Colonial Pipeline была вызвана тем, что сотрудник дважды использовал слабый пароль. По данным исследования Avast, около 83 % американцев используют слабые пароли, а 53 % – одни и те же пароли для нескольких учетных записей. Признаться, заставить пользователей использовать надежные пароли для собственных нужд уже оказалось непростой задачей. Попросить их сделать это на работе кажется почти невозможным. Итак, каково же решение? Платформы для аутентификации пользователей. Вы можете использовать эти платформы для внедрения требований к надежным паролям в вашей организации. Это сторонние специалисты с гибкими тарифными планами в зависимости от размера компании. Вы также можете начать с бесплатных уровней с Ory, Supabase, Frontegg и т. д. На личном уровне используйте менеджеры паролей. Кроме того, не забывайте время от времени обновлять пароли. Это обеспечит вашу безопасность, даже если ваши учетные данные каким-то образом будут украдены. А это гораздо проще с премиальными менеджерами паролей, такими как Lastpass, которые могут автоматически обновлять ваши пароли одним щелчком мыши. Но не ограничивайтесь сложным паролем, попробуйте творчески подойти и к имени пользователя.
Резервное копирование в автономном режиме
Уровень сложности таких атак иногда может обмануть даже известных экспертов по кибербезопасности, не говоря уже о владельцах малого бизнеса. Поэтому постоянно обновляйте резервные копии. Это поможет вернуть систему в строй в роковой день. А автономные резервные копии – это дополнительное преимущество. Это надежное холодное хранилище, недоступное для кибервымогателей. Кроме того, обратите внимание на доступные возможности восстановления, поскольку длительные простои иногда могут сделать запрашиваемый выкуп выгодным. Именно поэтому некоторые владельцы бизнеса идут на переговоры с угрозами и в итоге платят огромные суммы. В качестве альтернативы могут пригодиться сторонние решения для резервного копирования и восстановления данных, например Acronis. Они обеспечивают защиту от вымогательства и механизмы восстановления данных без лишних хлопот.
Сеть доставки контента (CDN)
Многие обнаружили и предотвратили крупные DDoS-атаки благодаря грамотным сетям доставки контента.
Как уже говорилось выше, именно превосходная CDN, Cloudflare, поддерживала киллсвитч WannaCry в режиме нон-стоп в течение двух лет. Это также помогло ему выдержать многочисленные DDoS-атаки в течение этого периода времени. CDN хранит кэшированную копию вашего сайта по всему миру на нескольких серверах. Они передают избыточную нагрузку в свою сеть, что позволяет избежать перегрузок и простоев серверов. Эта стратегия не только защищает от угроз DDoS, но и обеспечивает молниеносную скорость работы веб-сайтов для клиентов по всему миру. И наконец, не может быть полного списка средств защиты от кибервымогательства. Все меняется, и лучше всего, если на борту всегда будет находиться эксперт по кибербезопасности. Но что делать, если это все равно произойдет? Каковы должны быть ваши действия, если вы стали жертвой онлайн-вымогательства.
Ответные меры на кибервымогательство
Первое, что приходит в голову после атаки вымогателей, помимо обычного беспокойства, – заплатить и покончить с этим. Но это не всегда срабатывает. Исследование, проведенное британской компанией SOPHOS, специализирующейся на информационной безопасности, показывает, что выплата выкупа – не лучший выход из ситуации. В отчете об исследовании атак говорится, что только 8 % компаний получили полную информацию после уплаты выкупа. А 29% смогли восстановить только 50% или менее украденных/зашифрованных данных.
Таким образом, выполнение требования о выкупе может привести к обратному результату. Это сделает вас зависимым от злоумышленника и его инструментов для расшифровки ваших данных, откладывая другие попытки спасения. Более того, нет никакой гарантии, что инструмент, предоставленный хакером, сработает. Он может выйти из строя или заразить вашу систему. Кроме того, оплата услуг преступников делает вашу организацию их платежеспособным клиентом. Таким образом, вероятность повторения подобной атаки в будущем очень высока. В итоге платить нужно в самом крайнем случае. Использование других методов, например восстановление резервных копий, безопаснее, чем оплата криптовалютами неизвестному преступнику. Кроме того, несколько фирм связались с ведущими экспертами по кибербезопасности и сообщили об этом в правоохранительные органы. Это и спасло их, как в случае с восстановлением ФБР вымогательства в компании Colonial Pipeline.
Кибервымогательство: заключение
Следует отметить, что это не такая уж редкость, как может показаться. И, конечно же, лучший способ – это укреплять свои щиты и иметь резервные копии. Если это произошло, сохраняйте спокойствие, начинайте спасательные операции на месте и обращайтесь к специалистам.
Но постарайтесь не поддаваться на требования выкупа, потому что это может не сработать, даже если вы заплатите целое состояние.
