Стоит ли платить выкуп, если вы стали жертвой атаки программ-вымогателей?

Почему жертвам программ-вымогателей не стоит платить выкуп?

Растущая зависимость от нескольких облачных сред в течение последних нескольких лет и растущее число сотрудников, выбирающих гибридную рабочую норму, создали многочисленные возможности для групп вымогателей, нацеленных на организации. В ответ на растущее влияние программ-вымогателей предприятия всех размеров вкладывают средства в подход к безопасности с нулевым доверием, где ключевую роль играют цифровые удостоверения и многофакторная аутентификация (MFA).

Состояние угроз программ-вымогателей

Атаки программ-вымогателей за последние годы стали более продвинутыми и сложными, эволюционировав от простого развертывания вредоносных программ и вымогательства до многоуровневой бизнес-модели «программы-вымогатели как услуга» (RaaS), в которой «поставщики услуг», такие как начальные брокеры доступа, разрабатывают, а затем продают или арендовать их услуги. Так называемые атаки «двойного вымогательства» также повышают риск, когда киберпреступники извлекают данные перед шифрованием и требованием выкупа. Все эти события способствуют более серьезной угрозе для организаций.

Исследование CyberRisk Alliance указывает на то, что 43% опрошенных предприятий подверглись как минимум одной атаке программ-вымогателей за последние два года (2020–2021 гг.). 32% считают, что они не могут предотвратить атаки программ-вымогателей, потому что злоумышленники слишком хорошо финансируются и изощрены.

Согласно отчету Thales Data Threat Report за 2022 г., 43% жертв программ-вымогателей серьезно пострадали. Воздействие варьируется от серьезных затрат, таких как финансовые потери из-за штрафов, штрафов и судебных издержек, до более мягких затрат, включая потерю производительности, затраты на восстановление и репутацию бренда.

Платить или не платить? Это вопрос

Атаки программ-вымогателей иногда даже хуже, чем наихудший сценарий, который запланировала организация. Данные, украденные группой вымогателей, могут быть настолько конфиденциальными или опасными, что их разглашение разрушит организацию. Когда все другие варианты исчерпаны, организация понимает, что ей, возможно, придется заплатить группе вымогателей.

На самом деле процент жертв программ-вымогателей, решивших заплатить выкуп, выше, чем вы думаете. Выводы отчета CyberRisk Alliance показывают, что 58% жертв заплатили выкуп, а 29% нашли свои украденные данные в даркнете.

Однако выплата выкупа может не стать решением вашего кошмара. Даже если компания заплатит, нет никакой гарантии, что злоумышленники вернут данные или что ключ дешифрования вернет данные туда, где они были до атаки.

Согласно [отчету Sophos за 2021 г.] (https://secure2.sophos.com/en-us/content/state-of-ransomware.aspx), 92 % этих организаций не получают обратно все свои данные, а 29 % из них даже не восстанавливают половину зашифрованных данных.

Непоследовательный возврат данных — не единственная причина, по которой компании должны воздерживаться от уплаты выкупа. [Федеральные агентства, такие как CISA, и другие специалисты по безопасности подчеркивают, что выплата выкупа приносит больше вреда, чем пользы.] (https://cpl.thalesgroup.com/blog/identity-data-protection/measures-against-ransomware)

Хотя оплата может показаться жизнеспособным вариантом и быстрым решением вашей проблемы, есть много причин, по которым вы не должны этого делать:

• Банды вымогателей поощряются, поскольку выкупы финансируют их

• Тактика двойного вымогательства только увеличивает требуемый выкуп

• Компании, платящие выкуп, могут столкнуться в будущем с юридическими проблемами из-за финансирования терроризма.

Профилактика лучше, чем лечение

Прежде чем даже обсуждать возможность выплаты выкупа, предприятия должны начать планировать, как снизить вероятность того, что они станут следующей жертвой атаки программ-вымогателей.

Бизнес-модель программ-вымогателей

Первый шаг — понять, как действуют банды вымогателей. Эти преступники часто занимаются охотой на крупную дичь. Чем выше ожидания в отношении надежности, качества и доверия к сервису, тем больше вероятность того, что бизнес станет мишенью. Для этих компаний влияние сбоев на бизнес-операции гораздо важнее, чем выплаты. Когда энергетическая или коммунальная сеть скомпрометирована, это может привести к отключению электроэнергии и пробкам, а нарушение механизмов безопасности — выбросу токсичных химикатов, разливу нефти, пожарам или взрывам.

Проблема усугубляется тем фактом, что навыки, необходимые для выполнения атаки программ-вымогателей, резко сократились. Модели Ransomware-as-a-Service предлагают полный пакет для потенциальных злоумышленников. Пакеты программного обеспечения для вымогателей существуют вместе с миллионами украденных учетных данных для доступа в темной сети, что позволяет людям с относительно небольшим техническим образованием эффективно выполнять атаки программ-вымогателей.

Постройте свою защиту — подход с нулевым доверием

Доступ на основе удостоверений и многофакторная проверка подлинности могут помочь уменьшить количество таких атак. Предприятиям следует проявлять инициативу и создавать возможности для выявления источника повторяющихся чрезмерных попыток входа в систему и блокировать такие попытки. Наличие такой возможности имеет решающее значение для обнаружения и снижения воздействия программ-вымогателей.

В соответствии с недавним исполнительным распоряжением владелец американского рынка IAM сказал, «Добавление шлюзов проверки личности (#MFA) перед каждым приложением может не только снизить вероятность попадания #ransomware, но и ограничить наносимый ущерб».

Одним из наиболее эффективных способов предотвращения атак программ-вымогателей является внедрение [архитектуры нулевого доверия] (https://informationsecuritybuzz.com/expert-comments/white-house-omb-zero-trust-strategy/). Построенная по принципу «никогда не доверяй, всегда проверяй», стратегия безопасности с нулевым доверием предотвратила бы атаки программ-вымогателей, таких как Colonial Pipeline и JBS, предотвратив их распространение по операциям, сохраняя при этом работу.

Нулевое доверие также не является панацеей от программ-вымогателей, но при правильной реализации оно может помочь создать гораздо более надежную защиту от атак программ-вымогателей. Одним из ключевых столпов нулевого доверия является управление идентификацией пользователей и доступом. Другие включают возможности мониторинга, обнаружения и проверки угроз, необходимые для предотвращения атак программ-вымогателей и кражи конфиденциальных данных. Фреймворки с нулевым доверием помогают значительно уменьшить поверхность атаки, поскольку сотрудники и третьи стороны имеют доступ только к тем ресурсам, которые им нужны в данный момент времени.

Нулевое доверие — это стратегия, которая способствует цифровой трансформации. Это требует приверженности всей организации и требует изменения мышления, осуществляемого с должным усердием. Однако бонусом является то, что предприятия, которые успешно реализуют безопасность с нулевым доверием, будут намного сильнее противостоять развивающимся угрозам, таким как программы-вымогатели, и станут по-настоящему устойчивой к киберугрозам организацией.