- Программы-вымогатели — почему это так просто и имеет такой экономический смысл
- Лекарство от вирусов-вымогателей
- Что дальше?
- Как вам не стать жертвой программы-вымогателя?
- Обновите план резервного копирования и восстановления
- Управление исправлениями и антивирусное программное обеспечение
- Инструменты безопасности
- Обучение по вопросам безопасности
- Некоторые компании предпочитают готовить биткойн-кошелек
Программы-вымогатели — почему это так просто и имеет такой экономический смысл
Travelex, одна из крупнейших валютных компаний, которую вы видите почти в каждом аэропорту, оказалась на коленях из-за вируса-вымогателя Sodinokibi.
До недавнего времени доставка выкупа часто была самым сложным логистическим аспектом преступления. Но с появлением анонимных криптовалют это больше не проблема. И это одна из причин, по которой мы наблюдаем такой всплеск атак программ-вымогателей.
Но программы-вымогатели настолько популярны, потому что они чрезвычайно прибыльны. Многие создатели программ-вымогателей находятся в Восточной Европе и других развивающихся странах, где доходы составляют лишь малую часть их доходов в США. При этом одна успешная значительная атака может обеспечить злоумышленникам пожизненный доход. Поскольку многомиллионные выкупы становятся нормой, каждый захочет принять участие в игре, потому что все они хотят стать интернет-миллионерами.
Как заметил Патрик Кафлин из TruSTAR Technology: программы-вымогатели — это великий уравнитель киберпространства, и мы видим, что они беспристрастно наказывают определенные компании, сектора или бизнес-модели. В прошлом эксплойты в сфере здравоохранения могли выглядеть иначе, чем в финансовых услугах или в секторе розничной торговли. Но, если вы думаете об этом как о бизнесе, вымогатель имеет минимальные начальные затраты, требует уменьшения набора тонких технических навыков для развертывания и имеет простую стратегию монетизации на широком и часто не зависящем от сектора адресном рынке.
Учитывая это, вымогатели не исчезнут в ближайшее время. Фирмы должны либо убедиться, что они адекватно защищаются от программ-вымогателей. Или будьте готовы заплатить выкуп.
С технической точки зрения программы-вымогатели не представляют собой изощренную атаку. В некотором смысле это похоже на поиск ключа под ковриком или использование комбинации по умолчанию на дверном замке. Но физическое ограбление дома требует времени, сопряжено с физическим риском и высокой степенью неопределенности. С программой-вымогателем дело не в попытках взломать несколько домов за одну ночь; вместо этого можно поразить миллионы домов.
И каким бы простым ни был вымогатель, он является противоядием от него. The Heritage Company была фирмой из Арканзаса, которая занималась сбором средств для прямого маркетинга более 60 лет. В конце 2019 года они были атакованы программой-вымогателем, в результате чего они вышли из бизнеса. Но, как заметил Грэм Клули, атаки вымогателя никогда не должно быть достаточно, чтобы убить компанию. Что на самом деле привело к упадку Heritage Company, на самом деле отсутствие безопасных резервных копий и надежного плана аварийного восстановления.
Лекарство от вирусов-вымогателей
Программа-вымогатель частично представляет собой атаку на резервные копии компании. Если у вас есть хорошие резервные копии, у злоумышленников нет рычагов воздействия. Вы изолируете пораженное устройство, повторно создаете его образ, выясняете, как оно было заражено, и двигаетесь вперед. Если у вас нет хороших резервных копий, у вас нет рычагов воздействия и вы находитесь в очень тяжелом положении.
Что дальше?
Вы можете быстро узнать, насколько вы устойчивы к программам-вымогателям, ответив на следующие вопросы.
- Регулярно ли выполняется резервное копирование всех критически важных данных и проводится ли их регулярное тестирование, чтобы убедиться, что они были правильно восстановлены?
- Какой процент компьютеров на предприятии исправлен?
- На каком проценте компьютеров предприятия установлены уязвимые версии Windows?
- Насколько эффективна программа повышения осведомленности об информационной безопасности?
- Есть ли у вас хорошая программа разведки угроз?
- В случае заражения программой-вымогателем существует ли процесс реагирования на инцидент, чтобы справиться с этим?
Как вам не стать жертвой программы-вымогателя?
Позвольте мне перечислить некоторые фундаментальные шаги, которые вы можете и должны предпринять, чтобы не стать жертвой программы-вымогателя. Ниже приводится далеко не полный список, а несколько высокоуровневых задач, которые необходимо немедленно выполнить.
Обновите план резервного копирования и восстановления
Если вы полностью не обновили свой план резервного копирования и восстановления в течение последнего года, в частности, для борьбы с программами-вымогателями, он полностью устарел; как и во Флинстоунах устаревшие. Ваши резервные копии — это ваша ИТ-служба, которую нужно вытащить из тюрьмы, поэтому крайне важно, чтобы этот процесс был непробиваемым и отказоустойчивым. До появления программ-вымогателей можно было использовать стратегию резервного копирования 10-летней давности. Но сейчас мир совсем другой. Ваши резервные копии хороши ровно настолько, насколько хороша ваша обновленная стратегия резервного копирования.
Авторы программ-вымогателей знают, насколько эффективны резервные копии, поэтому теперь они пишут программы-вымогатели специально для резервных копий. Позвольте мне повторить этот серьезный момент: ваши резервные копии — это все, что у вас есть, и они, вероятно, подвергаются атаке. Дизайн соответственно.
Когда дело доходит до резервного копирования, два наиболее важных аспекта, на которых следует сосредоточиться, — это периодичность и чистое резервное копирование. Вы хороши ровно настолько, насколько хорошо ваша последняя резервная копия, поэтому крайне важно, чтобы резервное копирование выполнялось в режиме реального времени или близко к нему.
Само собой разумеется, что вы хотите убедиться, что в ваших резервных копиях нет программ-вымогателей или другого вредоносного ПО. Это нетривиальная задача, и если ее не сделать правильно, вы только восстановите программу-вымогатель в своей системе.
Программы-вымогатели развиваются, и если ваша стратегия резервного копирования не изменилась вместе с ними, возможно, вам придется подумать о выплате выкупа.
Управление исправлениями и антивирусное программное обеспечение
На дворе 2020 год, и должно быть совершенно ясно, что исправление операционной системы и хорошее антивирусное программное обеспечение — необходимость. Только они не гарантируют, что вы не станете жертвой программы-вымогателя. Но большинство жертв программ-вымогателей стали жертвами из-за работы на настольных компьютерах, которые не были исправлены, имели устаревшее антивирусное программное обеспечение, а часто и то и другое.
Инструменты безопасности
Часто полезную нагрузку вымогателя доставляет ошибочное электронное письмо. При этом безопасный периметр, вероятно, в первую очередь должен был заблокировать его. Убедитесь, что используются такие технологии, как шлюзы электронной почты, фишинг, антиспам, веб-контроль, защита конечных точек, межсетевой экран нового поколения, автоматический анализ вредоносных программ и многое другое.
Кроме того, привлекайте поставщиков оборудования инфраструктуры для любых надстроек программ-вымогателей к их продуктам. Все крупные поставщики, от Cisco, Palo Alto до Juniper и других, имеют программное обеспечение, обеспечивающее комплексный подход к защите от программ-вымогателей.
Обучение по вопросам безопасности
Человеческий фактор часто получает большую вину. В любом случае, надлежащее обучение конечных пользователей имеет большое значение. Сообщите пользователям, что им нужно знать и как проявлять бдительность в отношении программ-вымогателей. Обучение осведомленности, безусловно, не остановит все программы-вымогатели, но это важный элемент широкой стратегии защиты от программ-вымогателей.
Все мы знаем, что фирма никогда не может полностью устранить человеческие уязвимости. Но что они могут сделать, так это смягчить их. Злоумышленники нацелены на этих пользователей. Итак, научите их понимать, с чем они сталкиваются и что делать, когда они находятся в затруднительном положении.
Пользователи должны иметь возможность обнаруживать фишинговые электронные письма, попытки социальной инженерии и другие методы, используемые для внедрения программ-вымогателей в организацию. Подчеркните им, что корпоративная политика заключается в том, что они никогда не должны никому сообщать свои пароли, даже сотрудникам внутренней службы поддержки.
И наконец, не вините пользователей. Пользователи, которые считают, что их обвинят, также с меньшей вероятностью обратятся в службу технической поддержки, если сочтут себя жертвой программы-вымогателя. Вы хотите способствовать прозрачности и расширению прав и возможностей, когда дело касается информационной безопасности. Нет места стыду жертвы.
Тот факт, что пользователь получил зараженное письмо с вирусом-вымогателем, означает, что он не был заблокирован до этого. Если антиспам, шлюз электронной почты, инструменты статического и динамического анализа, перезапись URL и другие не остановили его, возможно, виноват ошибся пользователь.
Некоторые компании предпочитают готовить биткойн-кошелек
Для жертв программ-вымогателей время часто имеет решающее значение. Злоумышленники хотят получать оплату в биткойнах и хотят, чтобы это было быстро.
Некоторые компании предпочитают иметь биткойн-кошелек в качестве хеджирования. Для этого они создают учетную запись на бирже биткойнов, покупают биткойны и хранят их в кошельке. Это несложная задача, но получение согласований и разрешений со стороны руководства может занять время.