Программы-вымогатели — это разрушительная и крайне разрушительная форма кибератаки, при которой основной мотивацией хакера, совершающего атаку на вашу организацию, является финансовая выгода.
Хакеры также ленивы и будут идти по пути наименьшего сопротивления всякий раз, когда представится возможность, и будут продолжать атаковать, пока один из них не приживется.
Так что же происходит, когда компания пострадала, каковы лучшие практики и каково это, когда ваша организация оказывается на коленях из-за атаки программы-вымогателя?
Secureworks rSimulation
Ранее в этом месяце компания Secureworks провела настольную симуляцию атаки вируса-вымогателя в историческом здании станции Кингс-Кросс, чтобы на собственном опыте убедиться в том, как организация может и должна реагировать на подобную атаку.
Secureworks предоставляет услуги реагирования на инциденты предприятиям, подвергающимся кибератакам, и имеет обширный опыт реагирования на атаки программ-вымогателей.
Некоторые члены команды были готовы предоставить информацию о том, как начинается, развивается и завершается атака с использованием программы-вымогателя, а также о том, как предприятия могут повысить свою киберустойчивость, чтобы лучше реагировать на атаку.
Обычно самая простая точка входа для злоумышленника — через особенно уязвимую часть корпоративной сети, которая имеет подключение к Интернету. В первом квартале 2024 года компания обнаружила, что 64% вторжений использовали уязвимость, связанную с Интернетом, для получения доступа, и только 13% атак были запущены как с помощью фишинга, так и с помощью украденных учетных данных, причем последний вариант особенно уязвим, если не используется многофакторная аутентификация.
Это определенно банально, но мир кибербезопасности постоянно развивается, а это значит, что для многих компаний вопрос уже не в том, будет ли атака успешной, а в том, когда. Но это не очень хорошо работает с топ-менеджерами, которые хотят сэкономить немного денег здесь и там, потому что нет простого способа оправдать возврат инвестиций в то, что, скорее всего, обречено на провал.
Но важно признать, что кибербезопасность организации не нарушена, если она нарушена. Да, кибербезопасность — это щит, защищающий от угроз, но это также и план действий на случай, если щит выйдет из строя. Киберустойчивость так же важна, как и киберзащита.
Вот почему организации, имеющие решимость, финансирование и личный интерес в защите от злоумышленников, такие как банки и финансовые учреждения, менее подвержены атакам программ-вымогателей, чем организации, которые полагаются на внешнее финансирование для обеспечения кибербезопасности, такие как больницы и школы.
В ситуации, представленной Secureworks, нас поставили во главе медиа-организации, которая вот-вот столкнется с каким-то сбоем. В одну секунду мы отдыхали на выходных, наслаждаясь праздничной вечеринкой на пикнике, а в следующую секунду мы погрузились в туман войны полномасштабной атаки программы-вымогателя.
Воскресенье, 17:00
В 5 вечера моя команда и я получили панический звонок от сотрудника ИТ-отдела, который не мог получить доступ к частям сети, включая критически важные для бизнеса серверы и систему ИТ-администрирования, пароли к которым были изменены. Судя по паническим тонам голоса ИТ-администратора, похоже, что пришло время обновить мой профиль LinkedIn и обозначить себя как #OpenToWork.
Мы пока не знали, что происходит, но есть несколько ключевых вещей, которые я должен принять во внимание. Мне нужно было определить масштаб проблемы и выяснить, какие именно системы не работают или недоступны. Мне нужно было собрать доказательства того, что произошло, такие как журналы сервера и журналы сетевого мониторинга, если они доступны, и мне нужно было проверить, связана ли эта проблема напрямую с моей внутренней организацией или является результатом действий третьей стороны, отключения электроэнергии или даже уборщика, который отключил что-то важное во время уборки.
Нужно было еще подумать. Проблема может быть вызвана недавним изменением настроек сети или же это может быть проверка, организованная внешней компанией по тестированию на проникновение. Интересно, изменились ли мы недавно правила брандмауэра?
Наконец, ИТ-отдел возвращается ко мне и сообщает, что они потеряли доступ к серверам, которые обрабатывают систему управления контентом, расчет заработной платы, внутренние коммуникации и заказы. Без них бизнес не может функционировать и с этого момента теряет деньги.
На этом этапе более мудрый руководитель бизнеса, чем я, имел бы план действий на случай непредвиденных обстоятельств, который позволил бы бизнесу продолжать работать, даже если и в замедленном темпе. Должен был быть запасной план для внутренних коммуникаций, управления контентом и других критических систем, которые теперь, похоже, потеряны навсегда.
Через несколько часов генеральный директор получает голосовое сообщение. Это злоумышленник. Они говорят, что оставили в наших системах файл .txt с инструкциями открыть анонимный браузер, чтобы начать переговоры о выкупе. Они угрожают, что если я обращусь в правоохранительные органы или откажусь платить выкуп, данные будут раскрыты. Однако они хотят работать с нами и помогать нам, поэтому говорят, что как только выкуп будет выплачен, ключ дешифрования будет немедленно доступен, и они даже предлагают исправить бэкдор, который они использовали, чтобы это «никогда больше не повторилось» — как мило.
Давление немедленно сдаться непреодолимо. Как я должен оправдать, что те небольшие инвестиции в кибербезопасность, которые я получаю, стоят того, когда мне теперь предстоит выкуп? Подождите, они не назвали сумму, сколько это будет стоить. Они также не назвали имя генерального директора или название компании. Любопытно.
Алекс Пападопулос, директор по реагированию на инциденты в Secureworks, объясняет, что злоумышленники работают на основе объема и окупаемости инвестиций. До этого момента атака стоила киберпреступникам времени и денег, поэтому исследование особенностей жертвы не имеет смысла, пока программа-вымогатель не сделает свою работу. Только после того, как мы вступим с злоумышленниками в переговоры, они проведут свое исследование, чтобы узнать, какой выкуп организация может себе позволить, чтобы максимизировать окупаемость инвестиций.
Понедельник 6 утра
Это была долгая и бессонная ночь, в которой мы пытались выяснить, что произошло, но пришло время предстать перед советом директоров и объяснить, что происходит, и определить следующие шаги. Мы знаем, что нас взломали, и злоумышленники говорят, что они вывезли 100 ГБ конфиденциальной информации с наших серверов, и если мы не заплатим выкуп, они либо выложат ее в сеть, либо продадут тому, кто предложит самую высокую цену, чтобы возместить свои потери.
К этому моменту или даже раньше Мэтт Беннет, старший менеджер по реагированию на инциденты, рекомендует организации связаться с экспертами. Прежде чем принимать необдуманные решения по оплате, важно учитывать несколько ключевых факторов.
Номер один — запрос доказательства жизни, так сказать. Если злоумышленники предоставят доказательства того, что у них есть то, что они говорят, даже если это простое изображение дерева файлов, оно может предоставить критически важную информацию о конфиденциальности украденных ими данных. Если это всего лишь 100 ГБ из мусорной корзины, то беспокоиться не о чем.
Также важно учитывать правила, касающиеся раскрытия информации об утечке данных. В Великобритании об утечке данных следует сообщить в ICO в течение 72 часов, но в США ситуация варьируется от штата к штату. Возможно, также стоит подумать о том, соблюдались ли требования соответствия и передовые методы кибербезопасности, поскольку штрафы и судебные иски GDPR могут нанести ущерб.
Скорее всего, вам в любом случае придется общаться со своей внутренней юридической командой, чтобы подготовиться к худшему сценарию, и стоит проверить, есть ли у них существующие отношения с правоохранительными органами, сторонней группой реагирования на инциденты или страховкой, которая покрывает киберинциденты, поскольку это может сэкономить драгоценное время и деньги.
Хранение информации по принципу служебной необходимости — еще один важный аспект борьбы с атаками программ-вымогателей, позволяющий уменьшить спекуляции и утечку информации, которые могут нанести репутационный или финансовый ущерб организации.
И, наконец, возможно, пришло время начать судебное расследование. Хотя это маловероятно, злоумышленники могли оставить некоторые подсказки относительно того, сколько и какие данные были украдены. Имейте в виду, что во время эксфильтрации злоумышленники, скорее всего, сожмут файлы, скрыв реальный объем данных.
Пятница 14:00
Долгая и бессонная ночь превратилась в еще более длинную неделю, и в 2 часа дня новости освещаются срочными новостями о том, что компания подверглась масштабной кибератаке. Кто-то сообщил прессе. Все пикантные подробности стали известны — 100 ГБ конфиденциальных данных и учетные данные удаленного доступа выставлены на продажу — и у нас нет готового публичного сообщения для реагирования на утечку.
Команда снова переходит к действиям. Наши переговоры с нападающими продолжаются, они сказали прессе оказать большее давление? У нас есть доказательства жизни, что у них есть по крайней мере некоторые из данных, которые они говорят, что у них есть, и если они просочились, то ожидаемые выпадать было бы не здорово, но и не ужасно.
Итак, каким должно быть сообщение, и кто должен его доставить? Если мы используем неправильное сообщение в нашем раскрытии нарушения, мы можем открыть себя для судебных исков и штрафов, но если мы не скажем достаточно, волки могут прийти и постучать в дверь. Как идут переговоры, можем ли мы позволить себе заплатить? Если мы не можем, как мы все еще можем быть хорошими парнями? Отказ платить выкуп лишает злоумышленника финансового стимула, верно?
Стивен Вентер, руководитель по готовности к инцидентам в регионе EMEA, объясняет, что управление внутренними и внешними коммуникациями в этом состоянии является ключевым. Используйте простой язык и объясните, что произошло. Для тех, чьи конфиденциальные данные могли быть украдены, важно предвосхитить проблему, предложив такую поддержку, как защита от кражи личных данных. Убедитесь, что общественность знает, что вы стали жертвой преступления, и что это (надеюсь) не случай халатности или ошибки пользователя.
Заключение
Самая важная часть атаки с использованием программ-вымогателей — это не одна из этих трех фаз. Самые важные решения принимаются до того, как произойдет атака. Команда реагирования на инциденты Secureworks рекомендует, чтобы ключевым моментом было как можно более раннее построение устойчивости. В идеале ваш щит должен был бы отражать все атаки, но реагирование, когда они все-таки происходят, так же важно, как и предотвращение атак.
Сосредоточьтесь на создании группы реагирования и плане киберкризиса на случай неизбежного, и регулярно применяйте этот план, пока он не станет мышечной памятью. Также сосредоточьтесь на регулярной ИТ-поддержке, например, на обеспечении правильной работы многофакторной аутентификации, установке исправлений безопасности на все устройства, особенно на уязвимости, связанные с Интернетом. Укрепите свой активный каталог и обеспечьте регулярную дезинфекцию пользователей и устройств, когда сотрудники покидают компанию.
Регулярно проверяйте резервные копии и убедитесь, что прогнозируемое время реагирования на инциденты и время восстановления реалистичны и достижимы. Получите услуги киберэкспертов, которые помогут усилить вашу защиту и предоставят экспертные знания по передовым методам, а также проверьте вашу страховку от киберугроз, чтобы узнать, покрываются ли атаки программ-вымогателей.
Наконец, Secureworks рекомендует проводить регулярные командно-штабные учения с использованием бесплатных ресурсов, доступных как Национальный центр кибербезопасности и Агентство кибербезопасности и безопасности инфраструктуры.
2024-06-29 13:36:20
1719669427
#Моя #фальшивая #компания #подверглась #атаке #вирусавымогателя #вот #что #узнал #что #делать #чего #не #делать