Для бизнеса любого уровня сегодня заметную угрозу представляют программы-вымогатели. Только за 2019 год оценочный ущерб от программ-вымогателей составит 11,5 миллиардов долларов США.
Существует несколько видов вредоносных программ, способных нарушить работу целой организации: блокировщики, программы разглашения информации и шифровальщики.
Все они по-своему опасны, но наибольшую «популярность» за последние годы набрали шифровальщики: программы, которые скрытно и почти мгновенно шифруют данные жертвы и требуют выкуп за их расшифровку.
Одна из причин лавинообразного распространения шифровальщиков – развитие рынка криптовалюты, которая свела почти к нулю возможность поимки злоумышленника. Вторая причина – зависимость любой современной компании от работоспособности ИТ-сервисов.
Исследователи выделяют различные категории опасности программ-шифровальщиков, зависящие от возможности вернуть данные жертвы без выплаты выкупа злоумышленнику. Иногда для расшифровки данных не требуется специальных навыков или инструментов, иногда возможна расшифровка только части информации и только в условиях специализированной лаборатории. А иногда шифровальщик не имеет слабых сторон и восстановить данные невозможно.
Большинство современных шифровальщиков попадают в наиболее опасную категорию: восстановление данных без ключа, находящегося в распоряжении злоумышленника – невозможно.
Нет единого средства, которое позволило бы защитить бизнес от угроз шифровальщиков, поэтому необходимо реализовывать целый комплекс мер:
- превентивные: не допускают проникновения в ИТ-систему;
- активные: противодействуют атаке, минимизируют ущерб;
- реактивные: восстанавливают данные после атаки.
|
Класс мер |
Мера |
Пояснения |
|
Превентивные |
Поиск вредоносных программ в Интернет-трафике и e-mail |
Поточные антивирусы анализируют web- и e-mail- трафик |
|
Контроль носителей информации (например, флэшек) |
Антивирусы ограничивают использование носителей информации или проверяют их при подключении |
|
|
Сегментирование сети |
Сеть разбивают на несколько сегментов (разделенных межсетевым экраном) с различным уровнем доверия к ним, что ограничивает область заражения |
|
|
Обновление программного обеспечения |
Своевременная установка обновлений не позволяет программам-вредителям использовать известные уязвимости для проникновения |
|
|
Обучение персонала |
Если сотрудники будут знать основы информационной безопасности, они не станут причиной масштабного заражения организации |
|
|
Аудит информационной безопасности |
Регулярная оценка уровня защищенности с привлечением специализированной организации позволяет выявить слабые места |
|
|
Активные |
Использование антивирусов |
Современные антивирусы обнаруживают или предотвращают действия программ-шифровальщиков. Но это работает только, если антивирусы стоят на всех устройствах и своевременно обновляются |
|
Применение «песочниц» |
«Песочницы» призваны бороться с еще неизвестными вирусами. Это системы-эмуляции обычного рабочего места. Если какой-либо файл пытается заблокировать или зашифровать данные в эмуляции, «песочница» блокирует ему доступ в сеть организации |
|
|
Наблюдение за сетью |
Действия вируса оставляют следы, и наблюдение за ними позволяет выявить попытку заражения |
|
|
Реактивные |
Резервное копирование информации |
Для безболезненного восстановления данных достаточно иметь их резервную копию |
| Применение утилит дешифраторов |
Последняя надежда для жертв шифровальщиков – утилиты для восстановления зашифрованной информации. Они бесплатно распространяются производителями антивирусов. Но поможет этот инструмент далеко не всегда |
Внедрение перечисленных мер помогает выстоять не только против шифровальщиков, но и против других угроз информационной безопасности. Часть этих мер не требует больших финансовых вложений и специальных навыков, но для компаний, бизнес которых зависит от целостности и доступности информации, лучше обратиться в профильные организации.
Мы не рассмотрели еще один способ вернуть данные – заплатить выкуп. Это порочная практика, поскольку у злоумышленника появляется мотивация распространять еще более опасные вирусы.
В июне 2019 года власти небольшого городка Ривьера-Бич (Флорида, США) вынуждены были выплатить вымогателям 600 тысяч долларов США, чтобы расшифровать данные своих информационных систем. Буквально через месяц такая же судьба постигла власти другого города во Флориде – Лэйк Сити. Выкуп составил 460 тысяч долларов США. К концу лета заражения муниципалитетов стали носить уже массовый характер – по меньшей мере 23 города в штате Техас стали жертвами программ-вымогателей.
Российские компании также становятся жертвами злоумышленников: 2017-й год запомнился многим отечественным компаниям как год вирусных эпидемий WannaCry и notPetya. Публичной информации об уплаченных выкупах по результатам этих эпидемий нет, но известно, что на Bitcoin-кошельки злоумышленников поступило около 150 тысяч долларов США (для 2017-го года это внушительная сумма – с тех пор размеры выкупов существенно возросли). Учитывая географию распространения вирусов, можно сделать вывод, что это деньги отечественных компаний.
В этом году атаки на российские компании продолжаются: в первом квартале и в течение лета были зафиксированы множественные попытки заражения шифровальщиком Troldesh (Shade). Всего по данным Лаборатории Касперского за первую половину года зафиксировано свыше 1500 организаций, в сетях которых были обнаружены программы-шифровальщики.
Чтобы не стать очередной жертвой шифровальщика, необходимо озаботиться о реализации хотя бы базовых мер, перечисленных в статье – затраты на них существенно ниже, чем выкуп, который запросят злоумышленники.
Источник: Журнал «Уральские авиалинии», #8 (120) сентябрь 2019 (с. 166-167)