Потеряли доступ к данным, а хакеры требуют выкуп? Как защитить бизнес от «шифровальщиков» (вирусов-вымогателей)
© Фото pressfoto, ru.freepik.com
Кибератаки и хактивизм (от «хакеры»+«активизм») уже давно из разряда фантастики перешли в категорию реальной угрозы, которая касается как частных пользователей интернета, так и бизнеса, и даже целых государств. Огромное количество процессов повседневной жизни завязано на стабильной работе сетей и программного обеспечения, а одной из главных задач стало защитить и сохранить данные.
И если в важнейших госструктурах и мегакорпорациях есть целые департаменты информационной безопасности, где профильные специалисты защищают сети от киберугроз, то у компаний малого и среднего бизнеса ресурсы ограничены. При этом защищать свои, а также данные пользователей для них не менее важно.
Один из самых распространенных способов кибермошенничества — использование программ-шифровальщиков, которые блокируют доступ к данным, а чтобы его получить обратно, компанию вынуждают заплатить выкуп.
Юга.ру вместе с «Лабораторией Касперского» подготовили карточки с простыми ответами на вопросы: что такое программы-шифровальщики, чем они опасны для бизнеса (с яркими примерами!), как от них защититься и что делать, если в вашей сети происходит что-то подозрительное.
Что такое программа-шифровальщик?
Чем это грозит моему бизнесу?
Каких компаний это может коснуться?
Чем еще грозит успешная вирусная атака? Реальные примеры
Как избежать заражения?
Что предлагает бизнесу «Лаборатория Касперского»?
Никакого выкупа!
Что такое программа-шифровальщик?
Когда программа-шифровальщик попадает в систему, она блокирует доступ к данным, которые там хранятся. Соответственно, если она попадет на ПК, который подключен к рабочей сети, компания может потерять доступ ко всем файлам, которые хранятся на всех жестких дисках всех компьютеров в сети, а возможно и на сервере/серверах. Программа-вымогатель делает это с помощью шифрования, а злоумышленники требуют выкуп за ключ расшифровки.
Главная цель тех, кто этим занимается, — распространить вредоносное ПО по сети, то есть заразить как можно больше устройств перед тем, как зашифровать хранящиеся там данные. Соответственно, если заражены и те ПК, где хранятся резервные копии, это мотивирует компанию заплатить как можно быстрее, чего и добиваются киберпреступники.
Чем это грозит моему бизнесу?
- Операторы программ-шифровальщиков стараются распространить вредоносное ПО по всей сети, чтобы зашифровать как можно больше данных. При этом могут блокироваться функции, которые помогают восстановить данные. Например, программы-шифровальщики также могут зашифровать резервные копии, хранящиеся на компьютерах в той же сети. Блокируются и бизнес-процессы. Соответственно, в компании просто останавливается работа.
- Выплата выкупа не гарантирует возвращение данных — у пострадавшей стороны нет никаких рычагов воздействия на мошенников.
- Еще одна тенденция: двойной выкуп. Компания заплатила, чтобы расшифровать и вернуть свои данные, а потом платит второй раз, чтобы их не опубликовали. И речь не только о базах личных данных клиентов, пользователей или подписчиков, но и о внутренней финансовой информации. И снова нет никаких гарантий, что данные не окажутся в открытом доступе, даже после уплаты второй части выкупа.
«Нет уверенности в том, что после выплаты данные будут восстановлены и не окажутся в публичном доступе. Поэтому мы не рекомендуем платить выкуп», — советует эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко.
Кроме того, уплату выкупа специалисты «Лаборатории Касперского» считают финансированием индустрии шифровальщиков. По их мнению, чем больше компаний платят мошенникам, тем чаще будут повторяться такие атаки и тем большее количество организаций и их клиентов окажутся под угрозой.
Если компания отказывается платить за расшифровку, нередко случается так, что данные уже невозможно восстановить. Поэтому специалисты по кибербезопасности настаивают на том, что лучше использовать превентивные меры.
© Фото Елены Синеок, Юга.ру
Каких компаний это может коснуться?
Факторы успешных атак программ-шифровальщиков — эксплуатация уязвимостей сети и скомпрометированные аккаунты (пользователи, имеющие доступ в сеть, или даже просто участники переписки). Специалисты называют это «размытием периметра», а когда большая доля сотрудников компании работает на удаленке, риски проникновения программы-шифровальщика на отдельные компьютеры выше. Если устройства не подключены к сети компании, их не защищают сетевые средства безопасности. В то же время если они периодически связываются с другими устройствами уже в сети, вредоносные программы могут мигрировать с них и заразить уже большое число компьютеров фирмы.
Кроме того, мошенники по-прежнему проводят атаки через почту — помимо так называемого классического фишинга это могут быть и письма с замаскированными вредоносными вложениями, причем с каждым годом схемы злоумышленников становятся все более изощренными.
Под угрозой средний бизнес, имеющий даже небольшой штат, особенно если часть его — сотрудники на удаленке. Кроме того, менеджеры компаний малого и среднего бизнеса часто используют готовые сторонние решения для выполнения отдельных бизнес-процессов. Это доступнее и эффективнее, чем создавать свои (пример: программы обратной связи, оптимизации торговли, почтовые сервера, решения по учету и аналитике и многое другое), и в то же время несёт свои риски, так как за безопасность каждого отдельного сервиса отвечает сторонняя компания — производитель этого ПО.
© Фото Елены Синеок, Юга.ру
Чем еще грозит успешная вирусная атака? Реальные примеры
Помимо классических программ-шифровальщиков есть так называемые «вайперы», «стиратели» информации. Их используют хактивисты, цель которых уничтожить данные, а не зашифровать их. Они не требуют выкуп, и восстановить стертые данные после атаки вайпера невозможно. Вайпер стирает все типы файлов, кроме тех, которые необходимы для работы системы.
Такая угроза менее актуальна для большого сегмента среднего бизнеса, но все же существует. Осенью 2022 года произошла массовая атака вайперов на российские региональные организации.
Одна из самых известных атак с помощью вируса-шифровальщика произошла в США в 2021 году. Тогда хакерская группировка на пять дней парализовала работу трубопроводной компании Colonial Pipeline, что привело к беспрецедентному дефициту топлива (бензина, дизельного топлива и авиакеросина) в юго-восточных штатах и повышению его стоимости для жителей в десять раз. Президент США объявил чрезвычайное положение. Компанию вынудили заплатить выкуп в размере 75 биткоинов (4,5 млн долл. на момент сделки).
Как избежать заражения?
Чтобы снизить риск заражения компьютера и всей сети, необходим комплексный подход. Перечислим основные пункты:
- даже частному пользователю, а тем более компании, необходимо использовать защитные решения (программы-антивирусы или пакетные решения), включать их самые важные компоненты и вовремя обновлять;
- помнить и не пренебрегать основными правилами кибербезопасности, такими как сложные и регулярно обновляемые пароли, двухфакторная аутентификация, проявлять внимание к адресам сайтов, которые вы открываете, и особенно к ссылкам (даже если они пришли от знакомого вам человека), проверять все новые файлы, которые вы получили и собираетесь открыть;
- стоит периодически создавать резервные копии данных и хранить их на внешнем жестком диске, отсоединенном от компьютера;
- контролировать доступы к вашим устройствам, учетным записям и аккаунтам, в том числе выходить из системы и аккаунтов на устройствах, которыми вы в данный момент не пользуетесь;
- обучать сотрудников кибербезопасному поведению, потому что действия каждого человека, имеющего доступ к рабочем устройствам или сети, важны для сохранения безопасности ваших данных и процессов.
Читайте по ссылке более подробное профессиональное руководство, подготовленное специалистами «Лаборатории Касперского» с более чем 25-летним опытом.
«Применение надежных защитных решений — это первая и самая главная ступень в предотвращении атаки шифровальщиков. Плюс обучение сотрудников», — рассказал представитель «Лаборатории Касперского» в ЮФО Игорь Малышев.
© Фото Елены Синеок, Юга.ру
Что предлагает бизнесу «Лаборатория Касперского»?
Во-первых, обучение сотрудников, чтобы они владели основами киберграмотности, корректно использовали рабочие устройства и не попадались на фишинг. Есть Security Awareness (Kaspersky Automated Security Awareness Platform (ASAP), где сотрудники учатся и проходят тесты. В первую очередь это навык правильного реагирования, если, например, на рабочую почту приходит фишинговое письмо, где нельзя ничего скачивать и кликать по ссылкам. Оплатить качественное обучение сотрудников — не самая высокая цена за снижение рисков стать жертвой кибермошенников.
Далее это решения для безопасности конечных точек, которые содержат инструменты защиты от шифровальщиков. Например, линейка решений Kaspersky Security для бизнеса, которая содержит пять продуктов — уровней защиты, — из которых любая компания может выбрать подходящий уровень защиты, исходя из размера, потребностей, бюджета и внутренних ресурсов. Такое решение станет надежным фундаментом для ИБ-системы и защитит от основных киберугроз, включая шифровальщиков. В числе прочего его инструменты позволяют откатить вредоносные изменения на стадию до того, как заражение произошло, и восстановить систему. Кроме того, есть контроль запуска программ на серверах, то есть можно ограничить число программ, которые могут запускаться, чтобы потенциально опасное ПО, которое может зашифровать сервер, просто не запустилось. Так ограничивается распространение шифровальщика по всей сети.
А уровень Kaspersky EDR для бизнеса Оптимальный позволяет централизованно реагировать на потенциально вредоносное ПО, удалять и блокировать его на всех компьютерах сети, причем даже без специальных навыков в кибербезопасности: в решении предусмотрены подсказки по реагированию на основе большого количества угрозных сценариев. Этот уровень подойдет активно развивающемуся среднему бизнесу, который сталкивается со все большим количеством киберугроз, в том числе маскирующихся.
Одним из факторов эффективности защиты является наличие самой актуальной информации о киберугрозах. Все продукты «Лаборатории Касперского» интегрированы с угрозной базой Kaspersky Security Network, в которой содержатся данные обо всех самых актуальных видах вредоносного ПО. Компания выявляет 400 тысяч новых образцов вредоносного ПО каждый день.
Никакого выкупа!
Совместно с Национальным подразделением по киберпреступлениям полиции Нидерландов, Европейским центром по борьбе с киберпреступностью Европола «Лаборатория Касперского» приняла участие в создании No more ransom («никакого выкупа»). Это просветительский проект, который помогает узнать больше о предупреждении рисков, связанных с хакерскими атаками и вирусами, а также предлагает пользователям бесплатные расшифровщики. Они могут помочь справиться с вирусами-шифровальщиками не самого продвинутого уровня. Создатели проекта подчеркивают, что важнее всего не допустить заражения. У No more ransom есть русскоязычная версия.
Оптимальный набор защитных решений для среднего бизнеса комплексно снижает риски для компании.
Kaspersky Optimum Security
На юге России решения «Лаборатории Касперского» можно приобрести у авторизованных партнеров компании.