«Платите, или будет хуже!»: что делать, если киберпреступники требуют заплатить

За последний год, когда мир перешел на удаленную работу, число кибератак резко выросло. Участились атаки всех видов, но главной темой 2020 года стали атаки программ-вымогателей: их число выросло на 150% по сравнению с предыдущим годом. А суммы, выплаченные жертвами атак, увеличились в 2020 году более чем на 300%.

В 2021 году вымогатели стали еще активнее: СМИ чуть ли не ежедневно пишут о крупных атаках на ключевую инфраструктуру, частные компании и муниципальные власти. Требуемые суммы выкупа тоже резко выросли — иногда счет идет на десятки миллионов долларов. Наконец, атаки стали сложнее: теперь преступники захватывают ключевую информацию компании и держат ее «в заложниках» до получения выкупа.

Кто стоит за этим увеличением числа атак? И как компаниям отвечать на новую угрозу? В этой статье я опишу эволюцию вымогателей и объясню, что можно сделать, чтобы от них защититься.

Как изменились атаки вымогателей

Несколько лет назад атаки вымогателей сводились к установке программ-вымогателей. Хакеры получали доступ к системе через фишинговое письмо: сотрудник компании проходил по ссылке и включал зловредную программу. Затем эта программа шифровала сервера компании, и вымогатель предлагал ключи для расшифровки в обмен на выкуп — обычно речь шла о десятках или иногда сотнях тысяч долларов.

Как правило, злоумышленники вовсе не получали доступа к информации компании, а иногда даже не знали, какая компания попадется в их ловушку, — они просто искали системы с уязвимостями, а потом ждали расплаты. Получив выкуп в биткоинах или другой криптовалюте, хакеры отправляли жертве ключи расшифровки, чтобы та получила доступ к своим серверам, и даже обещали ей больше не нападать.

В последнее время ситуация изменилась: злоумышленники подходят к кибератакам куда серьезнее. По данным Hiscox, Ltd., 43% из более чем 6 тыс. опрошенных компаний в 2020 году пострадали от кибератак (на 38% больше, чем годом ранее), и каждая шестая из них была атакой вымогателей. В 2020 году вымогатели начали требовать значительно большие суммы — по несколько миллионов долларов. К концу 2020-го и в 2021 году требования иногда достигали уже десятков миллионов.

Изменились не только суммы требований, но и методы работы хакеров. Теперь их цель — выведать информацию компании, и чем она более важная, тем лучше. Новые злоумышленники (зачастую это организованные преступные группировки из Восточной Европы и других регионов) хорошо готовятся к своим атакам, анализируют финансовое положение компании и ситуацию в отрасли и понимают, как извлечь из атаки максимальную выгоду. Хакеры не только шифруют сервера жертвы (в том числе резервные), но и исследуют файлы и копируют большие объемы данных — иногда до терабайта.

Затем они отправляют компании ультиматум в стиле «платите, или будет хуже»: требуют выкуп в криптовалюте в обмен на ключи шифрования и сохранение данных в конфиденциальности. Хакеры заявляют: если организация откажется платить, то вся ее секретная информация будет выгружена в даркнет на «стену позора» — вместе с данными других компаний, которые были взломаны и не заплатили выкуп. Тогда журналисты, которые следят за даркнетом, смогут найти эту информацию и публично сообщить об атаке. Это может ударить по репутации компании, а также привести к раскрытию ценной информации, являющейся объектом интеллектуальной собственности, или другой конфиденциальной информации, в том числе данных о клиентах или сотрудниках.

Таким образом, жертва оказывается перед сложным выбором: заплатить несколько миллионов долларов преступникам или столкнуться с риском публикации ценной и важной конфиденциальной информации.

Стоит отметить, что вымогатели обычно отвечают за свои обещания. Ведь компания должна верить, что после выплаты выкупа все копии украденных файлов будут уничтожены и/или что хакеры отправят ей ключи шифрования — и преступники держат свое слово. Некоторые из этих организаций и вовсе обеспечивают удобный клиентский сервис — например, принимают выкуп в удобной криптовалюте (с небольшой процентной надбавкой). Нам даже известен случай, когда хакер отправил компании ключи расшифровки в виде жеста доброй воли — после того, как они договорились снизить цену выкупа, потому что ключи были ей не нужны.

Что делать, если вашу компанию атаковали?