«Платите, или будет хуже!»: что делать, если киберпреступники
требуют заплатить

За последний год, когда мир перешел на удаленную работу, число кибератак резко выросло. Участились атаки всех видов, но главной темой 2020 года стали атаки программ-вымогателей: их число выросло на 150% по сравнению с предыдущим годом. А суммы, выплаченные жертвами атак, увеличились в 2020 году более чем на 300%.

В 2021 году вымогатели стали еще активнее: СМИ чуть ли не ежедневно пишут о крупных атаках на ключевую инфраструктуру, частные компании и муниципальные власти. Требуемые суммы выкупа тоже резко выросли — иногда счет идет на десятки миллионов долларов. Наконец, атаки стали сложнее: теперь преступники захватывают ключевую информацию компании и держат ее «в заложниках» до получения выкупа.

Кто стоит за этим увеличением числа атак? И как компаниям отвечать на новую угрозу? В этой статье я опишу эволюцию вымогателей и объясню, что можно сделать, чтобы от них защититься.

Как изменились атаки вымогателей

Несколько лет назад атаки вымогателей сводились к установке программ-вымогателей. Хакеры получали доступ к системе через фишинговое письмо: сотрудник компании проходил по ссылке и включал зловредную программу. Затем эта программа шифровала сервера компании, и вымогатель предлагал ключи для расшифровки в обмен на выкуп — обычно речь шла о десятках или иногда сотнях тысяч долларов.

Как правило, злоумышленники вовсе не получали доступа к информации компании, а иногда даже не знали, какая компания попадется в их ловушку, — они просто искали системы с уязвимостями, а потом ждали расплаты. Получив выкуп в биткоинах или другой криптовалюте, хакеры отправляли жертве ключи расшифровки, чтобы та получила доступ к своим серверам, и даже обещали ей больше не нападать.

В последнее время ситуация изменилась: злоумышленники подходят к кибератакам куда серьезнее. По данным Hiscox, Ltd., 43% из более чем 6 тыс. опрошенных компаний в 2020 году пострадали от кибератак (на 38% больше, чем годом ранее), и каждая шестая из них была атакой вымогателей. В 2020 году вымогатели начали требовать значительно большие суммы — по несколько миллионов долларов. К концу 2020-го и в 2021 году требования иногда достигали уже десятков миллионов.

Изменились не только суммы требований, но и методы работы хакеров. Теперь их цель — выведать информацию компании, и чем она более важная, тем лучше. Новые злоумышленники (зачастую это организованные преступные группировки из Восточной Европы и других регионов) хорошо готовятся к своим атакам, анализируют финансовое положение компании и ситуацию в отрасли и понимают, как извлечь из атаки максимальную выгоду. Хакеры не только шифруют сервера жертвы (в том числе резервные), но и исследуют файлы и копируют большие объемы данных — иногда до терабайта.

Затем они отправляют компании ультиматум в стиле «платите, или будет хуже»: требуют выкуп в криптовалюте в обмен на ключи шифрования и сохранение данных в конфиденциальности. Хакеры заявляют: если организация откажется платить, то вся ее секретная информация будет выгружена в даркнет на «стену позора» — вместе с данными других компаний, которые были взломаны и не заплатили выкуп. Тогда журналисты, которые следят за даркнетом, смогут найти эту информацию и публично сообщить об атаке. Это может ударить по репутации компании, а также привести к раскрытию ценной информации, являющейся объектом интеллектуальной собственности, или другой конфиденциальной информации, в том числе данных о клиентах или сотрудниках.

Таким образом, жертва оказывается перед сложным выбором: заплатить несколько миллионов долларов преступникам или столкнуться с риском публикации ценной и важной конфиденциальной информации.

Стоит отметить, что вымогатели обычно отвечают за свои обещания. Ведь компания должна верить, что после выплаты выкупа все копии украденных файлов будут уничтожены и/или что хакеры отправят ей ключи шифрования — и преступники держат свое слово. Некоторые из этих организаций и вовсе обеспечивают удобный клиентский сервис — например, принимают выкуп в удобной криптовалюте (с небольшой процентной надбавкой). Нам даже известен случай, когда хакер отправил компании ключи расшифровки в виде жеста доброй воли — после того, как они договорились снизить цену выкупа, потому что ключи были ей не нужны.

Что делать, если вашу компанию атаковали?

В случае атаки шифровальщиков или других кибервымогателей нужно следовать заранее подготовленному письменному плану реагирования — например, сразу уведомить топ-менеджеров и юристов. Если сразу добавить в переписку юриста, она будет защищена адвокатской тайной, что снизит риск публикации информации в групповых исках или других расследованиях после утечки данных.

Кроме того, нужно сразу уведомить страховую компанию, чтобы определить, подпадает ли ваш случай под условия полиса киберстрахования. Перед тем как вести любые разговоры с хакерами, сначала получите подтверждение в страховой компании по вопросу выплаты выкупа.

Решение о выплате выкупа принимает топ-менеджмент, а зачастую также совет директоров. Но это решение нужно принимать отдельно по каждой атаке шифровальщиков и любому другому событию. Сохраняйте открытость: компании часто теряют драгоценное время, когда менеджеры, ничего не знающие о киберпреступности, сразу заявляют, что они никогда не будут платить вымогателям, но постепенно лучше осознают ситуацию, понимают, что можно получить деньги от страховой компании и что нужно защитить интересы всех заинтересованных лиц, и только тогда соглашаются на выплату. Сохраняйте спокойствие и не спешите. Хакеры обычно стараются посеять панику и создать ощущение цейтнота, поэтому не торопитесь и постарайтесь принять правильное для вашей компании решение. Вот главные вопросы, которые стоит рассмотреть, чтобы понять, платить ли выкуп:

• Насколько важна информация, которую скопировали или украли хакеры?

• Есть ли у вас резервные копии этой информации? Нужны ли вам ключи расшифровки?

• Что выше — ущерб от отказа платить выкуп (нарушение работы бизнеса, влияние на системы и на клиентов, антиреклама, репутационный ущерб) или сумма выкупа?

• Связан ли хакер с компанией, которая находится в санкционном списке Управления по контролю за иностранными активами Министерства финансов США? Если да, то платить выкуп по законам США может быть запрещено.

В зависимости от серьезности инцидента и других факторов обычно американские компании отправляют онлайн-заявление в ФБР, где указывают индикаторы компрометации (IOC), относящиеся к атаке. Так они помогают правоохранительным органам найти злоумышленников и в идеале привлечь их к правосудию. Но пока что обвинительных приговоров в этой сфере очень мало, и компаниям приходится бороться с этими атаками самостоятельно, хотя правоохранительные органы и хотели бы им помочь.

Как компания может снизить риск?

Есть несколько мер, с помощью которых компания может снизить риск атаки вымогателей, а также возможный ущерб в случае такой атаки. Вот некоторые из них:

1. У вас должен быть план реагирования на инциденты, чтобы в случае атаки всегда было понятно, кто отвечает за каждое действие.

2. У вас должен быть полис киберстрахования, который должен включать атаки вымогателей, а сумма выплат должна соответствовать текущим реалиям.

3. Обязательно включите на всех аккаунтах компании (включая сервисные аккаунты и аккаунты в социальных сетях) мультифакторную аутентификацию, а также мощные спам-фильтры.

4. Создайте канал для общения в защищенном мессенджере, где топ-менеджеры смогут общаться, если кибератака разрушит внутреннюю систему электронной почты.

5. Научите сотрудников определять фишинговые письма и расскажите им, как злоумышленники пытаются заставить их нажать на ссылку.

6. Составьте список самых высокорисковых сотрудников, которые имеют возможность провести атаку изнутри, — например, сотрудников с правом доступа администратора.

7. Возможно, стоит нанять фирму с хорошей репутацией на основаниях секретности, чтобы провести профилактический поиск угроз. Например, многие компании сочли переход из офиса на удаленную работу «риском безопасности данных» и провели в связи с ним поиск угроз в системе.

8. Оцените программы и протоколы кибербезопасности для ваших главных вендоров — особенно тех, которые работают с ключевыми или конфиденциальными данными.

9. Регулярно проверяйте системы резервного копирования. Они должны быть отделены от остальных систем компании.

Сейчас в мире кибербезопасности настали беспрецедентные времена. В большинстве случаев комитеты по аудиту и топ-менеджеры, которым пришлось принимать решения в связи с атаками вымогателей, не ожидали, что им придется думать: платить ли выкуп хакерам, которые взяли компанию в заложники, и если да, то сколько. Но хорошая подготовка, планирование и кибергигиена помогут вашей компании снизить риски и подготовиться к тому, чтобы справиться с таким неожиданным вопросом.

Об авторе

Бренда Шартон (Brenda R. Sharton) — партнер по разрешению споров и глобальный сопредседатель практики конфиденциальности и кибербезопасности в Dechert LLP. Она разобрала сотни случаев утечки данных в результате самых разных кибератак, а также выступала на стороне защиты в важнейших разбирательствах по искам о конфиденциальности и делах о правоприменении. Входит в число 20 «ведущих юристов» США по киберправу по признанию Legal 500.