Распространение программ-вымогателей с двойным вымогательством
Опубликовано: 2022-01-11
В течение многих лет предприятиям приходилось сталкиваться с угрозой атак программ-вымогателей. Прибыльные взломы вызывают хаос в повседневной работе организации, отключая устройства и крадя личную и конкретную информацию. В ответ на это продолжают развиваться технологические ноу-хау и системы предотвращения, а также способы, используемые преступниками. За последние двенадцать месяцев было отмечено заметное увеличение числа таких атак, поскольку оппортунистические злоумышленники используют ослабленную стабильную среду гибридной операционной системы. В этом году 30–7% британских островных компаний сообщили об инциденте с утечкой данных в Управление уполномоченного по данным (ICO).
Улучшение подходов к кибербезопасности и признание вынудили злоумышленников развивать свои процедуры, проникая на новые территории предприятий, что затрудняет регулирование их шагов. Мотивы киберпреступников также меняются: от удержания бизнеса до получения выкупа за деньги до причинения как можно более серьезных сбоев из-за политических факторов, таких как массовое отключение повседневно-важных экспертных служб.
Ранее в этом календарном году мы наблюдали застой в продуктах и услугах для Colonial Pipeline в США из-за атаки программ-вымогателей, которая вынудила непубличную компанию раскошелиться на предполагаемые 5 миллионов долларов в биткойнах, чтобы восстановить регулирование и продолжить решения. В том же месяце ирландское управление здравоохранения было вынуждено выплатить выкуп в размере 20 миллионов долларов, чтобы помочь сохранить личную информацию своих пациентов, вероятно, достоянием общественности. Даже после того, как система была разработана, информация 520 все еще попадала в черный интернет, еще больше подчеркивая непредсказуемость преступников.
Эволюция атак программ-вымогателей значительно изменилась за последние несколько лет. Теперь, вместо шифрования данных и удержания владельца с целью получения выкупа, программа-вымогатель с двойным вымогательством предполагает, что злоумышленник сначала извлекает информацию и делает стандартные резервные копии данных и устаревшие схемы восстановления данных, чтобы заставить предпринимателей работать. Преступники нашли другой способ вымогательства, и компании хотят быть готовыми к преодолению этой новой опасности.
Что такое программа-вымогатель с двойным вымогательством и насколько реален риск?
Программа-вымогатель с двойным вымогательством позволяет преступникам не только требовать от клиентов выкуп за украденные данные, но и использовать их в качестве фальшивого залога, чтобы они не оставались в открытом доступе. Если выкуп не будет выплачен в требуемые сроки, преступники опубликуют его на всеобщее обозрение вместе с вероятными конкурентами.
Они угрожают сообществу и/или клиенту маркетинговой кампанией «имя и позор», если вы никогда не платите, и, согласно исследованию Emisoft, круг киберпреступников, использующих тактику «назови и позор», расширяется. Исследование показало, что из 100 101 полученных сообщений об атаках программ-вымогателей на каждый бизнес и органы общественного сектора 11,6% этих людей были связаны с командами, которые крадут и публикуют данные в атаках типа «имя и позор».
Существует также разработка криминального программного обеспечения как услуги национальными государственными субъектами, которые все больше и больше привносят геополитическую напряженность. Страны-государства покупают оборудование и экспертные услуги в даркнете, в то время как инструменты, разработанные национальными государствами, также проникают в черную индустрию.
Итак, как корпорации могут преодолеть этот растущий риск?
Двойная опасность, двойная подготовка к восстановлению
Чтобы злоумышленнику было выгодно вымогать выкуп, он должен для начала убедиться, что восстановление важных данных невозможно, в противном случае они рискуют, что злоумышленники не раскошелятся. Таким образом, они отключают или разрушают резервные копии, создавая их на чрезвычайно трудном восстановлении каких-либо полезных деталей. Затем они превращают свои руки в детали для производства.
Разработав целенаправленную стратегию управления рисками раскрытия информации, фирмы готовы повысить свои шансы и сделать восстановление данных, скомпрометированных кибербезопасностью, гораздо более возможным по сравнению с тем, если бы они использовали стандартизированный подход к восстановлению данных. Потребности в программах-вымогателях никогда не были выше, и для подготовки группы необходимо переосмыслить существующие планы восстановления данных.
Чтобы справиться с этими повторяющимися трудностями, корпорациям необходимо разработать пять наиболее важных методов восстановления поврежденной информации:
- Признать ― Выяснение и обоснование жизненно важной информации организации (VDA). Это информация, которая нуждается в дополнительной степени безопасности. Это организации должны иметь детали.
- Безопасность — возможности, повышающие вероятность того, что у вас будут последние полностью чистые данные для восстановления, например отказоустойчивая копия, защищенная от кибератаки.
- Обнаружение ― Выявление уязвимостей или слабых мест в ваших элементах управления, которые могут максимизировать риск организации получить доступ к своим VDA.
- Реагировать — планы, процедуры, стратегии, которым необходимо следовать после компрометирующей стороны выгодных деталей.
- Стать лучше — репетиции, оценки и рутинные действия, которые подготавливают команды к этому событию.
Создание эффективного плана
Все фирмы подвержены риску атак программ-вымогателей. Быстро меняющийся ландшафт опасностей поставил под вопрос текущие средства обнаружения. Они больше не являются эффективным средством борьбы со всеми нападениями и предотвращения масштабного упадка фактов. Если оставить в стороне внешние угрозы, все корпорации также конкурируют с возможностью внутренних угроз, при этом потенциальный недовольный персонал получает привилегированный доступ к внутренней части сообщества, информации и фактам. Обучение кибербезопасности в последние несколько лет происходит стремительно, но человеческие ошибки продолжают оставаться огромным риском для компаний, особенно для людей, работающих в гибридных средах.
В конце концов, каждая отдельная компания должна увидеть общую картину и, в основном, исходя из своего уникального мнения, установить систему восстановления информации на месте. Важность классической атаки программ-вымогателей просто нельзя недооценивать, но подводные камни, связанные с новой тактикой, несомненно, гораздо важнее для малого бизнеса. Разрушенная репутация бренда и подорванное доверие покупателей, как правило, непоправимы. Прежде чем разрешить оппортунистическим преступникам выбирать компанию, лидеры малого бизнеса должны быстро организовать всю организацию по протоколу и тщательно работать с администрацией правительства, данные которой должны быть приоритетными на протяжении всей миссии по восстановлению. На этом этапе организации могут начать чувствовать себя защищенными, что их данные, имущество и инфраструктура останутся нетронутыми даже в случае невзгод.
Крис Хаггетт, старший вице-президент по региону EMEA, Sungard Availability Providers