Число хакерских атак при помощи программ-вымогателей растет из-за уязвимостей в системах крупных компаний

В этом месяце хакеры дважды атаковали немецкую корпоративную платформу Интернета вещей Software AG с помощью программ-вымогателей.

5 октября данные были загружены с серверов и ноутбуков сотрудников компании, а ее внутренние системы были нарушены. Сообщается, что хакеры потребовали более 20 миллионов долларов США для расшифровки данных.

Когда компания отказалась платить, хакеры опубликовали скриншоты паспортов сотрудников компании, сканы документов, электронные письма и финансовые документы из ее внутренней сети в Dark Web.

Атака на Software AG - это так называемое "двойное вымогательство", когда хакеры извлекают конфиденциальную коммерческую информацию перед тем, как зашифровать данные жертв. Затем хакеры угрожают опубликовать украденную информацию, если их требования выкупа не будут выполнены, согласно Check Point Research, которая предоставляет аналитические данные о киберугрозах клиентам своей материнской компании Check Point Software, а также разведывательному сообществу в целом.

Как сообщает международная сеть профессиональных услуг KPMG, атаки с двойным вымогательством - один из "наиболее творческих способов" получения выкупа, к которому стремятся хакеры.

Группы хакеров-вымогателей набирают обороты

"Хакерские атаки с помощью программ-вымогателей становятся все более смелыми и изощренными, преследуя более крупные и прибыльные цели с помощью своих преступных атак", - сказал Сарью Найяр, генеральный директор глобальной компании по кибербезопасности Gurucul. Атака на Software AG "является одной из крупнейших атак программ-вымогателей, но, конечно же, не последней".

Нет никаких сомнений в том, что хакеры становятся все более амбициозными - средняя сумма выкупа увеличилась с 29000 долларов в 2018 году до более 302000 долларов в 2019 году, согласно данным группы практики управления цифровыми активами и данными юридической фирмы BakerHostetler. Число кибератак при помощи программ-вымогателей постоянно растет из-за уязвимостей в системах крупных компаний.

Самый крупный выкуп, потребованный в прошлом году, составил 18,8 миллиона долларов, а самый крупный уплаченный выкуп - 5,6 миллиона долларов. "Мы видим, что выплаты производятся ежедневно", - заявила группа BakerHostetler. "Вот насколько велика эта проблема".

"Программы-вымогатели прошли путь от оппортунистических и транзакционно-независимых атак до более целенаправленных и постоянных атак, направленных на уничтожение крупных игроков рынка", - говорит Марк Сангстер, вице-президент и специалист по стратегии безопасности в компании eSentire, занимающейся управляемым обнаружением и реагированием.

Хакерские группы также стали более активными - по данным Check Point Research, за последние три месяца в США было почти вдвое больше атак с использованием программ-вымогателей, чем в период с января по июнь.

Отчасти это связано с тем, что пандемия вынуждает организации менять свои бизнес-структуры, что часто оставляет пробелы в их IT-системах, заявляет Checkpoint. "Эти бреши дали киберпреступникам возможность использовать недостатки безопасности и проникнуть в сеть организации. Хакеры шифруют сотни тысяч файлов, выводя пользователей из строя и часто беря в заложники целые сети".

По заявлению KPMG, удаленная работа "значительно увеличивает риск успешной атаки программы-вымогателя". Это "связано с комбинацией более слабого контроля над домашними IT-системами и более высокой вероятностью того, что пользователи будут нажимать на электронные письма с приманками, посвященными COVID-19. Учитывая уровень беспокойства, преступные группировки все чаще переключаются на тематические приманки COVID-19 для фишинга".

Платить или не платить?

Данные жертвы зашифрованы почти в 75% атак с использованием программ-вымогателей, как показал глобальный опрос 5000 IT-менеджеров, проведенный по заказу фирмы Sophos, занимающейся кибербезопасностью.

Опрос также показал, что 56 процентов жертв извлекли свои данные из резервных копий и только 26 процентов получили их обратно, заплатив выкуп.

Однако "в определенных ситуациях выплата выкупа может быть не единственным вариантом, но может быть лучшим оперативным вариантом по разным причинам", - говорит Рон Пеллетье, основатель и директор по работе с клиентами компании Pondurance, занимающейся управляемым обнаружением и реагированием.

Возьмите муниципалитет Лафайет в Колорадо, который заплатил хакерам выкуп в размере 45 000 долларов в июле после того, как они захватили его систему и заблокировали доступ к данным.

Лафайет заплатил после того, как рассмотрел альтернативные решения, потому что "в сценарии рентабельности восстановления данных города вместо уплаты выкупа вариант вымогателя намного перевешивает попытки восстановления", - заявили в Сити. "Также были приняты во внимание неудобства, связанные с длительным отключением услуг для жителей".

Pondurance работал с "несколькими новыми клиентами", которые заплатили выкуп и обратились к нему за помощью, отметил Пеллетье.

В то же время, ФБР предлагает жертвам обратиться к ним, вместо того, чтобы платить выкуп, так как в противном случае они будут считаться легкой добычей для злоумышленников.

Выплата выкупа также удорожает борьбу с атаками программ-вымогателей. Sophos обнаружила, что средняя стоимость устранения последствий составляет чуть более 730 000 долларов для организаций, которые не платят, и более 1,4 миллиона долларов для тех, которые платят.

Правовые аспекты выплаты выкупа

Американское законодательство не запрещает платить выкуп как таковой; но когда жертвы платят деньги людям или организациям, попавшим под санкции правительства США... они попадают в еще большие неприятности.

Управление по контролю за иностранными активами Министерства финансов США (OFAC) выпустило в октябре рекомендацию, в которой говорится, что американцам "в целом запрещено совершать сделки, прямо или косвенно" с организациями, включенными в его Список граждан особого назначения и заблокированных лиц (SDN List), а также с другими заблокированными лицами и лицами, на которые распространяется полное эмбарго страны или региона.

OFAC налагает санкции на киберпреступные группировки, "которые материально помогают, спонсируют или предоставляют финансовую, материальную или технологическую поддержку для этой деятельности" в соответствии с Законом о международных чрезвычайных экономических полномочиях (IEEPA) или Законом о торговле с врагами (TWEA).

Любая транзакция, которая вызывает нарушение в соответствии с IEEPA, в том числе транзакции лица, не являющегося гражданином США, в результате которого резидент США нарушает какие-либо санкции на основе IEEPA, также запрещена в соответствии с этими законами.

OFAC может налагать гражданско-правовую ответственность за нарушение санкций на основе указанных законов, это означает, что лицо, подпадающее под юрисдикцию США, может быть привлечено к гражданской ответственности, даже "если оно не знало или не имело оснований знать, что совершает транзакцию с запрещенным контрагентом.

Необходимо всегда быть начеку

Тем не менее, не все преступники связаны с объектом санкций, говорит Тед Кобус, председатель группы управления цифровыми активами и данными BakerHostetler. "На самом деле подавляющее большинство - нет".

В сообщении OFAC четко указано, что сотрудничество с ФБР имеет решающее значение и что это сотрудничество "будет рассматриваться как существенный смягчающий фактор", когда дело доходит до правоприменения, отметил Кобус.

BakerHostetler заявил, что компании обычно привлекают третью сторону для проведения должной осмотрительности, чтобы гарантировать, что выкуп не выплачивается лицу, на которое наложены санкции, и гарантировать, что законы об отмывании денег не нарушаются.

"Процесс комплексной проверки не требует больших затрат, и если вы привлечете нужных экспертов, это может произойти без огромных затрат и усилий", - отметил Кобус. "Таким образом, ожидается, что компании любого размера будут проводить соответствующие процедуры комплексной проверки".

Covid Доллар Короновирус Правительство