Безумие — это точное повторение одного и того же действия раз за разом, в надежде на изменение.
Продолжаем выискивать достойное русского глаза в блоге Krebs on Security. Интерес наш привлёк текст про вирусы-вымогатели. Ransomware – настоящий бич как для компаний, так и физлиц, и, ссылаясь на исследование Coveware, Брайан Кребс объясняет, почему всё становится только хуже. Как и в прошлый раз наш ИБ-эксперт Алексей Дрозд (aka labyrinth) ведет заочную беседу с коллегами в подстрочных комментариях. Вы можете их не открывать, чтобы читать только перевод оригинала текста.
Компании, пострадавшие от программ-вымогателей, часто сталкиваются с двойной угрозой. Злоумышленники не просто шифруют данные и требуют уплатить выкуп, но также угрожают выложить данные в открытый доступ, если не получат деньги.
Стоит различать угрозы и реальные действия
Угрожать публикацией данных преступники начали, думаю, как только появились шифровальщики. Но трендом это стало лишь в конце 2019 года. Именно тогда появились сообщения про ресурс, который создали разработчики вредоноса Maze для побуждения жертв к оплате выкупа. На нём они писали: «Представленные здесь компании не хотят сотрудничать и пытаются скрыть нашу успешную атаку на их ресурсы. Ждите, скоро выложим их базы данных и личные документы. Следите за новостями!». Не прошло и пары месяцев, как инициативу Maze подхватили другие операторы вредоносного ПО.
Не будем говорить о тех случаях, когда надежды жертвы оправдываются: злоумышленники оказываются «честными бандитами» и уничтожают украденное после уплаты выкупа. Но как показывает новое исследование Coveware, это скорее исключение, чем правило. Потому что данные значительного числа жертв, заплативших выкуп, все равно сливаются в публичный доступ.
В компании Coveware, которая специализируется на помощи пострадавшим от атак вымогателей, заявляют, что такой риск существует почти в половине всех случаев.
«Раньше, если у жертвы были резервные копии, она просто восстанавливала данные и забывала о проблеме. У компании не было никакой причины даже вступать в контакт с злоумышленником, – отмечается в отчете. – Теперь потерпевший, даже с полностью восстановленными из бэкапов данными, часто вынужден обращаться к злоумышленнику. Ему нужно как минимум уточнить, какие именно данные были украдены».
Зачем уточнять?
Всегда сохраняется надежда на то, что злоумышленники блефуют. Кроме того, поведение шифровальщиков меняется. Один из трендов – сперва утащить как можно больше данных, а лишь затем начать шифрование. Таким образом, количество утёкших данных может быть гораздо больше, чем зашифрованных. Поэтому чтобы оценить реальный масштаб проблемы, компании порой необходимо получить «сэмпл».
В Coveware заявили, что у нее достаточно свидетельств от жертв, чьи данные были опубликованы после оплаты выкупа за их удаление. В ряде случаев и вовсе данные сливались в сеть еще до того, как жертве предлагалось оплатить выкуп.
«В отличие от переговоров по получению ключа дешифрования, диалог по удалению украденных данных может длиться бесконечно. Ключ дешифрования жертва получает в постоянное пользование. А когда злоумышленники крадут данные, использовать их для шантажа можно долго: вернуться за вторым и следующим платежом можно в любой момент в будущем», – говорится в отчете.
Пример из российской практики
Оценить всю «креативность» русскоговорящих шантажистов можно на примере одного частного расследования. В описываемой схеме мошенники сперва вымогали у жертвы деньги за утёкшие снимки. После чего вновь связывались с ней, но уже в роли «добрых полицейских», обещая вывести обидчиков на чистую воду за вознаграждение.
Поэтому эксперты компании советуют клиентам никогда не платить выкуп за удаление данных, а вместо этого потратить деньги на расследование: на то, чтобы выявить, сколько реально файлов было украдено и уведомить пострадавших в соответствии с законами.
«Жертвы программ-вымогателей надеются, что если они заплатят выкуп, никто не узнает о взломе компании», - говорит Фабиан Восар (технический директор ИБ-компании Emsisoft). Это ложные надежды.
«Компании не хотят, чтобы данные были опубликованы или проданы. Поэтому они платят, надеясь, что злоумышленник удалит данные. Но удалят они данные или нет, с юридической точки зрения это не имеет значения. С точки зрения закона данные были потеряны в момент их утечки».
По словам Восара, нет смысла платить и за ключ дешифрования: он может просто не подойти.
И вот еще почему
Иногда шифрование данных без возможности их восстановления может быть сделано намеренно. Такая версия выдвигалась относительно шифровальщика NotPetya. Но чаще это досадная для жертвы случайность.
«Поэтому когда вы читаете эти письма с требованием выкупа, вам там, по сути, открытым текстом заявляют: «Да, теперь ты в жо..е», – резюмирует в своем посте Кребс.
Но даже в этой ситуации можно увидеть свет в конце тоннеля
Зашифрованные данные – не окончательный приговор. Есть два варианта «расшифровки без вложений» и оба подразумевают везение.
1) Просто повезло – это когда мошенники зашифровали данные «старой» версией вредоноса, к которой уже написаны дешифровщики. Существуют сообщества, бесплатно помогающие пострадавшим. Например, NoMoreRansome Project. Некоторые антивирусные компании также делятся своими наработками.
2) Возможно повезёт, но придётся подождать – это когда на данный момент помочь вам нельзя, но есть шанс, что удастся в будущем. К примеру, некоторые операторы, «раскаявшись», уходят на покой и публикуют в открытом доступе ключи для дешифровки.
Успешная атака вируса-шифровальщика как нельзя лучше иллюстрирует поговорку про то, что проблему лучше предупредить, чем потом разгребать последствия.
Поэтому не забывайте:
- бэкапить данные – полезно в принципе, а не только в контексте шифровальщиков;
- следить, чтобы на оборудовании стояли и обновлялись спам-фильтры и антивирусные программы;
- просвещать сотрудников о том, какие методы социальной инженерии используют мошенники, чтобы подкинуть в компанию нужный файл с вирусом.
Есть советы, как бороться с напастью? Делитесь в комментариях!