Трояны-вымогатели стали реальной угрозой и развиваются. Как бизнесу защититься от рисков?

Cybersecurity Ventures прогнозирует, что к 2021 году ежегодный ущерб от киберпреступности составит 6 триллионов долларов. Это вдвое больше по сравнению с 3 триллионами долларов в 2015 году. Потери от киберпреступности включают в себя повреждение и уничтожение данных, кражу интеллектуальной собственности, нарушение нормального режима работы после атаки, а также ущерб репутации компании.

Согласно статистике, ущерб от вирусов-вымогателей, или ransomware, как и от киберпреступности в целом, ежегодно растет. Чаще всего атакам подвергается отрасль здравоохранения — из-за высокой чувствительности медицинских данных клиентов. Также ransomware остается основной угрозой в ретейле, игровой и криптоиндустрии. Однако любая компания, независимо от отрасли, подвержена эпидемиям вирусов-вымогателей.

При этом финансовые потери от ransomware — лишь часть ущерба. Простои, сбои в работе, ущерб репутации компании, а иногда и ее клиентов — все это приводит к катастрофическим последствиям для бизнеса.

Киберпреступники делают ставку на ransomware

Ransomware — это большой бизнес. Количество кибератак резко возросло за последние несколько лет. Согласно исследованию ESG, почти две трети опрошенных организаций в Северной Америке и Западной Европе подверглись атаке вымогателей в прошлом году. При этом 22% респондентов сообщили о еженедельных атаках.

Когда вредоносное ПО шифрует файлы и доступ к ним становится невозможен, уже мало что можно сделать. Остается либо платить вымогателям, либо, если не осталось чистых от вируса резервных копий, смириться с потерей и заняться восстановлением ущерба.

К сожалению, в большинстве случаев данные, которые шифровались вирусом с целью получения выкупа, все равно будут считаться слишком рискованными для использования. Они могут быть скомпрометированы или так и останутся недоступными, независимо от того, заплачен ли выкуп.

Крупнейшие атаки поразили весь мир

Так происходило в случае с заражением вирусом-вымогателем Petya. После уплаты выкупа в размере 300 долларов в криптовалюте данные оставались недоступны. Petya распространялся через бухгалтерскую программу M.E.Doc, в обновление которой был встроен вирус. Прошли масштабные заражения по всей Украине, пострадали компании в странах Европы, Азии и США. Среди российских компаний об атаках заявили Evraz, Башнефть, Роснефть и др.

Через обновление M.E.Doc запускалась цепочка нетиповых запросов, которая помогала распространению вируса. «Вымогатель» проникал в корпоративные сети также и через фишинговые письма. В отличие от своего предшественника WannaCry, Petya легко распространялся на другие системы благодаря способности извлекать пароли из памяти или локальной файловой системы.

Кстати, ущерб от масштабной атаки WannaCry составил $1 млрд во всем мире. Максимум атак пришлось на Россию, хотя серьезно пострадали Индия, Украина, Великобритания и Тайвань. Вирусу достаточно было заразить один компьютер в локальной сети, чтобы распространиться на все серверы этой сети.

Как защитить данные компании?

Регулярные атаки и громкие эпидемии заставили компании увеличить инвестиции в свою кибербезопасность. Борьба с вирусами-вымогателями должна быть комплексной и вестись в трех направлениях:

  1. Предотвращение или смягчение атаки.
  2. Защита данных и резервное копирование.
  3. Восстановление.

Как показывает опыт, даже крупные подготовленные организации уязвимы для кибератак. Это повышает актуальность технологий резервного копирования и восстановления. Однако только комплексные меры обеспечат надежную защиту.
>Обучение сотрудников

Ransomware часто проникает в корпоративные системы с индивидуальных устройств сотрудников, которые подключены к сети компании. Поэтому даже обучение простым мерам кибербезопасности — ограничение использования USB-портов, Wi-Fi-сетей — может помочь бизнесу предотвратить эти угрозы.

Обучение ИТ-персонала не менее важно, чем инструктаж конечных пользователей. А учитывая близость администраторов к ИТ-инфраструктуре, их обучение становится критически важным для кибербезопасности компании. Особое внимание стоит уделять обучению тех специалистов, которые отвечают за резервное копирование данных.

Регулярные тренинги по безопасности, сетевым технологиям и рекомендации по хранению данных повысят защитный барьер от вирусов-вымогателей и предотвратят ущерб от заражения.

Однако для многих бизнесов обучать собственных специалистов по безопасности слишком затратно. Такую непрофильную для компании функцию, как управление информационной безопасностью, часто доверяют специализированным сервис-провайдерам, которые гарантируют защиту через свою экспертизу.

Ограничение административного доступа

Многие организации разрешают доступ с правами системного администратора слишком большому числу сотрудников. Следует регулярно проверять тех, кто имеет административный доступ, и отслеживать, на какие данные он распространяется. Установка правильных разрешений доступа для сотрудников и их регулярная сверка помогут снизить риски заражения ransomware.

Резервирование данных по правилу «3-2-1»

Схема хранения данных «3-2-1» требует, чтобы три копии данных компании были сохранены на двух разных носителях, а одна из этих копий должна находиться вне офиса, без прямого подключения к Интернету или корпоративной сети.

Автономная копия — это так называемая последняя линия обороны, резерв, который можно будет использовать для восстановления, потому что его наверняка не достигнет вымогатель, даже когда вся остальная система будет повреждена.

Использование иной файловой системы для резервного копирования и решений с возможностями поведенческого анализа тоже могут помочь в ограничении распространения вымогателей.

Защита устройств, получающих вредоносные программы

Защита электронной почты и веб-контроль — важнейшие элементы борьбы с вирусами-вымогателями. Принимаемые меры:

  • белые списки типов файлов;
  • черные списки подозрительных веб-сайтов;
  • регулярные и своевременные обновления ПО;
  • сканирование известных вымогателей или вредоносных программ в электронных письмах;
  • инструменты для идентификации и блокировки фишинг-писем;
  • сканирование сайтов на наличие вредоносных загрузок и эксплойтов браузера;
  • запрет пересылки по e-mail без анализа репутации исполняемых файлов (.exe, .ppt, .doc, .docx).

Эти и другие способы защиты ограничат потенциал вымогателей. Также поможет тестирование вторжений и фиктивный фишинг, проводимые сторонним партнером по кибербезопасности.

Конечные точки (ПК, ноутбуки, смартфоны) часто становятся вектором атаки для внедрения вымогателей, поэтому требуют комплекса надежных контрмер. Здесь необходим поведенческий мониторинг с динамическим анализом с помощью песочницы для обнаружения шифрования, подключения к дискам и т. д.

Системы обнаружения вторжений (HIDS/HIPS) — еще одна эффективная мера безопасности, сосредоточенная на выявлении эксплойтов внутри сети, чтобы вредоносный трафик не достиг серверов.

Как получить надежную защиту от вымогателей, не принимая сложных мер

Некоторые из перечисленных способов защиты доступны многим компаниям, но комплексные усилия практически невозможны для малого бизнеса. Есть мнение, что малый бизнес менее подвержен кибератакам вымогателей. Однако это заблуждение.

Ransomware могут поразить любой тип бизнеса. Масштабный и автоматизированный характер атак вымогателей делает их выгодными за счет большого количества жертв, а не требования крупных сумм. Поэтому растет вероятность заражения инфраструктуры небольших компаний.

Помочь малому бизнесу могут провайдеры, которые предоставляют IT-инфраструктуру в облаке. Они следят за всей системой и надежно защищают ее от вымогателей с помощью передовых комплексных мер кибербезопасности, нецелесообразных к самостоятельному применению мелкими компаниями. То, что не в состоянии осуществить сами в рамках киберзащиты, представители малого бизнеса получают от облачных провайдеров.

Комплексную информационную безопасность можно получить и как услугу (Managed security services) у сервис-провайдеров, которые специализируются на этом.