Коллеги из Check Point говорят о 58%-м росте атак шифровальщиков в России с начала 2020-го года, по ощущениям, эта цифра близка к реальности. Причина (как почти для всего в этом году) – отчасти в коронавирусе. Как любой крупный инфоповод он становится прикрытием для атак.

Основная модель распространения шифровальщиков – фишинг или BEC-атаки. Под видом новых нормативов от регуляторов или рекомендаций от ВОЗ мошенники рассылают письма с вирусными ссылками или вложениями, а люди, заинтересованные в такой информации, легко их открывают. Еще в начале пандемии исследования показывали взрывной рост такого «тематического» фишинга.

Тем ярче среди пострадавших отраслей выделяется медицина. Даже если доля медорганизаций среди жертв небольшая, сам факт атак на медиков примечателен, они нетипичная мишень для злоумышленников. Для вымогателей загруженные в период пандемии медцентры тем более удобная цель, что для них любой простой критичен – могут погибнуть пациенты, исчезнуть важнейшие наработки по изучению вируса или вакцины. Предполагается, что в этих условиях жертвы с большей вероятностью заплатят выкуп.

Но не медиками едиными – угроза реальна для всех. Например, в промышленности атаки шифровальщиков стали главной «головной болью» среди других ИБ-угроз. Под прицелом государственный и финансовый сектор, любой высокотехнологичный бизнес, даже небольшого размера.

Обычные пользователи хакерам не так интересны, но полной безопасности нет и для них. Например, под угрозой сетевые хранилища частных пользователей, где люди часто хранят сразу все свои данные и при атаке рискуют разом их потерять. Еще один сценарий – это требование выкупа за возврат доступа ко взломанным «умным» устройствам. Они плохо защищены, а распространение получают очень широкое и объединяются в целые умные дома.

Оцениваем опасность

Итак, главная цель злоумышленников – деньги. То есть атаки бьют не только по данным, но и по кошельку компании.Но в конечном итоге страдают люди. Редко напрямую (хотя уже есть зафиксированный случай смерти пациентки, которой не оказали помощь в больнице из-за атаки шифровальщика): в зоне риска персональные данные. И когда у компании похищают данные сотрудников и клиентов, опасна даже не их потеря.

Мошенники сейчас все чаще избирают гибридную тактику атаки, то есть сначала сливают данные жертвы себе и только потом шифруют. При отказе организации платить выкуп эти данные могут опубликовать. Например, так случилось с американской страховой компанией National Western Life: не получив выкуп, злоумышленники слили в Сеть более 600 Гб украденных у компании данных, в том числе сканы паспортов и договоры с клиентами. Скомпрометированные таким образом данные делают их владельцев мишенью для новых атак – хотя бы социнженерии со «звонками из банка».

Принимаем контрмеры

Единственный реальный способ избежать жестких последствий – тотальное Резервное копирование. Шифровальщик может поразить любое хранилище, хоть облачное, хоть физическое. Поэтому нужно дублировать все важные данные и хранить копии независимо друг от друга. И настроить бэкапы стоит заблаговременно – это значит заранее себя обезопасить. (Как именно организовать Резервное копирование – вопрос другой. Хотя практика показывает, что эффективно работают даже бумажные носители: они спасли, например, свердловский онкодиспансер, когда в сентябре он стал жертвой шифровальщика).

Еще одно хорошее средство профилактики – ликбез для всех, кто работает с уязвимыми данными. Это могут быть курсы, памятки, киберучения в организациях. Если нет собственных ресурсов для обучения сотрудников, можно приглашать экспертов со стороны – мы, например, недавно по такой схеме провели курсы повышения ИБ-грамотности для госслужащих в 22 регионах. Люди должны знать об угрозе и понимать, откуда она берется и как распространяется. Чем меньше будет открываемость вредоносных сообщений, тем ниже риск реальных потерь.

Важно держать в тонусе ИБ- и IT-специалистов, отрабатывать с ними сценарии противодействия атакам. Они должны уметь выявлять очаги распространения вредоноса и вовремя их гасить, чтобы зараженные письма не доходили до адресатов. Это подразумевает настройку спам-фильтров, прокси, антивирусную защиту почтовых серверов.

Чуть менее популярный, но все же ходовой вариант распространения шифровальщиков – взлом инфраструктуры, от маршрутизаторов до «умных» кофемашин (вот пример, как одна такая вымогала деньги). Поэтому все узлы сети нужно регулярно проверять на уязвимости, вовремя накатывать обновления от производителей, в которых известные уязвимости устраняются.

Отдельного внимания стоит контроль доступов к корпоративным аккаунтам. Нужно следить, насколько легитимна каждая авторизация, владелец ли пользуется аккаунтом, не передают ли сотрудники свои логины и пароли посторонним. Иначе компания рискует сама стать очагом распространения угрозы. Например, BEC-атака на белорусские медицинские организации выглядела так: злоумышленники получили доступ к почте медиков и начали рассылать информацию о ситуации с эпидемией в Беларуси от своего имени. В письмах содержались ссылки на вредоносы.