Как вести переговоры с хакерами вымогателями
Продолжаем начатую в предыдущем выпуске нашего журнала (№78)тему реагирования на вымогательские атаки.
Прежде чем вступать в переговоры с хакерами, сумевшими проникнуть в ваши корпоративные базы данных, зашифровать их или проделать иную гнусность, постарайтесь собрать как можно больше информации о преступной группировке, жертвой который вы стали, советуют эксперты.
Важно узнать, как эти злоумышленники действовали в прошлом, в отношении других организаций, что требовали в качестве выкупа, как вели переговоры. Например, это известная в цифровой преступной среде криминальная группировка, успешна атаковавшая десятки компаний. Понятно, что она менее терпелива в процессе контактов, так как у нее много других опций.
Также важно понимать, как хакеры выбирают объект атаки, исходя из имеющейся у них информации о финансовом состоянии потенциальной жертвы. При этом они не всегда пользуются достоверными источниками. К примеру, атакуют дочернюю компанию крупной транснациональной корпорации, рассчитывая на большие барыши, не зная, что жертва атаки ведет небольшой бизнес в одной конкретно взятой стране, и с нее много не возьмешь. В этом случае необходимо спокойно и убедительно, с цифрами на руках, разъяснить захватчикам, что «они ошиблись адресом».
В некоторых случаях удается быстро восстановить часть систем, пораженных атакой. Это хороший аргумент в пользу отказа от выплаты всей выставляемой шантажистами суммы. Но, конечно, многое зависит от способности компании быстро обнаружить несанкционированное вторжение, что, в свою очередь, требует заблаговременной подготовки плана реагирования.
Эксперты обращают внимание на значение стратегии резервного копирования баз данных, которое является самым простым и дешевым средством обеспечения сохранности корпоративных данных. «Резервная копия представляет собой копию информации, структур и объектов безопасности, содержащихся в базе данных. Каждая база данных должна резервироваться по своему графику в зависимости от количества выполняемых за день транзакций записи. Для минимизации потерь при сбое базы данных необходимо выполнять резервное копирование всех баз данных, используемых на предприятии. А дабы убедиться, что резервные копии работоспособны, следует проверять их работу после операций восстановления. По меньшей мере, необходимо иметь копии баз данных, пригодные для быстрого восстановления, а сама операция восстановления должна быть отработана и не вызывать никаких трудностей» (подробнее см. osp.ru).
Но не всегда резервная копия выручает, отмечает Тим Бандос, начальник службы информационной защиты компании Digital Guardian. Он вспоминает ситуацию, в которой оказался один его клиентов в сфере производства. При наличии у компании резервной копии данных, она ничего не смогла сделать, будучи атакованной, так как пользовалась устаревшим внешним сервером, требующим восстановления всей системы, даже в случае ее частичного поражения хакерами. В результате пришлось платить выкуп (Chief Security Officer, February, 2021).
Обычно организаторы вымогательских атак охотно вступают в торг. В подавляющем большинстве случаев жертвам удается существенно снизить первоначально озвученную сумму выкупа. Ведь и хакеры испытывают временной пресс. Чем дольше длятся переговоры, тем больше шансов у жертвы восстановить систему, залатать брешь и выбросить злоумышленника из сети.
По статистике, хакеры в итоге довольствуются 25% – 30% запрашиваемой ими суммы. Они ведут себя как коммерсанты, начиная торг с максимального уровня – 10% или 20% годовой прибыли, понимая при этом, что реально могут рассчитывать на нечто меньшее. Поэтому, как правило, они открыты для переговоров.
При достижении договоренности, но еще до перевода денег, необходимо потребовать от вымогателя, чтобы он продемонстрировал способность дешифровать скомпрометированные данные. Декриптор, которым пользуется хакер, может иметь дефекты, неспособность восстанавливать определенные системы или объемы данных. В таких случаях помощь могут оказать некоторые компании, которые специализируются на обратном декодировании. От хакера только требуется назвать шифровальный код.
Намного сложнее инциденты, связанные с угрозами разглашения секретной, конфиденциальной информации. При таком обороте нет стопроцентной уверенности, что, получив требуемый выкуп, хакер уничтожит данные, оказавшиеся в его распоряжении. Компания Coveware (реагирование на вымогательские атаки) в своем отчете за 2020 год фиксирует целый ряд инцидентов, когда жертва, заплатившая выкуп, вторично подвергается шантажу, либо обнаруживает свои данные разглашенными.
Все идет к тому, отмечают эксперты, что каждый такой инцидент будет рассматриваться как информационная утечка со всеми юридическими и процессуальными последствиями. Помимо выкупа компаниям придется потратиться на мониторинг «серого веба» в поисках украденных данных, чтобы попытаться предотвратить их распространение в свободном доступе.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|