Broadcom Software прекрасно понимает, что кибербезопасность является ОБЯЗАТЕЛЬНОЙ для каждого предприятия.
Последние несколько лет для всех были не совсем обычными. В Broadcom Software знают, что даже когда предприятия пытаются оставить пару неспокойных лет в прошлом, распространение программ-вымогателей продолжает сеять хаос и требует постоянного внимания и усилий.
Угроза вымогательства теперь доминирует в каждой дискуссии по вопросам безопасности, которые ведутся с клиентами. Их опасения оправданы: методы организаций, занимающихся вымогательством, по сравнению с прошлым, стали более изощренными, решительными и стремящимися получить гораздо больше денег в качестве выкупа. Они также применяют удивительно креативные тактики. Прошли времена простого шифрования или кражи файлов – теперь злоумышленники сливают украденную информацию, чтобы оказать дополнительное давление на своих жертв.
Цель: большие выплаты. Например, одна организация злоумышленников, занимающаяся рассылкой зловредных программ, публично раскрыла информацию об интимной связи генерального директора, снабдив ее уличающими фотографиями. Другая организация продавала на аукционе файлы компании тому, кто больше заплатит, при этом, как сообщается, CNA Financial Corp. заплатила 40 миллионов долларов, чтобы вернуть контроль над своей сетью.
В то же время злоумышленники используют различные методы для проникновения в корпоративные сети. В последний год наблюдается явный переход к массовому сканированию Интернета с целью поиска опубликованных уязвимостей серверов как способу проникновения в корпоративную среду. Отчасти это реакция на уязвимости программного обеспечения, обнаруженные в этих серверах. Но это также важное напоминание о том, что злоумышленники неустанно ищут новые и более легкие цели.
Они также прилагают все больше усилий, чтобы обойти средства защиты, когда попадают на конечную точку. Традиционно злоумышленники просто забрасывали вредоносное ПО на конечную точку и запускали его. Недавно компания столкнулись со случаем, когда злоумышленники установили на конечное устройство виртуальный бокс, а затем загрузили образ диска. Когда виртуальная машина запускалась, вредоносная программа загружалась только внутри виртуальной машины. Виртуальная машина имела общие папки с хостом, поэтому, когда программа-вымогатель запускалась внутри виртуальной машины, она могла шифровать файлы.
Когда злоумышленники проникают в систему защиты предприятия, они понимают, что им больше не нужно шифровать каждую машину в сети. Вместо того чтобы шифровать 10 000 компьютеров, они могут захватить контроллер домена, серверы ESX и виртуальные машины и зашифровать образы виртуальных машин. Эта стратегия окупилась для злоумышленников, поскольку многие предприятия были готовы заплатить выкуп, чтобы вернуть контроль и избежать хлопот, связанных с обновлением всех своих машин.
Выбор своих жертв
За прошедшие годы злоумышленники изменили свой подход к выбору целей. В прошлом мы видели гораздо больше беспорядочных атак – в основном злоумышленники охотились за всеми, кто только попадался им под руку, пытаясь найти путь на предприятия.
В постпандемическую эпоху злоумышленники более тщательно оценивают свои цели, чтобы рассчитать отдачу от потраченного времени. Так, они выясняют, сколько стоит компания? Котируется ли она на фондовом рынке? Сколько наличных денег у них на руках? По сути, эта предварительная разведка позволяет определить, кто попадет в список, и помогает определить размер выкупа, который злоумышленники потребуют от жертв.
Транснациональные угрозы
Поскольку компании стремятся укрепить свою защиту, им следует знать, против кого они выступают. Хотя атаки ransomware могут исходить откуда угодно, как компании по безопасности, так и правительственные агентства обнаружили доказательства того, что многие атаки связаны с Россией.
Характер отношений между этими злоумышленниками, занимающимися распространением программ-выкупов, и российским правительством непрозрачен, но постоянство этой деятельности предполагает, как минимум, безразличие правительства к воздействию на критическую инфраструктуру и ключевые отрасли промышленности других стран или, в худшем случае, прямое соучастие правительства, если не спонсирование, но с определенной степенью отрицания.
Даже до вторжения в Украину западным странам не удавалось убедить российские власти пресечь деятельность банд вымогателей, действующих в пределах их юрисдикции. Теперь шансов на реальный прогресс стало еще меньше.
Восстановление данных
Как только атака произошла, возможности ограничены. Команды ransomware имеют надежный механизм шифрования, который охранные компании не могут взломать. Поэтому, когда предприятие становится жертвой, оно оказывается перед непростым решением: закрыться или платить? Часто руководство решает, что в интересах компании уступить. Но нет никакой гарантии, что злоумышленники не вернутся через месяц и не потребуют новый выкуп за данные.
Если организации посчастливилось изолировать программу-вымогатель, она может восстановить свои системы, используя автономные резервные копии, которые команда программы-вымогателя не удалила и не повредила. Но даже при наличии резервных копий процесс восстановления данных громоздок и занимает много времени. Некоторые организации могут прийти к выводу, что предпочтительнее заплатить выкуп.
Поддержка уровня C
Если вы ищете просвет, то он таков: кибербезопасность теперь является частью разговора на уровне C. До пандемии это было не таким уж обязательным, хотя громкие взломы в последние годы подчеркнули потенциальный ущерб для репутации и итоговой прибыли компании.
Нет недостатка в худших сценариях. Приведем лишь один пример: компания Colonial Pipeline Co., управляющая крупнейшим топливопроводом в США, в прошлом году была остановлена на шесть дней после атаки российской банды, занимающейся разработкой программ-вымогателей Darkside. Итог: рост цен, отсутствие топлива на заправках и критика стандартов безопасности трубопроводов компании после взлома.
Именно поэтому кибербезопасность больше не является предметом жесткого обсуждения, когда CISO выступает в зале заседаний совета директоров. Если в предыдущие годы кибербезопасность воспринималась скептически, как большие затраты, то теперь она рассматривается как хорошо потраченные деньги. Даже если ransomware в конечном итоге отступит, мы перешли цифровой Рубикон в том, что касается финансирования и приоритетов безопасности в корпоративном мире.
Источник: https://bit.ly/39OWtTh
