Broadcom Software чудово розуміє, що кібербезпека є обов’язковою для кожного підприємства.
Останні кілька років для всіх були не зовсім звичайними. У Broadcom Software знають, що навіть коли підприємства намагаються залишити пару неспокійних років у минулому, розповсюдження програм-вимагачів продовжує сіяти хаос і потребує постійної уваги та зусиль.
Загроза здирництва тепер домінує у кожній дискусії з питань безпеки, що ведуться з клієнтами. Їх побоювання виправдані: методи організацій-вимагачів, порівняно з минулим, стали більш витонченими, рішучими і прагнуть отримати набагато більше грошей в якості викупа. Вони також застосовують напрочуд креативні тактики. Минули часи простого шифрування чи крадіжки файлів – тепер зловмисники зливають вкрадену інформацію, щоб чинити додатковий тиск на своїх жертв.
Ціль: великі виплати. Наприклад, одна організація зловмисників, що займається розсилкою шкідливих програм, публічно розкрила інформацію про інтимний зв’язок генерального директора, розповсюдивши фотографії на підтвердження цього. Інша організація продавала на аукціоні файли компанії тому, хто більше заплатить, причому, як повідомляється, CNA Financial Corp. заплатила 40 мільйонів доларів, щоб повернути контроль над своєю мережею.
У той же час, зловмисники використовують різні методи для проникнення в корпоративні мережі. В останній рік спостерігається явний перехід до масового сканування Інтернету для пошуку опублікованих вразливостей серверів як способу проникнення в корпоративне середовище. Частково це реакція на вразливості програмного забезпечення, виявлені в цих серверах. Але це також важливе нагадування про те, що зловмисники невпинно шукають нові та більш доступні цілі.
Вони також докладають зусиль, щоб обійти засоби захисту, коли потрапляють на кінцеву точку. Традиційно зловмисники просто закидали шкідливе програмне забезпечення на кінцеву точку і запускали його. Нещодавно компанія зіткнулися з випадком, коли зловмисники встановили на кінцевий пристрій віртуальний бокс, а потім завантажили образ диска.
Коли віртуальна машина запускалася, шкідлива програма завантажувалася лише усередині віртуальної машини. Віртуальна машина мала спільні папки з хостом, тому коли програма-вимагач запускалася всередині віртуальної машини, вона могла шифрувати файли.
Коли зловмисники проникають у систему захисту підприємства, вони розуміють, що їм не потрібно шифрувати кожну машину в мережі. Замість шифрувати 10 000 комп’ютерів, вони можуть захопити контролер домену, сервери ESX та віртуальні машини та зашифрувати образи віртуальних машин. Ця стратегія окупилася для зловмисників, оскільки багато підприємств були готові заплатити викуп, щоб повернути контроль та уникнути клопоту, пов’язаного з оновленням усіх своїх машин.
Вибір своїх жертв
За минулі роки зловмисники змінили свій підхід до вибору цілей. У минулому спостерігалось набагато більше безладних атак – здебільшого зловмисники полювали на всіх, хто тільки траплявся їм під руку, намагаючись знайти шлях на підприємства.
У постпандемічну епоху зловмисники ретельніше оцінюють свої цілі, щоб розрахувати віддачу від витраченого часу. Так вони з’ясовують, скільки коштує компанія? Чи вона котирується на фондовому ринку? Скільки грошей у них на рахунках? По суті, ця попередня розвідка дозволяє визначити, хто потрапить до списку, та допомагає визначити розмір викупу, який зловмисники вимагатимуть від жертв.
Транснаціональні погрози
Оскільки компанії прагнуть зміцнити свій захист, слід знати, проти кого вони виступають. Хоча атаки ransomware можуть виходити звідки завгодно, компанії з безпеки і урядові агентства виявили докази того, що багато атак пов’язані з Росією.
Характер відносин між цими зловмисниками, що займаються розповсюдженням програм-викупів, і російським урядом непрозорий, але сталість цієї діяльності передбачає, як мінімум, байдужість уряду до впливу на критичну інфраструктуру та ключові галузі промисловості інших країн або, у гіршому випадку, пряму співучасть уряду, якщо не спонсорування, але з певним ступенем заперечення.
Навіть до вторгнення в Україну західним країнам не вдавалося переконати російську владу припинити діяльність банд-вимагачів, які діють у межах їхньої юрисдикції. Тепер шансів на реальний прогрес поменшало.
Відновлення даних
Щойно атака відбулася, можливості обмежені. Команди ransomware мають надійний механізм шифрування, який охоронні компанії не можуть зламати. Тому, коли підприємство стає жертвою, воно постає перед непростим рішенням: закритися чи платити? Часто керівництво вирішує, що на користь компанії поступитися. Але немає жодної гарантії, що зловмисники не повернуться за місяць і не вимагатимуть нового викупу за дані.
Якщо організації пощастило ізолювати програму-вимагач, вона може відновити свої системи, використовуючи автономні резервні копії, які команда програми-вимагача не видалила та не пошкодила. Але навіть за наявності резервних копій процес відновлення даних громіздкий і займає багато часу. Деякі організації можуть зробити висновок, що краще заплатити викуп.
Підтримка рівня C
Якщо ви шукаєте просвіт, то він такий: кібербезпека тепер є частиною розмови на рівні C. До пандемії це було не таким вже й обов’язковим, хоча гучні зломи останніми роками наголосили на потенційній шкоді для репутації та підсумкового прибутку компанії.
Не бракує і гірших сценаріїв. Наведемо лише один приклад: компанія Colonial Pipeline Co., що управляє найбільшим паливопроводом у США, торік була зупинена на шість днів після атаки російської банди, що займається розробкою програм-вимагачів Darkside. Підсумок: зростання цін, відсутність палива на заправках та критика стандартів безпеки трубопроводів компанії після злому.
Саме тому кібербезпека більше не є предметом жорсткого обговорення, коли CISO виступає у залі засідань ради директорів. Якщо попередні роки кібербезпека сприймалася скептично, як великі витрати, тепер вона розглядається як добре витрачені гроші. Навіть якщо ransomware зрештою відступить, ми перейшли цифровий Рубікон у тому, що стосується фінансування та пріоритетів безпеки в корпоративному світі.
Джерело: https://bit.ly/39OWtTh
