Информационная безопасность компании: стратегии борьбы с программами-вымогателями

Обеспечение информационной безопасности – один из ключевых вопросов деятельности компании на фоне компьютеризации экономики и стремительного развития информационных технологий. Ведь информация представляет собой важнейший актив предприятия, и ее защита должна быть обеспечена на надлежащем уровне. Под информационной безопасностью подразумевается комплекс мер, которые необходимы для защиты от утечки или взлома компьютерных систем, программ и данных.

Вредоносное ПО уже много лет является злейшим врагом организаций по всему миру. Программы-вымогатели блокируют файлы жертв с помощью шифрования, за их разблокировку требуют выкуп. Как защитить свой бизнес от таких вредоносных ПО?

Как действуют программы вымогатели?

Зачастую программы-вымогатели находятся в фишинговых письмах. Например, на корпоративную почту компании попадает письмо со ссылкой. Сотрудник открывает его и нажимает на ссылку. После этого вредоносная программа загружается с сервера, контролируемого злоумышленниками. Теперь она может действовать или выжидать подходящего момента.

Бывает, что вредитель некоторое время присутствует в спящем режиме на сетевом диске, никак не обнаруживая себя. Но чаще всего, как только вредоносное ПО получает доступ к корпоративному устройству, оно начинает действовать. «Вымогатель» сканирует сетевое и локальное хранилище с целью найти подходящие для дальнейшего шифрования файлы. Для этих целей обычно используется асимметричное или симметричное шифрование, хотя при многих недавних атаках программ-вымогателей применялись оба вида.

Чаще всего вредоносное ПО этой категории охотится за таким типом файлов:

• видеофайлы: avi, .m4a,.mp4;
• графические файлы двух видов: .jpeg, .png, .jpeg, .gif  и
   dwg ;
• все версии Microsoft Office: .xlsx, .docx, and .pptx ;
• файлы с данными: .sql и .ai.

Киберпреступники, к сожалению, постоянно совершенствуют вредоносные программы, разрабатывая новые варианты для атак на различные виды файлов. Однако файлы Microsoft Office являются в основном главным трофеем для таких ПО, ведь на этих носителях часто располагается важная бизнес-информация. А, как известно, чем ценнее предмет торга, тем выше вероятность, что жертва заплатит выкуп.

Программа-вымогатель обычно осуществляет многоэтапную атаку, ключевыми моментами которой являются:

• Проникновение – ПО попадает на устройство и запускает вредоносный сценарий.
• Обмен ключами безопасности – на этом этапе злоумышленники получают информацию о том, что их задумка реализована и жертва найдена.
• Шифрование данных – полученные файлы подвергают шифрованию. После завершения шифрования файлов программа-вымогатель создает и отображает файл или файлы, содержащие инструкции о том, как жертва может заплатить выкуп.
• Вымогательство – жертве сообщают, что ее информация находится в руках злоумышленников и для ее расшифровки необходимо заплатить выкуп.
• Восстановление – если жертва и злоумышленник пришли к «консенсусу», то доступ к данным восстанавливается. То есть, если попавшая под атаку компания согласилась на условия киберпреступников и заплатила необходимую сумму, ее данные возвращают.

Однако даже после того, как все условия вымогателей будут выполнены, гарантии, что ключи для дешифровки будут представлены, а данные не попадут в сеть, отсутствуют. Зачастую злоумышленники, получив вознаграждение, сливают информацию в открытый доступ или попросту саботируют дальнейшие действия по восстановлению. Поэтому лучше предотвратить вероятность проникновения вредоносных программ на корпоративные компьютеры, чем решать проблемы с выкупом и восстановлением данных.

Типы программ-вымогателей

Вредоносные ПО-шифровальщики – это одни из самых популярных кибервымогателей, но далеко не единственные. Злоумышленники постоянно разрабатывают новые виды таких программ, использующие различные векторы атаки. Это могут быть:

• вредоносная реклама;
• черви-вымогатели программы одноранговой передачи файлов;
• блокировщики;
• программы, удаляющие данные.

Как защитить данные компьютера компании от программ-вымогателей?

Существует набор факторов, которые повышают риски компании стать жертвой программ-вымогателей. Так, чем более устаревшими являются устройства, используемые в корпоративных целях для хранения и передачи данных, тем выше риски. Это касается и устаревших программных обеспечений.

Необходимо следить, чтобы вовремя обновлялись браузеры и операционные системы, был четко настроен план резервного копирования, уделялось достаточно внимания кибербезопасности компании. Но даже если предприятие использует самое современное оборудование, защите данных уделяется большое внимание, все равно сохраняется риск попасться на крючок злоумышленников. Поэтому очень важно отслеживать и реализовывать эффективные способы защиты от программ-вымогателей.

Создание эффективной стратегии резервного копирования

Предпринимателю стоит помнить, что в деле резервного копирования важна стратегия. Если копировать всё подряд и делать это без расписания, то такой метод защиты от программ-вымогателей будет малоэффективным. Необходимо, чтобы копии создавались четко по графику, не зеркализировались в облаке и хранились в секретном месте. Таким образом можно быстро восстановить работу компании в случае, если она подвергнется атаке вредителей. Даже несколько скомпрометированных злоумышленниками устройств в этом случае не станут преградой к возобновлению работы фирмы.

Сканирование и фильтрация электронной почты

Как известно, чаще всего программы-вымогатели попадают на устройства через фишинговые письма. Если эффективно фильтровать электронную почту, сканировать попадающий на нее контент, то можно защитить своих сотрудников от перехода по вредоносным ссылкам. Количество фишинговых и вымогательских программ значительно уменьшится, если установить на корпоративную почту специальные фильтры.

Установление программных патчей

Для закрытия брешей безопасности в программном обеспечении используются специальные патчи. Если не провести патчинг, у злоумышленников сохранится пространство для маневра. Если предприятие своевременно не протестирует и не развернет патчи, то останутся уязвимости в ПО, которые позволят хакерам проникнуть в систему и внедрить программу-вымогатель.

Контроль устройств, подключенных к корпоративной сети

Руководству компании необходимо контролировать не только компьютеры и серверы, на которых хранится основная информация, но и отслеживать устройства, подключенные к корпоративному вайфаю. Многие из них не имеют встроенных функций безопасности, которые необходимы корпоративному компьютеру. Плохо защищенное устройство позволит злоумышленникам отыскать лазейку и проникнуть в корпоративную сеть. Необходимо контролировать доступ к системе и предупреждать пользователей о потенциальных рисках проникновения вредоносных ПО.

Обучение персонала

Самый дешевый и эффективный способ проникновения программ-злоумышленников в корпоративную сеть – это воздействие путем рассылки писем на электронную почту. Да, эта техника сегодня считается максимально примитивной, но, к сожалению, она еще приносит свои результаты. Проведение тренинга с персоналом по поводу распознавания потенциально опасных электронных писем позволит защитить компанию от программ-вымогателей.

Сотрудники должны знать, что нельзя открывать письма от незнакомых адресатов и тем более переходить по имеющимся в них ссылкам. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. Включение двухфакторной аутентификации также создаст дополнительный защитный барьер.

Обновление антивирусных программ

Антивирусные сигнатуры должны обновляться регулярно – это обыденность каждой компании. Однако не всегда этому процессу уделяется соответствующее внимание. Антивирусные программы современного образца с успехом распознают программы-вымогатели и обнаруживают подозрительную активность в виде шифрования файлов, например. Самые продвинутые пакеты безопасности, как только распознают попытки модифицирования пользовательских файлов, сразу начинают делать резервные копии этих данных.

Еще несколько необходимых условий для защиты корпоративных устройств от программ-вымогателей:

• своевременное обновление ПО;
• задействование учетной записи с привилегиями администратора только для рабочих целей;
• ограничение сетевого доступа к файлам;
• правильная настройка интернет-браузеров;
• включение отображения расширения файлов.

Хранение резервных копий на другом устройстве, к которому нет доступа из корпоративной сети – это один из наиболее эффективных способов защиты от программ-вымогателей. Для этого целесообразно использовать жесткий диск. Как только копирование будет завершено, устройство необходимо отключить от сети. Таким образом злоумышленники не получат доступ к этой информации.

Что делать, если программа-вымогатель уже заразила систему?

Если проблема уже существует, необходимо предпринять следующие действия:

1. Изолировать зараженную систему от остальной корпоративной сети. Для этого устройства необходимо отключить от сети и выключить  WI-FI.
2. Определить тип программ-вымогателей и составить стратегию борьбы с ними.
3. Сообщить регуляторам, если последствия заражения соответствуют указанным в законодательстве положениям.
4. Удалить вредоносное ПО со всех зараженных устройств.
5. Восстановление данных при помощи сохраненных резервных копий.

Однако если таких копий нет или они тоже заражены, придется идти на поводу у злоумышленников и платить выкуп. Поэтому лучше всего предотвращать проблему, чем бороться с ее последствиями.

Самые известные случаи атак программ-вымогателей

Несмотря на то, что в последнее время отмечается тенденция снижения атак программ-вымогателей, эти вредоносные ПО все равно регулярно наносят ущерб не только частным пользователям, но и крупным компаниям.

Так, в апреле 2020 года от злоумышленников пострадала португальская энергетическая компания Energias de Portugal (EDP). Программа-вымогатель Ragnar Locker зашифровала данные гиганта, а за доступ к ним злоумышленники просили выкуп в размере 10 млн долларов. EDP ​​подтвердила факт атаки, но заявила, что доказательства компрометации конфиденциальных данных клиентов отсутствуют. Однако клиентам все же предложили воспользоваться специальной программой для защиты информации из-за опасения, что утечка может обнаружиться в будущем.

Атаке подверглась медицинская компания NRC Health, работающая с 75% из 200 крупнейших больниц США. Руководство компании было вынуждено отключить все корпоративные устройства, чтобы не допустить утечку информации о клиентах и сотрудниках.

В том же 2020 году крупный производитель электроники, калифорнийская компания Communications & Power Industries (CPI) стала жертвой программ-вымогателей. В результате CPI пришлось заплатить злоумышленникам около полумиллиона долларов США.

В 2021 году крупнейший поставщик топлива в США компания Colonial Pipeline пострадала от вымогателей. В результате ей пришлось заплатить 4,4 млн долларов США.

Ежегодно от программ-вымогателей страдают десятки тысяч компаний самой разной величины. Согласно статистике, только в 2022 году от таких действий пострадал 71% организаций по всему миру. 60% из них платят выкуп, а некоторые и не один раз.

Согласно опросу «Состояние фишинга», проведенному Proofpoint в 2021 г., более 70% предприятий столкнулись хотя бы с одним заражением программами-вымогателями, причем 60% из них заплатили злоумышленникам. И хотя разработчики защитных инструментов регулярно выпускают на рынок всё более усовершенствованные новинки для борьбы с вымогателями, хакеры «не дремлют».

С каждым днём вирусы становятся всё более «умными», а последствия их деятельности всё более болезненными. Однако следование основным правилам увеличивает шансы пользователя на сохранение важных данных.

Больше интересных материалов можно прочесть на нашем телеграм-канале.