«Платите, или будет хуже!»: что делать, если киберпреступники
требуют заплатить

За последний год, когда мир перешел на удаленную работу, число кибератак резко выросло. Участились атаки всех видов, но главной темой 2020 года стали атаки программ-вымогателей: их число выросло на 150% по сравнению с предыдущим годом. А суммы, выплаченные жертвами атак, увеличились в 2020 году более чем на 300%. В 2021 году вымогатели стали еще активнее: СМИ чуть ли не ежедневно пишут о крупных атаках на ключевую инфраструктуру, частные компании и муниципальные власти. Требуемые суммы выкупа тоже резко выросли — иногда счет идет на десятки миллионов долларов. Наконец, атаки стали сложнее: теперь преступники захватывают ключевую информацию компании и держат ее «в заложниках» до получения выкупа. Кто стоит за этим увеличением числа атак? И как компаниям отвечать на новую угрозу? В этой статье я опишу эволюцию вымогателей и объясню, что можно сделать, чтобы от них защититься. Как изменились атаки вымогателей Несколько лет назад атаки вымогателей сводились к установке программ-вымогателей. Хакеры получали доступ к системе через фишинговое письмо: сотрудник компании проходил по ссылке и включал зловредную программу. Затем эта программа шифровала сервера компании, и вымогатель предлагал ключи для расшифровки в обмен на выкуп — обычно речь шла о десятках или иногда сотнях тысяч долларов. Как правило, злоумышленники вовсе не получали доступа к информации компании, а иногда даже не знали, какая компания попадется в их ловушку, — они просто искали системы с уязвимостями, а потом ждали расплаты. Получив выкуп в биткоинах или другой криптовалюте, хакеры отправляли жертве ключи расшифровки, чтобы та получила доступ к своим серверам, и даже обещали ей больше не нападать. В последнее время ситуация изменилась: злоумышленники подходят к кибератакам куда серьезнее. По данным Hiscox, Ltd., 43% из более чем 6 тыс. опрошенных компаний в 2020 году пострадали от кибератак (на 38% больше, чем годом ранее), и каждая шестая из них была атакой вымогателей. В 2020 году вымогатели начали требовать значительно большие суммы — по несколько миллионов долларов. К концу 2020-го и в 2021 году требования иногда достигали уже десятков миллионов. Изменились не только суммы требований, но и методы работы хакеров. Теперь их цель — выведать информацию компании, и чем она более важная, тем лучше. Новые злоумышленники (зачастую это организованные преступные группировки из Восточной Европы и других регионов) хорошо готовятся к своим атакам, анализируют финансовое положение компании и ситуацию в отрасли и понимают, как извлечь из атаки максимальную выгоду. Хакеры не только шифруют сервера жертвы (в том числе резервные), но и исследуют файлы и копируют большие объемы данных — иногда до терабайта. Затем они отправляют компании ультиматум в стиле «платите, или будет хуже»: требуют выкуп в криптовалюте в обмен на ключи шифрования и сохранение данных в конфиденциальности. Хакеры заявляют: если организация откажется платить, то вся ее секретная информация будет выгружена в даркнет на «стену позора» — вместе с данными других компаний, которые были взломаны и не заплатили выкуп. Тогда журналисты, которые следят за даркнетом, смогут найти эту информацию и публично сообщить об атаке. Это может ударить по репутации компании, а также привести к раскрытию ценной информации, являющейся объектом интеллектуальной собственности, или другой конфиденциальной информации, в том числе данных о клиентах или сотрудниках. Таким образом, жертва оказывается перед сложным выбором: заплатить несколько миллионов долларов преступникам или столкнуться с риском публикации ценной и важной конфиденциальной информации. Стоит отметить, что вымогатели обычно отвечают за свои обещания. Ведь компания должна верить, что после выплаты выкупа все копии украденных файлов будут уничтожены и/или что хакеры отправят ей ключи шифрования — и преступники держат свое слово. Некоторые из этих организаций и вовсе обеспечивают удобный клиентский сервис — например, принимают выкуп в удобной криптовалюте (с небольшой процентной надбавкой). Нам даже известен случай, когда хакер отправил компании ключи расшифровки в виде жеста доброй воли — после того, как они договорились снизить цену выкупа, потому что ключи были ей не нужны. Что делать, если вашу компанию атаковали? В случае атаки шифровальщиков или других кибервымогателей нужно следовать заранее подготовленному письменному плану реагирования — например, сразу уведомить топ-менеджеров и юристов. Если сразу добавить в переписку юриста, она будет защищена адвокатской тайной, что снизит риск публикации информации в групповых исках или других расследованиях после утечки данных. Кроме того, нужно сразу уведомить страховую компанию, чтобы определить, подпадает ли ваш случай под условия полиса киберстрахования. Перед тем как вести любые разговоры с хакерами, сначала получите подтверждение в страховой компании по вопросу выплаты выкупа. Решение о выплате выкупа принимает топ-менеджмент, а зачастую также совет директоров. Но это решение нужно принимать отдельно по каждой атаке шифровальщиков и любому другому событию. Сохраняйте открытость: компании часто теряют драгоценное время, когда менеджеры, ничего не знающие о киберпреступности, сразу заявляют, что они никогда не будут платить вымогателям, но постепенно лучше осознают ситуацию, понимают, что можно получить деньги от страховой компании и что нужно защитить интересы всех заинтересованных лиц, и только тогда соглашаются на выплату. Сохраняйте спокойствие и не спешите. Хакеры обычно стараются посеять панику и создать ощущение цейтнота, поэтому не торопитесь и постарайтесь принять правильное для вашей компании решение. Вот главные вопросы, которые стоит рассмотреть, чтобы понять, платить ли выкуп:

• Насколько важна информация, которую скопировали или украли хакеры?

• Есть ли у вас резервные копии этой информации? Нужны ли вам ключи расшифровки?

• Что выше — ущерб от отказа платить выкуп (нарушение работы бизнеса, влияние на системы и на клиентов, антиреклама, репутационный ущерб) или сумма выкупа?

• Связан ли хакер с компанией, которая находится в санкционном списке Управления по контролю за иностранными активами Министерства финансов США? Если да, то платить выкуп по законам США может быть запрещено.