Чи розумно платити викуп за програму-вимагач? Що відбувається, коли компанії платять викуп за відновлення даних?

Викуп програм-вимагачів

Що відбувається, коли програма-вимагач вимагає від компанії викупу? Чи повинні ми вирішити платити чи не платити? Коли компанію атакує програмне забезпечення-вимагач, яке ставить під загрозу її діяльність або загрожує розкрити конфіденційні дані, можна подумати, що було б краще заплатити викуп і покінчити з кошмаром, у який вона поринула. Чи розумно платити викуп? Що відбувається, коли компанії платять викуп за відновлення даних?

Атаки програм-вимагачів стають потужнішими з кожним днем. Експерти з кібербезпеки стверджують, що кіберзлочинці добре знаходять діри в корпоративних комп’ютерних системах.

Як правило, атаки програм-вимагачів не дозволяють жертві знову отримати доступ до своїх даних і вимагають викуп.

Експерти не погоджуються щодо найкращого способу дій, коли потрібно вирішити, платити чи ні викуп. ФБР і національна безпека радять не платити викуп, оскільки це заохочує подальшу злочинну поведінку.

Що відбувається після оплати?

Теоретично, після сплати викупу жертва повинна отримати ключі дешифрування та обіцянку не використовувати та не публікувати будь-які дані, вкрадені з атакованої комп’ютерної системи. Оплата, однак, не гарантує, що ви зможете відновити стан до атаки.

Керівники компаній повинні мати на увазі статистику, пов’язану з цими випадками, перш ніж прийняти рішення про оплату, яка говорить нам, що насправді лише 65% даних відновлюється, і лише 8% компаній вдається відновити всі дані:

  • Зашифровані файли часто неможливо відновити. Декодери, надані зловмисником, можуть працювати неправильно або виходити з ладу;
  • Відновлення даних може зайняти кілька тижнів, особливо якщо вони були сильно зашифровані;
  • Немає жодної гарантії, що викрадені дані не будуть перепродані в майбутньому або витік у Dark Web;
  • На жаль, сплата викупу не гарантує, що системи будуть відремонтовані або дані будуть відновлені. Ви не можете вірити всім обіцянкам здирників, їх не цікавлять труднощі, які доведеться подолати компанії, щоб повернутися до нормального життя;
  • Статистика свідчить, що компанії, які заплатили викуп, мають більше шансів піддатися повторній атаці, оскільки злочинці знають, що ІТ-система має слабкі місця та що керівництво готове заплатити.

У той час як деякі експерти вважають, що компанії ніколи не повинні виплачувати претензії щодо програм-вимагачів, інші стверджують, що кожна ситуація унікальна. Ці кібератаки можуть поставити під загрозу саме виживання підприємства, тому керівникам потрібно залишити вибір.

Не існує простого чи універсального рішення

Сплата викупу також несе в собі технологічний ризик. Згідно з дослідженням Cybereason, 80% жертв програм-вимагачів, які заплатили необхідний викуп, згодом піддалися іншій атаці програм-вимагачів.

Більшість компаній, які платять викуп, роблять це тому, що після атаки програм-вимагачів вимоги про відшкодування збитків можуть перевищити суму, яку вимагають здирники. Наприклад, втрата даних клієнта може призвести до судових позовів з боку клієнтів за вторгнення в конфіденційність, з одного боку, і зниження виставлення рахунків, з іншого.

Або ви віддаєте перевагу сплаті викупу, тому що операції скомпрометовані, як це трапляється, наприклад, у лікарнях, де призупинення діяльності вимірюється людськими життями.

Це також знають організації-вимагачі, які віддають перевагу атакам на державні служби, такі як охорона здоров’я та транспорт, збій у роботі яких може призвести до хаосу в країні.

Однак відомо, що групи програм-вимагачів повертаються до відомих компаній, які вже заплатили перший раз, оскільки вважають, що це легша фінансова вигода. Це факт, що жертви, які платять, неодноразово стають мішенню.

Тому компанії повинні об’єктивно оцінити свою здатність відновити роботу та вдосконалити свою ІТ-систему та політику захисту, щоб не бути такими вразливими, як у перший раз, і з майже впевненістю, що відбудеться друга атака програм-вимагачів.

Зверніться до брокера програм-вимагачів

Один із способів краще керувати виплатою викупу – отримати допомогу брокера програм-вимагачів. Ці нові професійні діячі часто є частиною компаній з реагування на інциденти (IR) або надають свої послуги страховим компаніям, які страхують ризики кібербезпеки.

Це рішення та відповідний вибір посередника мають бути прийняті до атаки програм-вимагачів. Перед підписанням договору кіберстрахування або укладанням контракту на IR-консультування організації повинні запитувати про наявність послуг з переговорів і будь-які відповідні комісії.

У разі атаки програми-вимагача з вимогою викупу керівництво компанії могло негайно звернутися до посередника, щоб не підходити до ситуації наосліп.

Часто медіатори вже мали досвід роботи з тими ж злочинцями, і кожен з них веде кілька справ одночасно. З безпосереднього досвіду вони знають, як налагодити переговори, що можна поступитися злочинцям, у чому вони «щирі», а в що взагалі не варто вірити. Крім того, завдяки своєму досвіду брокери знають, чи є вони злочинцями, які збирали гроші за викуп в інших випадках, не повертаючи даних, тому вони будуть радити не платити. Або я знаю, що при відповідній тактиці ведення переговорів можна отримати значну «знижку» на суму викупу.

Ще один профілактичний вибір, який слід зробити перед тим, як зазнати атаки програм-вимагачів, — це зберігати певну кількість біткойнів у гаманці криптовалюти, щоб мати можливість сплатити викуп у разі потреби. Цей вид оплати є найпоширенішим у викупній оплаті.

Часто брокер може організувати платіж від імені клієнта. Однак, якщо запис про викуп містить вісім чи більше цифр, жертва повинна знати, де і як вона може своєчасно отримати таку кількість біткойнів. Злочинці-вимагачі не бажають довго чекати.

Тому, щоб уникнути плутанини в останню хвилину, цю процедуру слід встановити заздалегідь до нападу програм-вимагачів і задокументувати в плані IR. Іноді брокер може допомогти вам знайти наявність біткойнів.

У деяких випадках зловмисники вимагають оплати в Monero, криптовалюті, яку важче відстежити. Це ще більше ускладнює справу, оскільки досить важко отримати великі обсяги Monero за короткий термін.

Що робити після оплати

Після відновлення після атаки програм-вимагачів організація повинна вжити відповідних запобіжних заходів, щоб підготуватися до другої атаки, створивши та змінивши сценарії відповіді та відновлення для різних типів атак.

Відновлюючись після кібератаки, вам потрібно діяти швидко, і ваші найкращі шанси на успіх – це мати добре сплановану та структуровану відповідь. Але згідно з останніми дослідженнями, лише 54% підприємств із понад 500 співробітниками мають комплексний план відновлення. Згідно зі статистикою Cybnet, 77% компаній не мають стратегії реагування на кібербезпеку. Це тривожна тенденція.

Можливо, будь-якій компанії, якій є що втрачати, настав час не вагатися й розглянути корисність створення плану відновлення після кібератаки.

помилка: Вміст захищено !!