ДЕНВЕР — «Удары дронов».
Комментарий, высказанный в шутку Алланом Лиской, аналитиком разведки Recorded Future, прозвучал в ответ на вопрос о том, что можно сделать, чтобы еще больше удержать злоумышленников от осуществления атак с использованием программ-вымогателей.
«Нам достаточно атаковать одного парня, занимающегося вирусом-вымогателем, с помощью дрона, и целая группа таких людей очень быстро ретируется, как только узнают, что такое возможно», — сказал Лиска в среду на экспертном заседании в рамках Mandiant Worldwide Information Security Exchange (mWISE).
Хотя комментарий мог быть ироничным, в нем чувствовалось скрытое раздражение, когда Лиску и других экспертов спросили, как еще лучше противодействовать атакам программ-вымогателей, особенно после того, как стало известно, что в 2024 году несколько компаний выплатили восьмизначные суммы выкупа .
«Программы-вымогатели приносят злоумышленникам огромную выгоду», — заявил Бретт Кэллоу, управляющий директор FTI Consulting. «Нам действительно нужен очень мощный сдерживающий фактор или очень эффективные механизмы, чтобы сократить объёмы денег, поступающих в экосистему программ-вымогателей. Пока мы не сделаем одно из этих двух действий или их комбинацию, мы не сможем по-настоящему справиться с этой проблемой».
Эксперты высоко оценили количество удалённых сайтов в 2024 году (14 на момент публикации статьи), назвав это шагом в правильном направлении. Однако они также знают, что киберпреступники адаптируются к этим действиям, перестраиваясь и быстро возобновляя свою деятельность.
Кимберли Гуди, руководитель группы анализа киберпреступности компании Mandiant, указала на уничтожение Trickbot как на пример того, как злоумышленники проявили определенную стойкость.
«Я бы сказала, что, возможно, время, выбранное для атаки Trickbot, не повлияло на сокращение числа программ-вымогателей так, как нам хотелось бы, потому что, как только [ответственные] приняли меры против Trickbot, эти злоумышленники переключились на другие инструменты, от которых у организаций не было адекватной защиты», — сказала она. «Таким образом, мы увидели резкий рост числа жертв, потому что мы не обеспечили этим организациям возможности обнаружения новых инструментов».
Лиска сравнил это устранение с операцией «Эндшпиль» — многонациональной операцией, в ходе которой было выведено из строя более 100 серверов и 2000 доменов, использовавшихся для совершения различных киберпреступлений.
Операция «Эндшпиль» «была лучше спланирована, лучше скоординирована и, на мой взгляд, принесла гораздо больше результатов», — сказал он. «Мы не только видим больше случаев задержания, но и видим, как правоохранительные органы извлекают уроки из предыдущих проблем, чтобы [проводить задержания] более эффективно».
«Раньше я был сторонником запрета, но, думаю, это было бы уместно, когда программы-вымогатели были далеко не так разрушительны, как сейчас», — сказал Кэллоу. «Я просто не представляю, как мы можем сказать больнице, что она не может заплатить выкуп, если у неё нет средств для восстановления своих систем. Влияние на пациентов было бы политически неприемлемым».
Лиска назвал запрет «плохой идеей, но наименее плохой», а также одобрил план Великобритании , согласно которому жертвы программ-вымогателей должны будут связаться с правительством, а затем предоставить им разрешение на осуществление вымогательских платежей.
«Если вам приходится платить выкуп, то, по крайней мере, [правительство знает], какая сумма выкупа выплачивается, и оно знает, на какие кошельки перечисляются средства, и оно может начать лучше отслеживать эту информацию», — сказал он.
«Мы видим, как эти [страховые] компании подталкивают организации к восстановлению как можно большего числа систем как можно быстрее, в то время как переговорщик тянет время», — сказала она. «Это важно с точки зрения того, что если организация подверглась атаке программы-вымогателя, и злоумышленник потребовал 2 миллиона долларов за восстановление всех её систем, то, если эта [жертва] организация сможет самостоятельно обнаружить, что на самом деле только 10% данных невозможно восстановить из резервных копий, она может использовать это как преимущество в переговорах, что в конечном итоге поможет киберстраховщику, поскольку ему, возможно, придётся выплачивать меньше».
Лиска отметила, что страховщики все строже относятся к мерам безопасности компаний перед выдачей полисов.
«Я знаю, что многим организациям сейчас, прежде чем продлить [полис], приходится проходить гораздо более интенсивную процедуру тестирования, а не просто ставить галочку», — сказал он. «К ним приходят сотрудники и проводят пентестинг. Это позволяет некоторым страховым компаниям выбирать более надежных клиентов или иметь более надежных клиентов, которые не будут так часто подвергаться атакам».
«Оценить последствия этих действий очень и очень сложно, поскольку мы не знаем, сколько атак программ-вымогателей было совершено», — сказал он. «Мы не знаем, насколько серьёзными были последствия этих атак. У правоохранительных органов очень, очень ограниченные возможности оценить последствия своих действий. А политикам необходимо гораздо лучше сообщать об инцидентах, чтобы знать их количество и иметь возможность оценить и оценить последствия».
Комментарий, высказанный в шутку Алланом Лиской, аналитиком разведки Recorded Future, прозвучал в ответ на вопрос о том, что можно сделать, чтобы еще больше удержать злоумышленников от осуществления атак с использованием программ-вымогателей.
«Нам достаточно атаковать одного парня, занимающегося вирусом-вымогателем, с помощью дрона, и целая группа таких людей очень быстро ретируется, как только узнают, что такое возможно», — сказал Лиска в среду на экспертном заседании в рамках Mandiant Worldwide Information Security Exchange (mWISE).
Хотя комментарий мог быть ироничным, в нем чувствовалось скрытое раздражение, когда Лиску и других экспертов спросили, как еще лучше противодействовать атакам программ-вымогателей, особенно после того, как стало известно, что в 2024 году несколько компаний выплатили восьмизначные суммы выкупа .
«Программы-вымогатели приносят злоумышленникам огромную выгоду», — заявил Бретт Кэллоу, управляющий директор FTI Consulting. «Нам действительно нужен очень мощный сдерживающий фактор или очень эффективные механизмы, чтобы сократить объёмы денег, поступающих в экосистему программ-вымогателей. Пока мы не сделаем одно из этих двух действий или их комбинацию, мы не сможем по-настоящему справиться с этой проблемой».
Эксперты высоко оценили количество удалённых сайтов в 2024 году (14 на момент публикации статьи), назвав это шагом в правильном направлении. Однако они также знают, что киберпреступники адаптируются к этим действиям, перестраиваясь и быстро возобновляя свою деятельность.
Кимберли Гуди, руководитель группы анализа киберпреступности компании Mandiant, указала на уничтожение Trickbot как на пример того, как злоумышленники проявили определенную стойкость.
«Я бы сказала, что, возможно, время, выбранное для атаки Trickbot, не повлияло на сокращение числа программ-вымогателей так, как нам хотелось бы, потому что, как только [ответственные] приняли меры против Trickbot, эти злоумышленники переключились на другие инструменты, от которых у организаций не было адекватной защиты», — сказала она. «Таким образом, мы увидели резкий рост числа жертв, потому что мы не обеспечили этим организациям возможности обнаружения новых инструментов».
Лиска сравнил это устранение с операцией «Эндшпиль» — многонациональной операцией, в ходе которой было выведено из строя более 100 серверов и 2000 доменов, использовавшихся для совершения различных киберпреступлений.
Операция «Эндшпиль» «была лучше спланирована, лучше скоординирована и, на мой взгляд, принесла гораздо больше результатов», — сказал он. «Мы не только видим больше случаев задержания, но и видим, как правоохранительные органы извлекают уроки из предыдущих проблем, чтобы [проводить задержания] более эффективно».
Разумно ли запрещать выплату выкупа?
В течение года и Кэллоу , и Лиска призывали к полному запрету выплат выкупов как способу предотвращения атак. Однако в среду они отказались от своих намерений, рассмотрев ситуацию с учётом текущей ситуации с атаками.«Раньше я был сторонником запрета, но, думаю, это было бы уместно, когда программы-вымогатели были далеко не так разрушительны, как сейчас», — сказал Кэллоу. «Я просто не представляю, как мы можем сказать больнице, что она не может заплатить выкуп, если у неё нет средств для восстановления своих систем. Влияние на пациентов было бы политически неприемлемым».
Лиска назвал запрет «плохой идеей, но наименее плохой», а также одобрил план Великобритании , согласно которому жертвы программ-вымогателей должны будут связаться с правительством, а затем предоставить им разрешение на осуществление вымогательских платежей.
«Если вам приходится платить выкуп, то, по крайней мере, [правительство знает], какая сумма выкупа выплачивается, и оно знает, на какие кошельки перечисляются средства, и оно может начать лучше отслеживать эту информацию», — сказал он.
Роль страховщиков в сдерживании
За последние несколько лет киберстраховщики усилили защиту организаций, ограничивая или избегая выплат выкупа и предоставляя рекомендации по передовым практикам, особенно в отношении резервного копирования. Гуди отметил, что эти меры снижают финансовую выгоду злоумышленников от инцидентов.«Мы видим, как эти [страховые] компании подталкивают организации к восстановлению как можно большего числа систем как можно быстрее, в то время как переговорщик тянет время», — сказала она. «Это важно с точки зрения того, что если организация подверглась атаке программы-вымогателя, и злоумышленник потребовал 2 миллиона долларов за восстановление всех её систем, то, если эта [жертва] организация сможет самостоятельно обнаружить, что на самом деле только 10% данных невозможно восстановить из резервных копий, она может использовать это как преимущество в переговорах, что в конечном итоге поможет киберстраховщику, поскольку ему, возможно, придётся выплачивать меньше».
Лиска отметила, что страховщики все строже относятся к мерам безопасности компаний перед выдачей полисов.
«Я знаю, что многим организациям сейчас, прежде чем продлить [полис], приходится проходить гораздо более интенсивную процедуру тестирования, а не просто ставить галочку», — сказал он. «К ним приходят сотрудники и проводят пентестинг. Это позволяет некоторым страховым компаниям выбирать более надежных клиентов или иметь более надежных клиентов, которые не будут так часто подвергаться атакам».
Видимость превыше всего
Кэллоу заявил, что даже несмотря на активизацию усилий со стороны как правительства, так и частного сектора, все еще слишком много атак происходит вне поля зрения общественности, что не позволяет эффективно сдерживать атаки программ-вымогателей.«Оценить последствия этих действий очень и очень сложно, поскольку мы не знаем, сколько атак программ-вымогателей было совершено», — сказал он. «Мы не знаем, насколько серьёзными были последствия этих атак. У правоохранительных органов очень, очень ограниченные возможности оценить последствия своих действий. А политикам необходимо гораздо лучше сообщать об инцидентах, чтобы знать их количество и иметь возможность оценить и оценить последствия».
