Поучительная история о том, как попавшие под атаку шифровальщика организации должны, прежде всего, сконцентрироваться на причинах заражении, или они могут стать жертвой повторно.
Компания, ставшая жертвой атаки шифровальщика и заплатившая киберпреступникам миллионы за ключ расшифровки для восстановления своей сети, стала жертвой точно такой же атаки менее чем через две недели так как не смогла выяснить как и почему эта атака смогла успешно произойти.
История подробно описана британским Национальным центром кибербезопасности (NCSC) в посте блога о росте числа программ-вымогателей.
Неназванная компания стала жертвой атаки шифровальщика и заплатила миллионы в bitcoin за восстановление сети и возвращение файлов. Однако, компания просто оставила все как есть, не проанализировав как киберпреступники проникли в сеть, и это принесло печальные плоды, когда та же банда заразила сеть тем же самым вредоносным ПО менее, чем через две недели. В итоге компания заплатила выкуп во второй раз.
«Мы слышали об одной организации, которая заплатила выкуп (чуть менее 6,5 миллионов фунтов стерлингов по сегодняшним обменным курсам) и восстановила свои файлы (с помощью прилагаемого дешифратора) без каких-либо усилий по выявлению первопричины заражения и обеспечению безопасности своей сети. Менее чем через две недели те же самые злоумышленники снова атаковали сеть жертвы, используя тот же механизм, что и раньше, и заново зашифровала данные. Жертва почувствовала, что у нее нет другого выхода, кроме как снова заплатить выкуп», - сообщается в блоге NCSC.
NCSC подробно рассказал об этом инциденте в качестве урока для других организаций, и урок заключается в том, что если вы становитесь жертвой атаки шифровальщика - выясните, как киберпреступники могли внедриться в сеть незамеченными до того как что-то платить, если вы в принципе платить собираетесь.
Для большинства жертв кибератак, которые обращаются в NCSC, первоочередной задачей является, разумеется, получение обратно своих данных и обеспечение того, чтобы их бизнес мог снова работать. Однако реальная проблема заключается в том, что программа-вымогатель часто является лишь видимым симптомом более серьезного сетевого вторжения, которое могло продолжаться в течение нескольких дней, а возможно и дольше», - говорится в посте блога технического руководителя NCSC, посвященного управлению инцидентами.
Для установки шифровальщика киберпреступники могли получить доступ к сети через бэкдор, возможно, с помощью предыдущего заражения вредоносным ПО, а также иметь привилегии администратора или другие учетные данные для входа в сеть.
Если у злоумышленников есть такой доступ, они могут легко, если захотят, развернуть повторные атаки, что и произошло в примере, подробно описанном выше, поскольку жертва не выяснила как была взломана ее сеть.
Изучение сети после инцидента с заражением вредоносным ПО и определения, как вредоносный код смог проникнуть в сеть и как он оставался незамеченным в течение столь долгого времени, является тем, о чем все организации-жертвы шифровальщиков должны подумать наряду с восстановлением сети или, что предпочтительнее, еще до того, как они займутся восстановлением сети.
Некоторые могут полагать, что выплата выкупа преступникам будет самым быстрым и экономически эффективным средством восстановления работы - но это редко главная проблема. Инцидент наносит ущерб не только уплатой выкупа ( потенциально в миллионы долларов), но и требует тщательного анализа и восстановления поврежденной сети, что также обходится в большие суммы.
Как отмечает NCSC, атака шифровальщика часто приводит к длительному периоду простоя и хаоса, прежде чем работа организации станет похожа на что-либо нормальное.
«Восстановление после инцидента с шифрованием редко бывает быстрым. Расследование, восстановление систем и восстановление данных часто требует нескольких недель работы», - заявил сотрудник пресс-службы.
Лучший способ избежать всего этого - убедиться, что ваша сеть защищена от кибератак, в первую очередь, за счет обеспечения актуальности операционных систем и исправлений безопасности а также применения многофакторной аутентификации по всей сети.
Также организациям рекомендуется регулярно создавать резервные копии своих данных и хранить эти резервные копии в автономном режиме, чтобы в случае успешной атаки данные можно было восстановить наиболее полно и без сбоев.
Перевод сделан со статьи: https://www.zdnet.com/
