SentinelOne – Шифровальщики: Платить или не платить?

8 июля 2021 г. 13:12
 1555

Шифровальщики продолжают эволюционировать и требовать все больший выкуп, стоит платить или нет?

Платить выкуп – это законно?

Может показаться странным, но выплата выкупа вымогателям не является незаконным деянием, даже если принудительное шифрование чужих данных и требование оплаты само по себе является серьезным преступлением, например, в соответствии с американскими законом о компьютерном мошенничестве и злоупотреблениях и законом о конфиденциальности электронных коммуникаций, а также многими другими законодательными актами различных государств.

Некоторые эксперты утверждают, что лучшим способом решения проблемы эпидемии заражений вирусами-шифровальщиками было бы сделать незаконным факт выплаты выкупа жертвами кибер-атаки. Кибер-преступников, естественно, интересует только финансовая выгода, и если бы выплата была просто запрещена законом, это подстегнуло бы бизнес к поиску других вариантов решения проблем с шифровальщиками и - по крайней мере, теоретически - преступники перешли бы к каким-то другим активностям с более легкими способами заработать.

Идея объявить вне закона выплату выкупа может показаться привлекательной, пока вы не рассмотрите ее подробнее и не обдумаете, как это будет работать на практике. Публично торгуемые компании имеют юридические обязательства перед акционерами, публичные компании, предоставляющие услуги, имеют юридически обязательства по обслуживанию своих сообществ. Закон, угрожающий штрафовать организации или, возможно, грозящий сотрудникам в тюрьмой, был бы крайне противоречивым в принципе и, вероятно, трудновыполнимым на практике – и это не считая этической проблемы криминализации жертвы в ходе преступления, единственной целью которого является принудить эту самую жертву к совершению платежа.

Представьте себе прокурора, пытающегося убедить суд в том, что сотрудник, чьи действия, скажем, восстановили критически важную государственную службу и сэкономили налогоплательщикам миллионы долларов после санкционирования пятизначного платежа выкупа - должен быть заключен в тюрьму. Чем это, в принципе, будет отличаться от судебного преследования выплатившего выкуп родителя за обеспечение безопасности похищенного ребенка? Не похоже, что такое дело будет легко выиграть, особенно когда сотрудник (или организация) может сослаться на законные смягчающие обстоятельства - такие как сохранение жизней или строгие юридические обязательства.

Платить выкуп – это этично?

Хотя платить выкуп при заражении шифровальщиком и  не противозаконно - все равно остается открытым другой вопрос: этично ли это? Есть несколько различных точек зрения по этому поводу. Согласно некоторым интерпретациям этики, что-то является «хорошим» или «правильным» решением, если оно ведет к общественному благу.

С другой стороны, можно утверждать, что «правильное» или «этичное» всегда отличается от «прагматичного» или просто целесообразного решения. Проведя на мгновение фантастический мысленный эксперимент - считали бы мы этичным, если бы автор шифровальщика потребовал жизнь человека вместо денег, чтобы вернуть данные, которые спасли бы жизни тысяч других людей? Для многих это была бы серьезная дилемма, многие думают что всегда неэтично убивать одного невинного чтобы защитить жизни других. И это говорит о том, что «правильно» и «неправильно» не может вращаться вокруг простого подсчета предполагаемых выгод.

Однако настоящая проблема прагматического подхода заключается в том, что нет никакого согласия относительно того как объективно рассчитать влияние различных вариантов этического выбора. Чаще всего значение, которое мы придаем разным этическим решениям, просто отражает нашу предвзятость к тому выбору, к которому мы естественным образом предрасположены.

Если прагматизм не может помочь нам понять, этично или нет платить выкуп, мы можем обратиться к другому взгляду на этику, который предполагает, что мы должны рассматривать действия как «правильные» или «неправильные» в той мере, в какой они отражают ценности нашего общества. Этот взгляд иногда выражается более просто как вариант максимы «поступай с другими так, как ты хотел бы, чтобы поступали с тобой». Более точной постановкой может быть вопрос: «Хотим ли мы жить в обществе, где мы считаем правильным (этичным) платить тем, кто совершает преступления? Является ли это максимой, которой мы хотели бы научить наших детей?». Говоря такими словами, многие, возможно, ответят «нет».

Платить выкуп – это разумно?

Даже если у нас есть четкое представление о правовой ситуации и определенная этическая позиция, вопрос «платить или не платить» поднимает и другие проблемы. Мы не совсем закончили с прагматической стороной дилеммы атак шифровальщиков и выплаты выкупа. Мы все еще можем иметь склонность сделать неэтичный выбор в свете других, казалось бы, более насущных проблем.

Существует реальное, ощутимое давление на принятие решения, которое может спасти вашу организацию, миллионы ваших долларов или может избавить вас от нескольких недель простоя критически важных сервисов.

Пример: недавно три больницы в штате Алабама заплатили выкуп, чтобы возобновить работу. Представитель больниц заявил: «Мы работали с правоохранительными органами и экспертами по информационной безопасности, чтобы оценить все варианты решения, которые, по нашему мнению, отвечают наилучшим интересам наших пациентов и соответствуют миссии нашей системы здравоохранения. Это включает приобретение ключа дешифровки у злоумышленников чтобы ускорить восстановление системы и помочь обеспечить безопасность пациентов».

Такой взгляд на «суровую реальность» отражен и в недавних изменениях, внесенных в ФБР в официальное руководство по угрозам шифровальщиков.

«...ФБР понимает, что когда бизнес сталкивается с полным прекращением деятельности, руководители оценивают все варианты защиты своих акционеров, сотрудников и клиентов».

Однако вероятность того, что преступники не выполнят свою часть сделки, должна учитываться при принятии любого решения о выплате выкупа при кибер-атаках. В некоторых случаях ключей дешифровки даже не существует, в других случаях авторы программ-вымогателей просто не отвечают на запросы после того, как им заплатили. Мы видели это в некоторой степени с шифровальщиком WannaCry. Во время вспышки WannaCry, некоторые жертвы заплатили и получили ключи, но многие так и не получили ответа от атакующих, либо пары ключей жертвы и сервера не совпадали, что делало расшифровку невозможной.

Еще один момент, который следует учитывать при обдумывании вопроса согласия на требование об оплате - это то, как этот факт повлияет на вашу организацию помимо последствий самой атаки. Повредит ли оплата вашей репутации или вызовет одобрение? Станут ли другие (или даже те же самые) злоумышленники теперь рассматривать вас как легкую мишень и попытаются ли нанести вам новый удар? Не приведет ли ваша финансовая поддержка преступников к дальнейшим атакам на другие компании или сервисы, на которые вы сами полагаетесь? Другими словами, уступка требованию выкупа может приведести к негативным долгосрочным последствиям, которые перевесят сиюминутные «выгоды» - если конечно злоумышленники выполнят свои обещания…

Что случится, если не платить?

Если вы решите не платить выкуп, то, конечно, окажетесь в изначальном положении, в которое вас поставил злоумышленник зашифровав все ваши файлы, чтобы «выкрутить вам руки» и заставить заплатить.

В зависимости от типа шифровальщика есть некоторая вероятность что дешифратор уже существует для этого штамма; менее вероятно - но все же не безнадежно – что команды экспертов-аналитиков могут обнаружить способ расшифровки ваших файлов. Многие программы-вымогатели бывают некачественно реализованы и внедрены, поэтому может оказаться, что не все настолько ужасно как кажется на первый взгляд.

Такие проекты как «NoMoreRansom», могут быть очень ценным источником информации при оценке ваших действий при столкновении с атакой шифровальщика.

Также подумайте о том, все ли возможные варианты резервного копирования и восстановления вы предусмотрели. Многие вспоминают историю компании Maersk во время атаки шифровальщика NotPetya, подчеркивая важность возможности быстрого восстановления всей инфраструктуры из резервных копий. Наиболее ярким прозрением для Maersk (и всей отрасли) было то, что восстановление зависело от счастливой случайности: единственный незатронутый контроллер домена не был заражен из-за перебоя в электроснабжении в том месте, где он находился. Если бы не эта счастливая случайность, восстановление всей инфраструктуры заняло бы экспоненциально больше времени после того, как 50 000 устройств и тысячи приложений были уничтожены одновременно.

Некоторые называют это «историей успеха резервного копирования», но акционеры и работники тысяч компаний по всему миру быстро напомнят нам, что этот инцидент обошелся бизнесу более чем в полмиллиарда долларов в течение 6 месяцев после инцидента. Хотя резервное копирование и восстановление действительно очень важны, они ни в коем случае не являются основой стратегии борьбы с угрозой атак шифровальщиков.

Наконец, существует наихудший сценарий, при котором у вас нет ни резервных копий, ни программного обеспечения для восстановления, и вам придется заново собирать данные, сервисы и, возможно, свою репутацию с нуля. Прозрачность – это несомненно, ваш лучший выбор в таком сценарии. Признайте ошибки, обязуйтесь извлечь из них уроки и твердо стойте на своем этическом решении не поощрять преступное поведение.

Что случится, если заплатить?

Вероятно при попытке выплатить выкуп существует больше неопределенности, чем  при отказе от выполнения требований вымогателей. По крайней мере, если вы решите не платить выкуп - то все, что произойдет дальше, находится в ваших руках. Передавая любую сумму злоумышленникам, вы остаетесь в их власти до тех пор, пока они не предоставят рабочий ключ для расшифровки.

Такие тактики, как просьба предоставить «доказательство жизни» для расшифровки части инфраструктуры перед оплатой, или попытки договориться об оплате « 50% авансом, а 50% - только после того, как данные будут расшифрованы», могут сработать с некоторыми хакерскими группами, но могут и не сработать.

Подавляющее большинство выкупов по-прежнему выплачивается в Bitcoin, который не является анонимной или неотслеживаемой валютой. Если вы чувствуете, что вынуждены заплатить, вы можете сотрудничать с правоохранительными органами и предоставить им данные кошельков и платежные реквизиты. У государства часто имеются средства для отслеживания перемещения средств по всему миру.

Куда двигаться дальше? Любая здравомыслящая организация должна осознать необходимость срочных инвестиций в определение не только вектора актуальной кибер-атаки, но и выявление всех других уязвимостей, а также в развертывание комплексного решения по кибербезопасности, которое способно блокировать и отражать атаки шифровальщиков в будущем. Эти расходы необходимы независимо от того, заплатите вы или не заплатите, потому что поддавшись соблазну воспользоваться быстрым и легким выходом из ситуации вместо того, чтобы проработать всю проблему целиком, вы рискуете оставить дыры в безопасности, которые будут использованы в будущем для повторных атак. Соизмеряйте необходимость скорости восстановления с несколькими актуальными рисками:

  • Неизвестные «черные ходы», которые злоумышленники оставили в ваших системах;
  • Невозможность полного восстановления данных (некоторые системы окажется невозможно восстановить в принципе);
  • Нулевое восстановление после оплаты (это редкость, но в некоторых случаях ключ расшифровки на 100% бесполезен, или, что еще хуже, вообще не высылается).

Наконец, обратите внимание, что некоторые организации последовательно подвергаются атакам со стороны одних и тех же лиц. Эти компании могли быть атакованы только один раз, но вредоносный код шифровальщика срабатывал раз за разом, так как не был вычищен из систем после атаки. Опыт приносит огромную пользу во всех подобных сценариях и «знание своего врага» может сыграть решающую роль.

Заключение.

Шифровальщики продолжают эволюционировать, сегодня растет популярность распространения вредоносного ПО как сервисов (RaaS) – когда авторы вредоносных программ продают специально разработанные шифровальщики другим кибер-преступникам в обмен на процент от прибыли, а «пользователь»  сервиса самостоятельно определяет цели и способы доставки. Подобное разделение труда и рисков приводит к тому, что вредоносные программы становятся все более таргетированными, появляются инновации в методах внедрения и, в конечном счете, растет число и частота кибер-атак.

Наряду с угрозой вымогательства через утечку данных последние тенденции делают жизненно важным для организаций инвестиции в защиту конечных точек и сетей и предотвращения вторжений, в первую очередь, посредством внедрения поведенческих систем обнаружения на основе искусственного интеллекта, которые не полагаются ни на репутацию, ни на облачное подключение. Если вы хотите узнать, как SentinelOne может защитить ваш бизнес от шифровальщиков и других угроз, свяжитесь с нами или запросите бесплатную демонстрацию.

Мы хотели бы поблагодарить Дэниела Карда и Криса Робертса за их помощь в подготовке данного технического описания.

О SentinelOne.

SentinelOne - это решение по кибербезопасности, включающее в себя основанное на искусственном интеллекте  обнаружение, реагирование, предотвращение угроз и детектирование атак на конечных точках, контейнерах, облачных рабочих нагрузках и устройствах IoT в единой автономной платформе. С помощью SentinelOne организации получают полную прозрачность всего, что происходит в их сети для отражения любой атаки на каждом этапе жизненного цикла угрозы. Узнать больше вы можете на сайте Sentinelone или в наших соцсетях @SentinelOne, на LinkedIn или Facebook.

Перевод выполнен со статьи: https://assets.sentinelone.com

Системы Информационной Безопасности