Спецпроекты

Безопасность

Компании, спасающие бизнес от шифровальщиков, работают на пару с хакерами

Скандал разразился после того, как выяснилось, что компания, помогавшая жертвам вирусов-шифровальщиков, на самом деле выкупала заблокированные файлы у хакеров. Такая практика, по мнению ряда экспертов, может быть повсеместной.

Компании-посредники платят выкупы хакерам

Компании, помогающие пользователям минимизировать последствия атак вирусов-вымогателей, могут работать заодно с хакерами. К такому мнению пришли аналитики независимого издания ProPublica. Их позиция базируется на вскрытой афере, в которой принимала участие нью-йоркская компания Proven Data Recovery. Обнародованы доказательства того, что ее эксперты были прямо связаны с распространителями шифровальщика SamSam. На нем киберпреступники за последние четыре года заработали как минимум $6 млн.

По сообщению бывшего сотрудника Proven Data и неназванных осведомителей ФБР, компания давала понимать своим клиентам, что у нее есть собственные законные методы для разблокировки атакованных файлов. Фирма взимала со своих клиентов в качестве оплаты услуг выкуп для киберпреступников, на который накручивала маржу.

Речь идет как минимум о четырех доказанных случаях переводов денег в виде биткоинов. Впоследствии они отмывались еще через 12 счетов и оседали в кошельках хакеров, связанных с иранскими киберпреступными группировками.

programming600.jpg
Компании, помогающие пользователям минимизировать последствия атак вирусов-вымогателей, могут работать заодно с хакерами

«Многочисленные атаки подтверждают, что вектор программ-вымогателей сместился в сторону особенно ценных целей с акцентом на предоставление злоумышленнику привилегированного доступа к сети. В качестве примера такого целевого вымогателя можно привести вирус LockerGoga, который проводит многоступенчатые атаки на пользователей и при этом максимально запутывает свои следы в системе. Другой пример —вымогатель Anatova, чья главная цель — зашифровать как можно больше файлов в системе жертвы, за исключением тех из них, что отвечают за ее стабильность. Оба этих примера свидетельствуют о том, что, хотя лидеры в области обеспечения безопасности должны сосредоточиться на применении патчей и резервном копировании, против нестандартных вымогателей придется применять более специализированные методы защиты», — уверен глава представительства Fortinet в России и Казахстане Михаил Родионов.

У бизнеса почти нет выбора

Данные расследования ProPublica спровоцировали в западных странах обсуждение этичности выплаты выкупа хакерам. «Легко сказать, что компании никогда не должны платить, но это также совершенно нереально», — считает Бретт Кэллоу (Brett Callow). По его мнению, реальность такова, что оплата может быть единственным вариантом, который позволит компании продолжить осуществлять свою деятельность в короткие сроки. Поэтому этика в данном случае противостоит бизнес-потребностям, и что в этой ситуации перевесит — вопрос опциональный.

«Я не сомневаюсь, что есть много фирм, которые предлагают «сложные инструменты и тактики» для расшифровки файлов жертв за огромную плату, — отметил Тайлер Моффитт (Tyler Moffitt), аналитик по безопасности из Webroot. — Меня также не удивляет, что в большинстве случаев все эти фирмы платят выкуп, а затем взимают с жертвы премию. Это практически единственный шанс вернуть нужные файлы».

По мнению экспертов рынка, разблокировка ценной для бизнеса информации без выплаты выкупа крайне редка. Такое случается только в том случае, если сами преступники совершают ошибки.

«Для повышения уровня своей защиты компаниям нужно готовиться к повышению автоматизации атак. Для их предотвращения потребуется активный интеллектуальный анализ угроз в распределенной сети. Он поможет выявить тенденции, отражающие эволюцию методов цифровых атаки, что, в свою очередь, даст понимание приоритетов кибергигиены предприятия. При этом нужно понимать, что только широкая, интегрированная и автоматизированная структура ИТ-безопасности может обеспечить оперативную защиту всей сетевой среды, от устройств интернета вещей до периферийных вычислений, сетевого ядра и мультиоблаков», — заключает Михаил Родионов.

Марина Черняк

Короткая ссылка