Банды программ-вымогателей выработали неприятную привычку начинать свои атаки в наименее удобное время: когда компьютеры простаивают, когда сотрудники, которые могут заметить проблему, находятся вне офиса, а ИТ-специалисты или сотрудники службы безопасности, которые могли бы с ней справиться, не работают.
Им нравится атаковать ночью и в выходные дни, а еще они любят праздничные выходные.
Последний большой праздничный уик-энд, День независимости [4 июля в США — ред.], злоумышленники, использующие программу-вымогатель REvil, отметили с масштабной атакой на цепочку поставок Kaseya, одного из крупнейших поставщиков ИТ-решений в США для поставщиков управляемых услуг. Злоумышленники использовали автоматическое обновление Kaseya VSA для распространения программ-вымогателей более чем на 1000 предприятий.
Почему работают атаки вне офиса
Программа-вымогатель шифрует огромное количество файлов на максимально возможном количестве компьютеров организации. Выполнение такого рода надежного шифрования требует значительных ресурсов и может занять много времени, поэтому даже если организация не обнаружит вредоносное ПО, использованное при атаке, ее инструменты могут заметить, что что-то не так.
«Никогда не думаешь, что тебя атакует программа-вымогатель», — сказал Ски Какороски, системный администратор школьного округа Нортшор в штате Вашингтон. Выступая в подкасте «Lock & Code», он рассказал о ночной атаке Northshore: «Было раннее субботнее утро. Я получил текстовое сообщение от моего менеджера, в котором говорилось, что «что-то не так»… через некоторое время я понял, что сервер был поражен программой-вымогателем. Нам потребовалось еще несколько часов, прежде чем мы точно осознали, сколько силен был удар». Он добавил: «У нас было предупреждение о высокой загрузке ЦП накануне, когда они начали атаку, но большинство из нас уже спало к полуночи».
Преступники, пользующиеся преимуществом, когда сотрудники уезжают на праздники, выходные или просто потому, что их смена закончилась, — это классическое оппортунистическое преступление «на время отсутствия кошки».
Будьте готовы к срыву праздника
Постоянный пропагандист кибербезопасности Адам Куджава дал несколько советов, что организации могут сделать, чтобы свести к минимуму вероятность того, что их праздничные выходные будут нарушены.
Сделайте это перед праздником
- Выполните глубокое сканирование всех конечных точек, серверов и взаимосвязанных систем, чтобы убедиться, что в этих системах нет угроз, ожидающих атаки!
- Как только вы узнаете, что эти системы чисты, принудительно смените пароль через неделю или две после праздника, чтобы любые угаданные или украденные учетные данные оказались бесполезными.
- Применяйте более строгие требования к доступу к конфиденциальным данным, такие как многофакторная аутентификация, авторизация менеджера и требование подключения к локальной сети. Хотя это затруднит работу сотрудников (на короткое время), это также значительно затруднит злоумышленникам проникновение в сеть и получение доступа к неавторизованным данным. Когда праздник закончится, вы можете отменить эти правила, так как у вас будет больше глаз, чтобы следить за угрозами.
- Дайте указания сотрудникам не публиковать информацию об отпуске и/или планах на отпуск в социальных сетях.
- Предоставлять сотрудникам бесплатное или бесплатное в течение ограниченного времени программное обеспечение безопасности для использования в личных системах.
- Убедитесь, что все удаленно доступные подключения (например, VPN, RDP-подключения) защищены с помощью многофакторной аутентификации.
Сделайте это во время отпуска
- Убедитесь, что все второстепенные системы и конечные точки отключены в конце рабочего дня.
- Уменьшите риск, отключив системы и/или процессы, которые могут быть использованы, если в них нет необходимости.
- Убедитесь, что кто-то всегда следит за сетью во время праздников, и убедитесь, что они готовы справиться с внезапной атакой. Мы предлагаем разработать план реагирования на кибератаки и восстановления, который включает листы вызовов, процедуры связи с правоохранительными органами и сбора доказательств, а также то, какие системы можно изолировать или отключить, не оказывая серьезного влияния на работу организации.
«Единственная ошибка в жизни — это невыученный урок»
Урок, который мы все можем извлечь из недавней истории, заключается в том, что киберпреступники, вероятно, планируют испортить чей-то уик-энд. Поэтому не ждите, пока на вашу организацию произойдет атака, прежде чем вы решите, что вам нужно быть готовым.
Приготовьтесь прямо сейчас, и вы сможете без перерыва провести выходные!