BIS Journal №2(53)2024

21 июня, 2024

Вымогатели и человеческий фактор. Как расшифровать главное?

Вымогательские киберинциденты в мире стали не менее заметным явлением, чем телефонные мошенники в РФ. И если количество мошеннических звонков становится всё меньше благодаря комплексу мер со стороны государства, банков и операторов связи, успешные вымогательские атаки демонстрируют стабильный рост.

Почему же вымогатели процветают, несмотря на попытки глобального противодействия, в котором принимают участия государственные спецслужбы технологически продвинутых стран? Может быть, дело в том, что сражение с хакерами проходит не там, где нужно, а там, где получается? Давайте разбираться.

 

КАК ВЫГЛЯДИТ ВЫМОГАТЕЛЬСКИЙ ИНЦИДЕНТ ДЛЯ ПОСТОРОННИХ

Обычно в СМИ появляются примерно такие сообщения:

«Вымогательская группировка APTXXX проникла в сеть компании "Важное Производство", похитила персональные данные клиентов и секретные документы о продуктах, зашифровала серверы и потребовала выкуп. Работа жертвы парализована. Для расследования инцидента привлечены эксперты. Сроки восстановления работы компании пока не называются».

Иногда упоминают, что для проникновения хакеры воспользовались уязвимостью CVEXXX-YYY или другим способом, но это скорее исключение, чем правило.

 

ДЛЯ ПОСТРАДАВШИХ

Здесь всё намного интереснее. Руководство компании проходит все стадии по модели Элизабет Кюблер-Росс — шок, отрицание, гнев, торг, депрессия, принятие.

 

Шок

Всё было нормально, системы работали, люди выполняли поставленные задачи, и вдруг всё поломалось. Пропал доступ к документам, не работает сайт, компьютеры не загружаются.

ИТ- и ИБ-специалисты пытаются понять, в чём дело, обнаруживают записку от вымогателей. В ней написано, что конфиденциальные данные скопированы, а файлы зашифрованы. Вернуться к нормальной жизни можно, если заплатить выкуп. Срок такой-то. Если не заплатить, все секретные документы будут опубликованы в открытом доступе или проданы заинтересованным лицам.

 

Отрицание

Руководство в ярости кричит и топает ногами, требуя срочно вернуть всё как было, но единственный результат — это паника среди ИТ- и ИБ-сотрудников, которые трясущимися руками разыскивают резервные копии и судорожно пытаются понять, каким образом компанию взломали.

 

Гнев

Кто-то вспоминает о существовании планов обеспечения непрерывности бизнеса и аварийного восстановления, а также о том, что есть назначенные приказом ответственные по этим планам. Только оба документа хранились на сервере, который зашифровали вымогатели. Распечатанная версия неактуальна.

Руководство пытается совершить понятное и привычное действие — наказать виновных, но юристы напоминают, что об инциденте нужно сообщить регулятору, иначе накажут и руководителя, и организацию. Ищут регламент, но и он зашифрован. Интернет не работает. Наконец с телефона открывают сайт регулятора и что-то вроде отправляют.

 

Торг

Руководство закрывается в кабинете и пытается подсчитать стоимость простоя, чтобы понять, не выгоднее ли будет заплатить выкуп. Тем более что на горизонте маячит ненулевая вероятность штрафа за утечку персональных данных клиентов. Делать это приходится буквально на пальцах, потому что вся финансовая информация зашифрована, системы не работают.

Несмотря на трудности, решение проблемы переходит в практическую плоскость: как купить криптовалюту, как убедить регулятора, что никаких выкупов не платили, и можно ли вообще верить этим преступникам?

 

Депрессия

Решение принято и выполняется. Но радоваться нечему. Время восстановления работы может быть самым разным, поскольку зависит от множества факторов:

  • заплатили выкуп или решили восстанавливать своими силами;
  • если заплатили, то получится ли расшифровать все данные;
  • если решили не платить, есть ли резервные копии всех зашифрованных данных;
  • если копии не самые свежие, можно ли восстановить утраченную информацию и сколько времени это займёт.

 
ВАЖНОЕ НАБЛЮДЕНИЕ

В описании большинства инцидентов не говорится про IDS, IPS, DLP и прочие системы защиты. Это не потому, что их ни у кого нет. Системы защиты затрудняют действия вымогателей, но не являются определяющим фактором успешного взлома. Почему?

А потому что причина 95% всех киберинцидентов — действия людей, тот самый человеческий фактор. Об этом говорится в масштабном исследовании кибератак в 130 странах IBM Cyber Security Intelligence Index Report, проведённом в 2021 году среди тысяч клиентов компании.

В 2024 году ситуация принципиально не изменилась. Все аналогичные исследования подтверждают полученные IBM результаты.

 

СВЕРЯЕМ ЦИФРЫ

Чтобы не быть голословными, давайте обратимся к свежим данным, которые представил в своём выступлении на Digital Kyrgyzstan мэтр российского ИБ-сообщества Алексей Лукацкий (рис. 1).

Рисунок 1. Слайд из презентации Алексея Лукацкого на Digital Kyrgyzstan в феврале 2024 года, опубликованной в телеграм-канале «Пост Лукацкого»

 

МЕТОДЫ АТАК И ЛЮДИ

Давайте пройдёмся по методам атак и выясним, насколько они зависят от действий людей.

Компрометация учётных данных

Учётные данные компрометируются не сами по себе, а потому, что люди вводят их на посторонних ресурсах, считая, что делают всё правильно. И даже кража логинов и паролей — результат небезопасных действий людей, например программиста, который сохранил пароли в базе в виде открытого текста или MD5-хеша без соли.

 

Компрометация цепочки поставок

Компрометация цепочки поставок может выглядеть по-разному. Например, это может быть вредоносный пакет из репозитория PyPi, имя которого очень похоже на имя настоящего. Просто программист опечатался и добавил в проект не то, что нужно.

Или это может быть взлом почтового ящика контрагента с последующим внедрением в переписку и выполнением вредоносных действий, нужных атакующим.

Но почту контрагента взломали из-за того, что он использовал пароль 123456. То есть компрометация цепочки поставок произошла из-за небезопасных действий человека.

 

Социальная инженерия

Здесь никаких двусмысленностей, поскольку социальная инженерия — это инструмент для воздействия на людей. Она позволяет убедить сотрудника открыть вредоносное вложение в письмо, а администратора — установить «внеочередное обновление» или отключить защиту «для проведения пентеста».

 

Эксплуатация уязвимостей

Уязвимости появляются не сами по себе, а в результате ошибок, допущенных разработчиками и пропущенных тестировщиками. А их эксплуатация становится возможной из-за того, что администратор не успел или забыл установить исправление безопасности, выпущенное полгода назад.

 

Использование ВПО

Чтобы вредоносное ПО нанесло вред, ему требуется каким-то образом попасть в инфраструктуру финансовой организации. Способов доставить ВПО не так много, и все они связаны с тем, что делают или не делают люди:

  • внедрить через уязвимый сервис, например службу удалённого рабочего стола Windows;
  • убедить сотрудника открыть вложение из фишингового письма и разрешить редактирование документа, чтобы при этом запустился вредонос;
  • украсть логин и пароль пользователя, когда он введёт их на фишинговом сайте, а затем войти в систему от его имени и запустить ВПО;
  • с помощью угроз или денег заставить сотрудника запустить файлик с флешки или установить «обновление» из письма.

Получается, все перечисленные на слайде (рис. 1) методы атак, кроме DDoS, напрямую зависят от действий людей.

С атаками выяснили, теперь давайте посмотрим, как обстоят дела с защитой от шифровальщиков.

 

КАК СРАЖАЮТСЯ С ВЫМОГАТЕЛЬСКИМИ ГРУППИРОВКАМИ

Проблема вымогательских группировок вышла на международный уровень, поскольку преступники атакуют не только богатые компании, но и объекты критической инфраструктуры. Особо циничные требуют выкуп даже у детских больниц. Вполне закономерно, что государственные спецслужбы многих стран принимают меры противодействия, самая заметная из которых — блокировки инфраструктуры.

 

Блокировки инфраструктуры

В СМИ регулярно появляются сообщения об уничтожении инфраструктуры очередной вымогательской группировки. Пользуясь полномочиями, силовики разделегируют домены, которые используют вымогатели, захватывают контроль над управляющими серверами и отключают их. Затем публикуется бодрый пресс-релиз.

Спецслужбам приходится отчитываться за освоенные бюджеты, поэтому без таких вот историй успеха не обойтись. Но что на практике?

Вспомним, как в ноябре 2023 года ФБР заявила о победе над великой и ужасной группировкой BlackCat, также известной как ALPHV. Арест инфраструктуры, отключение серверов и заглушка с сообщением об аресте на главном сервере злоумышленников.

А что было потом? После нескольких недель тишины «Чёрная кошка» ожила и продолжила вымогательскую активность. Забавно, что, когда группировка действительно решила скрыться с полученным крупным выкупом в феврале 2024 года, на их сайте появилась старая заглушка о том, что сайт конфискован ФБР, Минюстом США и прочими силовыми ведомствами (рис. 2).

Рисунок 2. Фальшивое сообщение о «захвате» ресурса спецслужбами на Tor-сайте BlackCat

 

И это далеко не единственный случай. Многие группировки, якобы «уничтоженные» спецслужбами, проводили ребрендинг и собирали выкупы уже под новым именем. Почему?

Потому что такая борьба только выглядит серьёзной. По сути же она эквивалентна тому, как если бы у офлайн-преступников отняли арендованные автомобили, на которых они возят краденое, и отпечатанную на цветном принтере вывеску с названием фиктивной компании, которая висела на двери арендованного офиса.

 

Попытки запретить криптовалюту

Логика борцов с вымогателями чрезвычайно прямолинейна: криптовалюта обеспечивает анонимность, её никто не контролирует, поэтому её используют для получения выкупов. Запретим криптовалюту — вымогатели не смогут получать выкуп — цель достигнута.

Криптовалюта действительно выглядит как идеальный инструмент для вымогателей, но давайте представим, что её нет. Что помешает вымогателям требовать выкуп в другой форме, например, в виде перевода на электронные кошельки или на банковские карты?

Их легче отследить и заблокировать, но вопрос в том, что, если жертва принимает решение заплатить выкуп, в её интересах хранить перевод средств в тайне до тех пор, пока вымогатели не расшифруют данные и не заверят в том, что удалили похищенное. И если говорить про отслеживание, то стоит вспомнить, что все транзакции по криптовалюте фиксируются в блокчейне, поэтому их анонимность довольно условна.

Таким образом, запрет криптовалют не окажет существенного влияния на деятельность вымогателей. Да и принципиальная возможность такого запрета с учётом децентрализованного характера криптовалют выглядит сомнительной.

 

Штрафы для жертв вымогателей

Утечки данных — несомненное зло. Это удар по репутации компаний, у которых данные украли, проблемы для людей, информация о которых попала в утечку. Государство не может оставлять такие инциденты без внимания, поэтому компании, допустившие утечки, получают наказание в виде штрафа.

Пока любители покарать рассуждают о справедливости такого наказания, давайте ещё раз присмотримся к ситуации, когда вымогатели похитили у компании персональные данные клиентов и угрожают их публикацией.

  1. Если не заплатить выкуп, вымогатели опубликуют данные. Утечка будет обнаружена, компания получит штраф. Если нарушение повторное — штраф будет от оборота компании. А ещё придётся раскошелиться на восстановление данных и как-то компенсировать ущерб репутации.
  2. Если втихую заплатить выкуп, вымогатели не опубликуют похищенную информацию и предоставят инструмент для расшифровки. Никакой утечки, никакого штрафа, ущерб репутации минимальный, остановку работы можно объяснить техническим сбоем.

Какую таблетку должен выбрать руководитель компании, синюю или красную? А какую выбрали бы вы?

Есть и ещё одна тонкость по поводу оборотных штрафов. Они будут гигантскими для компаний с большими оборотами и нулевыми для госучреждений, у которых нет оборота. В связи с этим Ассоциация банков попросила Минцифры отказаться от введения оборотных штрафов за утечки информации, называя меру дискриминационной.

 

Суровые наказания для хакеров

Преступники не планируют быть пойманными, если только не стремятся к геростратовой славе. А это значит, что даже самое суровое наказание не напугает, поскольку в их представлении оно к ним не относится. Они другие, не такие, как те, кто попался. Они умнее, сильнее, хитрее и изобретательнее. И их не поймают.

 

Подведём итог

Подведём итог. Самые популярные методы борьбы с вымогательскими группировками на сегодняшний день выглядят довольно неубедительно. Рост числа вымогательских инцидентов и регулярное появление новых участников этого «бизнеса» наглядно подтверждают эту нерадостную тенденцию.

 

ЧТО ДЕЛАТЬ?

Вымогательское ПО — наглядный пример того, как достаточно простой набор инструментальных средств и умелое использование особенностей человеческой психики породили настоящее глобальное зло, многоголовую гидру, которая растёт и развивается, питаясь небезопасными действиями людей. Витязи в сияющих доспехах могут бесконечно отсекать её головы, на месте отрубленных вырастают новые. Возводить стены и менять мечи на сабли бессмысленно. Гидра вырастет и разрушит стены.

Нет смысла приобретать новые технические системы защиты, если пользователи открывают вложения из фишинговых писем, программисты пишут код с уязвимостями, а администраторы забывают установить обновления и ограничить доступ к базам данных с персональными данными. Такой подход создаёт опасную иллюзию безопасности. До очередного инцидента.

Если причина инцидентов — действия людей, значит, нужно сосредоточиться на этом и решить проблему комплексно. Для этого культура кибербезопасности должна превратиться из абстрактного словосочетания в ощутимую и всеми принимаемую часть бизнес-процессов.

Это значит, что руководители всех уровней понимают, что люди — фундамент защиты компании от кибератак. И укреплять периметр нужно не только «железками», но и тренированными и обученными сотрудниками, действия которых станут непреодолимым рубежом обороны от кибервымогателей.

Культура кибербезопасности включает в себя культуру разработки кода без уязвимостей. Это значит, что программистов нужно научить правилам написания безопасного кода, а специалистов по безопасности — формулировать требования к программистам не в стиле «всё запрещать, никуда не пускать», а так, чтобы их можно было понять и реализовать на уровне кода. И разумеется, тотальная Shift-Left Security. Думать о безопасности на стадии создания проекта, а не накануне его сдачи.

Администраторам и DevOps-инженерам тоже не стоит обманываться по поводу своей непогрешимости. Их действия тоже могут стать причиной успешной атаки. И если они откроют вложение с шифровальщиком, последствия будут хуже, чем у обычных пользователей.

Таким образом, чтобы реализовать защиту от вымогателей и других атак, использующих ошибки людей, необходим комплексный подход, объединяющий теоретические знания, практические навыки и технические факторы.

Пример практической реализации описанного подхода — экосистема StartX. Она появилась в результате развития платформы «Антифишинг», ориентированной на обучение и тренировку навыков безопасного поведения сотрудников. В ходе работы над «Антифишингом» стало понятно, что уязвимой для атак компанию могут сделать не только обычные офисные сотрудники, но и разработчики ПО, администраторы, DevOps-инженеры и сотрудники ИБ-подразделений.

В результате платформа «Антифишинг» получила новое имя — Start AWR (от awareness — осведомлённость), а кроме неё, стали развиваться новые продукты для решения проблем человеческого фактора в информационной безопасности.

Кроме Start AWR, в экосистеме имеются решения для:

  • управления требованиями к безопасности создаваемых программных продуктов и организации взаимодействия безопасности и команд разработки (Start REQ);
  • развития навыков практической безопасности у продуктовых команд и вовлечения их в процессы DevSecOps (Start CTF);
  • прокачки навыков написания безопасного кода у разработчиков (Start EDU);
  • проверки внешней поверхности атак, в том числе поиска «забытых» доменов, открытых портов и уязвимых сервисов, «тестовых» баз данных с конфиденциальной информацией и даже адресов электронной почты компании в базах утечек учётных записей (Start EASM).

Даже лучшие защитные решения не гарантируют неуязвимость. Намного важнее люди, которые используют эти инструменты. Поэтому именно на людях следует сосредоточить внимание, чтобы защитить компанию от большинства угроз.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.07.2024
Глобальный сбой загнал компьютеры на Windows в «вечную» перезагрузку
19.07.2024
CrowdStrike: Это не инцидент безопасности или кибератака
19.07.2024
«Верификация и идентификация абонентов — главная задача»
19.07.2024
«Т-Банк» приглашает сыграть в азартные игры с опасными людьми
19.07.2024
«Ростелеком» пополнился разработчиком госинформсистем
18.07.2024
Власти обяжут СМИ импортозаместить профильное ПО и ИБ-решения?
18.07.2024
Банкирам кратно увеличат штрафы за мисселинг уже в этом году
18.07.2024
Шакал против чёрных топоров: Интерпол обескровил африканских мошенников
18.07.2024
«Хорошие мальчики» позаботятся о физической безопасности ЦОДов
18.07.2024
ИБ-почте — ИИ-секретаря. Нейросеть расширила возможности «Протона»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных