Вчера знакомый из крупной отечественной ИТ-компании поделился занятным электронным письмом. Вот оно, опубликованное на стороннем сайте, и я очень рекомендую вам сейчас прерваться и хотя бы бегло его просмотреть. Это послание пришло от анонима не только в фирму моего знакомого, но, судя по сообщениям в прессе и на форумах, и в десятки других компаний. Суть: неизвестный угрожает навредить бизнесу, в том числе сломав его компьютерные системы, а чтобы это предотвратить, требует выкуп.

Среагировали на письмо так, как только и можно было: смехом! Второй день не смолкает веселье: что теперь сделать, чтобы фирма не пошла с молотка. И это, в общем, правильная реакция на угрозу, сочинённую явным дилетантом, едва ли способным хотя бы на десятую часть того, о чём он пишет. Расчёт его, вероятно, на закон больших чисел: кто-нибудь из «жертв» да испугается, заплатит.

Однако за этим комичным происшествием, так удачно разбавившим первую рабочую неделю, скрывается реальная проблема, по которой специалисты бьют тревогу особенно в последний год. Кибервымогательство — давно уже не шутка!

Идея требовать деньги под угрозой повреждения компьютерных систем была впервые использована ещё в 80-х годах прошлого века. И с тех пор популярность её только росла. Правда, в большинстве случаев кибервымогатели действуют не так, как незадачливый герой вышеупомянутого письма. Чаще всего «берут в заложники» компьютерные файлы.

Для этого компьютер заражают вирусом (тут все способы хороши: можно принести его на флэшке, обманом заставить пользователя кликнуть по ссылке и скачать, либо использовать уязвимость в давно не обновлявшемся программном обеспечении), который немедленно шифрует все файлы в пределах досягаемости. При этом используется так называемое стойкое шифрование, что означает, что расшифровать данные без ключа (который есть только у злоумышленника) практически невозможно. Теоретически, конечно, ключ подобрать можно, вот только уйдёт на это время, сопоставимое с временем жизни Вселенной!

А когда файлы зашифрованы, предъявляется требование о выкупе. Раньше модным было просить доллары на банковский счёт в офшоре. Сегодня вымогатели требуют биткойны — отследить которые намного трудней. Сумма обычно варьируется от пары сотен до тысячи долларов, но известны случаи, когда выкуп достигал десятков тысяч! Хуже того, примерно каждая вторая жертва кибервымогателей соглашается платить!

Тут вы, конечно, вскинулись: да как можно?! Ведь пойти на поводу у преступников, значит финансировать их следующие атаки, провоцировать увеличение запрашиваемой суммы, да и просто это глупо — доверять неизвестным лицам! Всё так. Но если судьба файлов в руках злоумышленника, а файлы нужны срочно и копий нет, многие предпочитают заплатить. Хуже того, статистике по кибервымогательствам доверять стоит с оговоркой: мысленно её всегда нужно корректировать в худшую сторону. Потому что статистику собирают по опросам и сводкам полиции, но признаваться в том, что стал жертвой вымогателей, решается меньше, чем каждый второй (по крайней мере, когда речь идёт о компаниях).

А ещё людям, попавшим в такую переделку, всегда есть что терять. Вне зависимости от того, кто они и чем занимаются! Частное лицо рискует потерять дорогие семейные фото и видео. Предприниматель — базу данных текущих операций, из-за чего бизнес встанет, или документы, которые требуется хранить. Школы могут потерять файлы учеников и материалы, необходимые для продолжения учебного процесса. Муниципальное транспортное управление — систему начисления зарплат и бухучёта. И так далее, и тому подобное: всё это непридуманные примеры из западного опыта.

Поэтому жертвы платят и чаще всего получают ключ, который позволяет расшифровать файлы. Часто, но не всегда! Например в бушующей сейчас по всему миру эпидемии взломов базы данных MongoDB (спросите у вашего айтишника, не использует ли он её в работе вашего учреждения, и если использует, вовремя ли обновляет), счёт жертвам идёт на десятки тысяч. Но из-за того, что лазейка известная, бывает так, что один компьютер оказывается взломан последовательно несколькими людьми и все они требуют выкуп! Понятно, что в таком случае платить бесполезно…

Наконец стоит иметь в виду, что эволюция кибервымогательства не прекратилась. В последние годы вредоносные программы, написанные вымогателями (этот класс программного обеспечения называют ransomware, от английского слова ransom — выкуп) распространились и на мобильные устройства (смартфоны, планшеты) и «умные» вещи (пока пострадали только «умные» телевизоры, но в перспективе часы, автомобили, бытовая техника). А специалисты ждут их появления в медицинском оборудовании, где в заложники можно будет брать уже непосредственно самого пользователя: «плати или отключим твой кардиостимулятор»!

Чтобы сделать жертву более сговорчивой, вымогатели часто «включают таймер»: когда время истечёт, файлы будут уничтожены необратимо. Здесь: работает CryptoLocker — один из популярных вирусов такого сорта.
Чтобы сделать жертву более сговорчивой, вымогатели часто «включают таймер»: когда время истечёт, файлы будут уничтожены необратимо. Здесь: работает CryptoLocker — один из популярных вирусов такого сорта.

Так что же делать? Во-первых, признать, что кибервымогательство давно уже не шутка. Сегодня деньги — главный стимул для компьютерных преступников всех мастей, а требование о выкупе предъявляется, по некоторым данным, каждой второй второй компании, подвергшейся кибератаке (и сколько из них умолчали, не желая портить имидж!). Во-вторых, необходимо иметь план на случай кибернападения вообще и захвата файлов «в заложники» в частности. Каким бы ни он ни был, это лучше, чем ничего. План предотвратит панику и максимально сократит время реакции на произошедшее. Вот каким могут быть его ключевые положения:

1. Немедленно обратитесь в отдел «К» по вашему населённому пункту или региону. Его сотрудники занимаются именно расследованием преступлений в сфере информационных технологий. Будьте готовы, что поймать нападавших не удастся: атаки через интернет могут вестись из-за рубежа. Но если преступники находятся на территории России или дружественных государств, их скорее всего схватят — примеры есть совсем свежие.

2. Если вы госслужащий, беспокоиться о подвергшемся нападению служебном компьютере нет оснований: это не ваша компетенция. Однако помните, что если данные будут утрачены или утекут с неслужебных устройств и сервисов (например, с вашего личного смартфона, аккаунта соцсети, личного почтового ящика и т.п.), наказание понесёте именно вы! Поэтому для служебных задач используйте только служебные ресурсы. В своих же интересах!

3. Если вы руководитель, помните, что есть золотая тройка мер профилактики киберпреступлений: регулярное резервное копирование (причём с периодической проверкой: а можно ли из сделанных копий данные восстановить?), плюс антивирус, плюс интернет-фильтры на входе в корпоративную локальную сеть (для отсечения «грязи» из почты, сообщений, веб-страниц). Убедитесь, что ваш ИТ-отдел знает об этом и это практикует. А также, что у него достаточно средств на решение этой задачи. Скупой здесь платит даже не дважды, а трижды!

4. В самом тяжёлом случае, когда данные всё-таки оказались зашифрованы, а выкуп слишком велик, иностранный опыт демонстрирует пользу от такого новаторского инструмента как страховка кибербезопасности. В уже упоминавшемся здесь инциденте с нападением на школу, было принято решение выплатить вымогателям 28 тысяч долларов только потому, что их покрывала предусмотрительно оформленная страховка. Не знаю, насколько это возможно в России, но учитывая, что статистика демонстрирует непрерывный рост числа кибернападений, разумно предположить, что со временем страховать от «захвата файлов» начнут и у нас. Поэтому по крайней мере держите этот вариант в голове.

Источник:  Gosvopros.ru