Какие действия предпринять, когда компанию атаковали хакеры

Какие действия предпринять, когда компанию атаковали хакеры
В середине марта всемирно известный производитель компьютерной техники Acer подвергся хакерскому нападению группировки REvil: на корпоративный сервер подселили одноименный вирус-вымогатель, который позволил получить доступ к конфиденциальной информации.

Выкуп, который запросили хакеры, стал рекордным для отрасли — $50 млн. Но уже через месяц сумма перестала считаться уникальной: точно такой же выкуп в апреле члены REvil потребовали от Apple после хищения чертежей новых ноутбуков.

Выполнять ли требования вымогателей, надеясь на их «порядочность», или идти на принцип и мириться с потерей конфиденциальных данных — личный выбор владельца бизнеса. Однозначно одно: атака, даже успешная, требует четких и быстрых действий. Каких именно — рассказал Валентин Поляков, ведущий инженер техподдержки ESET в России и СНГ.

Чего следует опасаться

Качество кибератак постоянно растет: преступники совершенствуют свои методы, пишут новые вирусы, находят слабые места в системах защиты. При этом виды угроз, с которыми чаще всего сталкивается бизнес, не меняются.

При фишинговой атаке сотрудники получают письмо с «официального» адреса известной компании, которая обманом заставляет получателей перейти по вредоносной ссылке, чтобы после украсть личную информацию пользователей. Программы в этом случае могут использовать разные.

Одна из самых опасных — вирус-вымогатель, с которым столкнулись уже упомянутые Acer и Apple. Вирус считывает и шифрует данные с серверов компании. Дальше работает сценарий двойного шантажа: сначала хакеры просят выкуп за возобновления доступа к зашифрованным данным, затем шантажируют вероятностью «слива информации».

Так и получилось с чертежами Apple: данные были похищены с сервера тайваньской компании Quanta Computer. Платить Quanta отказалась, поэтому в день презентации нового ноутбука REvil опубликовала в даркнете подробные чертежи устройства. Теперь хакеры ведут переговоры напрямую с Apple и угрожают в случае неуплаты продолжить «слив».

Кстати, история эта еще может иметь продолжение: помимо Apple Quanta Computer сотрудничает с Dell, Amazon, Lenovo и Sony, и вполне вероятно, что и их данные тоже были похищены.

Еще один популярный вариант киберугрозы, основанный на социальной инженерии, — ВЕС-атака, или компрометация деловой переписки. В этом случае злоумышленники от имени непосредственного или вышестоящего руководителя в электронной почте дают распоряжение перевести деньги на определенный счет, который на самом деле принадлежит преступникам.

По-прежнему используются старые-добрые DDoS-атаки. Существенное замедление работы сайта или даже полная ее остановка несет многомиллионные убытки компаниям, чей бизнес завязан на онлайн-продажах. В этом случае хакеры как могут воспользоваться «падением» сайта для кражи информации, так и требовать выкуп за быстрое возобновление работы.

Что делать, если кибератака состоялась

Есть действия, которые необходимо совершить вне зависимости от того, с каким конкретным видом атаки столкнулась ваша компания. Причем чем быстрее, тем лучше: рефлексию лучше оставить на потом. Скорость реакции важна, чтобы избежать заражения по цепочке внутри корпоративной сети, а также, чтобы действовать коллегиально: чаще всего нападения происходят сразу на несколько компаний.

Шаг 1

Выявите и изолируйте зараженные компьютеры от корпоративной сети. Для этого проверьте логи антивирусов (файл с записями о событиях в хронологическом порядке),  после чего отключите зараженные машины от сети.

Также обратите внимание на расширения ваших персональных файлов: если они изменились или вместо них появилось множество других с неизвестными именами, то компьютер заражен.

Шаг 2

Постарайтесь определить первоисточник заражения и уязвимость, которую использовали злоумышленники. Чаще всего источником заражения становятся письма со спамом, зараженные съемные носители, установка вместе с другим программным обеспечением и взломанные или скомпрометированные веб-страницы.

Разобраться, что именно послужило отправной точкой, поможет аудит изменения зашифрованных файлов, чтобы понять, с какого компьютера они шифровались. Однако этот способ работает только при условии, что аудит был заблаговременно  включен системным администратором.

Выявить причины помогут и специальные организации, которые проводят расследования подобных инцидентов, или — в минимальном объеме — специалисты технической поддержки антивируса, который использовался в компании.

Шаг 3

Обратитесь за помощью в организацию, специализирующуюся на информационной безопасности: компетенции IT-департамента может не хватить, а время будет упущено.

Шаг 4

Примите все возможные меры по устранению уязвимости и усилению защитных мер, проведите аудит безопасности и выявите другие возможные бреши в защите:

  • создайте резервную копию данных и регулярно ее обновляйте;
  • регулярно устанавливайте патчи и обновления вашего ПО;
  • уделяйте внимание повышению грамотности сотрудников в вопросах информационной безопасности;
  • настройте отображение расширений файлов;
  • настройте фильтр EXE-файлов в почте;
  • отключите возможность запуска файлов из папок AppData или LocalAppData;
  • отключите возможности удаленного управления рабочим столом (RDP) или ограничьте его использование;
  • используйте программы для защиты, которым можно доверять;
  • используйте восстановление системы, чтобы откатить систему до «чистого» состояния;
  • используйте стандартную учетную запись вместо учетной записи администратора.

Шаг 5

Обратитесь с заявлением в правоохранительные органы, а лучше сразу в подразделение «К» МВД России, борющееся с преступлениями в сфере информационных технологий. В заявлении нужно отметить, что против вас совершено противоправное действие, в котором могут присутствовать признаки преступлений, предусмотренных статьями 159.6, 163, 272, 273 УК РФ.

Будьте готовы к тому, что устройство могут изъять для экспертизы, чтобы обнаружить и зафиксировать следы вредоносной программы. При этом заранее подготовьте основную информацию о том, когда был обнаружен инцидент, кто имел доступ к компьютеру, а также о последнем установленном ПО и истории посещения сайтов. В случае хищения денежных средств подготовьте выписку из банка, детализацию расходов и др.

 

Платить или не платить?

Если злоумышленники требуют выкуп, оцените, насколько серьезный ущерб нанесен, какие именно данные были скомпрометированы или зашифрованы, какую ценность они представляют. Если речь идет о шифровании важной информации злоумышленниками с последующим требованием выкупа за расшифровку, стоит выяснить, по силам ли антивирусным системам выполнить дешифровку данных без уплаты выкупа и в какие сроки эта работа может быть выполнена.

Узнайте, пострадали ли другие компании от действий той же группы злоумышленников или того же вредоносного ПО. Соберите и проанализируйте все имеющиеся на этот момент кейсы. Нужные данные, как правило, можно найти на тематических форумах, в специализированных СМИ или узнать у специалистов по информационной безопасности. Вполне возможно, что решение уже найдено.

Что касается атак, организованных с использованием методов социальной инженерии, таких как BEC, рецепт тут один: выстроить систему платежей так, чтобы перевод средств мошенникам был максимально затруднен. Например, сделать перечисления возможными, только после согласования несколькими сотрудниками, в том числе руководством после обязательной идентификации.

Атака позади. Выдыхаем?

К сожалению, с кибератаками принцип снаряда и воронки не работает. Наоборот, повторный взлом — распространенный сценарий. Так, известный вирус-вымогатель WannaCry ходил по миру несколькими волнами, атакуя компании по кругу. Россия стала одной из стран, в которой за несколько лет хождения вируса зарегистрировано наибольшее количество пострадавших. В том числе атакам подверглись Сбербанк, «МТС» и «Вымпелком».

Во-первых, любому бизнесу, даже крупному, необходимо время, чтобы полностью восстановить систему безопасности, оптимизировать защиту и найти слабые места. Этим «люфтом» могут воспользоваться уже новые хакеры.

Во-вторых, довольно часто непрошенным гостем становится та же группировка, которая обнаружила во время первой атаки не найденную службой безопасности уязвимость и использовала ее для повторного взлома.

Чтобы избежать новых атак, руководствуйтесь тремя основными принципами:

  1. Максимально оперативно и дотошно выясните обстоятельства, при которых атака стала возможной. Как можно быстрее устраните найденную уязвимость и выявите причины, по которым она возникла.
  2. Уделите пристальное внимание установке обновлений и исправлений уязвимостей от Microsoft и стороннего программного обеспечения, актуальных версий антивирусного ПО. Используйте двухфакторную аутентификацию и отключайте или ограничивайте использование потенциально уязвимых сервисов. Например, причиной кражи учетных данных очень часто становится использование протокола удаленного рабочего стола.
  3. Регулярно выполняйте всесторонний аудит безопасности в компании. 23% утечек данных в мире происходит из-за человеческих ошибок. Поэтому важно регулярно на конкретных и понятных примерах напоминать сотрудникам базовые принципы компьютерной безопасности и важность их неукоснительного соблюдения.

Валентин Поляков

Ведущий инженер техподдержки ESET в России и СНГ

По материалам rb.ru

Ивановский бизнесъ

Главный редактор журнала Ивановский Бизнес