Профилактика угрозы

Профилактика угрозы и защита бизнеса

(перевод с английского, первоисточник на русском языке)

Защитите себя и свою организацию!

  Я очень надеюсь, что этот сайт, статьи, руководства, инструкции и вся справочная информация, которую вы здесь найдёте, спасёт множество организаций, семей и лиц от неприятностей, связанных с угрозой вымогательства и уплатой выкупа, и научит их защищаться. 

  Не откладывайте всё на потом, начните с себя прямо сейчас! 

...Лечебные учреждения, учебные заведения, государственные и местные органы власти, транспортные компании, правоохранительные органы, предприятия малого и среднего бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших от крипто-вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют немалый выкуп за их частичное или полное возвращение.

  Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесённых при восстановлении системы и файлов, и о пострадавшей репутации организации.

  Домашние компьютеры, разумеется, также восприимчивы к атаке крипто-вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц, привести к личной драме, стать причиной семейных скандалом, разлуке с близкими и пр. пр. пр. 

  Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году антивирусными компаниями и правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. там и цены выкупа выше, и выплаты чаще. Первые три месяца 2016 года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в текущем и будущем годах, если отдельные лица и организации не подготовятся к этим нападениям заранее.

  Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и бездумно кликает вложение, которое кажется неопасным, например, присланное фото, счет-фактура, решение суда или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва бездумно кликает на него, то мигом перенаправляется на веб-сайт, который заражает компьютер вредоносным кодом, эксплуатируя уязвимости в программном обеспечении и защите.

  Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

  Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым. Так кроме банального фишинга, используется таргет-фишинг, копьё-фишинг, уэйлинг... Ежедневно появляются новые виды. 

  Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

  Важно помнить, что все варианты вымогателей представляют угрозу для индивидуальных пользователей, организаций и предприятий. Немало вариантов ориентированы на атаку уязвимых серверов, чтобы одновременно причинить вред данным на сервере, веб-хостинге, всем расположенным на них веб-сайтам и подключенным пользователям. Большой объём данным и длительное время восстановления порой вызывает у вымогателей искушение — после уплаты выкупа, не выдавать все ключи дешифрования, не предоставлять доступ ко всем файлам, а потребовать ещё больше денег, двойную или тройную оплату. 

Платить или не платить? 

  ФБР сегодня категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп. Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

  Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.

Советы ФБР по борьбе с вымогателями

  ФБР рекомендует предприятиям, организациям и пользователям рассмотреть возможность осуществления следующих мер профилактики угрозы, защиты бизнеса и обеспечения его непрерывности, чтобы уменьшить риск успешной атаки вымогателей.  Хотя данные советы предназначены в первую очередь для предприятий, организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики угрозы

- Убедитесь, что все сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что ОС, ПО и прошивки на всех компьютерах и устройствах обновляются с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ установлены и актуальны на всех компьютерах.
- Убедитесь, что на всех компьютерах учётные записи администратора используются только при крайней необходимости.
- Убедитесь, что на всех компьютерах настроен контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. 
- Убедитесь, что пользователи, которым нужно только читать конкретную информацию, не имеют прав на внесение изменений в этих файлах.
- Убедитесь, что на всех компьютерах отключены макросы и уведомления об их включении в офисных файлах, передаваемых и получаемых по email.
- Убедитесь, что на всех компьютерах внедрены политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение защиты бизнеса

- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии и убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.
- Критически относитесь к ссылкам в email-сообщениях и не открывайте вложения от неизвестных отправителей.
- Загружайте программное обеспечение, особенно бесплатное (Free), только с официальных и доверенных сайтов. 
- Проверяйте до запуска, если возможно, целостность программного обеспечения с помощью цифровой подписи.
- Обновляйте операционную систему, свои программы, прошивки, включая Adobe Flash, Java, веб-браузеры и пр.
- Настройте антивирусные и другие защитные программы на автоматическое обновление и регулярные проверки ПК.
- Отключите макросы для получаемых по email файлов. Используйте Office Viewer для открытия файлов MS Office.
- Создайте ограничения на выполнение программ и элементов управления, активнее внедряйте проактивную защиту. 

Сообщения об атаках вымогателей

  ФБР призывает пострадавших сообщать обо всех инцидентах, связанными с вымогателями, федеральным правоохранительным органам, независимо от результата атаки, чтобы составить более полное представление о текущей угрозе и её воздействии на пострадавших.

Для этого следует указать следующую информацию:
1. Дату инфицирования ПК (может быть также установлена по отчётам Windows).
2. Информацию о варианте вымогателя (записка о выкупе, используемое расширение).
3. Информация о компании-жертве (какое предприятие, организация, размер бизнеса).
4. Как произошло заражение (ссылка или вложение в email, работа в Интернете и пр.).
5. Запрошенная вымогателями сумма выкупа (указывается в записке или на сайте оплаты).
6. Адрес Bitcoin-кошелька вымогателей (указывается в записке или на сайте оплаты).
7. Выплаченная вымогателям сумма выкупа (если выкуп вымогателям был выплачен).
8. Общие потери, связанные с вымогательской инфекцией, включая сумму выкупа.
9. Официальный отчёт о причинённом ущербе, включая заявления от пострадавших.

👉 Сравните информацию, сообщаемую в федеральные органы США, с онлайн-заявлением в Управление "К" МВД России. 


Как помогают собранные данные?

1. Отчётность по преступлениям даёт правоохранительным органам более точную картину о методах нападавших, чтобы они могли попытаться отслеживать и в конечном итоге сорвать их планы.
2. Криминальные сводки помогают правоохранительным органам оценить масштаб проблемы, чтобы выделить ресурсы и обеспечить необходимое финансирование со стороны законодателей или других политиков.
3. Накопление разведывательных данных о киберпреступности помогает следователям лучше коррелировать деятельность их банд, помогая разоблачать и преследовать лиц, участвующих в атаках. 
4. ФБР ранее отмечал, что "значительная часть инфраструктуры, используемая злоумышленниками, размещается за рубежом", и что бюро часто работает с международными правоохранительными органами.

 Read to links: 
 FBI: Incidents of Ransomware on the Rise (апрель 2016)
 FBI urges victims to report ransomware incidents (сент. 2016)
 ID-Ransomware.RU

© Amigo-A (Andrew Ivanov): All blog articles.