[Спам и антиспам, Информационная безопасность] Почему платить за удаление украденных данных – это безумие
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Безумие — это точное повторение одного и того же действия раз за разом, в надежде на изменение.
Продолжаем выискивать достойное русского глаза в блоге Krebs on Security. Интерес наш привлёк текст про вирусы-вымогатели. Ransomware – настоящий бич как для компаний, так и физлиц, и, ссылаясь на исследование Coveware, Брайан Кребс объясняет, почему всё становится только хуже. Как и в прошлый раз наш ИБ-эксперт Алексей Дрозд (aka labyrinth) ведет заочную беседу с коллегами в подстрочных комментариях. Вы можете их не открывать, чтобы читать только перевод оригинала текста. Компании, пострадавшие от программ-вымогателей, часто сталкиваются с двойной угрозой. Злоумышленники не просто шифруют данные и требуют уплатить выкуп, но также угрожают выложить данные в открытый доступ, если не получат деньги. SpoilerСтоит различать угрозы и реальные действия. Угрожать публикацией данных преступники начали, думаю, как только появились шифровальщики. Но трендом это стало лишь в конце 2019 года. Именно тогда появились сообщения про ресурс, который создали разработчики вредоноса Maze для побуждения жертв к оплате выкупа. На нём они писали: «Представленные здесь компании не хотят сотрудничать и пытаются скрыть нашу успешную атаку на их ресурсы. Ждите, скоро выложим их базы данных и личные документы. Следите за новостями!». Не прошло и пары месяцев, как инициативу Maze подхватили другие операторы вредоносного ПО.Не будем говорить о тех случаях, когда надежды жертвы оправдываются: злоумышленники оказываются «честными бандитами» и уничтожают украденное после уплаты выкупа. Но как показывает новое исследование Coveware, это скорее исключение, чем правило. Потому что данные значительного числа жертв, заплативших выкуп, все равно сливаются в публичный доступ.
В компании Coveware, которая специализируется на помощи пострадавшим от атак вымогателей, заявляют, что такой риск существует почти в половине всех случаев.«Раньше, если у жертвы были резервные копии, она просто восстанавливала данные и забывала о проблеме. У компании не было никакой причины даже вступать в контакт с злоумышленником, – отмечается в отчете. – Теперь потерпевший, даже с полностью восстановленными из бэкапов данными, часто вынужден обращаться к злоумышленнику. Ему нужно как минимум уточнить, какие именно данные были украдены».SpoilerВсегда сохраняется надежда на то, что злоумышленники блефуют. Кроме того, поведение шифровальщиков меняется. Один из трендов – сперва утащить как можно больше данных, а лишь затем начать шифрование. Таким образом, количество утёкших данных может быть гораздо больше, чем зашифрованных. Поэтому чтобы оценить реальный масштаб проблемы, компании порой необходимо получить «сэмпл». В Coveware заявили, что у нее достаточно свидетельств от жертв, чьи данные были опубликованы после оплаты выкупа за их удаление. В ряде случаев и вовсе данные сливались в сеть еще до того, как жертве предлагалось оплатить выкуп.«В отличие от переговоров по получению ключа дешифрования, диалог по удалению украденных данных может длиться бесконечно. Ключ дешифрования жертва получает в постоянное пользование. А когда злоумышленники крадут данные, использовать их для шантажа можно долго: вернуться за вторым и следующим платежом можно в любой момент в будущем», – говорится в отчете. SpoilerОценить всю «креативность» русскоговорящих шантажистов можно на примере одного частного расследования. В описываемой схеме мошенники сперва вымогали у жертвы деньги за утёкшие снимки. После чего вновь связывались с ней, но уже в роли «добрых полицейских», обещая вывести обидчиков на чистую воду за вознаграждение.Поэтому эксперты компании советуют клиентам никогда не платить выкуп за удаление данных, а вместо этого потратить деньги на расследование: на то, чтобы выявить, сколько реально файлов было украдено и уведомить пострадавших в соответствии с законами.«Жертвы программ-вымогателей надеются, что если они заплатят выкуп, никто не узнает о взломе компании», - говорит Фабиан Восар (технический директор ИБ-компании Emsisoft). Это ложные надежды. «Компании не хотят, чтобы данные были опубликованы или проданы. Поэтому они платят, надеясь, что злоумышленник удалит данные. Но удалят они данные или нет, с юридической точки зрения это не имеет значения. С точки зрения закона данные были потеряны в момент их утечки».По словам Восара, нет смысла платить и за ключ дешифрования: он может просто не подойти.SpoilerИногда шифрование данных без возможности их восстановления может быть сделано намеренно. Такая версия выдвигалась относительно шифровальщика NotPetya. Но чаще это досадная для жертвы случайность.«Поэтому когда вы читаете эти письма с требованием выкупа, вам там, по сути, открытым текстом заявляют: «Да, теперь ты в жо..е», – резюмирует в своем посте Кребс. SpoilerНо даже в этой ситуации можно увидеть свет в конце тоннеля. Зашифрованные данные – не окончательный приговор. Есть два варианта «расшифровки без вложений» и оба подразумевают везение.1) Просто повезло – это когда мошенники зашифровали данные «старой» версией вредоноса, к которой уже написаны дешифровщики. Существуют сообщества, бесплатно помогающие пострадавшим. Например, NoMoreRansome Project. Некоторые антивирусные компании также делятся своими наработками.2) Возможно повезёт, но придётся подождать – это когда на данный момент помочь вам нельзя, но есть шанс, что удастся в будущем. К примеру, некоторые операторы, «раскаявшись», уходят на покой и публикуют в открытом доступе ключи для дешифровки.Успешная атака вируса-шифровальщика как нельзя лучше иллюстрирует поговорку про то, что проблему лучше предупредить, чем потом разгребать последствия. Поэтому не забывайте: - бэкапить данные – полезно в принципе, а не только в контексте шифровальщиков;- следить, чтобы на оборудовании стояли и обновлялись спам-фильтры и антивирусные программы; - просвещать сотрудников о том, какие методы социальной инженерии используют мошенники, чтобы подкинуть в компанию нужный файл с вирусом.Есть советы, как бороться с напастью? Делитесь в комментариях
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка веб-сайтов, Habr, Тестирование веб-сервисов] Подробное руководство по HTML инъекциям (перевод)
- [Информационная безопасность, Тестирование IT-систем, Разработка под Windows] Как работают эксплойты по повышению привилегий в ОС Windows
- [Информационная безопасность, DIY или Сделай сам] Энтузиаст смог незаметно передать данные, меняя скорости Ethernet
- [Информационная безопасность, Криптовалюты] Производитель компьютеров Advantech пострадал от вируса-вымогателя. Хакеры требуют выкуп в биткоинах
- [Спам и антиспам, Информационная безопасность, Разработка веб-сайтов, Системное администрирование, Серверное администрирование] Переход с reCAPTCHA на hCaptcha (перевод)
- [Информационная безопасность, Исследования и прогнозы в IT] Исследование атак со стороны профессиональных кибергруппировок: смотрим статистику техник и тактик
- [Информационная безопасность] Security Week 49: взлом Tesla через Bluetooth
- [Информационная безопасность, Реверс-инжиниринг] CTF-соревнования 2020 для «белых хакеров». Старт регистрации участников
- [Информационная безопасность, Python, Программирование, Машинное обучение, Искусственный интеллект] Deep Anomaly Detection
- [Информационная безопасность] (не) Безопасный дайджест: сливы COVID-пациентов и незваный гость на министерской встрече в Zoom
Теги для поиска: #_spam_i_antispam (Спам и антиспам), #_informatsionnaja_bezopasnost (Информационная безопасность), #_informatsionnaja_bezopasnost (информационная безопасность), #_krebsonsecurity, #_virusyshifrovalschiki (вирусы-шифровальщики), #_sotsialnaja_inzhenerija (социальная инженерия), #_bekap (бэкап), #_blog_kompanii_searchinform (
Блог компании SearchInform
), #_spam_i_antispam (
Спам и антиспам
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:36
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Безумие — это точное повторение одного и того же действия раз за разом, в надежде на изменение.
В компании Coveware, которая специализируется на помощи пострадавшим от атак вымогателей, заявляют, что такой риск существует почти в половине всех случаев.«Раньше, если у жертвы были резервные копии, она просто восстанавливала данные и забывала о проблеме. У компании не было никакой причины даже вступать в контакт с злоумышленником, – отмечается в отчете. – Теперь потерпевший, даже с полностью восстановленными из бэкапов данными, часто вынужден обращаться к злоумышленнику. Ему нужно как минимум уточнить, какие именно данные были украдены».SpoilerВсегда сохраняется надежда на то, что злоумышленники блефуют. Кроме того, поведение шифровальщиков меняется. Один из трендов – сперва утащить как можно больше данных, а лишь затем начать шифрование. Таким образом, количество утёкших данных может быть гораздо больше, чем зашифрованных. Поэтому чтобы оценить реальный масштаб проблемы, компании порой необходимо получить «сэмпл». В Coveware заявили, что у нее достаточно свидетельств от жертв, чьи данные были опубликованы после оплаты выкупа за их удаление. В ряде случаев и вовсе данные сливались в сеть еще до того, как жертве предлагалось оплатить выкуп.«В отличие от переговоров по получению ключа дешифрования, диалог по удалению украденных данных может длиться бесконечно. Ключ дешифрования жертва получает в постоянное пользование. А когда злоумышленники крадут данные, использовать их для шантажа можно долго: вернуться за вторым и следующим платежом можно в любой момент в будущем», – говорится в отчете. SpoilerОценить всю «креативность» русскоговорящих шантажистов можно на примере одного частного расследования. В описываемой схеме мошенники сперва вымогали у жертвы деньги за утёкшие снимки. После чего вновь связывались с ней, но уже в роли «добрых полицейских», обещая вывести обидчиков на чистую воду за вознаграждение.Поэтому эксперты компании советуют клиентам никогда не платить выкуп за удаление данных, а вместо этого потратить деньги на расследование: на то, чтобы выявить, сколько реально файлов было украдено и уведомить пострадавших в соответствии с законами.«Жертвы программ-вымогателей надеются, что если они заплатят выкуп, никто не узнает о взломе компании», - говорит Фабиан Восар (технический директор ИБ-компании Emsisoft). Это ложные надежды. «Компании не хотят, чтобы данные были опубликованы или проданы. Поэтому они платят, надеясь, что злоумышленник удалит данные. Но удалят они данные или нет, с юридической точки зрения это не имеет значения. С точки зрения закона данные были потеряны в момент их утечки».По словам Восара, нет смысла платить и за ключ дешифрования: он может просто не подойти.SpoilerИногда шифрование данных без возможности их восстановления может быть сделано намеренно. Такая версия выдвигалась относительно шифровальщика NotPetya. Но чаще это досадная для жертвы случайность.«Поэтому когда вы читаете эти письма с требованием выкупа, вам там, по сути, открытым текстом заявляют: «Да, теперь ты в жо..е», – резюмирует в своем посте Кребс. SpoilerНо даже в этой ситуации можно увидеть свет в конце тоннеля. Зашифрованные данные – не окончательный приговор. Есть два варианта «расшифровки без вложений» и оба подразумевают везение.1) Просто повезло – это когда мошенники зашифровали данные «старой» версией вредоноса, к которой уже написаны дешифровщики. Существуют сообщества, бесплатно помогающие пострадавшим. Например, NoMoreRansome Project. Некоторые антивирусные компании также делятся своими наработками.2) Возможно повезёт, но придётся подождать – это когда на данный момент помочь вам нельзя, но есть шанс, что удастся в будущем. К примеру, некоторые операторы, «раскаявшись», уходят на покой и публикуют в открытом доступе ключи для дешифровки.Успешная атака вируса-шифровальщика как нельзя лучше иллюстрирует поговорку про то, что проблему лучше предупредить, чем потом разгребать последствия. Поэтому не забывайте: - бэкапить данные – полезно в принципе, а не только в контексте шифровальщиков;- следить, чтобы на оборудовании стояли и обновлялись спам-фильтры и антивирусные программы; - просвещать сотрудников о том, какие методы социальной инженерии используют мошенники, чтобы подкинуть в компанию нужный файл с вирусом.Есть советы, как бороться с напастью? Делитесь в комментариях =========== Источник: habr.com =========== Похожие новости:
Блог компании SearchInform ), #_spam_i_antispam ( Спам и антиспам ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:36
Часовой пояс: UTC + 5