«У каждого есть план, пока его не ударят в челюсть».

Яркое (и намеренное!) изречение Майка Тайсона как нельзя лучше подходит организациям, пережившим атаку программы-вымогателя. В последние годы программы-вымогатели смогли поставить на колени даже процветающий бизнес за считанные часы, и можно с уверенностью сказать, что они продолжат наносить удары организациям всех мастей, проверяя их киберстойкость и планы действий в чрезвычайных ситуациях так, как немногие другие угрозы могут сравниться.

Данных и реальных инцидентов, подтверждающих это, предостаточно. Согласно Отчету об расследовании утечек данных Verizon за 2024 год, треть всех утечек данных связана с программами-вымогателями или другими методами вымогательства. «Программы-вымогатели были главной угрозой в 92% отраслей», — говорится в отчете.

Если это звучит тревожно, то так оно и есть. Ставки высоки еще и потому, что программы-вымогатели могут появиться после атаки на цепочку поставок — как это было в случае с инцидентом с Kaseya в 2021 году, который использовал уязвимость в платформе управления ИТ-инфраструктурой компании, чтобы значительно расширить охват программ-вымогателей на бесчисленное множество организаций по всему миру.

Побитые и израненные

Когда появляются новости об атаке программы-вымогателя, заголовки часто фокусируются на драматических требованиях выкупа и этических и юридических дилеммах, связанных с оплатой. Однако они часто упускают из виду организационную и человеческую травму, переживаемую жертвами, особенно когда инцидент усугубляется кражей данных и угрозами обнародовать украденные данные.

Когда системы отключаются, бизнес не просто останавливается — он теряет деньги, наблюдая, как ускользают новые возможности и страдает репутация бренда. Раны усугубляются экспоненциально, поскольку лихорадочные усилия по восстановлению растягиваются с часов на дни, недели и, возможно, даже месяцы. Жестко простая предпосылка программ-вымогателей — шифрование критически важных бизнес-данных и требование оплаты за их разблокировку — на самом деле скрывает сложный каскад операционных, финансовых и репутационных ущербов, который разворачивается после атаки.

Опять же, есть достаточно данных, показывающих, что успешный инцидент с программой-вымогателем обходится жертвам дорого. Например, Отчет IBM о стоимости утечки данных за 2024 год оценивает среднюю стоимость восстановления после такой атаки почти в 5 миллионов долларов США.

scarab-ransom-note
Программа-вымогатель Scarab также стремится помешать усилиям по восстановлению

Спасательный круг

Организации, пострадавшие от программ-вымогателей, обычно полагаются на три пути отступления: восстановление из резервных копий, получение инструмента дешифрования от исследователей безопасности (таких как участники инициативы No More Ransom, в которую входит ESET) или оплата выкупа в обмен на дешифратор. Но что, если ни один из этих вариантов не окажется рабочим?

Во-первых, злоумышленники часто усиливают давление на жертв, атакуя также их системы резервного копирования, повреждая или шифруя их перед развертыванием программ-вымогателей в производственных средах. Во-вторых, инструменты дешифрования от исследователей лучше рассматривать как крайнюю меру, поскольку они часто не могут соответствовать срочности потребностей восстановления бизнеса.

А как насчет того, чтобы сдаться и заплатить выкуп? Если не учитывать возможные юридические и нормативные ловушки, оплата ничего не гарантирует, а часто лишь добавляет оскорбление к ране. Colonial Pipeline убедилась в этом на собственном горьком опыте, когда инструменты дешифрования, предоставленные ей в обмен на выкуп в размере 4,4 миллиона долларов США, оказались настолько некачественными, что восстановление систем из резервных копий оказалось единственным жизнеспособным вариантом. (Примечание: Министерство юстиции США позже вернуло большую часть выкупа.)

ESET Ransomware Remediation предлагает новый подход к этой дилемме, эффективно объединяя предотвращение и восстановление в одно целое. Он создает целевые резервные копии файлов, недоступные для злоумышленников, в процессе, который запускается, когда риск очевиден; то есть, как только обнаружена возможная попытка программы-вымогателя. Поскольку злоумышленники часто нацеливаются и на резервные копии данных, этот подход устраняет риск неосознанного использования скомпрометированных резервных копий.

Подготовка к удару

Программы-вымогатели — это полномасштабный разрушитель, способный разрушить бизнес-операции нить за нитью и с пугающей скоростью. Тем не менее, организации с проверенными возможностями предотвращения и восстановления не только выживут перед лицом атак программ-вымогателей и других угроз — их способность избегать таких ударов может стать их главным конкурентным преимуществом.

В постоянно меняющемся цифровом ландшафте изменения — единственная константа, а устойчивость зависит от предвидения неожиданного. Планируйте неизвестное так, как будто от этого зависит ваш бизнес — потому что так оно и есть.

Читать полный анализ на WeLiveSecurity →