Программы-вымогатели были чумой для любого бизнеса. По оценкам, 61% организаций во всем мире столкнулись с опасными инцидентами с использованием программ-вымогателей в 2020 году, что на 20% больше, чем за тот же период в 2019 году.

Успешная атака с использованием программ-вымогателей неизбежно является дорогостоящей и разрушительной катастрофой. В 2020 году количество требований киберстрахования от программ-вымогателей выросло на 260%. Эта ситуация вызвала много вопросов в компаниях: что делать, чтобы оставаться в безопасности?  что делать в случае поражения? Стоит или не стоит платить выкуп?

Программы-вымогатели — это дорогое удовольствие в любом случае

Этот огромный всплеск киберпреступности помог создать процветающую экономику дарквеба для украденных данных. А там, где есть спрос, найдутся киберпреступники, готовые предложить нетерпеливых покупателей. Чаще всего они это делают с помощью программ-вымогателей. Организация, ставшая жертвой программ-вымогателей, не просто теряет свои данные. Эти неудачливые организации также теряют в среднем шесть рабочих дней из-за простоя системы, при этом 37% заявили, что после этого инцидента простой длился неделю или более. Не говоря уже о непомерных затратах на расследование, исправление и восстановление. Неудивительно, что 60% компаний, подвергшихся кибератаке, прекращают свою деятельность.

Одно из решений, которое киберпреступники охотно предлагают атакованным ими предприятиям — это заплатить выкуп. По оценкам, 52% организаций предпочитают вести переговоры с вымогателями или просто заплатить требуемый выкуп. Выплата требования программы-вымогателя — дело не из дешевых. Средний платеж в третьем квартале 2020 года составил 233 817 долларов, что на 31% больше, чем во втором квартале прошлого года. В некоторых вариантах программ-вымогателей, таких как нынешнее излюбленное оружие — вымогатель с двойным вымогательством, жертвы могут получить два платежа или даже три, если они попали в ловушку новой разновидности тройного вымогательства.

Если вы заплатите выкуп, кому это будет выгодно? Ищи, кому это выгодно

Если компания не заплатит выкуп, киберпреступники все равно будут получать прибыль от продажи данных жертвы. Если компания действительно платит выкуп, ее деньги распространяются по всему дарквебу. Выкуп не передается только одному человеку или организации — даже вспомогательный участник атаки получит прибыль. Крупные группировки часто проводят свои мошенничества через аффилированных лиц, поэтому фактический злоумышленник, скорее всего, является своего рода независимым подрядчиком. Они будут нести ответственность за выполнение всего, что связано с операцией, от планирования до выполнения. Партнером может быть небольшая банда или просто группа фрилансеров, собирающихся для одной работы. Банда боссов может поставлять технологию или помощники могут приносить свои собственные. Часто злоумышленники нанимают фрилансеров через форумы в дарквебе и собирают ресурсы с рынков и свалок данных там же.

Если операция прошла успешно, злоумышленники уведомят жертв о том, что они получили свои данные. Многие группировки поддерживают свои собственные дарквеб-сайты, на которых объявляют о своих победах, предоставляя образцы украденных данных и требуя выкупа. Некоторые банды киберпреступников регулярно контактируют с журналистами отрасли. Более крупные группировки поддерживают свои собственные рекламные операции, напрямую связываясь с отраслевыми изданиями с доказательствами и пресс-релизами. У организации REvil, крупной российской группировки, есть собственный веб-сайт, на котором они объявляют об успешных атаках, и отдел коммуникаций, который обрабатывает пресс-релизы, объявления и интервью с журналистами, как любой другой бизнес.

День выплаты. Как правило, киберпреступники не получают полного выкупа, который они требуют изначально. Переговоры — приемлемая часть процесса. После того, как они обеспечили платеж, обычно в криптовалюте, им пора провести некоторые расчеты. Прежде всего, они обязаны послать часть денег банде боссов по цепочке, как правило, 10-20% от полученной прибыли. После выплаты внештатным сотрудникам и расходов, киберпреступники уходят с довольно солидной зарплатой и подушкой для финансирования своей следующей операции. Как правило, киберпреступники предпочитают вести свой бизнес в криптовалюте. Ежедневная изменчивость этой валюты — причина того, почему суммы выкупа в новостях могут показаться странными.

Для злоумышленников, связанных с бандой вымогателей DarkSide, которая только что провела успешную атаку на Colonial Pipeline, эта зарплата составила около 5 миллионов долларов. Но они были жертвами собственного успеха. Проведение этой операции привлекло к себе пристальное внимание сотрудников правоохранительных органов и органов противодействия терроризму, что в конечном итоге заставило группировку объявить о закрытии. Это не редкость. Банды программ-вымогателей часто распадаются, когда начинает подпекать. Они будет выплачивать свои средства своим заинтересованным сторонам, которые работают на фрилансе, пока берег не очистится. По данным блокчейн-аналитиков Elliptic, до того, как банда утихла на прошлой неделе, DarkSide получила 90 миллионов долларов в виде выкупа в биткойнах. По оценкам экспертов, из общего объема выручки 15,5 миллиона долларов пошло разработчику DarkSide, а 74,7 миллиона долларов — его аффилированным лицам. Они также подсчитали, что средний платеж вымогателя в операции DarkSide составил около 1,9 миллиона долларов.

У всего есть цена

Насколько хорошо получается расплатиться с бандой? Совсем не очень хорошо. Как и в случае любого другого вымогательства, результаты выплаты выкупа сильно различаются, но ни один из них не является хорошим. По оценкам, 66% организаций, которые платят выкуп, могут хотя бы частично восстановить свои данные. Еще 34% компаний, которые платят выкуп, больше никогда не видят свои данные. Выплата выкупа киберпреступникам не дает никаких гарантий, что ваши данные не будут скопированы или они не оставят лазейку в ваших системах, которая позволит им вернуться в свое удовольствие. Платеж также вряд ли будет покрываться киберстраховкой. В то время как в прошлом страховщики могли покрывать это, страховые гиганты, такие как AXA, в наши дни говорят «нет».

Это также незаконно. В октябре 2020 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) объявило, что выплата выкупа киберпреступникам является незаконной. В официальном сообщении агентство заявило, что организации, которые способствуют выплатам хакерам от имени жертв, включая финансовые учреждения, фирмы киберстрахования и компании, занимающиеся цифровой криминалистикой и реагированием на инциденты, нарушают правила OFAC. В сообщении также говорится, что OFAC может налагать гражданские штрафы за нарушение санкций, если какое-либо лицо или организация платит выкуп банде, находящейся в стране, санкционированной правительством США.