Хотя всплески программ-вымогателей в 2021 году, похоже, временно утихли, эта проблема по-прежнему вызывает серьезную озабоченность у сообщества кибербезопасности США. 21 сентября Казначейство США объявило о серии предлагаемых санкций и инструментов регулирования, направленных на подрыв модели вымогателей, среди прочего, путем увеличения количества отчетов о выплатах выкупа в государственные органы. Это был шаг в правильном направлении, но время покажет, будут ли эти новые правила для посредников в злонамеренных транзакциях двигателем к искоренению угрозы программ-вымогателей.

Помните, когда директор ФБР Кристофер Рэй недавно приравнял дилемму выплаты выкупа к аналогичной позиции «никогда не вести переговоры с террористами», вызванной атаками 11 сентября? Если эта концепция применялась 20 лет назад в свете 11 сентября, то почему не сейчас?

Все зависит от того, кого вы спрашиваете.

Проблема в том, что большинство жертв часто считают, что у них нет другого жизнеспособного варианта. Исследования Veritas показывают, что 66% компаний США заявляют, что для полного восстановления после атаки вымогателя без уплаты выкупа потребуется более пяти дней. Но, удовлетворяя требования своих злоумышленников, жертвы вымогателей, по сути, подливают масло в огонь бушующего социального и этического кризиса, который следует по одному и тому же циклу:

  1. Злоумышленники развертывают вредоносное ПО, которое шифрует файлы организации, а затем требует выкуп за восстановление доступа.
  2. Жертва переводит выкуп через неотслеживаемую криптовалюту в обмен на ключи дешифрования для восстановления доступа.
  3. Злоумышленники используют дополнительные финансовые ресурсы для реализации своего следующего сюжета.

Этот цикл подпитывает бизнес цифрового вымогательства, предоставляя киберпреступникам средства и мотивацию для нацеливания на других жертв и другие отрасли. Зловещая петля может привести к более серьезным атакам, которые угрожают критически важной национальной инфраструктуре, где продолжительные утечки данных и простои в работе в этих секторах представляют серьезную угрозу для общественной безопасности и здоровья. Очевидными целями являются военные базы, больницы, органы общественного транспорта, энергетическая инфраструктура, финансовые учреждения, правоохранительные органы и школы.

Однако последствия существуют по обе стороны разделительной линии. Возьмем, к примеру, атаку вымогателей на город Балтимор в 2019 году. Руководство города отказалось заплатить выкуп в размере 76000 долларов за восстановление контроля над сетевой инфраструктурой, вместо этого решив восстановить и переформатировать всю сеть. Это решение в конечном итоге обошлось Балтимору более чем в 18,2 миллиона долларов в виде упущенной выгоды и сборов за восстановление, что усугубило серьезные последствия, связанные с отказом платить.

Необходимо сделать больше для борьбы с программами-вымогателями в глобальном масштабе, прежде чем цель атак перейдет от чисто денежной выгоды к сценариям, подвергающим риску жизни людей или вызывающим непоправимый экономический хаос. Если компаниям запретят платить выкуп в виде санкций или гражданских штрафов, модель цифрового вымогательства быстро ухудшится. Но поскольку призывы к более строгим штрафам становятся все громче, чем когда-либо, важно понимать, что повсеместный запрет на выплаты выкупа — не волшебная пилюля.

Мы должны начать с того, что не будем обсуждать вопрос о том, следует ли вводить запреты на платежи, и остановимся на том, как и когда они должны вступить в силу. Жизненно важно определить, какой способ действий, а также время, будут наиболее практичны для того, чтобы изменить баланс сил в сторону от наших противников.

Доводы в пользу коллективной защиты

Для эффективной борьбы с программами-вымогателями нам необходимо перейти к совместным усилиям, охватывающим частный и государственный секторы, чтобы способствовать развитию мер безопасности и противостоять существующей угрозе. Применение подхода коллективной защиты к кибербезопасности, основанного на межсекторальном обмене анонимными данными и аналитике атак, может позволить компаниям и их цепочкам поставок лучше предотвращать атаки программ-вымогателей и реагировать на них в режиме реального времени.

Другая же сторона монеты бикоина в том, что основная причина программ-вымогателей — это не фактический акт выплаты выкупа. Криптовалюты служат связующим звеном для модели «вымогатель как услуга». Поскольку децентрализованный характер кошелька превратился в культурный феномен, он также стал основным средством реализации программ-вымогателей, позволяя киберпреступникам собирать большое количество неотслеживаемых денежных средств по международным линиям с минимальным риском раскрытия. Внедрение новых способов мониторинга и отслеживания крупных криптоплатежей по международным линиям может стать позитивным шагом вперед.

Однако, прежде чем вводить строгие правила и санкции для снижения количества выкупов, важно принять превентивные меры для нашей собственной защиты, чтобы повысить сложность атак и сделать невозможным развертывание программ-вымогателей. Раннее обнаружение сети на основе поведенческой аналитики имеет важное значение, поскольку развертывание программ-вымогателей не является мгновенным процессом. Он может обнаружить серию событий, которые позволили злоумышленнику проникнуть в сеть, перемещаться по ней и, в конечном итоге, развернуть полезную нагрузку программы-вымогателя, чтобы настроить путь для кражи и вымогательства.

Если мы сможем опередить киберпреступников еще до того, как они дойдут в своей атаке на компанию до фазы выкупа, тогда проактивная сетевая защита станет гораздо ближе к тому, чтобы вывести их из бизнеса — навсегда.

Перевод статьи: The Ransomware Payment Dilemma: Should Victims Pay or Not?