Немає сумніву, що програмне забезпечення-вимагач залишається головною загрозою для компаній і організацій у всьому світі та багатьох секторах, але з огляду на нещодавні потрясіння, включаючи видалення урядом LockBit і очевидний вихід ALPHV/BlackCat , чи справді кількість атак програм-вимагачів зменшіться у 2024 році?
Це залежить від того, кого ви запитуєте.
У детальному огляді атак програм-вимагачів за 1 квартал 2024 року дослідницька технічна компанія Comparitech відзначила «значне зменшення» підтверджених атак. Зокрема, кількість атак зменшилася більш ніж вдвічі з 336 у першому кварталі 2023 року до 142 у минулому кварталі.
Однак у звіті також зазначено 939 непідтверджених атак програм-вимагачів цього року, що вказує на велику різницю між атаками, заявленими групами програм-вимагачів, і тими, інформацію про які публічно розкрили жертви.
Читайте також:
Comparitech відстежує непідтверджені атаки з квітня 2023 року. Його всесвітня інформаційна панель атак програм-вимагачів показує, що щомісяця кількість непідтверджених атак стабільно перевищує кількість підтверджених.
З квітня по грудень 2023 року щомісяця надходило в середньому близько 300 непідтверджених заяв про атаки програм-вимагачів, а в четвертому кварталі 2023 року – у середньому 336 щомісяця, порівняно з 313 місячними заявами про атаки минулого кварталу. Якщо взяти до уваги ці дані, будь-яке збільшення чи зменшення кількісті атак програм-вимагачів у 2024 році значно звужується.
Звичайно, правдивість заяв кіберзлочинців завжди викликає сумніви. Від шахрайства власних афілійованих осіб до видавання за інших суб’єктів загрози, на додаток до обману, властивого фішингу, дії цих груп мало сприяють здобуттю довіри до їхніх заяв.
Були також випадки, коли заявлені жертви прямо заперечували будь-які порушення, як це зробила компанія з кібербезпеки Dragos у листопаді минулого року після появи на сайті витоку ALPHV/BlackCat.
У той же час жертви цих атак нерідко уникають або зволікають з публічним розголошенням. У звіті ФБР про злочини в Інтернеті за 2022 рік зазначено , що «ФБР було складно встановити справжню кількість жертв програм-вимагачів, оскільки про багато заражень не повідомляється правоохоронним органам».
В останньому щомісячному звіті BlackFog про стан програм-вимагачів , який включає виявлення за допомогою корпоративного рішення BlackFog для боротьби з викраденням даних, також зазначено, що в березні 2024 року співвідношення незареєстрованих і зареєстрованих атак становило 603%.
Дані BlackFog також вказують на загальне збільшення атак програм-вимагачів у першому кварталі 2024 року порівняно з першим кварталом 2023 року та рекордну кількість атак у січні.
Незалежно від того, чи кількість атак програм-вимагачів справді зменшується, збільшується 2024 році, усі дані вказують на те, що запобігання програмам-вимагачам має залишатися головним пріоритетом для компаній і організацій.
Операційні збої, фінансові наслідки та порушення конфіденційності в результаті цих атак продовжували резонувати, як видно з резонансного впливу атаки на Change Healthcare та злому Fidelity National Financial .
Тенденції також, ймовірно, стануть чіткішими, оскільки все більше компаній дотримуватимуться чотириденного правила розкриття інформації Комісії з безпеки та бірж США , яке набуває чинності для невеликих звітних компаній 15 червня.
Як видно з різних звітів, хоча рівень програм-вимагачів «досягнув гомеостазу» за останній рік, вони все ще домінують на сцені загроз у 70% атак із зашифрованими даними.
Але чому експерти приймають до уваги непідтверджені заяви? Бо атаки стають все більш «витонченими», злочинці просто змінюють тактику, роблячи свої атаки більш прихованими або використовуючи інші методи вимагання. Зрозуміло, що такі атаки неможливо зупинити застарілими чи звичайними методами. Тож керівникам компаній та організацій важливо зрозуміти необхідність превентивних заходів:
- Створення резервних копій даних
- Впровадження багатофакторної аутентифікації
- Навчання співробітників кібербезпеці
- Використання надійних антивірусних та анті-ransomware програм
Щодо антивірусних та анті-ransomware програм, сьогодні найбільш надійною у захисті вважається технологія «нульової довіри». «Нульова довіра» (Zero Trust, ZT) — це нова парадигма кібербезпеки, яка ґрунтується на тому, що нікому не можна довіряти за замовчуванням, навіть користувачам і пристроям, які вже знаходяться в корпоративній мережі. У ZT всі запити на доступ до ресурсів (даних, додатків, систем) ретельно перевіряються, незалежно від того, звідки надходить запит. Користувачі та пристрої повинні пройти аутентифікацію та авторизацію перед кожним доступом, а їхні дії постійно моніторяться на предмет підозрілої активності. Але компанія Xcitium шла ще далі у використанні цієї технології. У її рішеннях, крім постійного моніторингу активністі користувачів і систем на предмет підозрілої поведінки, додатково використовуються:
- Віртуалізація на рівні ядра. Xcitium використовує віртуалізацію на рівні ядра, щоб ізолювати невідомі та ненадійні файли та програми в безпечному віртуальному середовищі. Це запобігає їхньому виконанню в основній системі та потенційному пошкодженню даних або систем.
- Контейнеризація. Xcitium також використовує контейнеризацію для ізоляції програм та даних. Кожен контейнер має власне віртуальне середовище з власною операційною системою, файлами та реєстром. Це додатково ускладнює для зловмисників проникнення в систему.
- Мікросегментація мережі. Xcitium використовує мікросегментацію мережі для розбивки корпоративної мережі на менші, більш керовані сегменти. Це обмежує доступ до чутливих даних і систем лише авторизованим користувачам.
Як кажуть у цій компанії, з початку використання власного ZT не було зареєстровано жодного проникнення до захищених корпоративних мереж.
Але незалежно від того, яке програмне забезпечення виберуть для себе компанії та організації, потрібно пам’ятати, як вже було сказано, що запобігання програмам-вимагачам має залишатися головним пріоритетом. Быльше консультацій можна отримати у компаній, які постачають перераховані рішення. Наприклад, у компанії Ідеалсофт з їх партнерською мережею.
