Жертвите на рансъмуер плащат. Но измамниците се връщат отново

Експертите по киберсигурност предупреждават да не се плащат откупи - ето защо

Жертвите на рансъмуер плащат. Но измамниците се връщат отново | StandartNews.com

Много организации, които стават жертва на популярни атаки с ransomware, в крайна сметка плащат откуп многократно, тъй като киберпрестъпниците използват слабости. Тези атаки станаха много популярни в последните години. При тях престъпниците криптират инфорамцията на жертвата и за да я отключат – искат откуп. Съвсем не изненадващо обаче се оказва, че киберпрестъпниците се опитват да измъкнат от жертвите си колкото се може повече пари.

Според анализ на специалистите в областта на киберсигурността от Proofpoint 58% от организациите, станали жертва на този вид атаки, са платили откуп на киберпрестъпниците за ключа за декриптиране - и в много случаи са платили повече от веднъж.

Правоприлагащите органи и експертите по киберсигурност предупреждават организациите да не плащат откупи, тъй като не само че няма гаранция, че предоставеният ключ за декриптиране ще работи, но и че удовлетворяването на исканията за откуп само насърчава още атаки с откуп, тъй като показва на киберпрестъпниците, че атаките работят.

От тези, които са платили откупа, малко повече от половината - 54 % - са възстановили достъпа си до данните и системите след първото плащане. Друга една трета от жертвите на рансъмуер обаче в крайна сметка плащат допълнителен откуп, преди да получат ключа за декриптиране. Цели 10 % също получават допълнителни искания за откуп, но отказват допълнителното плащане и си тръгват без данните си.

В 4 % от случаите организациите са платили откуп или откупи, но въпреки това не са могли да възстановят данните си - или поради грешен ключ за декриптиране, или защото киберпрестъпниците просто са взели парите и са избягали.

Когато организациите станат жертва на атаки с цел получаване на откуп, измамниците често са били в мрежата седмици или месеци преди атаката. Това означава, че дори ако откупът бъде платен, хакерите разполагат с необходимите контроли и разрешения, за да се върнат и да предизвикат нова атака.

"Не мисля, че много организации са наясно с факта, че може да платите откупа веднъж, но ако престъпниците са били в инфраструктурата ви в продължение на осем седмици, не знаете какво още са откраднали", казва пред ZDNet Аденике Косгроув, стратег по киберсигурност в Proofpoint. 

Откраднатите данни обикновено се използват като допълнителен лост при атаките с откуп, тъй като киберпрестъпниците заплашват да ги публикуват, ако не получат пари. Въпреки че това принуждава някои жертви да платят, няма гаранция, че киберпрестъпниците няма да се върнат с допълнителни заплахи за публикуване на откраднатите данни по-късно.

"Първият ход е "дайте ми откуп, за да ви дам ключа за декриптиране". Вторият откуп е "дайте ми откуп или ще публикувам тези данни в мрежата", обяснява Косгроув.

"Третият може да бъде "дайте ми откуп или ще разкажа в медийни публикации за това нарушение на сигурността на данните, което имате, и ще кажа на регулаторните органи, че, не сте уведомили клиентите, че личните им данни са били засегнати", добави тя.

Най-добрият начин да се справите с атаките с цел получаване на откуп е да ги предотвратите на първо място. 

Според Proofpoint 75 % от случаите на рансъмуер започват с фишинг атаки, които киберпрестъпниците използват, за да откраднат потребителски имена и пароли или да внедрят троянски коне за отдалечен достъп, за да получат първоначална опора в мрежата.  Следователно възможността за ранно откриване на подозрителна дейност може да осигури средства за предотвратяване на пълномащабна ransomware атака.

"Предполага се, че атаката с ransomware е началото на инцидента, но в действителност инцидентът е започнал преди седмици", заяви Косгроув.  Обучението на потребителите за разпознаване и докладване на подозрителни имейли може да помогне на организациите да открият ранно атаките с ransomware и друг зловреден софтуер.

Включването на двуфакторна автентикация може също така да представлява значителна пречка за фишинг атаките, които целят кражба на потребителски имена и пароли, тъй като без достъп до приложението за автентикация за киберпрестъпниците е много по-трудно да използват компрометирани данни за вход.

Повече технологични новини може да прочетете тук.

Вижте всички актуални новини от Standartnews.com

Коментирай