Трояны-вымогатели — security-тема года

0ba536545cfe4b1b8cdfad7efdf10a52.jpgКаждый год 31 декабря эксперты «Лаборатории Касперского» ходят с друзьями в баню подводят итоги. Итоги года состоят из объективной статистики из нашей облачной системы Kaspersky Security Network, и субъективного выбора ключевых событий в сфере безопасности и их оценки. Причем субъективная оценка не менее важна, чем наглядные цифры статистики по разным типам атак. В предсказаниях на 2016 год особое внимание было уделено таргетированным атакам: им наши специалисты дали более высокий приоритет, чем высококлассным атакам с помощью самого совершенного кибероружия. Все дело и в потенциальном ущербе, и в том, что подобрать ключи к защите компании можно, даже и вовсе не пользуясь «вредоносным ПО».

В результате получается, что видов атак может быть великое множество, и оценить их все хором, измерить среднюю температуру «по больнице» не получится. Статистика дает лишь половину понимания ландшафта киберугроз, вторая половина — это опыт специалистов и его приложение к конкретному набору софта, железа и людей в конкретной компании или индустрии. Ежегодный Kaspersky Security Bulletin реализует данную дихотомию в отношении завершающегося отчетного периода.

Как обычно, рекомендую смотреть полный отчет: здесь и здесь. Я же хочу подробно обсудить две ключевые темы: развитие троянов-вымогателей и измерение скорости реакции на инциденты в реальных деньгах.

Криптолокеры

Почему тема года? Если оценивать трояны-вымогатели по стандартной шкале сложности или совершенства вредоносного кода, то они вряд ли заслуживают внимания. Большинство криптолокеров чрезвычайно унылы. Они используют обычные и как правило легко блокируемые средства проникновения на компьютер жертвы. Часто это даже не эксплойт, а социальная инженерия. Почему они вообще стали проблемой, которая затрагивает всех, так или иначе? Единственное отличие вымогателей от традиционного вредонсоного ПО — это деньги. Потерять данные страшно, но заражение криптолокером — это либо мгновенная потеря данных, либо быстрая потеря денег. Развитие криптолокеров стало возможно благодаря развитию технологий анонимизации как работы в сети, так и проведения платежей, с помощью криптовалют. В реальном мире вымогательство легко отследить. В виртуальном — весьма затруднительно. Криптолокеры приносят реальные деньги, и развиваются не технологиями, а бизнес-моделью.

В отчете «Лаборатории» хорошо показано, как именно они развиваются. За 2016 год появилось 62 новых семейства троянов-вымогателей, и в разы выросло число модификаций: в январе-марте зафиксировали 2900, в июле-сентябре 32000. Количество атак на бизнес (где информация имеет гораздо большую ценность) выросло в три раза.

c7846a29987340c09527cfe63aae4b54.png

Top 10 вымогателей, чаще всего атаковавших пользователей в 2016 году.

Да, были вымогатели с интересными техническими решениями. Троян «Петя» не заморачивался с шифрованием отдельных файлов, брал в заложник весь диск целиком. Кампания TeamXRat брутфорсила пароли серверов с дальнейшей установкой трояна без ведома владельца. Вариант трояна Shade анализировал содержимое зараженного компьютера, и в случае обнаружения банковского ПО, переключался в режим шпионажа. Но гораздо больше было уныния, включая копирование текстов с требованием выкупа, выпуск новых троянов, мимикрирующих под старые, ну и, как эталонный пример, индусский троян с ошибками.

А вот с бизнес-моделью все хорошо. В подполье появилась масса партнерских программ, позволяющих стать на скользкую дорожку киберпреступности без особого опыта и знаний.

83ac6877c1ca40d79fbd9763c657080d.png

Для крупного бизнеса криптолокеры никогда не были особой проблемой, а вот для небольших компаний они превратились в реальную головную боль. По нашим данным, 42% малых и средних компаний были атакованы за последний год. 32% жертв заплатили выкуп, из них 20% не получили доступ к данным даже после оплаты.

Ну и главное: с криптолокерами понятно как бороться. С точки зрения технологий защиты это хорошо известная угроза. Проблема достучаться до тех, у кого на защиту не хватает то ли денег, то ли знаний. Здесь есть два способа: коллективные (полиция + эксперты по безопасности) инициативы по расшифровке данных жертв криптолокеров, и более доступное ПО. Например, «Лаборатория» в этом году выпустила бесплатное специализированное решение для борьбы с вымогателями.

Стоимость промедления
Вернемся к таргетированным атакам. В отличие от вымогателей, их действительно сложно посчитать общей статистикой: методы взлома всегда разные, нацеленные на конкретные уязвимые точки инфраструктуры, ущерб тоже отличается. В этом году мы опросили представителей бизнеса по всему миру и посчитали некую сферическую стоимость восстановления после кибератаки: получилось чуть меньше 900 тысяч долларов для крупных организаций и 86 тысяч для малого и среднего бизнеса. Таргетированная атака, ожидаемо, обходится дороже, около 1,4 миллиона долларов за инцидент у крупных организаций. Но это средние цифры: конкретно в вашей компании инцидент может «стоить» совершенно по-другому.

Такая общая статистика никак не объясняет эффективность возврата инвестиций. По идее, если компания активно вкладывается в безопасность, она меньше теряет на кибератаках. Это значит, что она сэкономит примерно миллион с каждого успешного инцидента? Не обязательно. Эффективная защита вообще должна оцениваться не по отсутствию кибератак, а скорее по скорости реагирования и масштабу последствий. В ежегодном отчете приводятся как раз такие цифры. Мы разделили опрошенные компании по типичному времени обнаружения инцидентов: от «часов» до «месяцев». И сравнили усредненные показатели стоимости восстановления.

42ce9b29224d47a0ab6de1b3fd7225d5.png

Разница (для крупных компаний) — почти в три раза между «нашли сразу» и «через неделю или больше». Между тем, у семи процентов компаний был как минимум один инцидент, обнаруженный лишь несколько месяцев спустя. Организации, обычно обнаруживающие инциденты скорее поздно, чем рано, чаще всего таки выявляют проблему с помощью внешнего или внутреннего аудита безопасности.

Так вот, скорость обнаружения — она вообще не про количество установленного защитного ПО, не про качество обороны периметра и все остальное. Она — про знания и наличие специалистов, способных эти знания применить. Таргетированные атаки — это пример киберугрозы, которую, да, можно предотвратить. Но надо всегда быть готовым к тому, что успешное проникновение произойдет. В таком случае чем быстрее проблема обнаружится, тем дешевле она обойдется компании — выше показано на сколько.

Кстати, летом мы впервые подняли эту тему с публикации аналогичного сравнения типовых потерь компаний от инцидентов, в зависимости от их способности находить классных специалистов по информационной безопасности. Корреляция, по трем разным вопросам, похожая:

633a58968fb949e1a99a1c28f8a7fde8.png

Такой вот перевод специализированных знаний на язык бабла. Хороший аргумент для следующего разговора с начальством о бюджетировании. Криптолокеры в таком контексте выглядят маленькой проблемой, решаемой ограниченным набором хорошо отлаженных инструментов. Беда в том, что современный ландшафт угроз состоит из куда более сложных проблем, часть из них (например, социальная инженерия) вообще плохо решается софтом. Судя по предсказаниям на 2017, влияние нестандартных киберугроз на бизнес будет только расти.

Комментарии (0)

© Habrahabr.ru