{"id":13847,"url":"\/distributions\/13847\/click?bit=1&hash=ccbcf186ae6c3a0383fc6d98c83371a774b20605a9943111d78c0086348a61e1","title":"\u042d\u0442\u043e\u0442 \u043f\u043b\u0430\u0442\u0451\u0436\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u0441\u0442\u0440\u043e\u0438\u0442\u0441\u044f \u0432 \u043b\u044e\u0431\u0443\u044e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0443 \u043b\u043e\u044f\u043b\u044c\u043d\u043e\u0441\u0442\u0438","buttonText":"\u041a\u0430\u043a \u044d\u0442\u043e?","imageUuid":"f2ed9ee2-eea1-5d53-8b9b-f03732a710b1","isPaidAndBannersEnabled":false}

Мне зашифровали серверы и требуют баснословный выкуп в криптовалюте

Я очень рад, если читать этот пост вам посчастливилость находясь, например, в кофейне, утром, перед поездкой на работу, и вы нажали на него исключительно из обыденной потребности в потоке какой бы то ни было информации, а не судорожно перешли из поисковых систем в надежде найти простое и бесплатное решение, потому как последнего здесь точно не будет.

А что будет?

Будет решение на длинную дистанцию. Будут запугивания, потому что иначе - никак, все плевать хотят на безопасность информационной инфраструктуры, пока утром на самом главном сетевом хранилище не обнаруживают файл README, содержащий угрозы, эти несколько байт текста могут заставить волосы поседеть, попу сузиться до размеров протона, набрать кредитов или залезть в петлю.

Записка с инструкцией, где и как можно оплатить расшифровку данных

Всю информацию в этом и дальнейших постах я собираю и анализирую из абсолютно открытых источников, чем может заниматься абсолютно любой человек на планете, другой вопрос, конечно, в том, кто и как её интерпретирует и что с ней в дальнейшем делает.

Если ты не столкнулся с ransomware - ещё нет никаких фактов, что не столкнёшься завтра

Что вообще такое ransomware?

Выкладка из википедии - Программа-вымогатель, программа-шантажист (ransomware — контаминация слов ransom — выкуп и software — программное обеспечение) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных (часто с помощью методов шифрования), а затем требует от жертвы выкуп для восстановления исходного состояния.

Преступники, которые зарабатывают с помощью данных методик, являются самыми богатыми в своей иерархии впринципе, потому что берут количеством (в частном аспекте), а размер вымогаемого выкупа формируется исходя из метрики revenue компании, которая на западе, например, вообще является легко добываемой информацией. Правда, есть слой киберпреступников богаче... Владельцы партнерских программ ransomware! Они далеко не глупы, и это тоже самый настоящий бизнес, с разными бизнес-моделями, техниками, потребностями, планами, стратегией и всем прочим. Заглянем внутрь.

Ransomware-as-a-Service

Как это выглядит?

Главный злоумышленник Вася берет на работу программистов Петю и Колю, которые разрабатывают программу-шифровальщик и веб-приложение. Затем, Вася покупает рекламу в сообществах злоумышленников, в которой приглашает всех специалистов по проникновению в информационные системы присоединиться к его партнёрской программе за процент от выкупов. Специалисты по проникновению получают доступы к компьютерным сетям компаний, ищут самые важные данные, шифруют их с помощью разработанной Петей или Колей программы-шифровальщика и ждут, пока представители компаний выйдут на связь. Далее, работают менее важные в иерархии специалисты по социальной инженерии (профессиональные психологические манипуляторы), которые "дожимают" "жертву", крепко убеждая её, что это всё равно будет дешевле, чем любым другим образом стараться вернуть зашифрованную информацию.

Обороты Васи и его друзей-хакеров достигают десятков и сотен миллионов долларов. Вася нанимает отдельных хакеров, которых просит искать уязвимости уже в инфраструктуре собственного бизнеса, партнерской программы шифровальщика, дабы не попасть в лапы коллег.

Ну, у меня нормальный безопасник в штате, мне это не светит

Конечно! Самая страшная на данный момент организация, чья записка приложена в качестве обложке статьи - LockBit, - зашифровала по меньшей мере 1000 организаций в Америке на Ноябрь 2022. В этих организациях, ведь, специалисты по информационной безопасности некомпетентны, и не смогли бы нормально выстроить безопасность инфраструктуры, правда?

Дело ни в коем случае не в количестве безопасников в штате, не в их качестве, а в их непосредственной деятельности и возлагаемых на них обязанностях. Они, как люди близкие к информационным технологиям - чаще всего интроверсивны в своей сути и тихо-мирно закрывают свои задачи, и это всё невидимо глазам их коллег и ощущается ими лишь пассивно.

Самым узким моментом чаще всего становятся простые люди, у которых обыкновенная психика, которые могут и не подозревать о том какие последствия могут нести даже простые слова, например, чуть более чем обычно подробный рассказ о своей работе при знакомстве с новым человеком.

И какое предложение?

Возложить на плечи штатного ИБшника задачу проводить с определённой периодичностью публичные выступления перед коллегами с докладами, в которых обсуждаются самые инновационные техники проникновения, методы защиты от них. Или приглашать сведующего человека извне закрывать данную потребность. Совсем не обязательно грузить некомпетентных людей сложными терминами, всё можно объяснить концептуально, механики в общих чертах.

Если даже "русские хакеры самые страшные в мире", и у них есть принцип "не работать по СНГ", это ещё не значит, что зарубежные хакеры не преуспевают в шифровании и краже данных отечественных компаний, просто в нашем менталитете принято о неудачах сильно не распространяться. Вспомнить только плачевный опыт того же Delivery Club - сколько клиентов пострадало после их огромной (и, если мне не изменяет память, неоднократной) утечки данных?

Лично я вижу для себя интересным путь эдакого независимого консультанта по информационной безопасности. Компетенции позволяют. Посмотрим.

0
9 комментариев
Написать комментарий...
Мимо проходивший

Бэкапы наше всё, отец

Ответить
Развернуть ветку
Рустем Кадыров
Автор

О них в том числе нужно доносить до системных администраторов и разработчиков. Или опять - в америке все глупые, а у нас у всех бэкапы? + бэкапы не спасают от промышленного шпионажа, а только ему способствуют, я ведь стараюсь раскрыть идею от частного к общему.

Ответить
Развернуть ветку
Sergey Klochko

Бэкапы

Ответить
Развернуть ветку
Рустем Кадыров
Автор

Бэкапы-то у всех, только вот прибыль у рансомваре исключительно растёт.

Ответить
Развернуть ветку
Sergey Klochko

вы немного припозднились с этим утверждением. уже начала падать. все больше компаний отказываются платить.

Ответить
Развернуть ветку
Artur Kuramshin

Я уж подумал реальный кейс. Название как-то не сходится

Ответить
Развернуть ветку
Рустем Кадыров
Автор

О реальных кейсах говорить - придётся давать хоть какую-то информацию о компании чтоб это не выглядело как придумка. А кому хочется нести из за такого репутационные потери? В своё оправдание скажу, что название - реальная цитата моего коллеги, и бэкапы его не спасли. Его случай и натолкнул меня на этот материал. Подробно рассказывать он, конечно же, тоже не захотел.

Ответить
Развернуть ветку
Sergey Ivanov
Если ты не столкнулся с ransomware - ещё нет никаких фактов, что не столкнёшься завтра

Если вы в СНГ, то и не столкнетесь скорее всего.

Локбит и прочие, это русскоговорящие товарищи и у них изначально была установка не "работать" по СНГ. В шифровщиках стоит защита от шифрования компов где установлен русский/украинский/и тд язык.

Ответить
Развернуть ветку
Рустем Кадыров
Автор
Ответить
Развернуть ветку
Читать все 9 комментариев
null