Что делать, если рабочие компьютеры в Польше оказались заражены вирусами-вымогателями?

Любая компания может стать целью киберпреступников — от небольших индивидуальных предпринимателей до гигантских холдингов. Шифрование данных, кража файлов и последующая публикация — очень распространенные тактики, используемые группами программ-вымогателей, которые неоднократно атаковали польские компании в последние годы.

Какие меры следует предпринять в случае атаки программ-вымогателей, читайте в данной публикации «Польского консультанта».

Атака вируса-вымогателя на компанию и утечка персональных данных

Атака программ-вымогателей обычно включает кражу и шифрование файлов. Важно помнить, что утечка персональных данных включает в себя не только раскрытие данных, art.4(12) GDPR также включает в себя несанкционированное уничтожение, изменение или потерю информации.

Статья 34 GDPR обязывает контролера немедленно уведомить пострадавших лиц о нарушении. Если прямое уведомление потребует «несоразмерных усилий», может быть сделано публичное объявление.

Определение скомпрометированных устройств

В рекомендациях CERT Polska по атакам программ-вымогателей первым шагом в устранении последствий является изоляция зараженного устройства. Важно помнить, что не следует импульсивно отключать устройство, так как это может затруднить последующий анализ инцидента. Отключение питания компьютера может уничтожить необходимые для анализа данные.

• По возможности, следует в первую очередь обеспечить отключение устройств от корпоративной сети, от сети Интернет, а отключать питание только в случае крайней необходимости.
• Департамент кибербезопасности Министерства цифровых технологий РП определяет поддержание работоспособности компьютеров как «максимизацию шансов на восстановление данных». Этого также можно добиться, переведя устройство в режим гибернации (энергосбережение).
• В некоторых случаях может потребоваться вручную отключить устройство от сети Wi-Fi, и эту процедуру не следует пропускать.
• CERT Polska также рекомендует делать резервную копию зашифрованных файлов — регулярно выпускаются новые декрипторы, т.е. инструменты для расшифровки данных.
• В рамках имеющихся возможностей или путем сотрудничества с внешними организациями стоит проанализировать имеющиеся логи (цифровые записи информации) и определить источник заражения.

Для идентификации этого семейства программ-вымогателей можно порекомендовать сайт NoMoreRansom, поддерживаемый Европолом и другими специальными организациями. На сайте представлено множество дешифраторов, которые помогут восстановить файлы.

Выкуп для киберпреступников

Вопрос выплаты выкупа киберпреступникам может быть спорным. Согласно отчету Sophos за 2023 год, 38% атакованных польских компаний заплатили выкуп киберпреступникам. При этом 31% компаний получили указание восстановить файлы из резервных копий.

Платить выкуп группировкам, занимающимся программами-вымогателями, не рекомендуется. С точки зрения бизнеса, предоставляя средства киберпреступникам, никогда нельзя быть уверенным, что доступ к своим файлам будет восстановлен и что украденные данные не будут опубликованы.

Коммуникации и сообщения об инцидентах

Доверие клиентов — критически важный фактор для подавляющего большинства компаний. Атака программ-вымогателей может существенно повлиять на имидж фирмы в глазах общественности. Именно поэтому ответственная внешняя коммуникация так важна.

• CSIRT KNF рекомендует, чтобы сообщения были сбалансированными и «не вызывали ненужного хаоса или беспокойства». При этом вся предоставленная информация должна быть правдивой.
• Также важно проинструктировать сотрудников о том, какую информацию им не следует передавать третьим лицам. Необходимо четко определить ответственных за внешние связи — в идеале, до того, как произойдет инцидент.
• Польское управление финансового надзора (KNF) также подчеркивает необходимость шифрования отчетов об инцидентах. Для этого CSIRT-центры размещают ключи PGP на своих веб-сайтах. В документе Комиссии также отмечается, что отчеты должны предоставляться лицами, не участвующими в технических мероприятиях.

Что еще необходимо предпринять при атаке вирусов-вымогателей?

Другие важные действия, которые следует предпринять в случае атаки программ-вымогателей, включают:

1. Сделать заметки для доказательных и отчетных целей.
2. Провести информирование об инциденте внутри организации.
3. Осторожно подходить к отключению питания и форматированию дисков (перед сбором доказательств).

В результате, как можно быстрее уведомить Centralne Biuro Zwalczania Cyberprzestępczości (Центральный офис по борьбе с киберпреступностью) об инциденте.

Восстановление данных и человеческий фактор

После архивации всей ценной информации можно приступать к восстановлению данных из резервных копий. Важно убедиться, что целостность резервных копий не нарушена атакой программ-вымогателей. Для этого рекомендуется хранить резервные копии, которые не видны из сети.

Следующим шагом должно стать обновление систем и смена паролей доступа. Если организация ранее не отслеживала сетевые события, ей следует немедленно внедрить такое решение. Это можно сделать бесплатно или с минимальными затратами, используя инструменты с открытым исходным кодом. Также рекомендуется проанализировать права доступа пользователей и внедрить двухфакторную аутентификацию.

Резюмируем. Наблюдения, сделанные во время атак программ-вымогателей, не должны остаться незамеченными. Для этого рекомендуется подготовить отчет, в котором, помимо прочего, описываются действия компании во время инцидента, что позволит внедрить соответствующие изменения для повышения уровня безопасности.

Также стоит рассмотреть возможность проведения внешнего аудита и тестирования на проникновение, чтобы предотвратить подобные инциденты в будущем. Эти действия помогут исключить потенциальные векторы атак. Также рекомендуется рассмотреть возможность внедрения программы обучения сотрудников, адаптированной к их уровню цифровой грамотности.