Что делать, если рабочие компьютеры в Польше оказались заражены вирусами-вымогателями?

Любая компания может стать целью киберпреступников — от небольших индивидуальных предпринимателей до гигантских холдингов. Шифрование данных, кража файлов и последующая публикация — очень распространенные тактики, используемые группами программ-вымогателей, которые неоднократно атаковали польские компании в последние годы.

Какие меры следует предпринять в случае атаки программ-вымогателей, читайте в данной публикации «Польского консультанта».

Скрыть содержание

Консультант
Дмитрий Константинович
Предупреждение!
Речь в материале идет не о способах борьбы с вредоносным программным обеспечением, чем должны заниматься профильные специалисты, а о первоочередных административных мерах, которые должны предпринять руководители предприятия.

Атака вируса-вымогателя на компанию и утечка персональных данных

Атака программ-вымогателей обычно включает кражу и шифрование файлов. Важно помнить, что утечка персональных данных включает в себя не только раскрытие данных, art.4(12) GDPR также включает в себя несанкционированное уничтожение, изменение или потерю информации.

В соответствии с art.32 GDPR, контролер персональных данных обязан постоянно обеспечивать конфиденциальность, целостность, доступность и устойчивость своих систем. В случае выявления риска нарушения прав и свобод физических лиц мы должны в течение 72 часов сообщить об этом в Управление по защите персональных данных, как это предусмотрено art.33 GDPR.

Статья 34 GDPR обязывает контролера немедленно уведомить пострадавших лиц о нарушении. Если прямое уведомление потребует «несоразмерных усилий», может быть сделано публичное объявление.

Определение скомпрометированных устройств

В рекомендациях CERT Polska по атакам программ-вымогателей первым шагом в устранении последствий является изоляция зараженного устройства. Важно помнить, что не следует импульсивно отключать устройство, так как это может затруднить последующий анализ инцидента. Отключение питания компьютера может уничтожить необходимые для анализа данные.

  • По возможности, следует в первую очередь обеспечить отключение устройств от корпоративной сети, от сети Интернет, а отключать питание только в случае крайней необходимости.
  • Департамент кибербезопасности Министерства цифровых технологий РП определяет поддержание работоспособности компьютеров как «максимизацию шансов на восстановление данных». Этого также можно добиться, переведя устройство в режим гибернации (энергосбережение).
  • В некоторых случаях может потребоваться вручную отключить устройство от сети Wi-Fi, и эту процедуру не следует пропускать.
  • CERT Polska также рекомендует делать резервную копию зашифрованных файлов — регулярно выпускаются новые декрипторы, т.е. инструменты для расшифровки данных.
  • В рамках имеющихся возможностей или путем сотрудничества с внешними организациями стоит проанализировать имеющиеся логи (цифровые записи информации) и определить источник заражения.
Консультант
Дмитрий Константинович
Важно помнить, что компетентная CSIRT (Computer Security Incident Response Team – комманда профильных специалистов) может оказать существенную помощь при атаке программ-вымогателей. Для предприятий подходящей организацией является CERT Polska, с которой следует связаться немедленно. Также рекомендуется приложить любые возможные доказательства атаки.

Для идентификации этого семейства программ-вымогателей можно порекомендовать сайт NoMoreRansom, поддерживаемый Европолом и другими специальными организациями. На сайте представлено множество дешифраторов, которые помогут восстановить файлы.

Выкуп для киберпреступников

Вопрос выплаты выкупа киберпреступникам может быть спорным. Согласно отчету Sophos за 2023 год, 38% атакованных польских компаний заплатили выкуп киберпреступникам. При этом 31% компаний получили указание восстановить файлы из резервных копий.

Платить выкуп группировкам, занимающимся программами-вымогателями, не рекомендуется. С точки зрения бизнеса, предоставляя средства киберпреступникам, никогда нельзя быть уверенным, что доступ к своим файлам будет восстановлен и что украденные данные не будут опубликованы.

Консультант
Дмитрий Константинович
Основные опасения касаются, прежде всего, моральных и правовых аспектов. Передача денег группам, занимающимся распространением программ-вымогателей, считается неэтичной, поскольку это способствует их деятельности. Кроме того, можно быть подвергнутым уголовному преследованию за финансирование преступной деятельности или отмывание денег.

Коммуникации и сообщения об инцидентах

Доверие клиентов — критически важный фактор для подавляющего большинства компаний. Атака программ-вымогателей может существенно повлиять на имидж фирмы в глазах общественности. Именно поэтому ответственная внешняя коммуникация так важна.

  • CSIRT KNF рекомендует, чтобы сообщения были сбалансированными и «не вызывали ненужного хаоса или беспокойства». При этом вся предоставленная информация должна быть правдивой.
  • Также важно проинструктировать сотрудников о том, какую информацию им не следует передавать третьим лицам. Необходимо четко определить ответственных за внешние связи — в идеале, до того, как произойдет инцидент.
  • Польское управление финансового надзора (KNF) также подчеркивает необходимость шифрования отчетов об инцидентах. Для этого CSIRT-центры размещают ключи PGP на своих веб-сайтах. В документе Комиссии также отмечается, что отчеты должны предоставляться лицами, не участвующими в технических мероприятиях.
Консультант
Дмитрий Константинович
Если инцидент привлек внимание СМИ, лучше не затягивать с реакцией — это может создать впечатление, что организация что-то скрывает. В то же время сообщения должны быть последовательными и не раскрывать конфиденциальную информацию. Безусловно, лучше сообщить журналистам, что специалисты работают над проблемой, чем молчать.

Что еще необходимо предпринять при атаке вирусов-вымогателей?

Другие важные действия, которые следует предпринять в случае атаки программ-вымогателей, включают:

  1. Сделать заметки для доказательных и отчетных целей.
  2. Провести информирование об инциденте внутри организации.
  3. Осторожно подходить к отключению питания и форматированию дисков (перед сбором доказательств).

В результате, как можно быстрее уведомить Centralne Biuro Zwalczania Cyberprzestępczości (Центральный офис по борьбе с киберпреступностью) об инциденте.

Восстановление данных и человеческий фактор

После архивации всей ценной информации можно приступать к восстановлению данных из резервных копий. Важно убедиться, что целостность резервных копий не нарушена атакой программ-вымогателей. Для этого рекомендуется хранить резервные копии, которые не видны из сети.

При восстановлении резервных копий также важно убедиться в невозможности их повторного шифрования. Восстанавливаемая среда должна быть изолирована от атакованной.

Следующим шагом должно стать обновление систем и смена паролей доступа. Если организация ранее не отслеживала сетевые события, ей следует немедленно внедрить такое решение. Это можно сделать бесплатно или с минимальными затратами, используя инструменты с открытым исходным кодом. Также рекомендуется проанализировать права доступа пользователей и внедрить двухфакторную аутентификацию.

Консультант
Дмитрий Константинович
Учитывая человеческий фактор, влияющий на атаки программ-вымогателей, может возникнуть необходимость в оказании поддержки лицам, ответственным за реагирование на инциденты. Подобные ситуации могут существенно повлиять на психическое благополучие людей, которым часто приходится работать вне рабочего времени, чтобы смягчить последствия атак.

Резюмируем. Наблюдения, сделанные во время атак программ-вымогателей, не должны остаться незамеченными. Для этого рекомендуется подготовить отчет, в котором, помимо прочего, описываются действия компании во время инцидента, что позволит внедрить соответствующие изменения для повышения уровня безопасности.

Также стоит рассмотреть возможность проведения внешнего аудита и тестирования на проникновение, чтобы предотвратить подобные инциденты в будущем. Эти действия помогут исключить потенциальные векторы атак. Также рекомендуется рассмотреть возможность внедрения программы обучения сотрудников, адаптированной к их уровню цифровой грамотности.

5/5 - (2 голоса)

Остались вопросы? Задайте их:

  1. Под статьей в виде комментария.
  2. В нашем ТГ-чате.
  3. Через платную консультацию.
Каждый нерешенный вопрос – это незаконченное дело, которое висит над нами как облака. Откладывая его, мы теряем время, энергию и даже спокойствие. Не откладывайте решения на потом, а беритесь за них сейчас. Не бойтесь изменений, не бойтесь принимать сложные решения, потому что именно они могут привести к лучшему будущему.
Задать вопрос консультанту
Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

x

Спасибо, ваш отзыв отправлен