Програми-вимагачі є однією з найбільш руйнівних форм кіберзлочинності. Зі зростанням цінності даних, зловмисники виявили, що можуть отримувати значні прибутки, утримуючи їх у заручниках. Ці атаки набули широкого поширення, і деякі групи програм-вимагачів навіть залучають до співпраці інсайдерів з компаній.
Компанії, що прагнуть захиститися від програм-вимагачів, тепер повинні враховувати не лише зовнішні загрози, адже атака може виникнути зсередини.
Чому групи програм-вимагачів шукають інсайдерів?
Звернення до співробітників за допомогою у злочині може здатися ризикованим кроком, але для банд програм-вимагачів це виправданий ризик, оскільки інсайдери значно підвищують шанси на успіх атаки.
Інсайдери становлять значно більшу загрозу, ніж зовнішні зловмисники, оскільки вже мають доступ до конфіденційної інформації, а компанії часто недооцінюють внутрішні ризики. Переконавши співробітника допомогти, кіберзлочинці можуть обійти складні системи безпеки, просто відправивши шкідливий файл на комп’ютер працівника.
Коли захисні механізми бізнесу стають все більш складними, людьми так само легко маніпулювати. Залучення інсайдера значно спрощує проведення успішної атаки, що часто приносить великий прибуток.
Методи залучення інсайдерів
Щоб запобігти залученню інсайдерів до злочинної діяльності, необхідно розуміти, як саме це відбувається. Ось декілька найпоширеніших методів:
Соціальна інженерія
Фішинг та інші форми соціальної інженерії є причиною значної кількості атак програм-вимагачів. Легше залучити до злочину людину, яка не підозрює про свої дії. Групи програм-вимагачів можуть змусити співробітників встановити шкідливе програмне забезпечення, не усвідомлюючи цього.
Такі атаки зазвичай проводяться через електронну пошту або текстові повідомлення, які містять посилання або вкладення, що виглядають легітимними. Коли нічого не підозрюючий працівник відкриває файл чи посилання, шкідливе програмне забезпечення встановлюється на його пристрої, надаючи бандам програм-вимагачів доступ без необхідності переконувати когось у свідомій участі у злочині.
Прямий контакт
Банди програм-вимагачів стали активнішими в останні роки. Згідно з даними Bravura Security, 65% ІТ-фахівців зазначили, що злочинці безпосередньо зверталися до них або їхніх колег з пропозицією допомоги в атаці, що на 17% більше, ніж у 2021 році.
Подібно до фішингу, ці запити зазвичай надходять електронною поштою, але деякі банди використовують телефонні дзвінки або соціальні мережі. Здебільшого вони намагаються переконати співробітників допомогти за грошову винагороду, пропонуючи великі суми готівкою, криптовалютою або частину викупу в обмін на встановлення шкідливого програмного забезпечення.
Краудсорсинг
Дослідники в галузі безпеки виявили, що деякі банди програм-вимагачів намагаються використовувати краудсорсинг для своїх атак. Кіберзлочинці розміщують оголошення на відкритих форумах або в зашифрованих соціальних платформах, таких як Telegram, закликаючи людей з інсайдерським доступом звертатися до них. Вони можуть навіть проводити опитування про потенційні цілі або витік даних.
Ці публічні повідомлення охоплюють ширшу аудиторію, збільшуючи шанси отримати внутрішню допомогу. За даними Comparitech, середня сума викупу становить понад 2 мільйони доларів, тому банди програм-вимагачів можуть дозволити собі виплатити винагороду кільком спільникам.
Приклади допомоги інсайдерів зловмисникам програм-вимагачів
Подібні атаки вже були спрямовані на деякі з найвідоміших компаній у світі. У 2021 році AP News повідомили, що кіберзлочинець запропонував співробітнику Tesla 500 000 доларів за встановлення програми-вимагача на комп’ютери компанії. Працівник повідомив про інцидент, що підкреслює масштаб проблеми.
Іншим компаніям пощастило менше. У 2019 році колишній співробітник технічної підтримки Asurion викрадав дані мільйонів клієнтів та отримував за це 50 000 доларів на день від свого колишнього роботодавця (згідно з Bitdefender). Правоохоронним органам вдалося затримати зловмисника, але компанія вже зазнала значних фінансових втрат.
Такі атаки хоча і стають дедалі поширенішими, але не є новими. За даними ФБР, інженер Boeing викрав сотні тисяч документів у період з кінця 1970-х до початку 2000-х років, після того, як був завербований китайськими спецслужбами. Цей випадок відбувся до появи програм-вимагачів, але показує, наскільки серйозними можуть бути внутрішні загрози, що діють в інтересах зовнішніх сил.
Як запобігти інсайдерським загрозам програм-вимагачів
Зважаючи на величезні ризики, компанії повинні докладати максимум зусиль, щоб запобігти співпраці інсайдерів з бандами програм-вимагачів. Ось три важливі кроки, які можуть допомогти:
Створення позитивної корпоративної культури
Один із найважливіших заходів – забезпечення задоволеності співробітників своєю роботою. Чим менше працівник любить свого роботодавця, тим більша ймовірність того, що він погодиться на хабар від банди програм-вимагачів, щоб помститися компанії. Побудова позитивної робочої атмосфери мінімізує цю загрозу.
Конкурентоспроможна заробітна плата є важливою складовою задоволеності працівників, але це не єдиний фактор. Звіт Gallup показує, що лише 28% працівників назвали оплату праці та пільги головним фактором, який робить робоче місце хорошим, тоді як 41% відзначили проблеми взаємодії та культури. Важливо співпрацювати з працівниками, щоб вони почували себе шанованими, у безпеці та відчували турботу.
Навчання співробітників
Компанії повинні навчати своїх співробітників розпізнавати методи соціальної інженерії. Значна кількість інсайдерських атак програм-вимагачів відбувається через випадкові дії, наприклад, натискання на фішингове посилання. Ключовим елементом для запобігання таких інцидентів є навчання працівників розпізнавати небезпечні ознаки.
Орфографічні помилки, надмірна терміновість та ситуації, що здаються занадто хорошими, щоб бути правдою, є типовими ознаками фішингу. Загалом, співробітники не повинні відкривати або відповідати на небажані повідомлення, а також ніколи не надавати конфіденційну інформацію електронною поштою.
Запровадження безпеки з нульовою довірою
Безпека з нульовою довірою є ще одним важливим кроком для запобігання внутрішнім загрозам. Підхід нульової довіри розглядає всі об’єкти як потенційно ворожі, вимагаючи перевірки на кожному етапі перед наданням доступу. Цей підхід також обмежує доступ, щоб кожен працівник мав доступ лише до тієї інформації, яка потрібна для виконання своїх обов’язків.
Такі моделі безпеки складніше реалізувати, ніж традиційні підходи, але вони є кращим вибором у протистоянні внутрішнім загрозам. Обмежений доступ до ресурсів означає, що навіть завербовані інсайдери не можуть завдати значної шкоди, що робить атаки програм-вимагачів невигідними.
Інсайдерські загрози програм-вимагачів є керованими
Тенденція залучення інсайдерів до атак програм-вимагачів не є новою, але вона набирає обертів. Це викликає занепокоєння, але не означає, що ви не можете захиститися.
Інсайдерські загрози програм-вимагачів підкреслюють важливість обмеження довіри в кібербезпеці. Загрози можуть виходити з будь-якого джерела, навіть від довірених співробітників, тому необхідно блокувати все, що можливо.