Облачные провайдеры готовят стратегии борьбы с угрозой ransomware

В «Докладе о преступлениях в сфере криптовалют за 2021 год» фирма Chainalysis сообщила, что в результате пандемии, с 2019 по 2020 гг., суммы, выплачиваемой жертвами атак программ-вымогателей на депозитные адреса, выросли на 311%.

Крупные поставщики облачных услуг больше не могут игнорировать эту тревожную тенденцию: Amazon Web Services (AWS), Microsoft Azure и Google Cloud независимо представили рекомендации наилучших тактик смягчения последствий и оптимальных действий в случае атаки ransomware.

Google Cloud первым из этой тройки в мае определил пять основных принципов защиты от программ-вымогателей: выявление рисков для вашей организации, создание мер безопасности, обнаружение потенциальных инцидентов кибербезопасности, активация программы реагирования и построение стратегии восстановления ключевых активов.

В этой статье директор Google Cloud по информационной безопасности Фил Венейблс (Phil Venables) и вице-президент по безопасности Сунил Потти (Sunil Potti) подчеркнули, что тактика атак кибер-вымогателей совершенствуется и теперь часто включает кражу данных до того, как они будут зашифрованы, с угрозой разглашения конфиденциальных сведений через организованные утечки. Некоторые операторы ransomware дополнительно используют угрозу DDoS, чтобы усилить давление на организации-жертвы и заставить их платить выкуп. DDoS-атаки также могут служить отвлекающим фактором.

В сентябрьском блоге старший архитектор решений AWS Брэд Диспенса (Brad Dispensa) подчеркнул необходимость шифрования в качестве защиты от вышеупомянутых схем двойного вымогательства. «Вы всегда должны активировать шифрование данных и сегментировать свой рабочий процесс так, чтобы ограничивать доступ авторизованных систем и пользователей к ключевому материалу для расшифровки данных», — заявил он.

Диспенса также сформулировал пять упреждающих действий, которые клиенты могут предпринять для защиты своих ресурсов от программ-вымогателей. Наряду с шифрованием среди них фигурируют: настройка восстановления приложений и данных, установка критических серверных исправлений, соответствие общепринятым стандартам безопасности и наличие автоматизированных систем реагирования.

В своей статье на ту же злободневную тему, опубликованной в конце августа, Azure рассказывает, что делать до и во время атаки вымогателей.

«Реальный ущерб часто наносится, когда атака извлекает файлы, оставляя в (корпоративной) сети бэкдоры для будущих вредоносных действий — и эти риски сохраняются вне зависимости от того, уплачен выкуп или нет, — предупреждает главный разработчик контента Azure, Терри Ланфир (Terry Lanfear). — В отличие от ранних форм ransomware, когда всё заканчивалось с искоренением вредоносных программ, программы-вымогатели, управляемые человеком, могут продолжать угрожать вашим бизнес-операциям после первого столкновения».