Экономика программ-вымогателей 3.0

Момент, которого боится каждый совет директоров

Почти на любых переговорах с вымогателями — обычно примерно через 36 часов, когда юристы, ИТ-специалисты и финансовый директор находятся в одной комнате — наступает момент, когда кто-то произносит это вслух: «Давайте просто посмотрим, что покроет страховка». Этот инстинкт, каким бы понятным он ни был, стал одним из самых дорогостоящих предположений в современном бизнесе. Ландшафт угроз изменился.

Страховой рынок движется вместе с ним. А организации, которые по-прежнему рассматривают киберстрахование как основную стратегию восстановления, летят в шторм с пляжным зонтиком.

Как программы-вымогатели стали бизнесом

Преступные группировки мыслят не поколениями — они следуют за деньгами. Ранние кампании были грубыми инструментами: массовый фишинг, оппортунистическое шифрование и надежда на то, что достаточное количество жертв запаникуют и заплатят. Группы вроде REvil и Conti поняли, что одна хорошо изученная корпоративная цель стоит больше, чем десять тысяч попыток «стрельбы по площадям». Требования о выкупе выросли с сотен долларов до десятков миллионов.

То, с чем вы имеете дело сейчас, категорически отличается от обоих предшественников. Ransomware 3.0 — это не в первую очередь шифрование. Это лишь первый ход. Настоящая игра — это захват рычагов влияния: над вашими операциями, вашими данными, вашими клиентами и вашими регуляторами — одновременно.

Отчет Verizon о расследованиях утечек данных за 2024 год зафиксировал, что программы-вымогатели или вымогательство стали фактором 32% всех инцидентов, при этом организованные преступные группы несут ответственность за большинство инцидентов.

Тройное вымогательство: механика максимального давления

Большинство организаций мысленно готовятся к одному, когда слышат «программы-вымогатели» — заблокированные системы, записка с требованием выкупа, решение о восстановлении. Такая трактовка сейчас опасно устарела.

То, что развертывают такие группы, как ALPHV (BlackCat) и Cl0p, — это трехслойная кампания давления. Сначала наносится удар шифрованием — операции блокируются, доходы останавливаются. Затем следует эксфильтрация: ваши данные были извлечены еще до запуска шифровальщика, и эта угроза не исчезает после восстановления из резервной копии. Третий слой — тот, к которому большинство организаций наименее готовы, — прямой контакт с вашими клиентами, регуляторами и акционерами, рассчитанный на максимальное давление в самый неподходящий момент.

Они не просто угрожают довести дело до конца. Они доводят.

Экономическая логика здесь верна с точки зрения злоумышленника. Хорошая стратегия резервного копирования может победить одно лишь шифрование. Эксфильтрация — нет. Как только ваши клиентские записи, интеллектуальная собственность или сообщения совета директоров оказываются в руках преступной группировки, никакая резервная копия не исправит эту ситуацию. Вы больше не имеете дело с технологической проблемой.

Анализ программ-вымогателей Coveware за IV квартал 2024 года постоянно показывает, что эксфильтрация данных теперь происходит в большинстве корпоративных случаев программ-вымогателей, что коренным образом меняет расчеты при переговорах и восстановлении.

Что случай Change Healthcare говорит вам о реальных затратах

Рассмотрим, что произошло с Change Healthcare в начале 2024 года. Атака группы ALPHV на этого обработчика платежей в сфере здравоохранения не просто зашифровала системы — она раскрыла личную медицинскую информацию потенциально более 100 миллионов американцев и на несколько недель нарушила работу аптечных служб по всей стране. Материнская компания UnitedHealth Group, по сообщениям, выплатила около 22 миллионов долларов в качестве выкупа. Общее финансовое воздействие, включая операционные сбои, устранение последствий и текущие юридические риски, составило около 3,09 миллиарда долларов только за 2024 год. Страховка покрыла лишь малую часть.

Управление по гражданским правам HHS официально начало расследование в отношении Change Healthcare и UnitedHealth Group, сосредоточенное на том, были ли нарушены защищенные медицинские данные и соблюдались ли Правила HIPAA, ссылаясь на беспрецедентное влияние атаки на уход за пациентами и конфиденциальность.

Цифры по Change Healthcare стоит обдумать, поскольку они переосмысливают весь разговор о страховании в одном тематическом исследовании. В феврале 2024 года группа ALPHV проникла в этого обработчика платежей в сфере здравоохранения через незащищенный портал Citrix и провела недели, перемещаясь по сети, прежде чем кто-либо заметил. К моменту запуска шифровальщика ущерб уже был нанесен — личная медицинская информация более 100 миллионов американцев была раскрыта, работа аптечных служб по всей стране остановилась, а UnitedHealth Group пришлось заплатить около 22 миллионов долларов группировке, которая забрала деньги и исчезла, не предоставив обещанный дешифратор.

Общий счет за 2024 год составил около 3,09 миллиарда долларов. Эта цифра покрывает операционные сбои, устранение последствий, поддержку провайдеров и текущие юридические риски. Страховая программа покрыла лишь малую часть — и эта часть была получена после борьбы, а не автоматически.

Управление по гражданским правам HHS не стало ждать, пока уляжется пыль. Они открыли официальное расследование относительно того, соблюдала ли UnitedHealth Group Правила HIPAA и выдержали ли защиту конфиденциальности пациентов, назвав это публично крупнейшей утечкой медицинских данных в американской истории. Регуляторное давление пришло не через несколько недель. Оно пришло, пока организация все еще находилась в процессе активного восстановления.

Почему ваш страховой полис — это не та подушка безопасности, о которой вы думаете

Этот пример прямо указывает на проблему страхования. Киберстрахование было оценено и структурировано для другой модели угроз. Страховщики все чаще включают сублимиты для инцидентов с программами-вымогателями, исключения для атрибуции действий государственных структур (категория, которую намеренно трудно опровергнуть, если это выгодно страховщику) и требования к мерам безопасности, которым, как выясняется, многие страхователи никогда не проверяли свое соответствие. После крупного инцидента вы можете обнаружить, что ваша страховка на 10 миллионов долларов имеет сублимит в 2 миллиона долларов на случай программ-вымогателей — и что спор о покрытии будет идти параллельно с реагированием на утечку в течение следующих 18 месяцев.

Это не теория. Юридическая битва Merck со страховщиками после атаки NotPetya в 2017 году — которую злоумышленники приписали российским государственным акторам — затянулась в судах на годы, прежде чем было достигнуто соглашение. Merck урегулировала спор с оставшимися страховщиками в январе 2024 года — всего за несколько дней до устных слушаний в Верховном суде Нью-Джерси — после того, как апелляционный суд постановил, что исключение, касающееся враждебных/военных действий, не применяется к кибератаке NotPetya на невоюющую фирму.

С другой стороны, Lloyd’s of London впоследствии предписал, чтобы все отдельные полисы киберстрахования исключали убытки, возникающие в результате киберопераций, спонсируемых государством, с 1 марта 2023 года. Рынок не движется в пользу страхователей.

Рыночный бюллетень Lloyd’s of London Y5381, опубликованный в августе 2022 года, потребовал, чтобы все отдельные полисы киберстрахования исключали убытки, возникающие в результате киберопераций, спонсируемых государством, начиная с 31 марта 2023 года — в прямой ответ на споры о покрытии, возникающие из-за атак, приписываемых государству.

Ничто из этого не означает, что вам не следует оформлять киберстрахование. Следует. Но ментальная модель должна измениться. Страхование — это механизм финансовой передачи остаточного риска — того риска, который остается после того, как вы создали значимые средства защиты.

Как выглядит зрелая архитектура реагирования на инциденты

То, что сдерживает событие тройного вымогательства, — это зрелая архитектура реагирования на инциденты. Это означает несколько элементов, работающих согласованно: сегментация сети, ограничивающая боковое перемещение злоумышленника после первоначального доступа; инструменты обнаружения и реагирования на конечных точках, способные выявлять подозрительное поведение до начала шифрования; офлайн-стратегия или неизменяемое резервное копирование, которое переживет даже изощренного злоумышленника, проведшего недели внутри вашей среды; и отрепетированная возможность реагирования, которая не требует от вас изучения плана действий во время самого инцидента.

Часть про «отрепетированность» — это то, где большинство организаций не дотягивают. Упражнения за столом ценны, но они редко симулируют полный хаос реального события — отключения связи, давление со стороны офиса генерального директора, звонки от СМИ, начинающиеся еще до того, как вы подтвердили масштаб.

Атака программ-вымогателей на MGM Resorts в 2023 году, приписываемая Scattered Spider, продемонстрировала, что происходит, когда дает сбой человеческий уровень, даже если технологический уровень адекватен. Социальная инженерия службы поддержки ИТ предоставила злоумышленникам первоначальный доступ. Последующий сбой обошелся компании примерно в $100 миллионов упущенной выручки и затрат на устранение последствий всего за один месяц.

Руководство:Фреймворк кибербезопасности NIST 2.0 предоставляет наиболее широко принятую эталонную архитектуру для зрелости возможностей реагирования на инциденты, охватывающую функции идентификации, защиты, обнаружения, реагирования и восстановления.

Единственная ставка, которая окупается в обоих сценариях

Неудобная правда, которую должен услышать ваш совет директоров, заключается в следующем: вопрос больше не в том, столкнется ли ваша организация с изощренным злоумышленником. Для любой организации значительного размера, работающей в связанной цепочке поставок, с цифровыми отношениями с клиентами, вопрос в том, насколько хорошо вы готовы, когда это произойдет. Экономика программ-вымогателей как преступного предприятия никогда не была сильнее. Платформы «атака как услуга» снизили порог входа. Данные о выплатах выкупа анализируются и используются для калибровки будущих требований. Эти группы изучают вашу финансовую отчетность.

Инвестиции в возможности реагирования на инциденты — в персонал, процессы и технологии — это не решение о центре затрат. Это единственная ставка, которая окупается как в сценарии предотвращения, так и в сценарии реагирования. Страховка выплачивается после того, как ущерб уже нанесен. Зрелая архитектура реагирования уменьшает сам ущерб.

Организации, которые пережили кампанию Cl0p MOVEit в 2023 году с наименьшими сбоями, были не те, у кого были самые большие страховые полисы. Это были те, кто нанес на карту свои потоки данных, ограничил ненужное воздействие MOVEit и имел команду реагирования, которая могла действовать в течение нескольких часов, а не дней.

Вот стандарт, с которым вы теперь конкурируете.

Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?