RED Security SOC: компании платят хакерам около 20 млн рублей за восстановление данных после кибератаки

Согласно данным исследования, 8 из 10 компаний, ставших жертвами вирусов-шифровальщиков, вступают в переговоры со злоумышленниками. Сумма выкупа за восстановление данных варьируется в зависимости от их объема и размера бизнеса жертвы, почти в половине случаев она превышала 100 млн. руб. В среднем требуемая сумма выкупа составляет около 50 млн руб. Однако реальные выплаты в большинстве зафиксированных случаев оказываются более чем вдвое ниже первоначально заявленных требований.

По мнению аналитиков RED Security SOC, подобная «гибкость» со стороны злоумышленников объясняется прежде всего коммерческой логикой теневого бизнеса: операторы шифровальщиков заинтересованы в гарантированном получении денег, а не в затяжных переговорах. Завышенная стартовая сумма выкупа может быть намеренной тактикой, оставляющей пространство для торга и создающей у жертвы иллюзию выгодной сделки. Кроме того, хакерские группировки хорошо осведомлены о реальных финансовых возможностях своих жертв: перед атакой они, как правило, изучают публичную отчетность, отраслевые данные и иные открытые источники.

Эксперты RED Security SOC подчеркивают: сам факт готовности злоумышленников к торгу не означает, что выплата выкупа является разумным или безопасным решением. Перечисление средств не гарантирует восстановление данных в полном объеме и стимулирует дальнейшие атаки на ту же организацию.

Если организация все же оказалась жертвой атаки шифровальщика, аналитики RED Security рекомендуют незамедлительно изолировать пораженные системы от корпоративной сети и интернета, чтобы остановить распространение вируса, не удалять никакие файлы и не перезагружать скомпрометированные машины, так как это может затруднить криминалистический анализ и восстановление данных. Параллельно необходимо уведомить регулирующие органы, а также привлечь профессиональную команду реагирования на инциденты, которая может помочь восстановить данные. Наконец, следует оценить наличие резервных копий данных и возможности их восстановления: во многих случаях это позволяет полностью исключить взаимодействие с атакующими.

«В публичное поле попадает сравнительно небольшая доля информации об успешных атаках и выплатах злоумышленникам, однако данные исследования позволяют судить о трендах в области вымогательства со стороны хакеров. Приоритетом атакующих является получение хотя бы какого-то выкупа, а в случае отказа от выплаты финансово-мотивированные группировки либо не получают никакой выгоды от организованной атаки, реализации которой требует времени и денежных вложений, либо вынуждены искать альтернативные непрофильные способы монетизации, таких как продажа похищенных данных. Этот фактор, наравне с переоценкой финансовых возможностей жертвы, приводит к тому, что реальная сумма выкупа, как правило, оказывается вдвое ниже ожидаемой», – рассказал Григорий Поздеев, руководитель направления Threat Intelligence центра мониторинга и реагирования на кибератаки RED Security SOC.

RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях – до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.