"Я думаю, что это много шума из ничего", - говорит Роджер Граймз, евангелист по защите данных из охранной фирмы KnowBe4. "В США уже давно действуют законы, касающиеся выплаты денег, выкупа или любых финансовых интересов или ведения бизнеса с людьми, включенными в антикоррупционный список Казначейства". Выкуп ничем не отличается".
Чарльз Кармакал (Charles Carmakal), старший вице-президент и технический директор компании FireEye Mandiant, называет выкупочные программы "самой значительной и распространенной угрозой кибербезопасности, с которой сегодня сталкиваются корпорации". Но он говорит, что уже хорошо известно, что выплата выкупа или содействие в получении выкупа субъекту, представляющему угрозу, может быть нарушением правил Управления по контролю за иностранными активами министерства финансов, которое может привести к штрафным санкциям.
Академия социального хакера (SHA)
На прошлой неделе группа под названием "Академия социальных хакеров" связалась с нами...
Далее...
Состояние сохранности и конфиденциальности данных в 2020 году
Понимание этих тенденций и их последствий поможет руководителям...
Далее...
Corning применяет единый подход к борьбе с пандемией
На прошлой неделе я анонсировал исследование вопроса о том, почему дизайнеры ошибаются...
Далее...
Несколько предложенных деталей
Казначейство отмечает, что банки, страховые компании и другие лица, которые ведут переговоры или содействуют совершению любых действий, связанных с выплатой выкупа, могут рисковать нарушить правила ОФАС, что приведет к "правоприменительной реакции".
Агентство не представило подробной информации о размерах штрафов, заявив, что каждый случай будет рассматриваться отдельно. "Содействие получению выкупа, который требуется в результате злоумышленных действий в киберпространстве, может позволить преступникам и противникам... нажиться и продвинуться в своих незаконных целях". Выплата выкупа может также побудить киберпреступников к участию в будущих атаках", - говорится в рекомендациях.
Актеры-убийцы
Консультативное заключение предупреждает, что любая организация, способствующая выплате выкупа организации, на которую наложены санкции, подвергается федеральным штрафам. Казначейство включило список некоторых субъектов угроз, в отношении которых были применены санкции. Среди них - разработчик Cryptolocker Евгений Михайлович Богачев, два гражданина Ирана, стоящие за программой выкупа SamSam, группа Lazarus Group и две подгруппы - Bluenoroff и Andariel, - которые запустили WannaCry 2.0, и Evil Corp и ее лидер Максим Якубец, который разработал и распространил вредоносную программу Dridex.
"Компании, которые способствуют выплатам выкупа киберпреступникам от имени жертв, включая финансовые учреждения, кибербарьерские страховые компании и компании, занимающиеся цифровой криминалистикой и реагированием на инциденты, не только выдвигают требования о выплате выкупа в будущем, но и могут рискнуть нарушить правила OFAC", - говорится в консультативном заключении.
Намеренное воздействие
По наблюдениям нескольких экспертов по кибербезопасности, рекомендации равносильны "выстрелу в нос", предупреждающему о потенциальных последствиях и не обязательно являющемуся индикатором усиления правоприменения.
"Эта консультация - не изменение закона, а скорее напоминание о том, как действующий закон применяется к инцидентам с выкупом, - говорит Тим Эрлин (Tim Erlin), вице-президент по управлению продуктами и стратегии Tripwire. "Казначейство напоминает отрасли о потенциально большой палке, которая всегда была у них в заднем кармане".
По иронии судьбы, некоторые правительственные учреждения, полицейские департаменты и финансируемые государством образовательные учреждения, ставшие жертвами выкупа, заплатили выкуп, чтобы вернуть контроль над своей системой, указывает Эрлин. Например, Университет штата Юта недавно заплатил выкуп в размере 457 000 долларов, Флоренция, штат Алабама - 300 000 долларов после выкупа, а Калифорнийский университет в Сан-Франциско заплатил выкуп в размере 1,14 миллиона долларов.
"Эти требования о вымогательстве находятся в шестизначном диапазоне для более мелких компаний и в диапазоне от семи до восьми цифр для более крупных компаний", - говорит Кармакал из FireEye Mandiant. Нам известно о нескольких организациях-жертвах вымогательства, которые заплатили от 10 до 30 миллионов долларов".
Граймс из "KnowBe4" говорит, что ему ничего не известно о какой-либо организации, которая была бы привлечена к ответственности за выплату выкупа или содействие в его выплате. "Правительство США должно будет доказать, что жертва знала, кому был выплачен выкуп, ... и это неопровержимо в случае выкупа", - говорит он.