ФБР, DOJ да третират атаките с ransomware със същия приоритет като тероризма

ФБР и Министерството на правосъдието засилиха риториката около атаките с ransomware в четвъртък и петък, казвайки на редица новинарски издания, че кибератаките ще бъдат третирани с почти същото ниво на загриженост като терористичните атаки.

Кристофър Рей, директор на ФБР, сравни борбата на правителството срещу рансъмуера с ситуацията, пред която е изправена страната след 11 септември в интервю за The Wall Street Journal. Той добави, че ФБР е идентифицирало близо 100 различни вида ransomware, всеки от които вече е замесен в атаки.

Той също така се прицели директно в руското правителство, като ги посочи, че укриват много от онези, които стоят зад различните марки рансъмуер. Но той също така разкри, че ФБР е постигнало ограничен успех в работата си с някои служители по киберсигурността в частния сектор за получаване на ключове за криптиране, без да плаща откуп.

Коментарите дойдоха след три значими развития в отговора на правителството на неотдавнашната вълна от атаки с ransomware срещу компании в критични индустрии като Колониален тръбопровод и глобален месопреработвател JBS.

Ан Нойбергер, заместник-асистент на президента и заместник-съветник по националната сигурност за кибер и нововъзникващите технологии, изпрати писмо до лидерите на частния сектор в четвъртък, призовавайки ги да се подготвят за потенциални атаки и да приложат редица мерки за сигурност, за да предотвратят инцидент.

След това висши служители на Министерството на правосъдието казаха на Ройтерс, че са били изпратени бележки до всички прокуратури на САЩ, в които се обяснява, че атаките с ransomware ще бъдат разследвани в начин, подобен на терористични инциденти.

Технологичният журналист Ким Зетер сподели фрагмент на бележка, изпратена от заместник-главния прокурор Лиза Монако, в която се казва, че трябва да се подават спешни доклади, когато прокуратурата на САЩ научи за нова атака с ransomware. В бележката се добавя, че служителите трябва да уведомят a новосъздадена работна група за рансъмуер относно всяко ново развитие на случаи, потенциални извънредни ситуации или инциденти, които ще „генерират вниманието на националните медии или Конгреса“.

„Спешни доклади трябва да се подават, например, когато прокуратурата на Съединените щати научи за ransomware атака срещу критична инфраструктура или срещу общинско правителство в техния окръг, Монако написа.

Ройтерс съобщи, че новите насоки също така казват, че висши служители на Министерството на правосъдието трябва да бъдат уведомени за всякакви случаи на киберпрестъпления, включващи обмен на криптовалута, ботнет мрежи, пране на дигитални пари, незаконни онлайн форуми, „устойчиви на куршуми хостинг услуги“ и противовирусна защита услуги.

Представител Джим Лангевин каза пред ZDNet, че бележката от Нойбергер е знак, че президентът Джо Байдън взема инциденти с рансъмуер сериозно, но той призова Белия дом да даде на CISA повече правомощия за издаване на подобни насоки.

„Съветите в меморандума на Белия дом са разумни и се надявам, че корпоративните лидери ще възприемат позиция за киберсигурност, по-информирана от риска, възможно най-скоро“, каза Лангевен. „Въпреки това се надявам, че президентът ще следва указанията на Конгреса и ще упълномощи CISA да направи подобни препоръки за напред.“

Експертите по киберсигурност казаха, че макар насоките от Белия дом да са били полезни, те не са направили много за справяне с основните проблеми, пред които са изправени хиляди организации, когато се опитват да се защитят.

Робърт Хейнс, евангелист на отворения код в Checkmarx, каза, че е критично за организациите да идентифицират въздействието от загубата на различни системи върху способността им да работят.

За повечето фирми, отбелязва Хейнс, заплахата от атака на ransomware, цената на самия откуп, и огромното въздействие върху операциите би трябвало да е достатъчна мотивация, за да приемем тези заплахи изключително сериозно.

„Основният фокус трябва да бъде върху превенцията и след това смекчаването, като се приеме пълна загуба на системи. Лидерите трябва да са наясно, че времето за възстановяване ще включва повторно изграждане на системи и възстановяване на данни, дори при успешно възстановяване на криптирани файлове“, каза Хейнс. „Рисковете са реални и прекъсването, независимо колко добри са вашите решения за защита на данните, може да струва скъпо.“

Дирк Шрадер, глобален вицепрезидент на New Net Technologies, предложи правителството да намери начин да го направи изискване към организациите да докладват всеки случай на ransomware на властите и силно обезкуражават откупа плащания.

Но той отбеляза, че компаниите може да не желаят да докладват инцидент с ransomware, ако това ще забави връщането към нормални операции.

Кевин Брийн, директор на изследването на киберзаплахите в Immersive Labs, обясни, че ценните съвети от Белия дом, като например офлайн резервни копия, беше хубаво да се каже, но може да предизвика търкания в предприятията, тъй като те обикновено са трудни за изпълнение и скъпи. Същото важи и за други насоки, споделени от Neuberger, като сегментирането на мрежата.

„Ако все още не го правите, внедряването може да е сложно“, каза той, добавяйки, че тестовете за реакция при инциденти ще бъдат ключови за подготовката на всяка организация за атака.

„Те трябва да се правят с по-висок каданс от традиционното и в цялата работна сила, за да се вземе предвид въздействието върху техническите, правните, комуникационните и други многофункционални екипи.“

Усилията на Министерството на правосъдието за създаване на централно координиран отговор ще дадат на властите по-задълбочен набор от доказателства и данни, като същевременно помага при идентифицирането и насочването на цялата верига, добави Брийн, отбелязвайки, че това може също да помогне да се добавят законодателни зъби към смекчаването усилия.

Брийн продължи, като каза, че другите мерки, предприети от ФБР и Министерството на правосъдието, се случват, защото бандите с ransomware са „пробили спящия гигант веднъж твърде много“.