«Зачем нам платить этим преступникам?» — скрытый мир переговоров с вымогателями

Эксперты по кибербезопасности рассказывают, что они делают для крупных клиентов, ставших мишенью хакеров вроде группировки Scattered Spider.

Они называют это «остановкой кровотечения»: критически важное окно возможностей, позволяющее не дать преступникам разграбить базу данных или полностью остановить производственную линию.

Когда в офис компании по кибербезопасности S-RM, расположенный на Уайтчепел-Хай-стрит в восточном Лондоне, поступает звонок, у взломанного бизнеса или учреждения могут оставаться считаные минуты на защиту.

Компания S-RM, помогшая крупному ритейлеру оправиться от кибератаки группировки Scattered Spider, добилась тихого успеха, о котором часто узнают лишь по сарафанному радио.

Многие ведущие сотрудники компании владеют несколькими языками и оставляют минимальный цифровой след, за которым скрываются скупые, но впечатляющие резюме, намекающие на карьеру в корпоративной или государственной разведке.

Сейчас S-RM заявляет, что располагает крупнейшей в Великобритании группой реагирования на киберинцеденты. В ее службе экстренной помощи работает около 150 экспертов по всему миру. Среди клиентов — те, кто платит фиксированную абонентскую плату, жертвы, направленные страховщиками, и так называемые «случайные прохожие»: люди, которые внезапно осознают, что их бизнес атакован, и звонят по первым попавшимся номерам в поисковике.

В случае с жертвой Scattered Spider (которой, как стало известно Guardian, не был ни Marks & Spencer, ни Co-op — два ритейлера, подвергшиеся атакам в 2025 году), 30-минутный звонок в Teams превратился в «24-часовой марафон со сменяющимся составом экспертов», рассказывает Тед Коуэлл, директор направления кибербизнеса S-RM.

— В среднем мы отвечаем клиентам в течение шести минут. Это критически важно, поскольку зачастую первые часы киберинцедента — это главное окно возможностей, определяющее исход дела и его последствия, — говорит он. — То, что начинается как проникновение в сеть, может затем метастазировать в полномасштабный сценарий с использованием вредоносного ПО или программ-вымогателей.

Коуэлл, русскоговорящий выпускник Кембриджа, утверждает, что перехват управления над ситуацией в период «разведки» может привести к радикально иному исходу по сравнению с медленным реагированием. Преступникам часто требуется время после первого проникновения в системы бизнеса, чтобы понять, что представляет наибольшую ценность. Этот короткий промежуток времени позволяет экспертам предотвратить наиболее болезненные атаки. «Эксфильтрация» — кража критически важных данных — и шифрование, из-за которого бизнес теряет доступ к собственным системам, могут нанести самый серьезный ущерб.

— Иногда мы можем предотвратить взрыв, — говорит Коуэлл. Команды фокусируются на «остановке кровотечения», ограничивая или отрезая доступ атакующего к системам. Именно это удалось сделать команде S-RM с жертвой Scattered Spider: остановить детонацию вредоносного ПО по всем системам.

Бизнес идет в гору по мере роста индустрии киберпреступности, но это сопряжено с этическими проблемами. S-RM и их коллеги по цеху сталкиваются с критикой за содействие в выплате выкупов преступникам, захватывающим бизнес ради денег.

«Поддержка при вымогательстве» — важная часть работы S-RM. Это означает, что их специалисты присутствуют в комнате при обсуждении выкупа, а иногда и сами ведут переговоры от имени клиента. Коуэлл, похоже, стремится избежать обвинений в подпитке организованной преступности путем помощи бизнесу в выплате выкупов или работы на страховщиков, продающих полисы, покрывающие такие выплаты.

— Мы действуем по указанию страхователя, застрахованного лица, — рассказывает он. — Наше стремление — направлять решения в сторону отказа от оплаты, где и когда это возможно.

И добавляет, что компании все чаще выбирают такой подход и не платят выкупы.

— Наша роль — способствовать стратегическому мышлению, — говорит он. — Дать клиентам структуру, чтобы привести мысли в порядок. Скорее всего, они раньше не бывали в такой ситуации. Решение о том, что делать, бизнес принимает сам. Мы лишь предлагаем шаблон кризиса, показываем, как развиваются события, исходя из нашего опыта.

— Зачем нам платить этим преступникам? — этот вопрос, по словам Коуэлла, его команда ставит перед топ-менеджментом пострадавших компаний. — Одна из вещей, которую мы часто объясняем советам директоров, заключается в том, что программы-вымогатели — это организованный преступный бизнес.

У этих гнусных группировок, поясняет он, есть «бренды, которые нужно поддерживать». Устоявшиеся группы вымогателей, как правило, соблюдают договоренности. У S-RM также есть все более детальная картина того, как эти группы вели себя в ходе предыдущих переговоров.

Чем более известна группа, тем больше вероятность того, что она выполнит условия соглашения: удалит украденные данные или предоставит ключи для расшифровки важных файлов. S-RM предоставляет досье «кто есть кто» с точки зрения надежности, стиля переговоров, поведения и даже возможных санкционных рисков.

Последнее, впрочем, случается редко. Попытка наложить санкции на группы, связанные с государствами, — это игра в «удари крота», говорит Коуэлл. Если так называемые «субъекты угроз» и появляются в санкционных списках, они, как правило, распадаются и собираются вновь под новой вывеской. Поэтому риск передачи денег, пусть и косвенно, в руки врагов государства — еще один фактор, который учитывают фирмы, столкнувшиеся с кибератакой.

И все же бизнес иногда решает заплатить. Это может быть рационально в конкретных обстоятельствах компании, и в конечном счете «это всегда их решение», говорит Коуэлл.

По мере становления корпоративной этики в отношении выкупов и учащения решений не финансировать оргпреступность, услуги по восстановлению и возвращению к работе занимают все большую часть рынка реагирования на киберугрозы. Все чаще приоритетом становится просто как можно скорее восстановить работоспособность систем, а криминалистический анализ того, как именно кто-то проник в систему, отходит на второй план.

В последние годы роль британского правительства в сфере киберразведки также существенно изменилась. Национальный центр кибербезопасности (NCSC) «за последние четыре-пять лет колоссально трансформировался», отмечает Коуэлл. NCSC догнал своих скандинавских коллег и теперь активно выходит на связь с жертвами, предупреждая их о возможных атаках на основе разведданных.

Раньше он скорее был «сборщиком информации», запрашивая данные у таких компаний, как S-RM, которые те охотно предоставляли с согласия клиентов, говорит Коуэлл.

— Теперь они играют более решительную роль, действуют на опережение и объединяют людей для обмена информацией. Мы видели эффект от этого во время атак Scattered Spider, — добавляет он.