Привет!

Продолжаем разбирать одну из главных на сегодняшний день киберугроз — программы-вымогатели. В прошлой статье мы заложили базу: проследили их эволюцию, разобрали виды шантажа, мотивацию злоумышленников и затронули вопрос о выплате выкупа.

Теперь перейдём от теории к практике. В этой части сосредоточимся на реагировании на атаку. Разберём чему посвящены этапы реагирования и перечислим действия, которые необходимо предпринять на каждом из этапов.

В стандартных моделях реагирования на инциденты, таких как NIST SP 800-61r2 и методологии PICERL SANS, выделяется 3 шага по устранению активной угрозы и возобновлению нормальной работы: Сдерживание (Containment), Устранение (Eradication), Восстановление (Recovery). Эти шаги следуют после Подготовки (Preparation), Обнаружения (Detection) и Анализа (Analysis) и предшествуют Анализу после инцидента (Post-Incident Activity).

Сдерживание 

На данном этапе перед пострадавшей организацией стоит цель остановить распространение угрозы и минимизировать ущерб. 

Сотрудникам, ответственным за ИБ, необходимо в��явить скомпрометированные хосты и сконфигурировать сеть таким образом, чтобы предотвратить распространение заражения дальше по инфраструктуре и чтобы сохранить работоспособность ИС компании без зараженных машин.

Для предотвращения последствий инцидентов с программами-вымогателями могут быть предприняты следующие действия:

  1. Уведомление

Кого оповестить? 

Провайдер MSS (если есть): 

  • Отправьте данные о вредоносном ПО (хэши файлов, логи, фото записки о выкупе). 

  • Укажите, как обнаружили заражение, количество и тип пораженных систем. 

Эти данные помогут специалистам по реагированию атрибутировать угрозу, определить мотивы и возможные методы, используемые злоумышленниками, и, соответственно, выстроить процесс реагирования, приоритезировать действия по локализации и устранению угрозы, сузить поиск возможных артефактов при расследовании инцидента.

НКЦКИ (для организаций КИИ): 

  • Сообщите об инциденте в течение 3 часов (для значимых объектов) или 24 часов (для остальных). 

Согласно статье 9 187-ФЗ «О безопасности КИИ РФ», все без исключения субъекты КИИ обязаны информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак — НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

 Роскомнадзор (если затронуты персональные данные): 

  • Первое уведомление об обнаружении инцидента ИБ — в течение 24 часов. 

  • Результаты расследования — в течение 72 часов. 

ФинЦЕРТ (для кредитно-финансовых учреждений):

  • Первое уведомление об обнаружении инцидента ИБ — в течение 3 часов. 

  • Результаты расследования — в течение 30 дней. 

Правоохранительные органы:

2. Изоляция

Изолировать скомпрометированные системы от сети можно либо физически, отключив пораженные хосты от сети, либо программно, создав отдельную VLAN или правила брандмауэра для ограничения доступа к зараженным системам.

  • Изолируйте скомпрометированные системы от корпоративной сети (на всех интерфейсах: проводных, Wi-Fi или мобильных). 

  • Не выключайте хосты! Оставьте их включенными или переведите в спящий режим/режим гибернации. 

Некоторые угрозы не создают файлов на диске, а полностью размещают себя в оперативной памяти, так как там их сложнее обнаружить. Поэтому недопустимо отключать питание компьютера, при этом будет утрачена вся информация, содержащаяся в оперативной памяти.

  • Пораженные виртуальные машины переведите в режим «Suspend»

  • Отключите стандартные административные общие ресурсы в Windows (Admin$, IPC$, C$), которые позволяют администраторам (и злоумышленникам) удаленно управлять системой и получать доступ к ресурсам на другом компьютере.

  • Отключите внешние устройства, такие как USB / внешние накопители и другие устройства, которые могут быть заражены.

  • Ограничьте доступ через ресурсы удаленного доступа, такие  как VPN, RDP, SSO. 

  • Изолируйте серверы хранения резервных копий, сетевые хранилища от зараженной сети. 

  • При использовании облачных хранилищ отключите синхронизацию с локальными устройствами.

 3. Обнаружение, анализ, блокировка

  • Заблокируйте скомпрометированные учетные записи. 

  • Проделайте процедуру сброса пароля и других форм аутентификации для пользовательских учетных записей с административными правами и критичных системных или служебных учетных записей таких как KRBTGT. 

  • Приостановите автоматическую ротацию журналов.  Это необходимо для сохранения данных, которые могут потребоваться для анализа атаки, восстановления информации и определения точки входа.

  • Удалите разрешения на запись для процессов или учетных записей, с помощью которых выполняется программа-вымогатель.

  • Убедитесь, что для учетных записей по-прежнему функционирует мультифакторная аутентификация.

  • Заблокируйте обмен данными с организациями-партнерами. 

  • Попробуйте найти и изучить рекомендации по конкретному варианту программы-вымогателя и выполните все дополнительные рекомендуемые действия для выявления и локализации угрозы. Для опреде��ения штамма вируса-шифровальщика можно воспользоваться сторонними ресурсами, такими как ID Ransomware[1], Ransomware-Listeinkl[2].

  • Исключите общение с помощью средств связи, учетные записи от которых могли быть скомпрометированы (например, корпоративная почта, мессенджеры). Эта мера необходима, чтобы не допустить осведомления злоумышленников о планах по реагированию на инцидент и восстановлению инфраструктуры.

4. Сбор криминалистических данных

  • Передайте провайдеру MSS индикаторы атаки (подозрительные IP-адреса, домены, URL). 

Для дальнейшего сбора и анализа криминалистических артефактов рекомендуем обратиться к специалистам-форензикам, в случае если в вашей компании такие кадры отсутствуют.

К основным процедурам по сбору криминалистических данных относятся:

  • сбор журналов безопасности;

  • сбор артефактов, хранящихся в энергозависимой памяти системы, создание дампа памяти скомпрометированной системы;

  • сохранение критичных файлов реестра Windows: SAM, SECURITY, SOFTWARE, SYSTEM (в том числе раздел AppCompatCache),а также артефакты NTUSER.DAT, Amcache.hve.

  • сохранение настроенных расширений браузеров;

  • сохранение файлов трассировки (хранятся в C:\Window\Prefetch, имеют расширение .pf);

  • сохранение файлов LNK («ярлыки») (хранятся в C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\, C:\%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\).

Ликвидация угрозы 

На этапе «Устранение» скомпрометированная ИС приводится в первоначальное состояние, в котором она функционировала до атаки вирусом-вымогателем. На этом этапе команда, ответственная за ИБ в компании, устраняет актуальные проэксплуатированные уязвимости  и удаляет все, что злоумышленники использовали в атаке: вредоносное ПО, а также все артефакты, которые оно могло оставить на зараженных компьютерах в ИС.

Кроме того, службе ИБ следует провести анализ первопричин (Root Cause Analysis, RCA), который поможет определить тип программы-вымогателя и метод ее проникновения в целевую сеть для определения и реализации мер за��иты по предотвращению подобных атак в будущем.

Когда переходить к данному этапу?  Только после полного понимания масштабов атаки и сбора всех криминалистических артефактов специалистами! 

Есть два сценария ликвидации последствий атаки программой-вымогателем на конечных точках: 

  1. Полная переустановка ОС. Такой подход гарантирует полное устранение угрозы, но приведет к потере данных.

  2. Ручное удаление вредоносного ПО и его компонентов.  Этот сценарий позволяет избежать потери пользовательских данных, но требует специальных навыков, больше времени и не гарантирует полного устранения угрозы.

Помимо исполняемых и конфигурационных файлов самой программы-вымогателя на скомпрометированных системах могут находится файлы, предшествующие появлению шифровальщика: RAT, троянцы-загрузчики, которые используются для доставки на целевой хост другого вредоносного ПО (например, ранее использовались Dridex, Emotet, Hancitor, SmokeLoader, BazarLoader).

Что делать: 

  • Удалите вредоносные файлы (проверьте директории %ALLUSERSPROFILE%, %APPDATA%, %SYSTEMDRIVE% и временные папки). 

  • Проведите аудит запланированных задач на хосте; 

  • Проверьте каталоги автозагрузки Windows. 

  • Удалите подозрительные службы, установленные на хосте. 

  • Проверьте ветки реестра, отвечающие за автозапуск ПО. 

  • Обновите антивирусные базы. 

  • Проведите аудит групповых политик и удалите подозрительные.

  • Проведите аудит доменных и локальных УЗ.

  • Проведите аудит доменных групп безопасности с административными правами.

  • Проведите аудит доверительных отношений (трастов) в домене и удалите подозрительные.

  • Устраните уязвимости, которые были проэксплуатированы. 

Сложно сформулировать конкретный алгоритм по устранению последствий в доменной инфраструктуре, так как каждая инфраструктура уникальна и требует индивидуального подхода. Так, например, в случае масштабной атаки стоит рассмотреть возможность создания новой инфраструктуры и связанных с ней систем параллельно уже существующей среде, для того чтобы минимизировать риски повторного заражения. Такой подход очень трудозатратен и практически неприменим для больших сетей на несколько сотен контроллеров домена. Наиболее оптимальным вариантом является восстановление скомпрометированных контроллеров домена и серверов из защищенных резервных копий (подробнее см. раздел «Восстановление»).

Восстановление 

После устранения всех следов атаки начинается этап восстановления. Он включает проверку затронутых систем, выявление возможных оставшихся угроз, внедрение мер по предотвращению повторных инцидентов, восстановление работы пострадавших серверов и систем, а также подключение устройств к сети. При этом сотрудники службы ИБ некоторое время продолжают наблюдать за состоянием этих хостов и ИС в целом, чтобы убедиться в полном устранении угрозы.

  1. Планирование восстановления

  • Определите и расставьте приоритеты восстановления критически важных систем в «чистой» сети. Наличие актуального инвентаризационного перечня активов, классифицированных по критичности, поможет на данном этапе.

  • Не экспортируйте и не переносите данные в новую («чистую») среду без тщательной проверки на наличие ВПО, также не подключайте непроверенные хосты, функционировавшие в зараженной корпоративной сети, к «чистой» доменной инфраструктуре, так как это может привести к повторному заражению.

  • Перед восстановлением данных проведите проверку резервных копий на наличие ВПО.

·  2. Восстановление

  • Опираясь на классификацию активов по критичности, переподключите системы и восстановите данные из автономных резервных копий. Следите за тем, чтобы во время восстановления не произошло повторного заражения. Для этого убедитесь, что в восстанавливаемую инфраструктуру добавляются только «чистые» системы.

Процесс восстановления скомпрометированных контроллеров домена из защищенных резервных копий может включать в себя создание «эталонных» контроллеров домена, которые будут использоваться для распространения «чистых» настроек на скомпрометированные контроллеры домена посредством репликации. Очень важно корректно настроить входящую и исходящую репликации, чтобы предотвратить повторное заражение системы. Так как сложно достоверно точно определить, с какого момента злоумышленники проникли в корпоративную сеть и начали свою атаку, стоит предварительно проверить образы «эталонных» контроллеров домена на предмет наличия нелегитимных учетных записей, групповых политик, запланированных заданий и пр.

  • На контроллерах домена корректно настройте входящую и исходящую репликацию, чтобы предотвратить повторное заражение системы.

  • Наблюдайте за восстановленной сетью в течение некоторого времени, чтобы убедиться, что угроза ликвидирована.

 Что делать, если у вас нет бэкапов?

Вы можете попробовать найти дешифратор самостоятельно, на общедоступных ресурсах от известных вендоров или от специализированных организаций, которые борются с программами вымогателями, например «No More Ransom».  Однако, стоит учитывать риски, так как вы можете столкнуться с фейковыми или вредоносными программами под видом средств восстановления, использовать несовместимый с конкретной версией шифровальщика инструмент, что приведёт к безвозвратной потере данных.

Как не допустить заражения

Программы-вымогатели чаще всего проникают в систему следующими способами: 

  1. Через компрометацию доступа по RDP и другие внешние удаленные службы. 

  2. Через фишинговые письма. 

  3. Через эксплуатацию уязвимостей в публичных приложениях.

  4. Через компрометацию третьей доверенной стороны (Trusted Relationship).

Разберём, как защититься от каждого из этих методов. 

Защита от компрометации через уязвимости в публично-доступн��х приложениях 

  • Для уменьшения поверхности атаки регулярно сканируйте свои устройства, доступные из внешней сети Интернет, с целью выявления и устранения уязвимостей.

  • Регулярно обновляйте программное обеспечение и операционные системы до последних доступных версий, не игнорируйте патчи безопасности.

  • Отключите неиспользуемые сервисы и порты.

  • Для защиты веб-приложений внедрите WAF (Web Application Firewall).

Защита от компрометации через внешние удаленные службы

  • Отключите неиспользуемые порты для внешнего доступа. 

  • Контролируйте установку и использование легитимных программ для организации удаленного доступа и администрирования (AnyDesk, TeamViewer, VNC, Ассистент и т.д.);

  • Используйте многофакторную аутентификацию (MFA) для удалённого доступа. 

  • Защититесь от брутфорс-атак на RDP - настройте блокировку учётных записей после нескольких неудачных попыток входа. 

Защита от фишинга 

  • Обучайте сотрудников основам кибербезопасности. 

  • Отключите макросы в документах скачанных из Интернета или полученных по почте. 

  • Открывайте подозрительные файлы в защищённом режиме. 

  • Не скачивайте почтовые вложения и не переходите по ссылкам в письмах от подозрительных отправителей, особенно если письмо содержит призывы к срочным действиям или запугивающее содержание.

  • Используйте Secure Email Gateway — систему фильтрации писем, которая блокирует вредоносные вложения. 

 Общие рекомендации 

  • Резервное копирование. Используйте правило 3-2-1:  3 копии данных, на 2 разных носителях, 1 копия — вне корпоративной сети. 

  • Включите Volume Shadow Copy (VSS) для восстановления файлов после атаки и минимизации негативных последствий. 

  • Контроль доступа: 

1. Применяйте принцип наименьших привилегий, чтобы субъекты в ИС имели доступ только к необходимым ресурсам. 

2. Регулярно проверяйте группы безопасности в домене. При штатном функционировании инфраструктуры AD группы Enterprise Admins, Schema Admins должны быть пустыми.

3. Меняйте пароли: сложные пароли для всех учётных записей; ежегодная смена пароля для сервисной учётной записи krbtgt;

4. Реализуйте многоуровневую модель доступа в доменной инфраструктуре (контроллеры домена, сервера, рабочие станции).

  • Мониторинг и дополнительные меры:

  1. Включите расширенное ведение логов (Windows Event Logging). 

  2. Рассмотрите внедрение EDR/XDR и SIEM для мониторинга и анализа угроз в сети и на конечных точках. 

  3. Организуйте контроль утечек данных, рассмотрите возможность внедрения DLP-системы.

  4. Внедрите Windows LAPS для управления паролями локальных администраторов. 

  5. Ограничьте доступ к сетевым дискам. 

  6. Используйте File Server Resource Manager (FSRM) для блокировки работы шифровальщиков. 

  7. Запрещайте запуск ненадёжных программ с помощью AppLocker,  WDAC,  Software Restriction Policies (SRP). 

Следуя этим рекомендациям, вы значительно снизите риск заражения программами-вымогателями. Регулярно пересматривайте свои меры защиты, проводит�� аудит уязвимостей, обучайте сотрудников и тестируйте инфраструктуру на устойчивость к атакам.

Заключение

В этой статье я разобрала ключевые этапы оперативного реагирования на атаку с использованием программ-вымогателей — Сдерживание, Устранение и Восстановление.

Надеюсь, этот материал поможет вам составить план реагирования на подобные инциденты и не растеряться в момент кризиса, а также выстроить более эффективную защиту. Стоит подчеркнуть, что не существует единого и универсального алгоритма действий для всех случаев. Конкретные шаги внутри каждого этапа всегда зависят от контекста атаки: типа шифровальщика, масштаба заражения, архитектуры сети и наличия резервных копий. Поэтому компаниям всё же стоит уделить внимание подготовке «персонального» плана по реагированию на инциденты.

[1] https://id-ransomware.malwarehunterteam.com/

[2] https://www.bleib-virenfrei.de/it-sicherheit/ransomware/liste/