Успешные атаки программ-вымогателей (Ransomware) могут не только закрыть доступ к сети, блокировать внутренние операции и нанести ущерб репутации компании, но и спровоцировать дальнейшие атаки, поскольку киберпреступники не без оснований будут считать вашу организацию уязвимой. Атаки, подобные тем, что были предприняты в прошлом году против Colonial Pipeline и Kaseya, показали, что ни одна компания не находится в безопасности.
Выяснилось, что даже самые мощные системы кибербезопасности с трудом справляются с последствиями проникновения в корпоративную сеть программ-вымогателей. И хотя простого решения здесь не существует, успешно противостоять киберпреступникам всё же можно. Для этого нужно не экономить время и силы на обучении сотрудников безопасному пользованию корпоративным софтом, иметь надёжные системы безопасности и хранения данных, а также гибкие инструменты для конфигурации сети.
Мы подготовили для вас 20 рекомендаций по защите от Ransomware-атак, но, чтобы они оказались в полной мере эффективными, для начала поговорим о том, что такое программы-вымогатели и как они работают — врага нужно знать в лицо. Затем обсудим, что нужно предпринять, чтобы максимально обезопасить себя от этой напасти. Также будет приведена любопытная статистика по Ransomware, а в завершении расскажем о том, что делать, если вы стали одной из жертв программ-вымогателей.
Что такое Ransomware
Уже из русского перевода термина ‘Ransomware’ («программы-вымогатели») понятно, что речь идёт о блокировщиках, целью которых является получение выкупа за последующую разблокировку устройства или системы. Это вредоносное ПО действует путём взлома сети и криптографической атаки, в результате чего важные файлы блокируются и шифруются так, что дальнейшая работа системы парализуется.
Главная проблема современных вредоносных программ этого типа состоит в том, что они используют методы асимметричного шифрования, поэтому дешифровка становится очень трудной, а в ряде случаев практически невозможной. Когда же это ПО только появилось (например, наделавший шума троянец AIDS, который был запущен около 30 лет назад), использовались механизмы симметричного шифрования, с которым вполне справлялись дешифровщики. Конечно, продвижение технологий шифрования в целом является благом, но не в тех случаях, когда новые методы используются против организаций. И Ransomware — именно такой случай.
Успех отдельных программ-вымогателей привел к тому, что технологию Ransomware атак взяли на вооружение группировки хакеров по всему миру. Дошло до того, что программы-вымогатели предлагаются как услуги (RaaS), доступные для заказа в даркнете. Также их уже давно добавили в свой арсенал группировки, атакующие сетевую инфраструктуру компаний по методу APT (расширенные постоянные угрозы). Методика APT предполагает разнообразные скрытые атаки, обнаружить которые сразу непросто — минимальный срок их обнаружения обычно составляет 1-2 недели, и за это время киберпреступники могут нанести серьёзный ущерб.
Ситуация осложняется тем, что современные программы-вымогатели всё чаще имеют возможность эксфильтрации (незаконного копирования) сетевых данных до их шифрования. Таким образом, помимо угрозы шифрования, злоумышленники могут также угрожать организации раскрытием конфиденциальных данных. В результате организация подвергается риску атаки с двойным вымогательством, поскольку взломщики могут вернуться с требованием предоставить дополнительные данные под угрозой раскрытия уже украденных.
Как работают программы-вымогатели
Ransomware, как и любая другая вредоносная программа, взламывает сети с помощью традиционных типов атак:
Электронные письма и сообщения в мессенджерах с подозрительными ссылками, методы социальной инженерии (Baiting, Honey Trap, Scareware — им будет посвящена отдельная статья), фишинговые и вредоносные сайты.
Уязвимости программного обеспечения и протокола удалённого рабочего стола. С переходом на удалённую работу и зависимостью от программного обеспечения для удаленных рабочих столов количество вредоносных электронных писем только за первые несколько месяцев пандемии подскочило на 600%. Точно так же, по мере того, как организации переходят к гибридным системам хранения данных, выявляются уязвимости, связанные с облачными хранилищами.
Без использования политики сегментации сети (подробнее об этом ниже) злоумышленники могут свободно перемещаться по ней, заражая конечные точки и серверы, и требовать выкуп за возвращение доступа к вашим данным.
Атаки через электронную почту, с помощью которых в сеть проникают программы-вымогатели, остановить весьма трудно. Злоумышленники могут обманывать даже опытных пользователей, заставляя их нажать на ожидаемую ссылку (например, отчёт для бухгалтерии) или на фотографию, якобы полученную от кого-то, кого сотрудники знают. Это может быть даже документ, который, как может показаться, переслан начальником. Поэтому организации должны предпринимать всё необходимое, чтобы свести к минимуму потенциальные атаки.
Наиболее распространённым способом, которым преступники заражают файлы данных, является отправка email с вредоносными ссылками или вложениями, по которым сотрудники кликают, невольно инициируя атаку. Это могут быть электронные письма, отправленные миллионам потенциальных жертв, или же целевые сообщения для конкретного человека в конкретной организации. Последнее обычно комбинируется с методами социальной инженерии, при помощи которых киберпреступники предварительно собирают нужную информацию о жертве.
После успешной атаки злоумышленники сообщают своим жертвам, что их данные зашифрованы. Для доступа к ключу дешифрования жертва должна произвести немедленную оплату, чаще в криптовалюте, что скрывает личность злоумышленника. Вы узнаете, что стали жертвой программ-вымогателей, если на вашем рабочем столе появится всплывающее окно или файл readme.txt примерно следующего содержания: «Ваши файлы были зашифрованы и сейчас недоступны. Вы потеряете всю свою информацию такого-то числа, если не заплатите такую-то сумму в биткоинах». Также может быть такая приписка: «ВАЖНО! Все ваши файлы зашифрованы алгоритмами RSA-2048 и AES-256».
Но, поскольку криптовалюта не скрывает адрес кошелька, злоумышленники нередко могут быть вычислены. Например, так в США смогли вернуть часть выкупа после атаки программы-вымогателя на компанию Colonial Pipeline в мае прошлого года, совершённой хакерской группой DarkSide, о чём писала даже Википедия.
Если не заплатить в течение начального периода (обычно от 48 до 72 часов), злоумышленники не стесняются увеличивать сумму выкупа и часто начинают угрожать удалить или скомпрометировать данные. Конечно, в таких случаях можно обратиться к специалистам по кибербезопасности в надежде, что они найдут способ восстановить данные, однако, как известно, лучшим средством лечения болезни является её профилактика.
Добавим, что современные программы-вымогатели часто содержат средства извлечения данных, поэтому конфиденциальная информация, такая как имена пользователей и пароли, может быть просто украдена. Вот почему предотвращение проникновения программ-вымогателей в сеть является важнейшей задачей. А из-за того, что бреши в сети пробиваются через ничего не подозревающих пользователей, одной из главных задач по предотвращению этих атак является прежде всего обучение персонала.
Разумеется, не менее важной является система безопасности электронной почты и сети, причём сетевая должна включать надёжную программу резервного копирования. Свежие копии данных, к которым всегда можно вернуться в случае разрушительной кибератаки, должны создаваться ежедневно, а в некоторых случаях и по несколько раз в день. О правилах защиты от Ransomware и пойдёт речь дальше.
Правило 1. Создавайте автономные резервные копии
Хотя регулярные облачные и виртуальные резервные копии полезны, если вы не храните резервные копии данных в автономном режиме, вы рискуете потерять эти данные. А это означает регулярное резервное копирование в безопасное место, сохранение нескольких копий и мониторинг того, что резервные копии соответствуют оригиналу. Последнее важно, поскольку если резервная копия, с которой идёт восстановление, была создана после кибератаки, то она тоже будет заражена, а значит, проблема лишь усугубится.
Правило 2. Повышайте квалификацию персонала
Повышение осведомлённости о программах-вымогателях является одной из базовых задач по повышению кибербезопасности. При этом важно проводить как общий, так и персональный инструктаж регулярно, ведь достаточно, чтобы один сотрудник ослабил бдительность, чтобы вся организация была скомпрометирована.
Правило 3. Настройте отображение расширения файлов
Прежде всего сотрудники должны быть обучены не щёлкать дважды по исполняемым файлам (файлы с расширением .exe), из какого бы источника они ни поступали. Однако Windows по умолчанию скрывает расширения файлов, позволяя вредоносным исполняемым файлам типа ransom.doc.exe выглядеть как документ Word с именем ransom.doc. Поэтому настройка, чтобы расширения всегда отображались, будет иметь большое значение для противодействия такого рода угрозам.
Правило 4. Настройте спам-фильтры
Киберпреступники рассылают миллионы вредоносных писем случайным организациям и пользователям, но эффективный спам-фильтр, который постоянно адаптируется к новым угрозам, может пресекать попадание более 99% таких сообщений в почтовые ящики и мессенджеры сотрудников.
Правило 5. Блокируйте исполняемые файлы
Фильтрация файлов с расширением .exe из электронных писем может предотвратить пересылку ряда вредоносных файлов сотрудникам. Но имейте в виду, что это не является единственно надёжным способом защиты от Ransomware. Дело в том, что программы-вымогатели всё чаще рассылаются в виде файлов JavaScript (об этом ниже).
Правило 6. Блокируйте файлы JavaScript
В настоящее время участилось распространение программ-вымогателей в zip-архивах, содержащих вредоносные файлы JavaScript. Их обычно маскируют под текстовые файлы с такими именами, как readme.txt.js, и они часто бывают видны просто как readme.txt, но со значком скрипта для текстового файла. Вы можете закрыть эту уязвимость, просто отключив Windows Script Host.
Правило 7. Ограничивайте права доступа
Программы-вымогатели могут шифровать только те файлы, которые доступны конкретному пользователю в системе, если только они не содержат код, который может повышать привилегии пользователей в рамках атаки. Нужно позаботиться о том, чтобы изменение прав доступа не было возможно без подтверждения.
Правило 8. Своевременно обновляйте программное обеспечение
Это одна из основных мера безопасности. Всё программное обеспечение должно быть обновлено, поскольку обновления почти всегда включают последние исправления в системе безопасности, закрывающие ранее обнаруженные уязвимости. Так, в 2020 году кибератаки из-за взлома сетевой инфраструктуры приложения SolarWinds смогли предотвратить те организации, которые своевременно обновили это программное обеспечение.
Правило 9. Используйте политику «нулевого доверия»
Нулевое доверии (англ. (Zero Trust) обеспечивает более надёжный контроль над сетью, что увеличивает шансы на блокировку программ-вымогателей. Таким образом, если пользователь с ограниченными правами доступа инициирует кибератаку, её последствия можно будет минимизировать при оперативных действиях специалистов кибербезопасности компании.
Правило 10. Определите приоритетные данные и оценивайте трафик
Определение наиболее ценных данных и элементов сети даёт специалистам по кибербезопасности и руководству компании представление о том, как злоумышленники могут проникнуть в вашу сеть. Это даст вашей команде чёткие указания относительно того, какие части сетевой инфраструктуры нуждаются в дополнительной защите или ограничениях.
Правило 11. Используйте микросегментацию
Политика микросегментации позволяет добиться того, что пользователю предоставляется доступ только к тем приложениям и каталогам баз данных, которые ему нужны для работы. Микросегментация является идеальным решением для блокирования попыток заразить сеть целиком. Внедряя строгие политики на уровне приложений, шлюзы сегментации и NGFW могут предотвратить доступ программ-вымогателей к тем сегментам сети, которые являются наиболее ценными.
Правило 12. Задействуйте адаптивный мониторинг для поиска и оценки угроз
Если есть хоть малейшая угроза атак наиболее чувствительных сегментов, появляется необходимость в постоянном мониторинге и адаптивных технологиях. Это включает последовательную оценку трафика для критически важных приложений, данных или служб с целью поиска угроз и вирусов.
Правило 13. Используйте CASB
Сервисы безопасного доступа к облачным серверам (CASB) могут помочь в управлении облачной инфраструктурой вашей организации. CASB обеспечивают дополнительную прозрачность, безопасность данных и защиту от угроз при защите ваших данных, копируемых в «облако».
Правило 14. Готовьте команду для быстрого реагирования на угрозы
В случае попыток взлома или уже проведённой успешной атаки ваша команда должна быть готова к оперативному восстановлению систем и данных. Эта работа включает в себя предварительное распределение ролей и подготовку плана реагирования на атаки.
Правило 15. Проверяйте присылаемые файлы в песочнице
Тестирование в песочнице — обычный метод для специалистов по кибербезопасности при изучении новых или нераспознанных файлов. Песочницы представляют собой среду, отключённую от корпоративной сети для безопасного тестирования файлов.
Правило 16. Обновляйте программное обеспечение для защиты от программ-вымогателей
Регулярное обновление сетевого программного обеспечения имеет решающее значение. Это особенно важно для существующих систем обнаружения и предотвращения вторжений (IDPS), антивируса и защиты от вредоносных программ.
Правило 17. Обновляйте веб-шлюз SWG
Вся электронная почта в сети обычно проходит через защищенный веб-шлюз (SWG). Регулярно обновляя этот сервер, вы можете отслеживать вложения электронной почты, сайты и файлы на наличие вредоносных программ. Эти данные могут помочь вам информировать персонал о том, каких атак можно ожидать в ближайшее время.
Правило 18. Блокируйте всплывающую рекламу
Все устройства и браузеры должны иметь расширения, автоматически блокирующие всплывающую рекламу. Такая реклама представляет собой серьёзную угрозу, если её не блокировать.
Правило 19. Ограничивайте использование устройств сотрудников на удалёнке
Если у вас есть удалённый рабочий персонал, а в компании при этом нет чёткой политики в отношении устройств, разрешённых для доступа к сети, возможно, пришло время принять жёсткие меры. Нерегулируемое использование различных подключаемых устройств создаёт ненужный риск для вашей сети.
Правило 20. Принимайте меры безопасности при удалённом доступе
Отключения сторонних устройств для успешной защиты от кибератак мало. При получении удалённого доступа к корпоративной сети, сотрудники компании должны установить на свои ПК и ноутбуки всё необходимое защитное ПО (антивирусные и антишпионские пакеты, надёжный фаерволл), чтобы минимизировать риск атак программ-вымогателей.
Ситуация с Ransomware за последние годы
Исследователи из Beazley Group отмечают, что ещё четыре года назад сообщения от клиентов об атаках программ-вымогателей поступали нечасто. В то время эти случаи обычно включали в себя шифрование данных, но не получение доступа или эксфильтрацию. Однако сегодня не только существенно возросла частота атак программ-вымогателей, но и возникла дополнительная угроза утечки данных, что делает такие атаки гораздо более разрушительными. Уже 2019 в году варианты программ-вымогателей, такие как Ryuk и Sodinokibi, всё чаще запускались в тандеме с банковскими троянами вроде Trickbot и Emotet. И киберпреступники с каждым днём становятся всё более изобретательными. В некоторых случаях атаки приводили к остановке операций сотен клиентов.
При этом цели этих атак не были случайными: преступники рассчитывают вероятность получения выкупа от атакованной компании, вся клиентская база и бизнес которой могут исчезнуть из-за атаки. Атаки программ-вымогателей на предприятия здравоохранения также рассчитаны на получение выкупа из-за конфиденциального характера данных пациентов и критического влияния на их лечение. По данным исследователей, кибератакам с помощью Ransomware в 2019-20 гг. чаще всего подвергались компании как раз из области здравоохранения (35% от общего числа), затем шли финансовые организации (16%), образовательные учреждения (12%), профессиональные сервисы (9%) и ритейлеры (7%). А общее количество атак увеличилось на 130% в 2020 году по сравнению с 2019 годом.
По данным аналитиков из Malwarebytes, программы-вымогатели стали одной из самых больших угроз кибербезопасности в мире. Уже в 2016 году общая сумма требуемого выкупа от создателей программ-вымогателей приблизилась к годовому криминальному обороту в 1 миллиард долларов — и это только в США. Наиболее уязвимыми отраслями для программ-вымогателей специалисты из Malwarebytes также считают здравоохранение и финансовые услуги. При этом злоумышленники хранили ценные данные с целью получения выкупа в 80% случаев, и около 40% жертв программ-вымогателей выкуп заплатили.
По данным IBM, только 38% государственных служащих обучены предотвращению атак программ-вымогателей и только 29% малых предприятий имеют опыт работы с Ransomware.
В Sophos отмечают, что, хотя инструменты дешифрования не всегда работают должным образом, киберпреступники не могут расшифровать данные после получения выкупа в 1% случаев.
Исследование Symantec показало, что 81% от общего числа заражений приходится на корпоративную инфраструктуру, а если смотреть по сегментам рынка, то 62% атак приходятся на предприятия малого и среднего бизнеса. И это понятно, поскольку взломать внутреннюю сеть крупной корпорации куда сложнее, ведь за её безопасностью в круглосуточном режиме следит целое подразделение специально обученных людей. Впрочем, крупные компании также периодически страдают от подобных атак.
И ещё один любопытный факт: в Cybersecurity Ventures отмечают, что ущерб от программ-вымогателей в ближайшие годы может составить до 6 триллионов долларов ежегодно.
Все эти данные должны насторожить каждого владельца онлайн бизнеса и заставить серьёзно отнестись к подобным угрозам. Но о профилактике мы уже рассказывали выше, а если атака уже случилась?
Что делать, если вы стали жертвой Ransomware
Основной шаг по налаживанию нормальной работы организации после атаки программ-вымогателей — восстановление систем из резервных копий. Однако восстановление всех систем может занять несколько дней, а изменения, внесенные с момента последней резервной копии перед атакой, будут утеряны. Выясните, когда ваши данные были повреждены, чтобы убедиться, что вы восстанавливаете их из нетронутого вирусом экземпляра резервной копии.
В некоторых случаях возможно восстановить файлы в отдельных системах с помощью встроенной службы управления версиями файлов. Такой подход сохраняет историю версий всех файлов на диске и позволяет «уйти в прошлое», чтобы восстановить их до незашифрованного состояния. Но, поскольку свежие варианты программ-вымогателей позволяют блокировать эту возможность, этот способ может не сработать.
В некоторых вариантах Ransomware процесс шифрования реализован неграмотно, что даёт возможность восстановить данные. Если в способе генерации ключа шифрования есть ошибка, есть шанс получить ключ дешифрования из временной метки файла. Поставщики систем безопасности выпускают инструменты расшифровки, которые автоматически генерируют ключи и расшифровывают файлы для взломанных программ-вымогателей.
И напоследок ещё один вариант, идти на который не хочется никому по понятным причинам. Вопрос тут заключается в том, может ли организация вернуться к нормальной работе, уступив требованиям преступников и заплатив выкуп? В некоторых случаях это может показаться единственным способом предотвратить банкротство компании. И, в конце концов, 99% всех платежей злоумышленникам приводят к получению необходимого ключа дешифрования и восстановлению всех данных.
Но имейте в виду, что плата преступникам поощряет их действия, делая вероятными и будущие атаки. Кроме того, нет никакой гарантии, что выплата выкупа приведёт к расшифровке всех (или вообще каких-либо) файлов и возвращению к нормальной работе. А ещё расшифровка идет медленно, и во многих случаях получается лишь частично, часть повреждённых данных часто восстановить не удаётся. Учтите эти моменты и постарайтесь не допускать таких атак в будущем — проводить профилактику гораздо проще, чем разбираться с последствиями.
НЛО прилетело и оставило здесь промокод для читателей нашего блога:— 15% на все тарифы VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.