Ransomware қорғанысы: шабуылдарды анықтау және оларға жауап беру

Ransomware - жәбірленуші шабуылдаушыға белгілі бір төлем жасағанша компьютер жүйесіне немесе онда сақталған деректерге кіруді блоктайтын зиянды бағдарламалық құрал. 2022 жылы дүние жүзінде 493,33 миллион төлемдік бағдарламалық қамтамасыз ету шабуылы болды, бұл төлемді бағдарламалық қамтамасыз етуді бүгінгі күні бизнес алдында тұрған ең маңызды киберқауіптердің біріне айналдырды. Бұл нұсқаулықта біз жалпы төлемдік бағдарлама шабуылдарын және олардан қалай қорғау керектігін талқылаймыз.

Төлемді бағдарламалық қамтамасыз ету туралы алаңдасаңыз, бүгін Veeam Ransomware Protection көмегімен деректеріңізді қорғаңыз.

Ransomware қазіргі заманғы бизнес үшін өсіп келе жатқан қауіп болып табылады

Ransomware шабуылдарының жиі кездесетіні сонша, адамдардың көпшілігі төлемдік бағдарламалық құралдың не екенін түсінеді, бірақ олар оның қалай жұмыс істейтінін немесе оның неге соншалықты маңызды екенін толық түсінбеуі мүмкін. Ұлыбританиядағы қылмыстың экономикалық және әлеуметтік құны есебіне сәйкес, тек Ұлыбританиядағы киберқылмыстың жалпы құны «миллиардтаған» болып табылады. Дүние жүзінде төлемдік бағдарлама шабуылдарының құны 2031 жылға қарай 265 миллиард долларға жетеді деп болжануда.

Кейбір төлемдік бағдарламалық жасақтаманың құрбандары өздерінің деректерін шифрдан шығару бақытына ие болғанымен, табиғатта шифрлеушілер қол жетімді емес көптеген төлемдік бағдарламалық құрал нұсқалары бар, яғни ұйым шабуылдан қалпына келтіру үшін сақтық көшірмелерді қалпына келтіруі керек. Егер олардың сақтық көшірмелері болмаса немесе олардың сақтық көшірмелеріне де шабуыл жасалса, деректердің жоғалуы мен уақытына байланысты бизнестің құны ауыр болуы мүмкін. Біздің 2023 жылғы Ransomware трендтері туралы есебіміз кейбір ұйымдар үшін төлемдік бағдарлама шабуылдарының қаншалықты ауыр болуы мүмкін екенін көрсетеді.

Төлемді бағдарламалық құралдан қорғауды түсіну

Төлемдік бағдарламадан қорғау әртүрлі стратегияларды қажет етеді. Ол киберқауіпсіздіктің негізгі тәжірибелерінен басталады және төлемдік бағдарламалық жасақтама шабуылдарын, соның ішінде барларын анықтау және оларға жауап беру үшін көбірек мақсатты стратегиялар мен технологияларды пайдаланады.

Дәстүрлі желіаралық қалқандар мен антивирустық бағдарламалық қамтамасыз ету кейбір шабуылдардың алдын алады және барлық қызметкерлерді фишингтік электрондық пошталарды, зиянды веб-сайттарды және ықтимал қауіпті орындалатын файлдарды анықтауға үйрету шабуылдардың алдын алуда ұзақ жолды өтуі мүмкін. Дегенмен, қазіргі заманғы анти-қаржы құралдары желі мен файлдық жүйенің белсенділігін бақылау арқылы әдеттен тыс байланыс үлгілері немесе файлға кіру/шифрлау әрекеті сияқты шабуыл белгілерін анықтау арқылы одан әрі алға жылжи алады.

Желі әкімшілері төлемдік бағдарламадан қорғау үшін бірқатар қауіпсіздік және АТ құралдарын пайдалана алады. Соңғы нүктеден қорғау, шабуылды анықтау жүйелері (IDS) және енуді болдырмау жүйелерін (IPS) шабуылдарды жылдам анықтау және кез келген залалды азайту үшін мінез-құлыққа негізделген аналитикамен біріктіруге болады.

Бұл стратегиялардың әрқайсысы корпоративтік АТ жүйесін төлемдік бағдарламалық құралдан қорғау үшін жеткілікті болуы екіталай. Қорғаныс әдістерін, пассивті сканерлеуді және алдын алу қорғаныс шараларын біріктіру арқылы шабуылдың бетін азайтуға болады және шабуыл орын алған жағдайда кез келген түзету шараларының сәтті болуы ықтимал.

Ransomware қорғанысының негізгі компоненттері

Қарсылық бағдарламалық құралды тиімді қорғау көп қырлы тәсілді қажет етеді.

Желінің қауіпсіздігі және мониторингі

Брандмауэрлер мен шабуылдарды анықтау жүйелері (IDS) тек төлемдік бағдарлама емес, әртүрлі шабуылдардан қорғаныстың бірінші желісі болып табылады. Брандмауэр кіріс және шығыс желі әрекетін сканерлейді және рұқсат етілмеген деп санайтын қосылымдарды блоктайды.

Рұқсат етілмеген әрекет портты сканерлеу болуы мүмкін, мұнда шабуылдаушы серверде қандай қызметтер жұмыс істеп тұрғанын білу үшін кездейсоқ порттарға қосылуға тырысады. Сондай-ақ, бұл шабуылдаушы қатал күш қолдану арқылы серверге кіруге әрекеттенуі немесе жылдам ретімен көптеген сұрауларды жіберу арқылы серверге қызмет көрсетуден бас тарту шабуылын жасауы мүмкін.

Шабуылдарды анықтау жүйелері брандмауэрлерге ұқсас, өйткені олар зиянды әрекетті де анықтайды. Содан кейін бұл құралдар алдын ала анықталған ережелер жиынтығына негізделген әрекеттерді орындайды. Мысалы, олар мәселені талдап, қолмен араласуы үшін басқа құралдарды іске қоса алады немесе жүйе әкімшісіне ескертеді.

Ransomware қорғау - бұл қару жарысы және тек статикалық ережелер мен зиянды бағдарлама анықтамаларына сену мүмкін емес. Тіпті эвристикалық вирустарды сканерлеу барлық зиянды кодтарды анықтауға кепілдік бермейді. Сондықтан жүйелеріңіздің әрекетіндегі өзгерістерді анықтау үшін нақты уақыттағы мониторинг пен мінез-құлық талдауын пайдалану маңызды. Бақылаудың бұл түрін пайдалану күдікті әрекетті анықтау ықтималдығын арттырады. 

Мысалы, нақты уақыттағы мониторинг қысқа уақыт ішінде қол жеткізілетін немесе өзгертілген файлдардың үлкен санын бақылай алады. Сондай-ақ ол ұзақ уақыт бойы пайдаланылмаған файлдардың кенеттен ашылғанын анықтауы мүмкін. Әрекет төлемдік бағдарлама болып табылмаса да, бұл инсайдерлік қауіп сияқты басқа қауіпсіздік мәселесі болуы мүмкін.

Оқиғаға жауап беру және қалпына келтіру

Қауіпсіздік құралдары теңдеудің бір бөлігі ғана. Күрделі құралдардың өзінде қауіпсіздіктің бұзылу қаупі әлі де бар және оқиғаға нақты және тиімді әрекет ету жоспарының болуы шабуыл кезіндегі зиянды азайту үшін өте маңызды.

Төлемді бағдарламалық қамтамасыз ету оқиғасына әрекет ету жоспары бірнеше қадамдарды қамтиды:

• Қандай жүйелерге әсер ететінін анықтаңыз.
• Мүмкін болса, құрылғыларды желіден ажыратыңыз.
• Қажет болса, зақымдалған жабдықты ажыратыңыз.
• Шабуылдың қалай болғанын анықтау үшін жүйе журналдарын қарап шығыңыз.
• Төлемдік бағдарламалық құралды анықтаңыз және жүйеде басқа зиянды бағдарламаның бар-жоғын анықтаңыз.

Шабуылдың сипатына байланысты сізге қажет қадамдар әртүрлі болуы мүмкін. 

Әкімшілер вирус жұққан құрылғыларды қосудың (демек, шабуылды жалғастырудың) әлеуетті құнын жүйені өшіруге және тұрақсыз жадта сақталған кез келген дәлелді жоғалтуға қарсы өлшеуі керек.

Егер соңғы сақтық көшірмелер қол жетімді болса және төлемдік бағдарламадан қорғалған/оқшауланғаны белгілі болса, вирус жұққан жүйелерді жұмыс істеп тұрған күйде қалдыру, бірақ оларды талдау үшін оларды кез келген Wi-Fi немесе LAN қосылымдарынан ажырату мағынасы бар.

Деректерді қалпына келтіру теңдеудің бір бөлігі ғана. Ең дұрысы, оның таралуына жол бермеу үшін шабуылды тез тоқтату керек. Көптеген жағдайларда төлемдік бағдарламалық құрал желіге қызметкердің ноутбугіне мақсатты фишингтік шабуыл жасау арқылы қол жеткізеді және сол жерден зиянды бағдарлама желілік дискілерге және басқа жүйелерге таралып, кіруге және жазуға рұқсаты бар кез келген нәрсені іздейді.

Шабуылды жылдам анықтау зиянды бағдарламаның дискілерді таратуға және жұқтыруға аз уақытын білдіреді. Бастапқыда вирус жұққан жүйеге және желілік файл рұқсаттары қаншалықты жақсы конфигурацияланғанына байланысты, зақымдану тек пайдаланушының компьютерімен және бірнеше маңызды емес желі бөлісулерімен шектелуі мүмкін.

Тоқтау мен қалпына келтірудің жүйелі тәсілін қабылдау

Жүйе әкімшілері төлемдік бағдарламалық құрал әртүрлі тәсілдермен әрекет ете алатынын әрқашан есте ұстауы керек. Кейбір төлемдік бағдарламалар файлдарды шифрлайды; Төлем төленбесе, басқа зиянды сценарийлер белгілі бір уақыттан кейін жәбірленушінің деректерін жояды. Сондай-ақ ықтимал құнды деректер үшін файлдарды сканерлейтін және төлем төленбесе, оны ағып кету қаупін төндіретін шабуылдаушыға жіберетін өте қауіпті төлемдік бағдарламалық қамтамасыз ету бағдарламалары бар.

Деректерді бұзудың бұл түрлері кез келген бизнеске ерекше зиян келтіруі мүмкін, сондықтан төлемдік бағдарлама шабуылына жауап беру кезінде мұқият әрекет ету маңызды. Деректерді қалпына келтіруге асықпаудың орнына, барлық вирус жұққан жүйелерді мұқият дезинфекциялауға уақыт бөліңіз. Шабуылдың ауырлығына байланысты бұл жүйелерді жай сүрту немесе қайта кескіндеу тиімдірек болуы мүмкін.

Қайталанатын шабуыл қаупін азайту үшін жүйенің барлық құпия сөздерін өзгертіңіз және олардың дұрыс жаңартылып, дұрыс жұмыс істеп тұрғанына көз жеткізу үшін барлық желіаралық қалқан ережелерін, блоктау тізімдерін және бар зиянды бағдарламаларды анықтау жүйелерін қарап шығыңыз. Қызметкерлерді фишинг және әлеуметтік инженерлік шабуылдарға үйретіңіз.

Зиянды бағдарламаның желіңізден толығымен жойылғанына көз жеткізгеннен кейін, сақтық көшірмелерден маңызды деректеріңізді қалпына келтіру процесін бастауға болады. Сақтық көшірмелерді қалпына келтірмес бұрын олардың вирус жұқтырмағанына көз жеткізу үшін оларды сканерлеуді ұмытпаңыз. Егер инфекция тез жұқтырылған болса, бұл екіталай. Дегенмен, сақтық көшірмелерді жиі орындасаңыз, соңғы сақтық көшірмеңіз вирус жұқтырған болуы мүмкін және оның орнына ескі «суық» немесе «сыртқы» сақтық көшірмелердің бірін қалпына келтіру қажет.

Төлемді төлеуден қалай құтылуға болады

Төлемдік бағдарламалық жасақтама шабуылдаушыларының ірі ұйымдарды нысанаға алып, олардан қомақты ақша талап етуінің кейбір танымал мысалдары болғанымен, төлемдік бағдарламалық жасақтама шабуылдарының көпшілігі оппортунистік сипатта болады. Шабуыл жасаушылар көбіне 700 доллардан 1500 долларға дейін азырақ соманы сұрайды, егер олар төлемді салыстырмалы түрде қолжетімді етсе, жәбірленушінің оны төлеу ықтималдығы жоғары болады, өйткені олар файлдарын мүмкіндігінше тезірек қайтарғысы келеді.

Ransomware үшін ең көп таралған төлем әдістері - Bitcoin, Litecoin немесе тіпті Dogecoin сияқты криптовалюталар. Бұл таңбалауыштар ірі биржаларда кеңінен қолжетімді болғандықтан таңдалды, сондықтан оларды құрбандар сатып алу оңай болуы керек. Сондай-ақ шабуылдаушылар алған монеталардың тарихын жасыру үшін «қосқыштарды» пайдалану оңай, бұл монеталарды кейін нақты ақшаға айырбастауды жеңілдетеді.

Ransomware шабуылына ақы төлеу компьютерінде қорқынышты құлыптау экранына тап болған уақытты тартқан бизнес иесі үшін қызықты нұсқа болуы мүмкін. Дегенмен, деректерді қалпына келтіру мен қарапайым төлем арасында таңдау жасамас бұрын, әрбір таңдаудың әсерін ескеру маңызды. Төлемді төлесеңіз, деректеріңізді қайтарып алатыныңыздың жалғыз кепілі - ақша табудың осы әдісін таңдауға әдепсіз адам — төлемдік бағдарламалық құрал әзірлеушісінің уәдесі. Оған қоса, деректеріңізді қайтарып алсаңыз да, жүйеңізді зарарсыздандырмайынша, қалған зиянды бағдарлама болашақта сізге басқа бірдеңені жұқтыру үшін пайдаланылмайтынына кепілдік жоқ.

Тағы бір ескеретін нәрсе - төлемдік бағдарламалық құралды төлеуге қатысты этикалық мәселелер. Криптовалюталар көбінесе есірткіні, ақшаны жылыстатуды, адам саудасын және лаңкестік әрекеттерді қаржыландыру үшін қолданылады. Криптовалюта сатып алу арқылы сіз осындай әрекеттерді жанама түрде қолдайсыз, ал төлемді төлеу де киберқылмыс үшін сыйақы болып табылады.

Әлемнің кейбір бөліктерінде төлемдік бағдарламалық қамтамасыз ету үшін төлеу іс жүзінде заңсыз болуы мүмкін, себебі ол қаржылық санкциялардың нысанасы болып табылатын ұйымға төлеуді қамтуы мүмкін. Бұл әр ел үшін дұрыс емес, бірақ бұл туралы білу керек. Егер сіз төлемдік бағдарламалық құрал шабуылының құрбаны болсаңыз және төлемді төлеуді жоспарласаңыз, мұны жасамас бұрын заңгерлік кеңес сұраңыз.

Үздіксіз жетілдіру және оқу

Ұйымыңыз төлемдік бағдарлама шабуылының құрбаны болса, өзіңізді жайсыз сезіну оңай. Сіз бұл қалай болды және оны болдырмау үшін бірдеңе істеуге болады ма деген сұрақ туындауы мүмкін. Мамандандырылған IT топтары мен үлкен бюджеті бар үлкен ұйымдардың да киберқылмыстың құрбаны болатынын әрқашан есте сақтаңыз. Оқиғадан сабақ алуға және төлемдік бағдарламамен күресудің жаңа стратегияларын әзірлеуге тырысыңыз.

Егер сіз мұны жария етпеу туралы келісімдерді бұзбай немесе корпоративтік деректерді ашпастан жасай алсаңыз, шабуыл туралы көпшілікке хабарлаңыз және басқаларға одан сабақ алуға көмектесіңіз. Ненің дұрыс емес екенін бөлісіңіз және сіз (және басқалар) өздерін қалай жақсырақ қорғай алатындығы туралы талқылауды бастаңыз. 

Тағы бір нұсқа - сіздің дайындығыңызды тексеру және адамдарға қосымша оқытуды қажет ететін немесе IDS немесе басқа жүйелеріңіз жетіспейтін аймақтарды анықтау үшін симуляцияланған төлем жасау жаттығуларын өткізу.

Төлемдік бағдарламалық қамтамасыз етудің басқа аспектілерімен байланысы

Біз мұнда негізінен төлемдік бағдарламалық құралдан қорғауға назар аудардық, бірақ басқа да қатысты мәселелер бар:

• Алдымен шабуылдардың алдын алу
• Шабуылға жауап беру, егер олар анықталса
• Шабуылдан кейін деректерді қалпына келтіру

Осының барлығы тиімді анти-ренсомдық стратегияны құру үшін біріктіріледі. Олардың арасында көптеген ұқсастықтар бар. Төлемді бағдарламалық құралдан қорғаудың жақсы стратегиясы төлемдік бағдарламалық құралдың алдын алуға ұқсас құралдарды пайдалана алады және сіздің төлемдік бағдарламалық құралдан қорғау стратегияңыздың бір бөлігі жылдам әрекет ету жоспарының болуын қамтиды. Дегенмен, сізде күшті қауіпсіздік және сақтық көшірме жүйелері бар екеніне сенімді болу үшін әрбір стратегияны жеке әзірлеген жөн.

Ұйымыңыздың төлемдік бағдарламадан қорғанысын күшейтіңіз

Егер сіздің ұйымыңыз төлем бағдарламасының ықтимал әсері туралы алаңдаса, қорғаныс стратегияңызды қарап шығу үшін осы мүмкіндікті пайдаланыңыз.

Кешенді стратегияны құру

Қолданыстағы киберқауіпсіздік шараларын қарап шығыңыз және толық қауіпсіздік аудитін жүргізіңіз. Қауіпсіздіктегі ықтимал саңылауларды анықтау үшін оқиғаны модельдеуді қарастырыңыз. 

Осы талдаудан кейін барлық ықтимал күтпеген жағдайларды қамту үшін алдын алу, қорғау, қорғаныс және әрекет етуді біріктіретін жоспар жасаңыз. Басқа біреудің жоспарын көшіріп алмаңыз; Жоспарыңызды ұйымыңыздың нақты қажеттіліктеріне сәйкестендіруді ұмытпаңыз.

Технология мен ынтымақтастықты пайдалану

Ransomware бүгінгі күні кең таралған мәселе болғандықтан, бақылауға, шабуылды анықтауға және қауіпті талдауға арналған көптеген құралдар бар. Өз аспаптарыңызды жасауға тырыспаңыз. Бар тәжірибеңізді пайдаланыңыз және саладағы басқалармен ынтымақтастықта болыңыз. Біз бірге төлем бағдарламалық құралын жеңе аламыз.

Ransomware дискриминация жасамайды

Ransomware - бұл әрқашан болатын, оппортунистік қауіп. Жеке үй пайдаланушысы трансұлттық корпорация сияқты жұқтырылуы мүмкін. Сондықтан өз деректерін қорғауға мүдделі адамдар төлемдік бағдарламалық құралды қорғауға келгенде белсенді болуы өте маңызды.

Алдын алуды, қорғауды, жауап беруді және қалпына келтіруді біріктіретін көп қырлы төлемді бағдарламалық қамтамасыз етуден қорғау стратегиясын әзірлеу арқылы сіз төлемдік бағдарлама шабуылдарымен байланысты үнемі өзгеріп отыратын қауіп ландшафтымен тиімді күресе алатын икемді киберқауіпсіздік жүйесін жасай аласыз.

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.