Защита от программ-вымогателей: обнаружение атак и реагирование на них

Программа-вымогатель — это вредоносное программное обеспечение, которое блокирует доступ к компьютерной системе или хранящимся в ней данным до тех пор, пока жертва не переведет злоумышленнику указанный платеж. В 2022 году во всем мире было совершено 493,33 миллиона атак с использованием программ-вымогателей, что сделало программы-вымогатели одной из самых серьезных киберугроз, с которыми сегодня сталкивается бизнес. В этом руководстве мы обсудим распространенные атаки программ-вымогателей и способы защиты от них.

Если вас беспокоят программы-вымогатели, защитите свои данные с помощью Veeam Ransomware Protection уже сегодня.

Программы-вымогатели — растущая угроза для современного бизнеса Казахстана

Атаки программ-вымогателей сейчас настолько распространены, что большинство людей уже имеют хотя бы базовое представление о том, что такое программы-вымогатели, но они могут не до конца понимать, как они работают и почему они настолько серьезны.

Согласно отчету «Экономические и социальные издержки преступности в Великобритании», общий ущерб от киберпреступности только в Великобритании измеряется « миллиардами».  В глобальном масштабе стоимость атак с использованием программ-вымогателей, по прогнозам, к 2031 году достигнет 265 миллиардов долларов.

Хотя некоторым жертвам программ-вымогателей посчастливилось расшифровать свои данные, в дикой природе существует множество разновидностей программ-вымогателей, для которых недоступны дешифраторы, а это означает, что организация должна восстанавливать резервные копии, чтобы оправиться от атаки.

Если у вас нет резервных копий или их резервные копии также подверглись атаке, затраты в виде потери данных и времени для бизнеса могут быть серьезными.

В нашем отчете о тенденциях в области программ-вымогателей за 2023 год показано, насколько серьезными могут быть атаки программ-вымогателей для некоторых организаций.

Понимание защиты от программ-вымогателей

Защита от программ-вымогателей требует применения различных стратегий. Он начинается с базовых передовых методов кибербезопасности и предполагает использование более целенаправленных стратегий и технологий для обнаружения атак программ-вымогателей и реагирования на них, в том числе уже существующих.

Традиционные межсетевые экраны и антивирусное программное обеспечение могут предотвратить некоторые атаки, а обучение всех ваших сотрудников тому, как выявлять фишинговые электронные письма, вредоносные веб-сайты и потенциально опасные исполняемые файлы, может иметь большое значение для предотвращения атак. Однако современные инструменты защиты от программ-вымогателей могут пойти еще дальше, отслеживая сетевую активность и активность файловой системы для выявления признаков атаки, таких как необычные модели связи или активность доступа к файлам/шифрования.

Сетевые администраторы могут применять ряд средств безопасности и ИТ-инструментов для защиты от программ-вымогателей. Защита конечных точек, системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) могут сочетаться с методами анализа на основе поведения для быстрого обнаружения атак и минимизации любого ущерба.

Каждой из этих стратегий по отдельности вряд ли будет достаточно для защиты корпоративной ИТ-системы от программ-вымогателей. Комбинируя методы защиты, пассивное сканирование и меры превентивной защиты, можно уменьшить поверхность атаки и повысить вероятность успеха любых мер по исправлению положения в случае, если атака все же произойдет.

Последним уровнем защиты является система резервного копирования.

Ключевые компоненты защиты от программ-вымогателей

Эффективная защита от программ-вымогателей требует многостороннего подхода.

Сетевая безопасность и мониторинг

Межсетевые экраны и системы обнаружения вторжений (IDS) являются первой линией защиты от различных атак, а не только от программ-вымогателей. Брандмауэр сканирует входящую и исходящую сетевую активность и блокирует соединения, которые он считает несанкционированными.

Несанкционированной деятельностью может быть сканирование портов, когда злоумышленник пытается подключиться к случайным портам, чтобы выяснить, какие службы работают на сервере. В качестве альтернативы это может быть злоумышленник, пытающийся войти на сервер с помощью грубой силы или просто выполнить атаку отказа в обслуживании на сервере, отправив огромное количество запросов в быстрой последовательности.

Системы обнаружения вторжений похожи на брандмауэры в том смысле, что они также обнаруживают вредоносную активность. Затем эти инструменты выполняют действия на основе набора предопределенных правил. Например, они могут запускать другие инструменты или предупреждать системного администратора, чтобы он мог проанализировать проблему и вмешаться вручную.

Защита от программ-вымогателей — это гонка вооружений, и невозможно полагаться исключительно на статические правила и определения вредоносных программ. Даже эвристическое сканирование вирусов не гарантирует выявление всего вредоносного кода. Поэтому важно использовать мониторинг в реальном времени и поведенческий анализ для выявления изменений в активности ваших систем. Использование этой формы мониторинга увеличивает вероятность обнаружения подозрительной активности. 

Например, мониторинг в реальном времени может отслеживать большое количество файлов, к которым осуществляется доступ или которые изменяются за короткий период времени. Он также может обнаружить, что файлы, которые долгое время не использовались, внезапно открываются. Даже если выяснится, что эта деятельность не является программой-вымогателем, это может быть другая проблема безопасности, например внутренняя угроза.

Реагирование на инциденты и восстановление

Инструменты безопасности — это лишь одна часть уравнения. Даже при наличии сложных инструментов по-прежнему существует риск нарушения безопасности, и наличие четкого и эффективного плана реагирования на инциденты жизненно важно для минимизации ущерба в случае атаки.

План реагирования на инциденты, связанные с программами-вымогателями, включает в себя несколько этапов:

• Определите, какие системы затронуты.
• По возможности отключите устройства от сети.
• При необходимости отключите поврежденное оборудование.
• Просмотрите системные журналы, чтобы определить, как произошла атака.
• Определите программу-вымогатель и определите, есть ли в системе какие-либо другие вредоносные программы.

В зависимости от характера атаки действия, которые вам нужно выполнить, могут различаться.

Администраторы должны взвесить потенциальную стоимость включения зараженных устройств (и, следовательно, продолжения атаки) и выключения системы и потери любых доказательств, хранящихся в энергозависимой памяти.

Если доступны последние резервные копии и известно, что они защищены/изолированы от программ-вымогателей, возможно, имеет смысл оставить зараженные системы включенными, но отключить их от любых подключений Wi-Fi или локальной сети для их анализа.

Восстановление данных — это лишь одна часть уравнения. В идеале атаку следует быстро локализовать, чтобы предотвратить ее распространение. Во многих случаях программы-вымогатели получают доступ к сети посредством чего-то вроде целенаправленной фишинговой атаки на ноутбук сотрудника, а оттуда вредоносное программное обеспечение распространяется на сетевые диски и другие системы в поисках всего, к чему у него есть разрешение на доступ и запись.

Быстрое выявление атаки означает, что у вредоносного ПО будет меньше времени на распространение и заражение дисков. В зависимости от первоначально зараженной системы и того, насколько хорошо настроены права доступа к файлам в сети, ущерб может быть ограничен только компьютером пользователя и несколькими некритическими общими сетевыми ресурсами.

Принятие систематического подхода к сдерживанию и восстановлению

Системные администраторы всегда должны помнить, что программы-вымогатели могут действовать по-разному. Некоторые программы-вымогатели просто шифруют файлы; другие вредоносные скрипты удалят данные жертвы через определенное время, если выкуп не будет выплачен. Существуют также особо опасные программы-вымогатели, которые сканируют файлы в поисках потенциально ценных данных и отправляют эти данные злоумышленнику, который угрожает их утечкой, если выкуп не будет выплачен.

Утечки данных такого типа могут нанести особенно серьезный ущерб любому бизнесу, поэтому важно действовать осторожно при реагировании на атаку программ-вымогателей. Вместо того, чтобы спешить с восстановлением данных, потратьте некоторое время на тщательную дезинфекцию всех зараженных систем. В зависимости от серьезности атаки может оказаться более эффективным просто стереть или пересоздать образ этих систем.

Чтобы снизить риск повторения атаки, измените все пароли вашей системы и просмотрите все правила брандмауэра, списки блокировки и существующие системы обнаружения вредоносных программ, чтобы убедиться, что они правильно обновлены и работают правильно. Проведите обучение сотрудников методам фишинга и атак социальной инженерии.

Убедившись, что вредоносное ПО полностью удалено из вашей сети, вы можете начать процесс восстановления важных данных из резервных копий. Обязательно сканируйте сами резервные копии перед их восстановлением, чтобы убедиться, что они не заражены. Если инфекция была подхвачена быстро, это маловероятно. Однако если вы выполняете частое резервное копирование, возможно, ваша последняя резервная копия заражена, и вместо этого вам необходимо восстановить одну из старых «холодных» или «внешних» резервных копий.

Как избежать выплаты выкупа

Хотя было несколько громких примеров, когда злоумышленники-вымогатели нацеливались на крупные организации и требовали от них огромные суммы денег, большинство атак с использованием программ-вымогателей носят оппортунистический характер. Злоумышленники часто просят меньшие суммы, от 700 до 1500 долларов, предполагая, что, если они сделают выкуп относительно доступным, жертва с большей вероятностью заплатит его, потому что они просто хотят вернуть свои файлы как можно быстрее.

Наиболее частыми способами оплаты программ-вымогателей являются такие криптовалюты, как Bitcoin, Litecoin или даже Dogecoin. Эти токены выбраны потому, что они широко доступны на основных биржах, поэтому жертвам должно быть легко их приобрести. Злоумышленникам также легко использовать «тумблеры», чтобы запутать историю полученных ими монет, что упрощает конвертацию этих монет в реальные деньги в дальнейшем.

Плата за атаку с помощью программы-вымогателя может быть заманчивым вариантом для ограниченного во времени владельца бизнеса, который сталкивается с этим ужасным экраном блокировки на своем компьютере. Однако, прежде чем выбирать между восстановлением данных и простой оплатой, важно учитывать влияние каждого выбора. Единственная гарантия того, что заплатив выкуп, вы вернете свои данные, — это обещание разработчика программы-вымогателя — человека, который достаточно неэтичен, чтобы выбрать такой способ зарабатывания денег. Кроме того, даже если вы вернете свои данные, нет никакой гарантии, что оставшееся вредоносное ПО не будет использовано для заражения вас чем-то еще в будущем, если вы не продезинфицировали свои системы.

Еще одна вещь, которую следует учитывать, — это этические проблемы, связанные с оплатой программ-вымогателей. Криптовалюты часто используются для финансирования наркотиков, отмывания денег, торговли людьми и террористической деятельности. Покупая криптовалюту, вы косвенно поддерживаете такую ​​деятельность, а выплата выкупа также является вознаграждением за киберпреступность.

В некоторых частях мира оплата программ-вымогателей на самом деле может быть незаконной, поскольку это может повлечь за собой оплату организации, которая является объектом финансовых санкций. Это справедливо не для каждой страны, но об этом следует знать. Если вы стали жертвой атаки программы-вымогателя и планируете заплатить выкуп, прежде чем делать это, обратитесь за юридической консультацией.

Постоянное совершенствование и обучение

Легко почувствовать себя неловко, если ваша организация стала жертвой атаки программы-вымогателя. Вам может быть интересно, как это произошло и можно ли было что-то сделать, чтобы это предотвратить. Всегда помните, что жертвами киберпреступлений становятся даже огромные организации со специализированными ИТ-командами и большими бюджетами. Постарайтесь извлечь уроки из инцидента и разработать новые стратегии борьбы с программами-вымогателями.

Если вы можете сделать это, не нарушая соглашения о неразглашении и не разглашая корпоративные данные, сообщите об атаке публично и помогите другим извлечь из нее уроки. Поделитесь информацией о том, что пошло не так, и начните обсуждение того, как вы (и другие) можете лучше защитить себя. 

Другой возможный вариант — провести смоделированные учения по работе с программами-вымогателями, чтобы проверить вашу готовность и определить области, где людям может потребоваться дополнительное обучение или где не хватает вашей IDS или других систем.

Взаимосвязь с другими аспектами защиты от программ-вымогателей

Здесь мы сосредоточились в первую очередь на защите от программ-вымогателей, но есть и другие связанные с этим проблемы:

• В первую очередь предотвращение атак
• Реагирование на атаки, если они выявлены
• Восстановление данных после атаки

Все это в совокупности образует эффективную стратегию борьбы с программами-вымогателями. Между ними много совпадений. Хорошая стратегия защиты от программ-вымогателей может использовать инструменты, аналогичные средствам предотвращения программ-вымогателей, и часть вашей стратегии защиты от программ-вымогателей будет включать в себя наличие плана быстрого реагирования в космосе. Однако стоит разработать каждую стратегию индивидуально, чтобы вы могли быть уверены, что у вас есть надежные системы безопасности и резервного копирования.

Укрепление защиты вашей организации от программ-вымогателей

Если ваша организация обеспокоена потенциальным воздействием программ-вымогателей, воспользуйтесь этой возможностью, чтобы пересмотреть свою стратегию защиты.

Создание комплексной стратегии

Просмотрите существующие меры кибербезопасности и проведите полный аудит безопасности.

Рассмотрите возможность моделирования инцидентов, чтобы выявить потенциальные дыры в вашей безопасности. 

После этого анализа составьте план, который объединяет профилактику, защиту, оборону и реагирование, чтобы охватить все возможные непредвиденные обстоятельства. Не просто копируйте чужой план; Обязательно адаптируйте план к конкретным потребностям вашей организации.

Использование технологий и сотрудничества

Программы-вымогатели сегодня являются настолько распространенной проблемой, что существует множество инструментов для мониторинга и обнаружения вторжений, а также анализа угроз. Не пытайтесь сделать свои собственные инструменты. Воспользуйтесь преимуществами уже имеющегося опыта и сотрудничайте с другими представителями отрасли. Вместе мы сможем победить программы-вымогатели.

Программы-вымогатели не различают

Программы-вымогатели — это вездесущая, оппортунистическая угроза. Вероятность заражения отдельного домашнего пользователя так же велика, как и для транснациональной корпорации. Вот почему так важно для тех, кто заботится о защите своих данных, проявлять инициативу в отношении защиты от программ-вымогателей.

Разработав многогранную стратегию защиты от программ-вымогателей, сочетающую в себе предотвращение, защиту, реагирование и восстановление, можно создать устойчивую структуру кибербезопасности, которая сможет эффективно бороться с постоянно меняющимся ландшафтом угроз, связанных с атаками программ-вымогателей.