Защита организации от Ransomware
Как злоумышленники обходят решения безопасности вашей организации?
Возможно, вы удивитесь, узнав, что практически все известные антивирусные продукты на рынке могут остановить атаку большинства программ-вымогателей (Ransomware). Исключением являются Free-антивирусы, имеющие ограниченный функционал. Большинство создателей и распространителей Ransomware даже не пытаются скрыть свои программы-вымогатели с помощью обфускации или упаковки, что делает обнаружение довольно простым для хороших антивирусных решений.
Почему же тогда множество организаций по-прежнему становятся жертвами программ-вымогателей? Проблема даже не в возможностях вашего антивирусного ПО и не в программах-вымогателях, сколько в том, что злоумышленники могут сделать после компрометации вашей сети. Здесь мы расскажем, как именно злоумышленники обходят ваши решения безопасности, что происходит во время атаки после взлома и что вы можете сделать для защиты своей сети.
Переход к развёртыванию после компрометации
Ранее хакеры-вымогатели применяли для атаки раздельный подход. Они использовали спам-кампании, взламывали вебсайты и внедряли наборы эксплойтов, чтобы распространить Ransomware на большее количество целей, и требовали относительно небольшой трехзначный выкуп за расшифровку файлов. Это была игра количества, а не качества, и злоумышленники не тратили много времени на исследование сетей жертв перед развертыванием своих программ-вымогателей. Атака была скоротечной, вымогатели получали выкуп и исчезали, меняли дислокацию и начинали новую вредоносную кампанию.
Однако за последнюю пару лет ситуация сильно изменилась, потому что злоумышленники перешли к более избирательным и изощренным атакам после компрометации. Хотя методы распространения в основном остались прежними (наряду с ростом числа атак на основе RDP) злоумышленники теперь тратят больше времени на сбор информации о целевой сети перед развертыванием пейлоадов ("полезных нагрузок") Ransomware. Из отчета FireEye, компании исследующей угрозы, среднее время ожидания действия Ransomware, определяемое как интервал времени между взломом и обнаружением, составляет 56 дней.
Тщательная разведка позволяет злоумышленникам максимально увеличить отдачу от атаки и поднять сумму выкупа. Для этого в следующие 56 дней они выполняют следующие действия:
- изучают скомпрометированную сеть, чтобы узнать, какие серверы и рабочие станции задействовать для максимального воздействия;
- внедряют вредоносное ПО, которое позволяет злоумышленникам связываться с зараженными машинами и управлять ими удаленно;
- незаметно собирают учетные данные и повышают их привилегии для горизонтального перемещения на другие машины в сети;
- изучают процессы безопасности, чтобы после повышения привилегий максимально быстро и надежно их деактивировать;
- извлекают корпоративные данные, которые могут быть использованы для вымогательства или продажи на чёрном рынке;
- выясняют, какие механизмы резервного копирования используются и как во время атаки уничтожить все резервные копии.
Важно отметить, что атаки после компрометации также позволяют злоумышленникам оценить систему безопасности цели и отключить нужные процессы до того, как будет доставлена "полезная нагрузка" Ransomware. Получив повышенные привилегии, злоумышленники могут отключить процессы безопасности с помощью централизованной панели управления продукта безопасности или просто занести в белый список исполняемые файлы Ransomware, гарантируя, что окончательная "полезная нагрузка" Ransomware не будет обнаружена и беспрепятственно выполнит свою задачу.
Наиболее распространенные векторы атак программ-вымогателей
Программы-вымогатели — это симптом более серьезной системной проблемы, и их следует рассматривать как популярный современный способ получения выкупа от скомпрометированных сетей, как когда-то были криптоджекинг, кража паролей и финансовое мошенничество. Имея это в виду, организациям следует сосредоточиться на обнаружении и блокировке начальной точки взлома, а не вкладывать средства в защиту от программ-вымогателей.
Необходимо уделять особое внимание наиболее распространенным векторам атак программ-вымогателей:
- слабые учетные данные для входа;
- уязвимости ОС и приложений;
- человеческие ошибки.
- Слабые учётные данные для входа являются причиной многих инцидентов с программами-вымогателями. Злоумышленники обычно используют "инструменты грубой силы" для взлома слабо защищенных соединений по протоколу удаленного рабочего стола (RDP) и получения доступа к внутренней сети организации.
- Известные уязвимости программного обеспечения часто используются злоумышленниками для получения несанкционированного доступа к сети. Программное обеспечение, облегчающее удаленный доступ, несет в себе особенно высокий уровень риска.
- Человеческие ошибки случаются потому, что злоумышленники используют методы социальной инженерии, такие как целевой фишинг, для получения доступа к корпоративным сетям. Эти типы атак направлены на то, чтобы обманом заставить пользователя открыть вредоносное вложение со встроенным макросом, который развертывает вредоносное ПО, которое позволяет злоумышленникам перейти к другим частям сети после первоначального заражения.
Защита от атак программ-вымогателей после компрометации
Организации не должны полагаться исключительно на специализированные продукты для защиты от программ-вымогателей, потому что, как вы только что узнали, программы-вымогатели не являются основной проблемой. Вместо этого организациям следует сосредоточиться на предотвращении начальной точки заражения, используя проверенные методы кибербезопасности, чтобы минимизировать риск компрометации.
Ниже приведен неполный список лучших практик кибербезопасности, которые могут помочь защитить сеть от взлома и, как следствие, от атак программ-вымогателей после компрометации.
Многофакторная аутентификация (MFA) требует, чтобы пользователи в целях безопасности применяли более одной формы аутентификации для подтверждения своей личности, что делает MFA одним из наиболее эффективных способов борьбы со скомпрометированными учетными данными. В идеале MFA следует внедрять везде, где это возможно, особенно к учетным записям администраторов, системам с выходом в Интернет и хранилищам ценных данных. Доступ к настройкам антивирусного программного обеспечения также должен быть защищен с помощью MFA, который можно легко реализовать в облачных платформах управления антивирусами, таких как Emsisoft Cloud Console.
Гигиена учетных данных рекомендуется организациям для снижения риска взлома учетных данных. Пароли, используемые в сети, должны быть длинными, уникальными и случайными. Организации также должны иметь системы для обнаружения и проверки рискованного входа в систему, например, попыток входа из новых мест, с незнакомых устройств или Tor-браузеров.
Управление исправлениями важно, т.к. злоумышленники часто используют уязвимое программное обеспечение для удаленного выполнения вредоносного кода или повышения привилегий после компрометации сети. Все организации должны иметь эффективную стратегию управления исправлениями, которая обеспечивает быстрое применение обновлений безопасности (в идеале в течение первой недели после выпуска исправления).
Укрепление системы, т.е. усиление защиты системы, полезно для уменьшения уязвимости системы и управления потенциальными уязвимостями безопасности. В зависимости от потребностей организации можно заблокировать или удалить ненужные и потенциально уязвимые службы, такие как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т.д.
Защита конечных точек от вредоносных программ в наиболее авторитетных антивирусных решениях применяется для того, чтобы надежно обнаруживать и останавливать большинство семейств программ-вымогателей. Программное обеспечение для защиты от вредоносных программ должно быть установлено и регулярно обновляться на всех конечных точках в организации.
Принцип минимальных привилегий предусматривает, что каждый пользователь должен иметь только те привилегии доступа, которые необходимы для выполнения его работы. Реализация этого принципа в сети может затруднить боковое перемещение и помешать злоумышленникам получить доступ к критически важным системам или данным после компрометации учетной записи или устройства пользователя.
Сегментация сети обеспечивает лучшую безопасность и контроль доступа, а также может помочь предотвратить несанкционированный доступ пользователей к определенным сетевым ресурсам. Если периметр будет нарушен, хорошая сегментация сети также может остановить распространение вредоносных программ по сети и помешать злоумышленникам легко переключаться с одной системы на другую.
Вывод
Современные программы-вымогатели обычно развертываются после компрометации, что позволяет злоумышленникам узнать больше о целевой системе, украсть конфиденциальные данные, отключить процессы безопасности и, в конечном итоге, максимально повысить эффективность атаки.
Снижение риска взлома также снижает риск ущерба от программ-вымогателей. Таким образом, максимально эффективный и экономичный способ смягчить атаки программ-вымогателей — это исследовать и устранять потенциальные уязвимости сети, а не вкладывать средства в защиту от программ-вымогателей.
Thanks to Jareth for the article.
MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication).
RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol).
PowerShell - технология Microsoft, активно используемая вымогателями.
ОС - операционная система, например, Windows.
ПО - программное обеспечение.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles.
