Защита организации от Ransomware

 Защита организации от Ramsomware


  Как злоумышленники обходят решения безопасности вашей организации? 

  Возможно, вы удивитесь, узнав, что практически все известные антивирусные продукты на рынке могут остановить атаку большинства программ-вымогателей (Ransomware). Исключением являются Free-антивирусы, имеющие ограниченный функционал. Большинство создателей и распространителей Ransomware даже не пытаются скрыть свои программы-вымогатели с помощью обфускации или упаковки, что делает обнаружение довольно простым для хороших антивирусных решений. 

Защита организации от вымогателей

  Почему же тогда множество организаций по-прежнему становятся жертвами программ-вымогателей? Проблема даже не в возможностях вашего антивирусного ПО и не в программах-вымогателях, сколько в том, что злоумышленники могут сделать после компрометации вашей сети. Здесь мы расскажем, как именно злоумышленники обходят ваши решения безопасности, что происходит во время атаки после взлома и что вы можете сделать для защиты своей сети. 


Переход к развёртыванию после компрометации

  Ранее хакеры-вымогатели применяли для атаки раздельный подход. Они использовали спам-кампании, взламывали вебсайты и внедряли наборы эксплойтов, чтобы распространить Ransomware на большее количество целей, и требовали относительно небольшой трехзначный выкуп за расшифровку файлов. Это была игра количества, а не качества, и злоумышленники не тратили много времени на исследование сетей жертв перед развертыванием своих программ-вымогателей. Атака была скоротечной, вымогатели получали выкуп и исчезали, меняли дислокацию и начинали новую вредоносную кампанию. 

  Однако за последнюю пару лет ситуация сильно изменилась, потому что злоумышленники перешли к более избирательным и изощренным атакам после компрометации. Хотя методы распространения в основном остались прежними (наряду с ростом числа атак на основе RDP) злоумышленники теперь тратят больше времени на сбор информации о целевой сети перед развертыванием пейлоадов ("полезных нагрузок") Ransomware. Из отчета FireEye, компании исследующей угрозы, среднее время ожидания действия Ransomware, определяемое как интервал времени между взломом и обнаружением, составляет 56 дней.


  Тщательная разведка позволяет злоумышленникам максимально увеличить отдачу от атаки и поднять сумму выкупа. Для этого в следующие 56 дней они выполняют следующие действия: 

- изучают скомпрометированную сеть, чтобы узнать, какие серверы и рабочие станции задействовать для максимального воздействия;

- внедряют вредоносное ПО, которое позволяет злоумышленникам связываться с зараженными машинами и управлять ими удаленно;

- незаметно собирают учетные данные и повышают их привилегии для горизонтального перемещения на другие машины в сети;

- изучают процессы безопасности, чтобы после повышения привилегий максимально быстро и надежно их деактивировать; 

- извлекают корпоративные данные, которые могут быть использованы для вымогательства или продажи на чёрном рынке;

- выясняют, какие механизмы резервного копирования используются и как во время атаки уничтожить все резервные копии.

  Важно отметить, что атаки после компрометации также позволяют злоумышленникам оценить систему безопасности цели и отключить нужные процессы до того, как будет доставлена "полезная нагрузка" Ransomware. Получив повышенные привилегии, злоумышленники могут отключить процессы безопасности с помощью централизованной панели управления продукта безопасности или просто занести в белый список исполняемые файлы Ransomware, гарантируя, что окончательная "полезная нагрузка" Ransomware не будет обнаружена и беспрепятственно выполнит свою задачу. 


Наиболее распространенные векторы атак программ-вымогателей

  Программы-вымогатели — это симптом более серьезной системной проблемы, и их следует рассматривать как популярный современный способ получения выкупа от скомпрометированных сетей, как когда-то были криптоджекинг, кража паролей и финансовое мошенничество. Имея это в виду, организациям следует сосредоточиться на обнаружении и блокировке начальной точки взлома, а не вкладывать средства в защиту от программ-вымогателей. 

  Необходимо уделять особое внимание наиболее распространенным векторам атак программ-вымогателей:

- слабые учетные данные для входа; 

- уязвимости ОС и приложений; 

- человеческие ошибки. 

 

- Слабые учётные данные для входа являются причиной многих инцидентов с программами-вымогателями. Злоумышленники обычно используют "инструменты грубой силы" для взлома слабо защищенных соединений по протоколу удаленного рабочего стола (RDP) и получения доступа к внутренней сети организации.

- Известные уязвимости программного обеспечения часто используются злоумышленниками для получения несанкционированного доступа к сети. Программное обеспечение, облегчающее удаленный доступ, несет в себе особенно высокий уровень риска. 

- Человеческие ошибки случаются потому, что злоумышленники используют методы социальной инженерии, такие как целевой фишинг, для получения доступа к корпоративным сетям. Эти типы атак направлены на то, чтобы обманом заставить пользователя открыть вредоносное вложение со встроенным макросом, который развертывает вредоносное ПО, которое позволяет злоумышленникам перейти к другим частям сети после первоначального заражения.


Защита от атак программ-вымогателей после компрометации

  Организации не должны полагаться исключительно на специализированные продукты для защиты от программ-вымогателей, потому что, как вы только что узнали, программы-вымогатели не являются основной проблемой. Вместо этого организациям следует сосредоточиться на предотвращении начальной точки заражения, используя проверенные методы кибербезопасности, чтобы минимизировать риск компрометации.

  Ниже приведен неполный список лучших практик кибербезопасности, которые могут помочь защитить сеть от взлома и, как следствие, от атак программ-вымогателей после компрометации.

Многофакторная аутентификация (MFA) требует, чтобы пользователи в целях безопасности применяли более одной формы аутентификации для подтверждения своей личности, что делает MFA одним из наиболее эффективных способов борьбы со скомпрометированными учетными данными. В идеале MFA следует внедрять везде, где это возможно, особенно к учетным записям администраторов, системам с выходом в Интернет и хранилищам ценных данных. Доступ к настройкам антивирусного программного обеспечения также должен быть защищен с помощью MFA, который можно легко реализовать в облачных платформах управления антивирусами, таких как Emsisoft Cloud Console.

Гигиена учетных данных рекомендуется организациям для снижения риска взлома учетных данных. Пароли, используемые в сети, должны быть длинными, уникальными и случайными. Организации также должны иметь системы для обнаружения и проверки рискованного входа в систему, например, попыток входа из новых мест, с незнакомых устройств или Tor-браузеров.

Управление исправлениями важно, т.к. злоумышленники часто используют уязвимое программное обеспечение для удаленного выполнения вредоносного кода или повышения привилегий после компрометации сети. Все организации должны иметь эффективную стратегию управления исправлениями, которая обеспечивает быстрое применение обновлений безопасности (в идеале в течение первой недели после выпуска исправления).

Укрепление системы, т.е. усиление защиты системы, полезно для уменьшения уязвимости системы и управления потенциальными уязвимостями безопасности. В зависимости от потребностей организации можно заблокировать или удалить ненужные и потенциально уязвимые службы, такие как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т.д.

Защита конечных точек от вредоносных программ в наиболее авторитетных антивирусных решениях применяется для того, чтобы надежно обнаруживать и останавливать большинство семейств программ-вымогателей. Программное обеспечение для защиты от вредоносных программ должно быть установлено и регулярно обновляться на всех конечных точках в организации.

Принцип минимальных привилегий предусматривает, что каждый пользователь должен иметь только те привилегии доступа, которые необходимы для выполнения его работы. Реализация этого принципа в сети может затруднить боковое перемещение и помешать злоумышленникам получить доступ к критически важным системам или данным после компрометации учетной записи или устройства пользователя.

Сегментация сети обеспечивает лучшую безопасность и контроль доступа, а также может помочь предотвратить несанкционированный доступ пользователей к определенным сетевым ресурсам. Если периметр будет нарушен, хорошая сегментация сети также может остановить распространение вредоносных программ по сети и помешать злоумышленникам легко переключаться с одной системы на другую.



Вывод

  Современные программы-вымогатели обычно развертываются после компрометации, что позволяет злоумышленникам узнать больше о целевой системе, украсть конфиденциальные данные, отключить процессы безопасности и, в конечном итоге, максимально повысить эффективность атаки. 

  Снижение риска взлома также снижает риск ущерба от программ-вымогателей. Таким образом, максимально эффективный и экономичный способ смягчить атаки программ-вымогателей — это исследовать и устранять потенциальные уязвимости сети, а не вкладывать средства в защиту от программ-вымогателей. 

Thanks to Jareth for the article.

MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication). 

RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol). 

PowerShell - технология Microsoft, активно используемая вымогателями. 

ОС - операционная система, например, Windows.

ПО - программное обеспечение. 

----
В благодарность за статью или в качестве поддержки сайта вы можете сделать перевод по никнейму IDRANSOMWARE на любую сумму. 
Прямая ссылка: https://qiwi.com/n/IDRANSOMWARE 
Комментарий к переводу — какой пожелаете. 

-----

Спасибо за понимание! 
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.

© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна. 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

My tweet feed

My tweet feed
My tweet feed

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *