Как это может защитить от вымогателей

Все мы знаем, что вымогатель является одним из самых разрушительных вариантов вредоносных программ там. Вы говорите о щелчке по неправильной ссылке и о том, что данные вашей организации исчезают в болоте зашифрованного бреда, или даже его серверные операционные системы (ОС) и другие важные файлы просто исчезают однажды. Вы можете заплатить выкуп, но это может быть не только дорого, но и не дает никаких гарантий, что плохие парни вернут вам ваши данные.

Когда вас бьют, ваш выбор мрачен: либо надейтесь, что вы сможете восстановить работоспособность своих систем с помощью облачных резервных копий, либо заплатите выкуп и надейтесь, что ключ дешифрования работает. Но это только если тебя ударили. Лучший выбор - не зашифровать файлы в первую очередь, или, если некоторые файлы будут поражены, предотвратить распространение атаки. Ключ в том, чтобы защитить игру вашей компании от атак.

Как избежать атаки вымогателей

Первый шаг - это то, что Израиль Барак, главный специалист по информационной безопасности (CISO) Cybereason, разработчика программного обеспечения для обнаружения и реагирования на конечные точки, называет «ИТ и гигиена безопасности». Это означает, что нужно избегать уязвимостей и фильтровать электронную почту и веб-трафик. Это также означает проведение обучения пользователей и обеспечение того, чтобы исправления для вашей ОС, приложений и продуктов безопасности были полностью обновлены.

Второй шаг - разработка стратегии обеспечения непрерывности и восстановления бизнеса. Это означает на самом деле составить план на случай, если дела пойдут плохо, вместо того, чтобы просто надеяться, что это не так. Барак сказал, что это включает в себя создание и тестирование резервных копий, знание того, как вы будете восстанавливать затронутые сервисы, знание того, где вы получите вычислительные ресурсы для восстановления, и знание того, что ваш полный план восстановления будет работать, потому что вы действительно его протестировали.

Третий шаг - установить защиту от вредоносных программ. Барак сказал, что это включает в себя защиту от проникновения вредоносных программ в вашу сеть и защиту от вредоносных программ, выполняемых в вашей системе. К счастью, большинство вредоносных программ довольно легко обнаружить, потому что авторы вредоносных программ часто делятся успешными процедурами.

Почему Ransomware отличается

К сожалению, вымогатели не похожи на другие вредоносные программы. Барак сказал, что, поскольку вымогатель ненадолго проживает на компьютере, не сложно избежать обнаружения до того, как он завершит шифрование и отправит сообщение о вымогательстве. Кроме того, в отличие от других типов вредоносных программ, вредоносная программа, которая фактически выполняет шифрование файлов, может появиться на компьютерах жертвы только за несколько минут до начала шифрования.

Два относительно недавних типа вредоносных программ - Ryuk и SamSam - внедряются в ваши системы под руководством оператора-человека. В случае с Ryuk этот оператор, вероятно, находится в Северной Корее, а SamSam - в Иране. В каждом случае атака начинается с поиска учетных данных, позволяющих войти в систему. Оказавшись там, оператор проверяет содержимое системы, решает, какие файлы следует зашифровать, повышает привилегии, ищет и деактивирует антивирусное программное обеспечение, а также ссылки на резервные копии, которые также должны быть зашифрованы, или, в некоторых случаях, деактивирует резервные копии. Затем, после нескольких месяцев подготовки, вредоносное ПО загружается и запускается; он может закончить свою работу за считанные минуты - слишком быстро, чтобы вмешался человек-оператор.

«В SamSam они не использовали обычный фишинг», - пояснил Карлос Солари, вице-президент по разработке решений для кибербезопасности Comodo Cybersecurity и бывший ИТ-директор Белого дома. «Они использовали веб-сайты и украденные учетные данные людей и использовали грубую силу, чтобы получить пароли».

Солари сказал, что эти вторжения часто не обнаруживаются, потому что вредоносное ПО не задействовано до самого конца. Но он сказал, что, если все сделано правильно, есть способы остановить атаку на этом этапе. Обычно, по его словам, преступники будут искать службы каталогов в сети и атаковать их, чтобы получить привилегии административного уровня, необходимые для подготовки к атаке. На этом этапе система обнаружения вторжений (IDS) может обнаруживать изменения и, если операторы сети знают, что искать, они могут заблокировать систему и выгнать злоумышленников.

«Если они будут обращать внимание, то поймут, что кто-то внутри», - сказал Солари. «Важно найти сведения о внутренних и внешних угрозах. Вы ищете аномалии в системе».

Как защитить себя

Для небольших компаний Solari предлагает компаниям найти Центр операций безопасности (SOC) с управляемым обнаружением и реагированием (MDR) в качестве услуги. Он добавил, что более крупные компании могут захотеть найти поставщика услуг управляемой безопасности (MSSP). Любое решение позволит следить за событиями безопасности, в том числе за подготовкой к крупной атаке вымогателей.

В дополнение к мониторингу вашей сети, важно также сделать вашу сеть так, чтобы она была как можно более неблагоприятной для преступников. По словам Адама Куджавы, директора Malwarebyte Labs, одним из важных шагов является сегментирование вашей сети, чтобы злоумышленник не мог просто перемещаться по вашей сети и иметь доступ ко всему. «Вы не должны хранить все свои данные в одном и том же месте», - сказал Куджава. «Вам нужен более глубокий уровень безопасности».

Но если окажется, что вы не обнаружили инвазивные этапы перед атакой вымогателей, тогда есть другой уровень или ответ, который определяет поведение вредоносного ПО, когда оно начинает шифровать файлы.

«Мы добавили поведенческий механизм, основанный на поведении, типичном для вымогателей», - объясняет Барак. Он сказал, что такое программное обеспечение следит за тем, что может сделать вымогатель, например зашифровывает файлы или удаляет резервные копии, а затем предпринимает действия, чтобы убить процесс, прежде чем он сможет нанести какой-либо ущерб. «Это более эффективно против никогда ранее не замеченных штаммов вымогателей».

Ранние предупреждения и защиты

Барак сказал, что для обеспечения формы раннего предупреждения Cybereason делает еще один шаг. «Что мы сделали, так это использовали механизм исключений», - сказал он. «Когда программное обеспечение Cybereason запускается на конечной точке, оно создает серию базовых файлов, которые размещаются в папках на жестком диске, которые вынуждают вымогателей пытаться сначала их зашифровать». Он сказал, что изменения в этих файлах обнаруживаются немедленно, Затем программное обеспечение Cybereason или аналогичное программное обеспечение от Malwarebytes прекратит процесс и во многих случаях контейнирует вредоносное ПО, чтобы оно не могло причинить дальнейшего ущерба.

Итак, существует несколько уровней защиты, которые могут предотвратить атаку вымогателей, и, если у вас все они работают и работают, то успешная атака должна будет следовать за серией сбоев, чтобы произойти. И вы можете остановить эти атаки в любом месте цепи.

Вы должны заплатить выкуп?

Но предположим, вы решили, что хотите заплатить выкуп и немедленно восстановить операции? «Для некоторых организаций это приемлемый вариант», - сказал Барак.

Вам нужно будет оценить стоимость прерывания бизнеса, чтобы определить, лучше ли стоимость возврата в эксплуатацию, чем стоимость восстановления, учитывая все обстоятельства. Барак сказал, что для бизнес-вымогателей «в большинстве случаев вы получаете файлы обратно».

Но Барак сказал, что, если выплата выкупа возможна, у вас есть другие соображения. «Как нам подготовиться заранее, чтобы иметь механизм для согласования стоимости возврата услуг? Как мы их оплачиваем? Как мы формируем механизм для брокерства такого типа оплаты?»

По словам Барака, почти каждая атака на вымогателей включает средства связи с злоумышленником, и большинство предприятий пытаются договориться о сделке, для которой злоумышленники обычно открыты. Например, вы можете решить, что вам нужна только часть машин, которые были зашифрованы, и просто договориться о возврате этих машин.

• Лучшая защита от вымогателей на 2019 год Лучшая защита от вымогателей на 2019 год
• Хакеры SamSam Ransomware получают рейк в 5, 9 млн. Долларов Хакеры SamSam Ransomware получают рейк в 5, 9 млн. Долларов
• 2 иранца стоят за атаками SamSam Ransomware, США утверждают, что 2 иранцы стоят за атаками SamSam Ransomware, США заявляют

«План должен быть разработан заранее. Как вы ответите, кто сообщит, как вы заплатите выкуп?» Сказал Барак.

Хотя оплата является жизнеспособным вариантом, для большинства организаций это остается последним вариантом, а не переходным вариантом. Есть много переменных, которые вы не можете контролировать в этом сценарии, плюс, заплатив один раз, вы никогда не сможете гарантировать, что в будущем на вас не нападут, чтобы получить больше денег. Лучшим планом является использование надежной защиты, которая достаточно сложна, чтобы отразить большинство атак вредоносного ПО и победить тех немногих, кто добился успеха. Но что бы вы ни решили, помните, что практически каждое решение требует религиозного резервного копирования. Делайте это сейчас, делайте это часто, и часто проверяйте, чтобы убедиться, что все будет работать гладко в крайнем случае.