2021/09/29 13:39:02

Защита от программ-вымогателей: существует ли она?


Содержание

Активность киберпреступников, нацеленная на шифрование данных с последующим вымоганием выкупа, не спадает. Более того, их атаки становятся все более изощренными, в них применяются разнообразные средства проникновения в защищенные периметры предприятий. Хакеры не спроста отличаются отменным аппетитом. Бизнес готов платить выкуп за свой главный актив – данные. И платит с завидной регулярностью.

Компания Chainalysis, отследив транзакции по адресам блокчейнов, которые используются вымогателями, сделала вывод, что за прошлый год они получили от своих жертв не менее $350 млн. Эта цифра, считают аналитики, — минимальная сумма, о которой можно говорить с уверенностью: пострадавшие компании далеко не всегда говорят об атаках на их инфраструктуры и выкупных платежах. При этом активность вымогателей только возрастает. По мнению Chainalysis, сумма полученных злоумышленниками средств выросла по сравнению с 2019 годом на 311%. Среди «лидеров» оказались хакерские группировки Ryuk, Maze, Doppelpaymer, Netwalker, Conti и REvil (Sodinokibi).

В конце прошлого года свои выводы о масштабах вымогательства в мире поделилась и российская Group-IB. Ее специалисты считают, что глобальный ущерб от атак превысил $1 млрд. Как и их коллеги Chainalysis, аналитики российской компании подчеркивают, что это – минимальная оценка. Наиболее часто в положении жертв оказываются производственные компании, ритейлеры и государственные учреждения. В Group-IB подчеркивают, что вымогатели активно сотрудничают со злоумышленниками, которые специализируются на компрометации корпоративных сетей и такое партнерство служит катализатором атак. Кроме того, отмечается и недостаточная эффективность средств кибербезопасности, которые не справляются с выявлением угроз на ранней стадии.

Как меняется тактика злоумышленников

Эксперты компании Varonis отмечают значительные изменения, которые произошли в последнее время в тактике атак программ-вымогателей. Ранее они были не столь скрытными: внедренный при помощи фишинга в инфраструктуру жертвы зловред сразу же начинал действовать. Нетипичная активность позволяла быстро выявить угрозу и ликвидировать ее на ранней стадии.

Но с появлением Maze, Dopplepaymer и REvil — программ-вымогателей, работой которых управляют люди, их действия стали гораздо более изощренными. Внедрившись в информационные системы, они не начинают работать сразу, а стремятся расширить свое присутствие: ищут иные уязвимости и используют их, захватывая новые сегменты инфраструктуры и попутно воруя данные. И только после установления контроля над системами вымогатели приступают к шифрованию данных и рассылке предложений о выплате выкупа.

Цель людей, стоящих за управляемыми программами-вымогателями — получение доступа к конфиденциальным данным. А значит и выстраивать защиту нужно, ориентируясь на данные. Data-centric, подход, ориентированный на данные – вот под таким углом мы предлагаем смотреть на защиту от программ-вымогателей.

Решение Varonis отслеживает активность с конфиденциальными данными в файловой системе, контролирует, кто стоит за этой активностью, какими привилегиями обладает. Если есть подозрение на нетипичную зловредную активность, система оповещает и даже блокирует учетные записи, от которых исходит угроза.

Давайте рассмотрим, какие же следы злоумышленники оставляют на каждом этапе реализации атаки.

Скомпрометировать систему

Для проникновения в инфраструктуру своих жертв вымогатели могут использовать самые разнообразные инструменты, от кражи учетных данных пользователей, фишинга и до проникновения через удаленные рабочие столы или известные уязвимости сетей.

Уже на этом этапе можно установить активность злоумышленника. Нестандартная активность выявляется по признакам использования им скомпрометированных учетных записей, и при попытках взлома парольной защиты, и при использовании уязвимости и сетевой или серверной части инфраструктуры. Это должно стать поводом для оповещения ИБ-департамента и пользователей.

Достаточно эффективно детектируется активность злоумышленников и на этапе закрепления ими своего присутствия во взломанной инфраструктуре. Например, действия агента CobalStrike BECON можно было определить по использованию им C&C-сервера. Свидетельством работы программы-вымогателя становится и нетипичная веб-активность или подозрительные DNS-запросы.

Наиболее распространенными признаками попыток проникновения злоумышленников в инфраструктуру можно считать ненормальную активность и попытки доступа из необычных локаций, активные попытки взлома доступа к хранилищу данных или массированные атаки на отдельных пользователей.

Закрепиться на плацдарме

Цель групп вымогателей после первоначального проникновения в инфраструктуру – поиск плацдармов для того, чтобы закрепить свое присутствие. Ими могут стать общие файловые ресурсы или DNS-серверы. Для поиска уязвимостей в них используются такие инструменты, как nslookup и smbtools. Признаками такой активности являются слишком большое количество IP-запросов и перебор пользовательских аккаунтов при помощи анализа DNS или AD. Как только такие попытки становятся успешными, в действие вступает вирус, который устанавливает в системе зловредное ПО (например, через протокол RDP).

Противодействовать этим активностям может контроль действий пользователей в привязке к их устройствам. Он может определить слишком частые подключения к системам с использованием учетной записи, попытки доступа к ресурсам, которые, как правило, пользователем не используются или даже попытки перебора паролей к учетным записям.

Определить такие подключения можно с помощью поведенческого анализа. Во-первых, поводом для тревоги может быть попытка подключения скомпрометированного домена. Во-вторых, об опасности свидетельствует «белый шум», попытка злоумышленников скрыть свой трафик в большом количестве соединений. Наконец, активность злоумышленников может проявиться в ненормальной веб-активности, — использовании новых пользовательских агентов, необъяснимых или нелегитимных попытках загрузки файлов.

Расширить свои привилегии

Цель злоумышленников на этом этапе – получение контроля над привилегированными учетными записями, после чего скомпрометированный аккаунт сможет добавить в систему новых администраторов или выгрузить данные учетных записей в облако. Используются для этого известные инструменты с открытым исходным кодом, которые ищут пароли, хранящиеся в форме простого текста, или собирают данные Active Directory. Многие хакерские группировки для поиска административных учетных записей применяют и такой инструмент, как Mimikatz. Такой поиск часто становится плодотворным: многие пользовательские аккаунты обычно имеют права на доступ к гораздо большему числу данных, чем требуется.

Определить подобную активность преступников (проникновение хакерских инструментов в хранилище, поиск файлов с паролями и другими конфиденциальными данными) позволяет контроль за активностью файловой системы. Кроме того, подлежит анализу и активность в Active Directory, нацеленная на сбор учетных данных. Эти меры позволяют выделить потенциальные цели преступников (такие, как учетные записи с правами администратора), определить несанкционированные действия вымогателей (добавление учетки в группу администраторов системы) или предупредить о немотивированной активности того или иного аккаунта (первое подключение к интернету, использование скомпрометированных доменов).

Перевести партию в эндшпиль

Тем не менее, определить активность злоумышленников и обезвредить ее на предыдущих этапах удается не всегда. Это означает необходимость особенного внимания защите критически важных узлов инфраструктуры: серверов Windows и Unix, устройств NAS, SharePoint и почтовых серверов Exchange, как локальных, так и облачных.

Для этого необходимо собирать и анализировать максимально возможный объем информации о том, как пользователи взаимодействуют с данными на всех платформах, с которыми они работают. Часть платформ позволяет сделать это при помощи API, для других требуется применение специально разработанных Varonis моделей угроз, отслеживающих подозрительную активность: излишне большой объем данных, к которым получает доступ тот или иной пользователь, необычное поведение, которое не согласуется с типовыми поведенческими моделями, наконец, изменения, которые пользователь вносит в файлы и попытки их шифрования.

В этом случае, даже если попытки зашифровать данные окажутся успешными, администраторы смогут быстро оценить масштаб проблемы и восстановить поврежденную информацию только в тех файлах, которые подверглись шифрованию, а не в масштабах всей системы. Мониторинг позволит еще и точно определить необходимую точку восстановления данных из резервной копии. Ожидать, что банды кибер-вымогателей сократят свою активность, не приходится. Их действия становятся с каждым днем все более изощренными, а развитие кибер-валют упрощает для зло-умышленников получение выкупа.

В таких условиях наиболее эффективным способом противодействия вымогателям становится комплексная защита, которая реагирует не на последствия атак, а на признаки их подготовки и осуществления. Тотальный контроль данных, которые окружаются несколькими оборонительными периметрами, позволяет отслеживать нелегитимные активности на всех уровнях, от файловых хранилищ до Active Directory, DNS, VPN и прокси-серверов. Дополняет эту защиту выявление наиболее ценных для преступников аккаунтов пользователей – тех, которые имеют широкие права доступа к данным и системам.

Анализ всех активностей, связанных со взаимодействием пользователей с данными, позволяет не просто обеспечить их защиту. Такой аудит лишает злоумышленников возможности организовать масштабную атаку на инфраструктуру: бизнес защищается и от случайных инсайдеров, и от хакерских группировок.


Если вы хотите узнать, какие данные в вашей компании наиболее уязвимы, и как минимизировать риски для бизнеса, пройдите бесплатный health-check от Varonis - оценку защищенности от программ-вымогателей.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT