Что такое ransomware, как с ними бороться и как защищаться?

В этой статье мы расскажем что такое программы-вымогатели (ransomware) , как обнаружить программы вымогатели и как и с помощью чего защититься от них.

Число атак программ-вымогателей растет. Согласно недавнему исследованию, количество атак с использованием программ-вымогателей почти удвоилось в первой половине 2021 года, при этом восточно-европейские страны являются наиболее целевыми для атак, на их долю приходится примерно 55% случаев заражений.

Из этой статьи вы можете узнать еще об одном популярном способе “заработка” кибермошенников - криптоджекинге. Это скрытый майнинг криптовалюты с использованием ваших вычислительных мощностей. Подробности по ссылке.

Почему так сложно обнаружить программы-вымогатели (ransomware)?

Во-первых, как и в случае с большинством видов вредоносных программ, атаки программ-вымогателей обычно происходят с помощью той или иной формы социальной инженерии, и в большинстве случаев организации узнают об атаке только после того, как все данные были зашифрованы.

Проблема с обнаружением атак социальной инженерии заключается в том, что они по своей сути безобидны (кликни-скачай-запусти), и имеют тенденцию охотиться на всех пользователей, вне зависимости от их статуса в компании.

Во-вторых, после заражения целевой организации сценарий программы-вымогателя попытается распространиться на как можно больше различных систем, что затрудняет его сдерживание.

Если этого недостаточно, то за последние пять лет мы стали свидетелями распространения штаммов, известных как «безфайловые программы-вымогатели», которые еще труднее обнаружить, поскольку они не устанавливают никаких файлов на устройство жертвы. Атаки программ-вымогателей без использования файлов обычно используют Microsoft Windows PowerShell, которая дает злоумышленникам доступ практически ко всему в среде Windows.

Каковы наиболее распространенные способы заражения программами-вымогателями (ransomware)?

Как уже упоминалось, большинство атак программ-вымогателей происходит с помощью тех или иных методов социальной инженерии, таких как фишинг. Злоумышленник обычно маскируется под доверенный объект, чтобы обманом заставить жертву загрузить вредоносное приложение.

Однако существует множество других способов заражения. Например, в некоторых случаях жертва будет перенаправлена ​​на вредоносный веб-сайт, который предлагает ей установить программу-вымогатель. В качестве альтернативы веб-сайт может представлять поддельный экран входа в систему, который злоумышленник будет использовать для сбора учетных данных, а затем использовать эти учетные данные для запуска атаки изнутри целевой организации.

Некоторые формы программ-вымогателей встроены в приложения и плагины, которые жертвы устанавливают. Хотя это и менее распространено, есть случаи, когда программа-вымогатель хранится на съемном диске, который автоматически запускается, когда жертва подключает диск к своему устройству.

Наконец, мы начинаем видеть рост числа атак программ-вымогателей, использующих протокол удаленного рабочего стола (RDP) для выполнения сценария.

Рекомендации по обнаружению программ-вымогателей

Большинство компаний уже используют защитные программные решения, такие как антивирусное ПО, фильтры спама и песочницы. Однако в наши дни многие виды программ-вымогателей способны обходить такие решения. Хотя может и не быть «волшебной пули», когда дело доходит до обнаружения и предотвращения атак программ-вымогателей, существуют некоторые передовые методы, которых следует придерживаться организациям, в том числе:

1.Обучение сотрудников основам кибербезопасности

Поскольку сотрудники являются самым слабым звеном в этом сценарии, очевидным первым шагом будет обеспечение того, чтобы все сотрудники могли обнаруживать потенциально вредоносные электронные письма, что включает проверку следующего:

• Электронные письма, содержащие подозрительные файловые вложения или ссылки на внешние сайты.
• Электронные письма, отправленные из общедоступных почтовых доменов, таких как Gmail, Hotmail, Yahoo !, и так далее.
• Электронные письма, отправленные с адресов, которые на первый взгляд кажутся законными, но при более внимательном рассмотрении, на самом деле являются поддельными. Простым примером может быть что-то вроде support@googgle.com (заметили в чем подвох?)
• Письма с плохой орфографией и грамматикой.
• Электронные письма, которые создают ощущение срочности.

Все сотрудники также должны проявлять бдительность при посещении подозрительных веб-сайтов, загрузке ненадежных приложений или использовании портативных накопителей, которыми они не владеют.

Кстати, подделать можно даже письмо из налоговой инспекции. Команда Софтпром проводила исследование - насколько хорошо защищены наши налоговые органы. Спойлер - все очень плохо. Подробности по ссылке

2.Пороговое оповещение (Threshold Alerting)

Известный способ предотвращения распространения программ-вымогателей - это метод «порогового предупреждения». Он включает в себя обнаружение и реакцию на события, которые соответствуют заранее заданному пороговому условию. Например, если X файлов было зашифровано в течение заданного периода времени, может быть выполнен собственный сценарий, который может:

• Отключить учетную запись пользователя;
• Остановить определенный процесс;
• Измените настройки брандмауэра;
• Резервное копирование данных из критических систем;
• Выключить или изолировать конкретную конечную точку или сервер.

Некоторые сложные решения для аудита реального времени предоставляют шаблоны сценариев, которые используются в режиме реального времени после выполнения пороговых условий.

3.Отслеживайте подозрительный сетевой трафик как один из способов борьбы с ransomware (программой вымогателем)

Большинство штаммов (согласитесь сегодня уже все знают смысл слова “штамм” - с чего бы это) программ-вымогателей используют серверы управления и контроля (C&C) для связи с уязвимыми системами, что может включать отправку команд, хранение ключей, извлечение данных, отслеживание реакции организации и т. д. Рекомендуется использовать систему предотвращения вторжений (IPS) для поиска подозрительного сетевого трафика и блокирования таких сообщений в режиме реального времени.

4.Используйте ловушки (или как их красиво называют на английском - Honeypots)

Ловушки - еще один эффективный способ обнаружения атак программ-вымогателей. По сути, ловушка действует как приманка, выдавая себя за законное хранилище файлов. Ни один сотрудник не будет иметь доступа к данным, хранящимся в ловушке, поэтому любые действия с файлами, происходящие в ловушке, следует рассматривать как злонамеренные.

Узнать подробнее о том как работают ловушки-приманки вы можете перейдя по ссылке. Если читать лень - в конце статьи красочное видео - мультик про штурм крепости объясняющий основные принципы.