Що таке ransomware, як з ними боротися та як захищатися?

У цій статті ми розповімо що такепрограми-вимагачі (ransomware), як виявити програми здирники і як і за допомогою чого захиститися від них.

Число атак програм-здирників зростає. Згідно з недавнім дослідженням, кількість атак з використанням програм-здирників майже подвоїлася в першій половині 2021 року, при цьому східноєвропейські країни є найбільш цільовими для атак, на їхню частку припадає приблизно 55% випадків заражень.

З цієї статті ви можете дізнатися ще про один популярний спосіб "заробітку" кібершахраїв - криптоджекінгу. Це прихований майнінг криптовалют з використанням ваших обчислювальних потужностей. Подробиці за посиланням..

Чому так складно виявити програми-здирники (ransomware)?

По-перше, як і у випадку з більшістю видів шкідливих програм, атаки програм-здирників зазвичай відбуваються за допомогою тієї чи іншої форми соціальної інженерії, і в більшості випадків організації дізнаються про атаку тільки після того, як усі дані були зашифровані.

Проблема з виявленням атак соціальної інженерії полягає в тому, що вони за своєю суттю невинні (клікни-завантажуй-запусти), і мають тенденцію полювати на всіх користувачів, незалежно від їх статусу в компанії.

По-друге, після зараження цільової організації сценарій програми-здирника спробує поширитися на якомога більше різних систем, що ускладнює його стримування.

Якщо цього недостатньо, то за останні п'ять років ми стали свідками поширення штамів, відомих як «безфайлові програми-здирники», які ще важче виявити, оскільки вони не встановлюють жодних файлів на жертву. Атаки програм-вимагачів без використання файлів зазвичай використовують Microsoft Windows PowerShell, яка дає зловмисникам доступ практично до всього серед Windows.

Які найпоширеніші способи зараження програмами-вимагачами (ransomware)?

Як уже згадувалося, більшість атак програм-здирників відбувається за допомогою тих чи інших методів соціальної інженерії, таких як фішинг. Зловмисник зазвичай маскується під довірений об'єкт, щоб обманом змусити жертву завантажити шкідливу програму.

Однак існує безліч інших способів зараження. Наприклад, у деяких випадках жертва буде перенаправлена ​​на шкідливий веб-сайт, який пропонує їй встановити програму-вимагач. В якості альтернативи веб-сайт може представляти підроблений екран входу в систему, який зловмисник використовуватиме для збору облікових даних, а потім використовувати ці облікові дані для запуску атаки з цільової організації.

Деякі форми програм-вимагачів вбудовані у додатки та плагіни, які жертви встановлюють. Хоча це менш поширене, є випадки, коли програма-вимагач зберігається на знімному диску, який автоматично запускається, коли жертва підключає диск до свого пристрою.

Нарешті ми починаємо бачити зростання кількості атак програм-вимагачів, які використовують протокол віддаленого робочого столу (RDP) для виконання сценарію.

Рекомендації щодо виявлення програм-вимагачів

Більшість компаній вже використовують захисні програмні рішення, такі як антивірусне програмне забезпечення, фільтри спаму та пісочниці. Однак у наші дні багато видів програм-вимагачів здатні оминати такі рішення. Хоча може і не бути «чарівної кулі», коли справа доходить до виявлення та запобігання атакам програм-вимагачів, існують деякі передові методи, яких слід дотримуватися організаціям, у тому числі:

1. Навчання співробітників основ кібербезпеки

Оскільки співробітники є найслабшою ланкою в цьому сценарії, очевидним першим кроком буде забезпечення того, щоб усі співробітники могли виявляти потенційно шкідливі листи, що включає перевірку наступного:

• Електронні листи, що містять підозрілі файлові вкладення або посилання на зовнішні сайти.
• Електронні листи, надіслані із загальнодоступних поштових доменів, таких як Gmail, Hotmail, Yahoo!, і так далі.
• Електронні листи, надіслані з адрес, які на перший погляд здаються законними, але при більш уважному розгляді насправді є підробленими. Простим прикладом може бути щось на зразок (hidden) (помітили в чому каверза?)
• Листи з поганою орфографією та граматикою.
• Електронні листи, що створюють відчуття терміновості.

Усі співробітники також повинні проявляти пильність при відвідуванні підозрілих веб-сайтів, завантаженні ненадійних програм або використанні портативних накопичувачів, якими вони не володіють.

До речі, підробити можна навіть лист із податкової інспекції. Команда Софтпром проводила дослідження – наскільки добре захищені наші податкові органи. Спойлер – все дуже погано. Подробиці за посиланням

2.Порогова оповіщення (Threshold Alerting)

Відомий спосіб запобігання поширенню програм-вимагачів – це метод «порогового попередження». Він включає виявлення і реакцію на події, які відповідають заздалегідь заданому пороговому умові. Наприклад, якщо X файли були зашифровані протягом заданого періоду часу, може бути виконаний власний сценарій, який може:

• Вимкнути обліковий запис користувача;
• Зупинити певний процес;
• Змініть установки брандмауера;
• Резервне копіювання даних із критичних систем;
• Вимкнути або ізолювати певну кінцеву точку або сервер.

Деякі складні рішення для аудиту реального часу надають шаблони сценаріїв, які використовуються як реальний час після виконання порогових умов.

3. Відстежуйте підозрілий мережевий трафік як один із способів боротьби з ransomware (програмою здирником)

Більшість штамів (погодьтеся сьогодні вже всі знають сенс слова "штам" - з чого б це) програм-вимагачів використовують сервери управління та контролю (C&C) для зв'язку з вразливими системами, що може включати відправку команд, зберігання ключів, вилучення даних, відстеження реакції організації та ін. Рекомендується використовувати систему запобігання вторгненням (IPS) для пошуку підозрілого мережевого трафіку та блокування таких повідомлень у режимі реального часу.

4.Використовуйте пастки (або як їх красиво називають англійською - Honeypots)

Пастки - ще один ефективний спосіб виявлення атак програм-вимагачів. Насправді, пастка діє як приманка, видаючи себе за законне сховище файлів. Жоден працівник не матиме доступу до даних, що зберігаються у пастці, тому будь-які дії з файлами, що відбуваються у пастці, слід розглядати як зловмисні.

Дізнатися докладніше  про те, як працюють пастки-приманки, ви можете перейшовши за посиланням. Якщо читати лінь - наприкінці статті барвисте відео - мультик про штурм фортеці, що пояснює основні принципи.