В прошлом году вновь активизировались группировки, стоящие за шифровальщиками. Несмотря на то что 100% надежно защититься от них невозможно, существуют способы снизить вероятный ущерб.
Одной из главных тенденций в сфере кибернападения стало широкое использование программ-шифровальщиков. При этом злоумышленники переориентировались с «работы по площадям» на атаки компаний, чтобы максимизировать свои поступления в виде выкупов. «С одной стороны, число атак этого типа вредоносного ПО на рядовых пользователей сократилось, а с другой – возросло число атак вымогателей на предприятия, рассматривающих вопрос выплаты выкупа не с эмоциональной точки зрения, а как очередную статью затрат, которую еще и можно компенсировать за счет страхования киберрисков. И так как почти четверть жертв действительно платила вымогателям суммы, измеряемые миллионами долларов, то у киберпреступников разыгрался аппетит, и в 2021 году мы увидим еще большее число успешных заражений, сопровождаемых выплатами или выкладыванием украденной у несговорчивых жертв данных в открытый доступ или на биржи, торгующие конфиденциальной информацией», – прокомментировал ситуацию консультант Cisco по информационной безопасности Алексей Лукацкий.
Большая охота на крупные компании
«Преступные группы переключились на Big Game Hunting – атаки на крупные компании, потому что технически это проще, чем взлом банков, а заработать можно не меньше» – такой вывод делает технический директор, сооснователь Group-IB Дмитрий Волков. По данным Group-IB, на шифровальщики переключились многие киберпреступные группировки, которые раньше специализировались на банковском секторе, включая Cobalt и Silence. Суммарный ущерб от деятельности шифровальщиков составил как минимум $1 млрд, что вдвое больше, чем в 2017 году, когда случились три массовые эпидемии программ-шифровальщиков. Надо сказать, что, по оценке Group-IB, достоянием гласности становится лишь приблизительно каждый сороковой инцидент, так что фактический ущерб может быть еще выше.
При этом, по данным исследования CheckPoint, Россия наряду с США, Индией, Шри Ланкой и Турцией оказалась в списке стран, где заражения шифровальщиками происходили чаще всего. Данная ситуация является прямым следствием ослабления защиты из-за мер, принятых в рамках перехода на удаленный режим работы. «Нынешняя пандемия вынудила организации быстро вносить изменения в свои бизнес-процессы, часто оставляя пробелы в собственных ИТ-системах. Эти пробелы дали киберпреступникам возможность использовать недостатки безопасности и проникнуть в сеть организаций. Хакеры будут шифровать сотни тысяч файлов, выводя из строя пользователей и часто беря в заложники целые сети. В некоторых случаях организации просто предпочитают платить цену вместо того, чтобы иметь дело с зашифрованными файлами и восстанавливать свои ИТ-системы. Это создает порочный круг – чем больше подобных атак удается, тем чаще они происходят».
Так что первый вывод напрашивается сам собой: злоумышленникам платить нельзя. Это, помимо прочего, будет их стимулировать увеличивать свою активность. Тем более что процесс оплаты выкупа, по общему мнению участников онлайн-конференции AM-Live «Защита от программ-вымогателей», не так прост: по вполне понятным причинам киберпреступники используют криптовалюту, а приобретение виртуальных монет или токенов на специализированных биржах и затем оплата с помощью криптокошельков не самая простая процедура. Как показали результаты экспресс-опроса ее зрителей, подавляющее большинство просто не имеет опыта работы с криптовалютой.
Традиционная защита не работает
При этом многие средства защиты от шифровальщиков практически бесполезны. Так, очень многие из них используют легитимные средства, в том числе штатные компоненты ОС Windows, – например, BitLocker Drive Encryption или свободно распространяемый DiskCryptor. Атакующие, как правило, используют и легитимные учетные записи, заполучить которые сейчас не составляет большого труда. Их можно добыть с помощью методов социальной инженерии, фишинга или просто купить на специальной бирже.
Вместе с тем, как отметил ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин, выступая на онлайн-конференции AM-Live «Защита от программ-вымогателей», деятельность, характерную для типичного шифровальщика, в принципе несложно детектировать. Вопрос лишь в настройке защитных средств того же антивирусного ПО. Но, как показывает практика разбора уже произошедших инцидентов, соответствующие средства настроены неправильно. Плюс ко всему зловреды хорошо «знают» все имеющиеся на рынке системы защиты и содержат средства, позволяющие их нейтрализовать.
И с этим утверждением согласились представители разработчиков продвинутых средств защиты от атак, или «антивирусов нового поколения». Правильная работа решений защиты от сложных угроз действительно во многом зависит от корректности настроек. При этом не меньшую роль играет и то, насколько в компании соблюдаются различного рода организационные регламенты, направленные на обеспечение безопасности. Причем все эти организационные мероприятия необходимо постоянно актуализировать согласно меняющейся ситуации с угрозами.
Как напомнил ведущий аналитик Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT Дмитрий Лифанов, иногда даже специалисты внешнего центра мониторинга и реагирования на инциденты могут проглядеть деятельность злоумышленников. Например, в конце 2020 года операторы шифровальщиков начали использовать для манипуляций с данными виртуальные машины, запущенные на инфраструктуре атакуемой компании. И увидеть такую активность вовремя удается далеко не всегда.
Что касается обучения сотрудников, эта мера лишь осложнит работу злоумышленникам. Как показывает практика, на приемы, которыми традиционно пользуются авторы фишинговых рассылок и распространители зловредов, попадается порядка 18–25% офисных работников. Это показали результаты теста, проведенного в феврале прошлого года компанией Digital Security в Санкт-Петербурге. Хотя в режиме удаленной работы результаты будут, скорее всего, заметно хуже, что связано с объективными причинами, так как людей, оказавшихся вне коллектива, просто некому предостеречь, тогда как злоумышленники пользуются услугами квалифицированных психологов. Хорошая программа повышения осведомленности об угрозах позволяет довести уровень тех, кто поддается на активность злоумышленников, до 5%.
Не панацея, но выход
Так что наиболее эффективной мерой для защиты от действия шифровальщиков остается своевременно проведенное резервное копирование. Тем более, как подчеркнул на онлайн-конференции AM-Live «Защита от программ-вымогателей» технический директор Trend Micro в СНГ, Грузии и Монголии Михаил Кондрашин, шифровальщики, да и вредоносное ПО в целом, занимают далеко не первое место среди причин потери данных. По его оценкам, большая часть такого рода инцидентов вызвана некорректной работой ПО, деятельностью пользователей (будь то ошибки или прямой саботаж) или физическим выходом из строя носителей и накопителей. Так что данное направление целесообразнее передать ИТ-службам, а не ИБ-подразделению.
Технический консультант Veeam Software Павел Косарев назвал резервное копирование и восстановление последней линией обороны. При этом резервная копия бесполезна до того, как инцидент, связанный с потерей или искажением данных, уже произошел или только развивается. Но если данные уже потеряны, то резервное копирование поможет, хотя многое зависит от того, что содержит резервная копия, как давно она была сделана и насколько устарели сохраненные данные. Если межсетевой экран можно сравнить с пограничником, антивирус с полицейским, то бэкап выступает в качестве врача-реаниматолога. При этом система резервного копирования должна включать все необходимые элементы, каждый из которых должен быть правильно настроен и протестирован. Также следует понимать, что резервное копирование и восстановление не поможет, если данные украдены и злоумышленники шантажируют тем, что они будут обнародованы.
Средства резервного копирования не являются исключением. Чтобы резервная копия помогла, как подчеркнул Павел Косарев, она должна быть, во-первых, корректно сделана, во-вторых, ее необходимо сохранить в надежном месте, до которого не доберутся злоумышленники, как внутренние, так и внешние, в-третьих, данные нужно корректно восстановить, причем так, чтобы вместе с полезными сведениями в системный контур не проник зловредный код. Так что резервное копирование является задачей многогранной, и не все имеющиеся на рынке продукты способны ее корректно решить.
Кроме того, как напомнил Павел Косарев, существует три возможности хранения резервных копий. Использование лент требует значительных затрат ручного труда и поэтому может оказаться дорогостоящим. Хранение во внешнем облаке приемлемо не для каждой компании вследствие регуляторных ограничений. Однако есть и компромиссное решение, позволяющее хранить резервные копии локально, но при этом происходящие изменения будут заблокированы для всех, кто не имеет прав суперпользователя.
Именно такой подход используется в том числе в новейшей версии Veeam Backup & Replication, вышедшей 24 февраля 2021 года. Схожие функции есть в ПО Purity 6.1 от PureStorage, но оно работает только с СХД Flash.
Смотреть все статьи по теме “Информационная безопасность”