Тема вирусов-шифровальщиков оставалась актуальной всё время с момента эпидемий petya, wannacry и им подобных, «возвращение» произошло только в заголовках новостей. На деле же просто сместился фокус общественного внимания: когда об этом стали говорить и писать все, тема стала «скучной» и потеряла свою сенсационность. Сейчас происходит обратный процесс: политическая обстановка сделала темы кибератак главными новостями, различные активисты и группировки стали шифровать и атаковать «все что движется», и темы взломов стало трудно умалчивать, обсуждение стало переходить в общественную плоскость.

По мнению экспертов, сети больших компаний редко когда бывают действительно хорошо защищены, время захвата контроллера домена в среднем варьируется от 10 минут до 2 дней. Доступы в таких средах часто были получены долгое время (годы) назад, и сейчас начинают активно использоваться. Крупные компании физически не успевают усладить за всеми системами и сервисами, которые могу быть использованы для атаки. Зашифровать что-либо в таких условиях не представляет особого труда.

Число же пострадавших от шифровальщиков компаний за последние несколько лет сильно не меняется и остается примерно одинаковым.

Шифровальщики как сервис: спад или нет?

По мнению экспертов, спада как такового нет:

• это не работа одной группировки, которая занимается всем и сразу. Есть разделение обязанностей - на тех, кто получает первоначальный доступ, тех кто распространяет вредоносное ПО в сети, тех кто занимается выведением из строя систем резервирования, непосредственно написанием кода, переговорами с жертвой и т.п.

• доступы в сеть как продавались, таки продаются.

• недавно был выложен исходник шифровальщика Conti, поэтому следует ожидать большого количества клонов.

Какой основной вектор атаки и попадания шифровальщика в сеть компании?

Почта остается основным каналом, по которому шифровальщик попадает в корпоративную инфраструктуру. Как правило, использование почты либо слабо контролируется, либо не используются «песочницы». К тому же, пользователи зачастую весьма легко поддаются на приемы социальной инженерии.

Периметровые службы, типа RDP – взлом и проникновение внутрь.

Экзотические и творческие способы, например подарочные флешки, зараженные вредоносным ПО.

Атаки на цепь поставок и подрядчиков, находящихся в доверительных отношениях с атакуемой стороной. В крупных компаниях таких подрядчиков может быть очень много.

Появилась мода на шифровальщиков, нацеленных на системы хранения NAS (Synology, QNAP и пр.). Почему?

• Вывести из строя системы резервного копирования и зашифровать резервные копии – одна из важнейших задач злоумышленника. NAS часто является единственным местом хранения бэкапов и поэтому становится первой целью.

• Присутствие уязвимостей в прикладном ПО, обслуживающем NAS или выполняющем резервирование. Часто эти системы упускаются из поля зрения при обновлениях и управлении уязвимостями

• Как правила для удобства доступ к системам предоставляется снаружи, в том числе удаленно. Это увеличивает шансы атаки на них.

Какие меры предпринять безопаснику для защиты от шифровальщиков?

Правильно настроенная политика резервирования. 90% случаев невозможности восстановить данные из бэкапа - неверная организация системы резервного копирования:

• Резервирование должно производиться в отдельном защищенном контуре сети, на отдельном сервере со своими учетными данными. Доступа снаружи в этот сегмент быть не должно. Система копирования сама должна связываться с резервируемыми системами и скачивать данные.

• Операционная система должна по возможности отличаться от используемых в тех системах, где производится резервирование.

• Необходимо использовать «долгие» копии на отдельных носителях: помимо дневных, должны быть месячные копии, и годовые, которые хранятся по 2-3-4 года. Глубину копий и время хранения необходимо определять исходя из степени критичности сервисов и принятия рисков.

• Резервировать необходимо локально

Не использовать неофициальные прошивки сетевого оборудования, скачанные откуда-нибудь с торрентов – велик шанс поставить вместе прошивкой бэкдор.

Не пользоваться взломанным софтом – с большой долей вероятности там будут либо бэкдоры, либо средства удаленного администрирования.

При использовании open source – контролировать, что приходит из сторонних репозиториев, желательно использовать локальные.

Ограничение привилегий, работа с правами стандартного пользователя.

Application whitelisting, т.е. запрет запуска по умолчанию всех приложений – остается одним из наиболее эффективных способов. Может быть реализовано стандартными групповыми политиками и столь сложно, например, через AppLocker.

Использование теневого копирования. Чтобы удалить копии шифровальщику нужны права.

Распространить действие требований ИБ в первую очередь на представителей руководства, поскольку именно они зачастую являются целью атак, но при этом склонны игнорировать требования и рекомендаций. При возникновении трудностей необходимо демонстрировать последствия инцидентов именно для бизнеса.

Пройти самоаудит и выявить «узкие места», например, с помощью таблицы самооценки (t.me/forensictools/334).

Проект Antilocker (https://antilocker.ru/download/) - бесплатный продукт по защите от воздействия шифровальщиков и попыток модификации файлов:

• защищает от попытки перезаписи MBR (как действовал petya);

• защищает от попыток заархивировать или зашифровать диск с помощью bitlocker, когда диск шифруется злоумышленником с помощью штатных средств windows и перезагружается в нерабочее время, блокируя доступ сотрудников системе и данным;

• работает на уровне драйвера ядра системы;

• бесплатная базовая лицензия до 18.05.2022 для неограниченного числа хостов. Имеются платные версии с расширенным функционалом.

Что делать, если шифровальщик уже попал в сеть?

• Вообще говоря, у службы ИБ должны быть регламенты восстановления и реагирования на инциденты.

• Определить, какие системы пострадали, какие системы были задействованы при атаке. Если не устранить источник, то шифровальщик вернется снова.

• Проверить, с каких систем мог осуществляться взлом и каким образом.

• Проверить актуальные бекапы и восстанавливаться с них, после чего срочно заняться ревизией политики резервирования, инвентаризацией активов, проверкой сколько времени займет это восстановление, приемлемо ли это для бизнеса.

• Искать и анализировать узкие места систем. Большинство злоумышленников слабо квалифицированы и будут эксплуатировать только самые простые способы.

• Есть тренд закладывания средств на оплату выкупов в бюджет компании, исходя из того, что реализация мер защиты стоит больше, чем возможный выкуп. Однако эта мера подвергается критике со стороны профессионального сообщества.

• Попытаться вступить в переговоры с атаковавшей стороной.

• Принять мысль, что скомпрометированной системой придется пожертвовать, но будет полезно можно снять форензик-копию для дальнейшего анализа.

Если информационная безопасность в компании находится на начальном уровне развития и перечисленные выше средства и методы недоступны, то можно использовать следующую процедуру:

• выключить все что можно (особенно сервера с важной информацией) - не только от сети, но и физически. Предварительно желательно снять дамп памяти для расследований;

• подключить носители к рабочей и «чистой» системе в качестве второго диска и проверить, какие данные там остались. Проверить на антивирус смотреть файлы, сделать копии файлов, которые нужны;

• обезопасить системы, желательно путем их пересоздания;

• восстановить данные из доступных резервных копий;

• подключать сотрудников по одному с «чистых» систем (переустановить ОС).

Основная задача руководителя ИБ - обеспечить восстановление системы в приемлемые для бизнеса сроки. Предотвратить всё со 100%-ной вероятностью невозможно.