Защита от шифровальщика

Защита от шифровальщика

К сожалению, многие сталкиваются с шифровальщиком, когда сетевая инфраструктура, компьютеры и серверы уже поражены им. Итог практически всегда одинаковый: базы данных, файловые системы и/или отдельные файлы уже зашифрованы вредоносным программным обеспечением, а злоумышленник вымогает у Вас 2, 3 … 10… млн рублей. При такой компьютерной атаке файлы шифруются довольно криптостойкими алгоритмами и без специального криптоанализа или получения ключа расшифрования спасти их невозможно. При этом время, необходимое для криптоанализа, во много раз превосходит ущерб от простоя работы организации, да и ресурсы, и опытные специалисты и средства для решения такой задачи мало кому доступны.

Как получилось, что у нас шифровальщик?

Есть разные сценарии реализации такой атаки, но нужно понимать, что обычно злоумышленник готовится к ее проведению заранее. Подготовка проходит за 1-2 недели (а может и дольше) до случившегося у вас инцидента. За это время достаточно получить логин и пароль рядового пользователя:

• из обычных каналов связи;

• методом социальной инженерией, когда сам администратор дал учетные записи «новому сотруднику» или «руководителю» через мессенджер, по телефону и т.д.;

• через фишинговые рассылки по электронной почте, когда при открытии файла или перехода по ссылке вашим сотрудником и срабатывают какие-то сценарии;

• путем подбора пароля пользователя на существующие сервисы организации;

• при незащищенном удаленном входе сотрудника с домашнего компьютера.

Это только примеры сценариев. Существуют десятки методов получить логин и пароль пользователя, на помощь многим методам приходит не только новая фантазия злоумышленника, но и искусственный интеллект.

Получив права пользователя, злоумышленник далее получает более высокие административные права. Проводится разведка, взламываются новые компьютеры и серверы. Обычно, в организациях существует масса рабочих мест и серверов, которые содержат незакрытые уязвимости (в том числе в устаревших операционных системах Windows XP, 7, 2008 Server…), от которых невозможно избавиться, без использования мер технического и организационного характера. Часто шифровальщики используют штатные программы, на которые не реагируют антивирусы, поэтому использование антивирусного ПО не является полноценной защитой.

Что происходит, когда система уже атакована шифровальщиком?

Когда система уже взломана, у вас могут быть украдены базы данных, файлы, подготовлены незаметные лазейки для дальнейших взломов, получены пароли пользователей и системных администраторов, работают альтернативные входы в Вашу инфраструктура кроме известных Вам. Ваши данные могут быть использованы в интересах злоумышленника или проданы заинтересованным лицам, например, Вашим конкурентам. Вас могут начать шантажировать не только по поводу расшифрования данных, но в контексте сохранения в тайне украденной информации.

В большинстве случаев, то, что было зашифровано вредоносным ПО уже не вернуть, даже если удастся получить от злоумышленника ключи расшифрования. Однако, не предпринимая никаких шагов, Вы не будете защищены от повторных взломов.

Что нужно делать при инциденте с шифровальщиком?

Прекратить обработку информации. Как можно быстрее локализовать инцидент, то есть отделить зараженные компьютеры от остальной части сети. Можно рекомендовать в зависимости от ситуации: прекращение удаленного доступа, блокирование доступа, фильтрацию трафика на межсетевых экранах, разумную смену паролей. Далее необходимо своими силами оценить нанесенный ущерб, параллельно начиная расследовать случившийся инцидент, привлекая и силовые ведомства, и специалистов в области защиты информации (кибербезопасности). Начальными целями расследования являются определение масштаба и локализация инцидента, определение ущерба от компьютерной атаки, анализ действий злоумышленника, формирование оперативного плана действий по устранению последствий. Важно получить ответы на вопросы:

Какой ущерб был нанесен инфраструктуре, коммерческой тайне, персональным данным, организации, партнёрам, заказчикам и клиентам, критической информационной инфраструктуре, государству?

Можно ли с минимальными потерями восстановить зашифрованные данные из резервных копий?

В нашей практике были случаи, когда атаки на инфраструктуру с использованием шифровальщиков приводили к тому, что злоумышленник разрушал хранилища с данными без возможностей его восстановления, не сумев их зашифровать. Такие разрушения требовали восстановления пострадавшего оборудования в специальных технических центрах, таких как наша лаборатория, с применением специальных навыков и оборудования.

Следует обратить внимание, что действия администраторов системы, которые без информирования руководства пытались разобраться с инцидентом, иногда теряя часы и дни, могут оказать не менее пагубное влияние на инфраструктуру, чем сам шифровальщик.

Что нужно делать, чтобы избежать шифровальщика?

Ущерб от подобных атак: потери организации от простоя, потерянное время руководителей и специалистов, потерянные деньги, если выплата злоумышленникам состоялась, безвозвратно потерянная информация, репутация и др. Жалеешь, что ранее не было уделено значительного внимания вопросам безопасности и учишься уже на своем горьком опыте. Понимаешь, что компьютерная безопасность — это про нас, а не только про крупные или богатые предприятия и требования государства, написаны уже не только чужой кровью, и далеко не из-за учебного интереса к теме. Приходите к нам — найдем типовой или индивидуальный подход.

Как вариант, следует уделить внимание:

1. Строгим и продуманным правилам.
2. Резервному копированию.
3. Разграничению доступа.
4. Аппаратному межсетевому экранированию.
5. Защищенному удаленному доступу.
6. Доменной инфраструктуре.
7. Многофакторной аутентификации пользователей.
8. Документированию процессов, их пониманию и созданию документации в области безопасности, актуальной рабочей документации.
9. Тестированиям на проникновение.
10. Мониторингу событий сетевой и информационной безопасности.