Как обнаружить программу-вымогателя: понимание признаков инфицирования

С развитием рансомвара организации постоянно находятся под угрозой потери данных и нарушений. Согласно статистике Statista, количество организаций, подвергшихся атакам рансомвара, увеличивается каждый год с 2018 года, и пик был достигнут в 2021 году на уровне 68.5% предприятий. Кроме того, количество семейств рансомвара, обнаруженных в 2020 году, было на 34% больше, чем в 2019 году (в отличие от 127 семейств в 2020 году).

В этом блоге мы определим рансомвар и осветим основные каналы инфицирования и методы обнаружения рансомвара. Кроме того, мы рассмотрим решения для выявления рансомвара, предотвращения дальнейшей инфекции и увеличения устойчивости ваших данных к рансомвару.

Что такое рансомвар?

Рансомвар – это вредоносное программное обеспечение, которое используется для взлома персональных/корпоративных ИТ-сред и шифрования или блокировки данных. Цель атак рансомвара – вымогать выкуп у жертв в обмен на восстановление доступа к зашифрованным/заблокированным данным.

Как системы заражаются рансомваром: 5 векторов инфицирования

Чтобы предотвратить заражение ИТ-систем вашей организации рансомваром, вы должны знать о самых распространенных способах распространения вредоносных программ. Таким образом, вы сможете узнать, какие компоненты системы более подвержены атакам рансомвара и как быстро обнаружить деятельность рансомвара в вашей инфраструктуре.

Способы, которыми ваша организация может стать жертвой вымогательского программного обеспечения, бесчисленны. Однако вот наиболее распространенные векторы инфицирования вредоносными программами:

• Подозрительные электронные сообщения, побуждающие получателя кликнуть по ссылке или загрузить вложение, содержащее вредоносное ПО.
• Вредоносные веб-сайты, созданные для обмана людей и заставки их посещать свои страницы, что в конечном итоге приводит к заражению вымогательским программным обеспечением путем щелчка по вредоносным гиперссылкам.
• Социальные сети часто воспринимаются как надежные и легитимные платформы, что мгновенно заставляет людей доверять им. В целом, вредоносное ПО распространяется через вредоносные приложения, рекламу, плагины и ссылки на платформах социальных медиа. Эти приложения, реклама, ссылки и вложения браузера затем убеждают пользователей загрузить вредоносный контент, такой как вымогательское программное обеспечение или агенты криптодобычи.
• Малварная реклама – это форма онлайн-рекламы, содержащая вредоносный код. Вы щелкаете по ссылке на видимо легитимном веб-сайте, и ваш компьютер может автоматически заразиться вредоносным ПО.
• Мобильное вымогательское программное обеспечение, запущенное через мобильные приложения, инъецированные вредоносным кодом. Загрузив такие приложения, вы можете дать вредоносному ПО заразить ваш мобильный телефон за считанные секунды, а затем распространить инфекцию на ваш компьютер при следующем подключении двух устройств.

Техники обнаружения вымогательского программного обеспечения

Для обнаружения попыток вторжения вымогательского программного обеспечения или уже нарушающего вашу информационно-технологическую среду, вы можете использовать набор инструментов и техник, помогающих выявить вредоносные файлы и подозрительную активность. IT-специалисты выделяют следующие типы техник обнаружения:

• Сигнатурное обнаружение
• Обнаружение на основе поведения
• Обман

Ниже мы подробно рассмотрим каждый метод обнаружения шифровальных программ.

Сигнатурное обнаружение

Сигнатурные методысравнивают хэш-сумму образца шифровальной программы с ранее найденными сигнатурами. Это обычный метод первичного обнаружения для антивирусных решений и платформ безопасности. Они проверяют фрагменты данных, упакованные в исполняемом файле, перед запуском этого файла. Техника заключается в раннем обнаружении фрагментов кода, похожих на шифровальную программу, и блокировании выполнения зараженного кода.

Этот метод используется для построения основной защиты организации. Однако, несмотря на то, что он эффективно обнаруживает известные штаммы шифровальных программ, сигнатурные методы могут не справиться с новыми вредоносными программами. Кроме того, хакеры вкладывают много усилий в обновление своих вредоносных программ и инструментов по нейтрализации защиты, что делает обнаружение сигнатур более сложным.

На рынке существует множество поставщиков программного обеспечения для обнаружения вредоносных программ, конкурирующих между собой. Каждый из них предоставляет набор функций для обнаружения шифровальных программ, который может быть эффективен в некоторой степени. Однако, согласно отчету Sophos, более 50%выполненных атак шифровальных программ в 2021 году были успешны, что означает, что ни одна система обнаружения вредоносных программ не может гарантировать обнаружение шифровальной программы на 100%.

Обнаружение на основе поведения

Методы обнаружения вымогательских программ на основе поведения сравнивают исторически известные поведенческие шаблоны с новыми. Специалисты и автоматические инструменты отслеживают действия пользователей и приложений внутри среды для выявления необычных изменений в файловых системах, необычного трафика, неизвестных процессов и вызовов API, среди других признаков.

Проверьте и запомните общие поведенческие признаки попыток атаки вымогательских программ или успешной инфекции системы:

• Спам и фишинговые электронные письма: Фишинг – наиболее распространенный метод, который хакеры используют для доставки вымогательских программ.
• Снижение производительности: В случае, если узлы вашей IT-инфраструктуры функционируют медленнее, чем ожидалось, убедитесь, что реагируете на возможное вторжение вымогательских программ.
• Постоянная подозрительная активность входа в систему: Если неудачные попытки входа в систему происходят регулярно и на разных учетных записях из необычных мест и устройств, очень вероятно, что кто-то пытается получить несанкционированный доступ к системам вашей организации.
• Обнаружены несанкционированные сканеры сети: Если вы не знаете, кто инициировал процедуру сканирования сети и с какой целью, вам следует это проверить, так как это может быть злонамеренная деятельность.
• Потенциальные тестовые атаки: Хакеры могут инициировать несколько легких атак на некоторые узлы, чтобы проверить устойчивость системы защиты вашей организации и время реакции перед запуском масштабной атаки.
• Отключение или удаление программного обеспечения безопасности: Ни одно из нарушений системы защиты не должно быть проигнорировано, потому что даже краткосрочный сбой означает открытое проникновение для заражения программой-вымогателем.
• Шифрование данных на некоторых узлах: Успешное шифрование данных на любом узле вашей системы указывает на нарушение вашей защиты информации, которое хакеры могут использовать в более серьезной атаке.
• Обнаружены известные инструменты взлома: Если вы заметите такие приложения, как Microsoft Process Explorer, MimiKatz, IOBit Uninstaller и PC Hunter в среде вашей организации, вам следует провести полный обзор безопасности каждого узла.
• Необычная активность вокруг службы Active Directory: Имеется известный случай использования хакерами протокола удаленного рабочего стола (RDP) для доступа к защищенным серверам AD нефтяных и газовых объектов и внедрения программы-вымогателя Ryuk непосредственно в скрипт входа в AD.
• Попытки повреждения резервных копий: Платформы хранения резервных копий являются одной из приоритетных целей для кибератак. Любая подозрительная активность вокруг хранения резервных копий, будь то на физических дисках или в облаке, может быть признаком потенциальной или текущей атаки программой-вымогателем.

Обнаружение на основе обмана

Как хакеры регулярно пытаются обмануть системы дигитального обнаружения угроз для организации, специалисты IT- безопасности придумали способ для ловли негативных акторов. Один из наиболее распространенных методов ловли называется заранее установленной точкой: сервером или областью в IT- среде организации, содержащей данные, которые кажется ценными для хакеров. Однако, этот срез полностью изолирован от сайта и может быть использован для наблюдения и анализа тактик атаки.

Evolving threats make companies use every security option available to prevent breaches and data loss, thus combining ransomware detection methods is a common practice. Moreover, a good strategy to detect and proactively fight ransomware attacks is understanding attackers’ tactics and preventing infiltration. Below are some recommendations to identify and prevent attacks.

How to Identify and Prevent an Attack

We recommend that you adopt the following practices to prevent ransomware attacks. We also added tips on reducing data loss risks in case ransomware infiltrates the organization’s environment.

• Encourage employees to:
  • Learn the most common signs of ransomware and other malware
  • Use strong passwords and update them regularly
  • Examine the links and file attachments before clicking them
  • Understand how phishing works and check email addresses of incoming messages

• Регулярно обновляйте свою систему

Вы должны поддерживать свою операционную систему и критические приложения в актуальном состоянии. Устанавливайте обновления, как только они выходят. Системные обновления и патчи безопасности, как правило, предназначены для исправления проблем предыдущих выпусков и закрытия известных уязвимостей вашей системы.

• Проверяйте стороннее программное обеспечение

Перед установкой стороннего программного обеспечения сначала убедитесь, что производитель программы является аутентичным и надежным. Для этой цели установите программное обеспечение для списка разрешенных программ (например, Bit9, Velox, McAfee, Lumension), которое может определить, является ли новая программа достаточно безопасной для установки и запуска в вашей системе.

• Регулярно сканируйте вашу инфраструктуру

Установите и используйте программное обеспечение для защиты от вредоносных программ, которое уведомит вас о любых возможных угрозах, выявит потенциальные уязвимости и обнаружит действия программ-вымогателей в вашей инфраструктуре. Современные инструменты защиты от программ-вымогателей позволяют вам сканировать всю систему на наличие существующих вирусов и активных угроз вредоносных программ. Более того, такие сканирования компьютера могут выполняться по требованию или на основе расписания, которое вы установите, тем самым минимизируя ввод управления с вашей стороны.

• Создавайте троянских коней

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Ограничивайте доступ к критическим системам и приложениям

Примените принцип наименьших привилегий при предоставлении сотрудникам разрешений на доступ к системам. Принцип заключается в предоставлении сотруднику доступа только к тем файлам и ресурсам системы, которые необходимы для эффективного выполнения его работы. Любые действия или доступ, которые не являются необходимыми для выполнения служебных обязанностей сотрудника, должны быть запрещены администратором для предотвращения случайных инфицирований.

• Защита данных и тестирование резервных копий

Создавайте и регулярно обновляйте резервные копии данных. Используйте правило 3-2-1 для улучшения защиты и обеспечения успешного восстановления данных, зашифрованных рансомваром. Правило предписывает иметь 3 копии ваших данных и хранить их на 2 разных носителях, один из которых должен быть вне помещения. После создания резервных копий данных проводите тесты для проверки их функциональности и возможности восстановления. Таким образом, вы можете предотвратить отказы, которые могли бы произойти во время восстановления системы.

Как NAKIVO может помочь защитить ваши данные от рансомвара

Сегодня атака рансомвара, которая делает данные организации недоступными, — это не просто еще одна вероятность, а вопрос времени. И самый эффективный способ предотвратить инциденты потери данных и избежать простоев производства после нарушений, вызванных успешными атаками рансомвара, — иметь готовые для восстановления действующие резервные копии.

Некоторые 93% компаний, не реализующих планы резервного копирования и восстановления после катастрофы, выходят из бизнеса в течение года после глобальной катастрофы по потере данных. С другой стороны, 96% компаний, у которых есть надежная стратегия резервного копирования и восстановления, смогли успешно восстановиться после атак вымогательского программного обеспечения.

NAKIVO Backup & Replication – это решение по защите данных, которое вы можете использовать для реализации надежной стратегии защиты от вымогательских программ и повышения устойчивости организации к атакам:

1. Создавайте надежные и приложение-совместимые резервные копии ваших данных.
2. Храните резервные копии на месте, отправляйте за пределы или в облако, чтобы следовать правилу 3-2-1 и избежать единой точки отказа.
3. Включите непреобразуемость для резервных копий, хранящихся в локальных репозиториях на базе Linux и/или в облаке, чтобы обеспечить сохранность ваших резервных данных и их доступность, даже если вымогательское программное обеспечение поразит инфраструктуру резервного копирования.
4. Включите шифрование ваших резервных данных в пути и в состоянии покоя. Для предотвращения доступа третьих лиц к вашим резервным данным решение использует стандарт шифрования AES-256.
5. Используйте контроль доступа на основе ролей (RBAC), чтобы установить права доступа для сотрудников и повысить безопасность резервных копий.Когда атака вымогательского программного обеспечения поражает и шифрует исходные данные, используйте резервные копии для восстановления. Вы можете немедленно восстановить полные виртуальные машины и физические машины как виртуальные машины. Используйте Мгновенное гранулярное восстановление, чтобы восстановить отдельные файлы и объекты приложений в исходные или пользовательские местоположения для еще более короткого времени простоя.
6. Когда атака вредоносного ПО-вымогателя наносит удар и шифрует исходные данные, восстановите их из резервных копий. Вы можете восстановить полные виртуальные машины и физические машины в виде виртуальных машин мгновенно. Используйте Мгновенное тонкое восстановление, чтобы восстановить отдельные файлы и объекты приложений в исходные или настраиваемые расположения для еще более короткого простоя.
7. Используйте репликацию, автоматическое переключение на резервный режим и оркестрацию аварийного восстановления для быстрой доступности систем и приложений.

Решение NAKIVO позволяет вам контролировать и автоматизировать процессы резервного копирования и восстановления из единого окна управления. Запускайте резервное копирование каждую минуту, чтобы свести к минимуму потерю данных. С имеющимися актуальными неизменяемыми резервными копиями вы можете избежать выплаты выкупа хакерам, даже если вредоносное ПО-вымогателя обходит ваши системы безопасности и успешно шифрует исходные данные.