Как защититься от вируса-вымогателя Ransomware?

Как защититься от вирусов-вымогателей и шифровальщиков?

Как защититься от вирусов-вымогателей и шифровальщиков?

В последнее время сложно найти ИБ- или ИТ-специалиста, который не слышал о троянах-вымогателях. В своих прогнозах на 2017 год ведущие производители средств защиты информации (Kaspersky Lab, McAfee Labs, Sophos Labs, Malwarebytes Labs, Trend Micro и др.) называют их одной из основных угроз безопасности информации для государственных и коммерческих организаций различных сфер деятельности и масштабов.

 

 

 

 

1. Введение

2. Проактивная защита от направленных атак и вымогателей

2.1. Организационные меры защиты от вымогателей

2.2. Технические меры защиты от вымогателей

2.3. Другие меры защиты от трояна-вымогателя

3. Приоритизация мер защиты от вымогателей

4. Меры защиты для конечных пользователей

5. Уязвимость мобильных устройств (Android, iOS)

6. Выводы

 

 

 

Введение

Стремительно растущая популярность вирусов-вымогателей (Ransomware) обусловлена тем, что организовать атаку с ними просто: исходные коды троянов и инструкции к ним выложены в открытом доступе, а некоторые и вовсе предлагают подобную атаку как услугу (Ransomware-as-a-Service) прямо в интернете. При простоте организации она обладает высокой доходностью, возможностью анонимного сбора и обналичивания денежных средств с помощью криптовалюты «Биткоин».

  • По данным TrendLabs (Аналитический отчет TrendLabs 2016 Security Roundup.) за 2016 год количество известных типов (семейств) троянов-вымогателей увеличилось на 752%: с 29 типов в 2015 году до 247 к концу 2016 года.
  • По данным CSO (Статья Maria Korolov “Ransomware took in $1 billion in 2016--improved defenses may not be enough to stem the tide”.), благодаря вирусам-вымогателям злоумышленники за 2016 год «заработали» 1 миллиард долларов США.
  • По данным Kaspersky Lab (Аналитический отчет IT threat evolution Q1 2017. Statistics от 22.05.2017), в 1 квартале 2017 года появилось 11 новых семейств троянов-вымогателей и 55 679 модификаций (для сравнения, во 2-4 кварталах 2016 года появилось 70 837 модификаций).

В первую очередь атаки с внедрением вымогателя нацелены на самые популярные операционные системы: Windows для рабочих станций и серверов, Android для мобильных устройств. Однако существуют известные трояны и для других операционных систем: семейства Linux, macOS, iOS и др.

За последнее время можно привести несколько примеров известных подобных атак:

  • Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие.
  • Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо, США, более чем на 1 неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (более 1000 хостов).
  • Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания, США, из-за атаки и блокировки доступа к данным информационных систем.
  • Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 01.06.2017 413 632 компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP), общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США.
  • Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1, поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя.

Можно подумать, что защиты от направленных атак вымогательских вредоносных программ нет, однако это не так. Отдельные производители средств защиты утверждают, что только единственный их продукт может помочь и защитить, но это тоже неправда.

Задачу проактивной защиты от вирусов-вымогателей можно решить только комплексом организационно-технических мероприятий, которые помогут нейтрализовать и уменьшить вероятность реализации угрозы для каждого типа доступа к защищаемой информации.

 

Проактивная защита от направленных атак и вирусов-вымогателей

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

  • Воздействие на периметр локальной вычислительной сети из интернета возможно через:
    • корпоративную электронную почту;
    • веб-трафик, в том числе веб-почту;
    • периметровый маршрутизатор / межсетевой экран;
    • сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
    • системы защищенного удаленного доступа.
  • Воздействие на серверы, рабочие места пользователей по сети:
    • загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
    • использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
    • загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
    • подключение к локальной сети нелегитимных устройств.
  • Прямое воздействие на информацию на серверах, рабочих местах пользователей:
    • подключение внешних носителей информации с вредоносом;
    • разработка вредоносных программ прямо на конечной точке / сервере.

Перечень организационных и технических мероприятий, направленных на защиту от воздействия вымогателей, представлен на рисунке 1.

 

Рисунок 1. Проактивные меры защиты от вирусов-вымогателей

Проактивные меры защиты от вирусов-вымогателей

Организационные меры защиты от вирусов-вымогателей

К основным организационным мерам проактивной защиты от вирусов-вымогателей относятся:

  • Повышение осведомленности сотрудников в области ИБ.

Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:

  • Не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr).
  • Не включать макросы в недоверенных документах Microsoft Office.
  • Проверять адреса отправителей почтовых сообщений.
  • Не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
  • Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.

Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов —  проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.

  • Регулярное обновление системного ПО (Patch Management).

Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.

  • Систематизация резервного копирования данных.

Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

 

Технические меры защиты от вирусов-вымогателей

Технические мероприятия проактивной защиты от вымогателей предпринимаются на уровне сети и на уровне хоста.

На уровне сети это:

  • Использование систем фильтрации электронной почты, обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk) и файлы ярлыков Windows (.lnk)).
  • Использование систем контентной фильтрации веб-трафика, обеспечивающих разграничение и контроль доступа пользователей к интернету (в т. ч. путем разбора SSL-трафика с помощью подмены сертификата сервера), потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц.
  • Использование систем защиты от целенаправленных атак, атак нулевого дня (Sandbox, песочница), обеспечивающих эвристический и поведенческий анализ потенциально опасных файлов в изолированной среде перед отправкой файла в защищаемые информационные системы. Системы защиты от направленных атак должны быть интегрированы с системами контентной фильтрации веб-трафика, фильтрации электронной почты для блокирования вредоносных вложений. Также системы защиты от направленных атак интегрируют с информационными системами внутри периметра сети для обнаружения и блокировки сложных атак на критичные ресурсы, сервисы.
  • Обеспечение контроля доступа к корпоративной сети на уровне проводной и беспроводной сети с помощью технологии 802.1x. Такая мера исключает несанкционированное подключение нелегитимных устройств в корпоративную сеть, обеспечивает возможность выполнения проверки на соответствие корпоративным политикам при доступе в сеть организации (наличие антивирусного ПО, актуальные сигнатурные базы, наличие критических обновлений Windows). Контроль доступа к корпоративной сети с помощью 802.1x обеспечивается системами класса NAC (Network Access Control).
  • Исключение прямого взаимодействия внешних пользователей с ресурсами корпоративных информационных систем с помощью промежуточных шлюзов доступа с наложенными корпоративными средствами защиты информации (терминальный сервер, система виртуализации рабочих столов VDI), в том числе с возможностью фиксации действий внешних пользователей с помощью видео или текстовой записи сессии. Мера реализуется с помощью систем терминального доступа, систем класса PUM (Privileged User Management).
  • Сегментирование сети по принципу необходимой достаточности для исключения избыточных разрешений сетевого взаимодействия, ограничения возможности распространения вредоносных программ в корпоративной сети в случае заражения одного из серверов / рабочих мест пользователей / виртуальных машин. Возможна реализация такой меры с помощью систем анализа политик межсетевого экранирования (NCM / NCCM, Network Configuration (Change) Management), обеспечивающих централизованный сбор политик межсетевого экранирования, настроек межсетевых экранов и дальнейшую их обработку с целью автоматизированной выдачи рекомендаций по их оптимизации, контроль изменений политик межсетевого экранирования.
  • Выявление аномалий на уровне сетевых взаимодействий.

Использование специализированных решений класса NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection) позволяет осуществить сбор и анализ сведений о потоках данных, профилирование трафика для каждого сетевого хоста для выявления отклонений от «нормального» профиля. Данный класс решений позволит выявить:

    • сканирование зараженным хостом своего окружения;
    • вектор заражения;
    • состояние хоста — «просканирован», «заражен и сканирует других»;
    • однонаправленные потоки;
    • аномальные потоки;
    • вирусные эпидемии;
    • распределенные атаки;
    • картину существующих потоков.
  • Отключение зараженных хостов (автоматизированных рабочих мест, серверов, виртуальных машин и пр.) от сети. Эта мера применима в случае заражения хотя бы одного из хостов в корпоративной сети, однако необходима для локализации и предотвращения вирусной эпидемии. Рабочие места от сети можно отключить как силами администрирующего персонала ИТ и ИБ, так и автоматизировано при обнаружении признаков угрозы на защищаемом хосте (путем корреляции событий безопасности, настройки автоматизированных действий по блокировки всех сетевых активностей на хосте / отключению хоста от сети на уровне коммутатора и пр.).

Меры проактивной защиты на уровне хоста:

  • Обеспечение защиты от несанкционированного доступа рабочих мест, серверов, виртуальных машин путем усиленной аутентификации пользователей, контроля целостности операционной системы, блокировки загрузки системы с внешних носителей для исключения заражения корпоративной сети нарушителями внутри периметра сети. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
  • Обеспечение антивирусной защиты на всех сетевых узлах организации. Антивирусное ПО должно обнаруживать факты вирусного заражения оперативной памяти, локальных носителей информации, томов, каталогов, файлов, а также файлов, получаемых по каналам связи, электронных сообщений на рабочих местах, серверах, виртуальных машинах в реальном времени, лечить, удалять или изолировать угрозы. Сигнатурные базы антивирусного ПО должны регулярно обновляться и находиться в актуальном состоянии.
  • Обеспечение мониторинга и контроля действий ПО на защищаемых хостах путем контроля запускаемых служб и сервисов, эвристического анализа их функционирования. Такая мера реализуется решениями класса HIPS (Host Intrusion Prevention).
  • Обеспечение контроля подключения внешних устройств, блокировки неиспользуемых портов на защищаемых хостах для исключения подключения к защищаемым хостам несанкционированных устройств: как носителей информации с потенциально вредоносными программами, так и внешних шлюзов доступа к интернету (например, 4G-модем), обеспечивающих неконтролируемый и незащищенный канал доступа в интернет. Эта мера реализуется решениями класса СЗИ от НСД / Endpoint Protection.
  • Обеспечение продвинутой защиты хостов с помощью поведенческого анализа функционирования процессов на защищаемых хостах, машинного обучения, эвристического анализа файлов, контроля приложений, защиты от эксплойтов для выявления и блокировки неизвестных угроз (угроз нулевого дня) в режиме реального времени. Данная мера реализуется решениями класса NGEPP (Next Generation Endpoint Protection).
  • Использование агентских решений по защите от вымогателей, шифрующих данные на зараженном хосте. К ним относятся:
    • Продуктивные системы защиты от направленных атак, атак нулевого дня с клиент-серверной архитектурой. Клиентское ПО устанавливается на защищаемый хост, защищает в реальном времени от угроз нулевого дня, вирусов, шифрующих данные в системе, расшифровывает зашифрованные вредоносом данные (в случае наличия агента — до попытки заражения), удаляет троян-вымогатель, защищает от фишинговых атак. Клиентское ПО обеспечивает контроль всех каналов доступа к хосту: веб-трафик, отчуждаемые носители информации, электронная почта, доступ по локальной сети, вредоносные программы в зашифрованном трафике (VPN).
    • Клиентские системы защиты от угроз нулевого дня (песочницы) в открытом доступе (sandboxie, cuckoo sandbox, shadow defender и др.).
    • Клиентские системы защиты от угроз нулевого дня на базе микровиртуализации (Bromium vSentry), обеспечивающие поведенческий анализ потенциально вредоносных файлов в аппаратно изолированной среде (микровиртуальной инфраструктуре).
  • Обеспечение межсетевого экранирования на уровне хоста с помощью программных межсетевых экранов для разграничения доступа к ресурсам корпоративной сети, ограничения распространения вредоноса в случае заражения хоста, блокировки неиспользуемых сетевых портов, протоколов.

Другие меры защиты от вирусов-вымогателей

Дополнительно к вышеперечисленным мерам предотвратить и выявить вирус-вымогатель в корпоративной сети поможет следующее:

  • Обеспечение регулярного анализа защищенности ИТ-инфраструктуры — сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
  • Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

 

Приоритизация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак и вымогателей обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

  • Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
  • Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
  • Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

 

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Приоритизация мер защиты от трояна-вымогателя

 

Меры защиты для конечных пользователей от вирусов-вымогателей

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей интернета, для которых также применимы отдельные меры по предотвращению заражения:

  • своевременная установка обновлений системного ПО;
  • использование антивирусов;
  • своевременное обновление баз сигнатур антивирусов;
  • использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

 

Уязвимость мобильных устройств (Android, iOS)

«Умные» мобильные устройства (смартфоны, планшетные компьютеры) стали неотъемлемой частью жизни: с каждым годом увеличивается количество активированных мобильных устройств, мобильных приложений и объем мобильного трафика. Если раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). А потому растет интерес злоумышленников и к мобильным платформам, в частности, с точки зрения вымогания денег с помощью троянов. По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%). Наибольший процент троянов для мобильных платформ написан для самой популярной мобильной операционной системы — Android, но для iOS также существуют подобные.

Меры защиты для мобильных устройств:

  • Для корпоративного сектора:
    • использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
    • для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
    • использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
  • Для конечных пользователей:
    • использование официальных магазинов для установки приложений;
    • своевременное обновление системного ПО;
    • исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

 

Выводы

Вирусы-вымогатели и шифровальщики являются частным актуальным примером развития киберпреступности в современном обществе. Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего, в связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе.

Поэтому мы в компании «Информзащита» фокусируемся на современных вызовах информационной безопасности и обеспечиваем защиту инфраструктуры клиентов от новейших, в том числе неизвестных, угроз. Создавая и реализуя комплексные адаптивные модели противодействия угрозам информационной безопасности, мы знаем, как прогнозировать, предотвращать, обнаруживать и реагировать на киберугрозы. Главное — делать это своевременно.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru