Планирование реагирования на атаку предприятия шифровальщиком (ransomware)

Планирование реагирования на атаку предприятия шифровальщиком

Планирование реагирования на атаку предприятия шифровальщиком

Подготовка ответной реакции на поражение информационной инфраструктуры предприятия вредоносными программами начинается с написания регламентов и обучения персонала действиям в таких ситуациях. Широкое распространение криптовалют позволяет злоумышленникам сохранять анонимность, в результате чего количество атак, связанных с вымоганием денег, растёт — вместе с суммами выкупов. Рассмотрим основные способы противодействия этому типу угроз. Схема будет актуальной как для компаний с действующим SOC, так и для тех, кто пока использует иные решения для мониторинга внешних угроз.

 

 

 

 

  1. Введение
  2. Обнаружение атаки
  3. Расследование инцидента
  4. Предотвращение дальнейшего заражения
  5. Восстановление инфраструктуры
  6. Выводы

Введение

Возьмём ситуацию, когда вы заходите в консоль управления критически важным сервером и понимаете, что в вашей информационной системе поработал, к примеру, шифровальщик. Как быть? Прежде всего — не паниковать и не откладывать реагирование на инцидент. Работу по устранению последствий такой атаки можно разделить на несколько этапов, каждый из которых мы рассмотрим подробно.

Обнаружение атаки

Действия в случае обнаружения вирусной атаки должны быть известны не только специалистам центра мониторинга (SOC) или ИБ-отдела, но и всем сотрудникам компании. Компьютер важно как можно быстрее изолировать от сетевой инфраструктуры, не выключая питание, а все предупреждения системы — зафиксировать на фотографиях (например, с камеры мобильного телефона). Пользователь, на устройстве которого обнаружена вредоносная программа, должен зафиксировать все действия, которые могли привести к заражению, и обратиться в службу технической поддержки. При описании инцидента можно ориентироваться на следующие опорные вопросы:

  • Какие странности в поведении компьютера или программ вы заметили?
  • Что вы делали перед тем, как обнаружили заражение? Работали с файлами, внешними носителями, сетевыми папками, открывали письма в почте, работали в интернете?
  • Как часто и каким образом проявляются признаки заражения?
  • К какой сети вы были подключены в момент заражения (домашняя сеть, публичный Wi-Fi, интернет, VPN и т. д.)?
  • Какая операционная система используется на компьютере, как давно она обновлялась?
  • Каково имя вашего компьютера?
  • С какой учётной записью вы работали в этот момент?
  • К каким данным у вас есть доступ?
  • Кому вы сообщили об инциденте и в какой форме?

Расследование инцидента

Первым делом необходимо определить тип вредоносного объекта, проанализировав всю имеющуюся информацию о нём. Например, если речь идёт о шифровальщике, нужно сделать снимки экрана и графических интерфейсов вредоносной программы; сохранить текстовые файлы или HTML-страницы, которые открываются после шифрования данных, а также все графические объекты, связанные с шифровальщиком: в ряде случаев они устанавливаются фоном на рабочий стол операционной системы. Зафиксируйте сообщения, всплывающие при попытке открытия зашифрованных файлов, адреса электронной почты и другие контактные данные, которые содержатся в зашифрованных файлах и сообщениях. Значение имеют также используемые цифровые валюты и методы оплаты; язык, который используется в сообщениях шифровальщика; типы зашифрованных файлов и схема их переименования (.crypt, .cry, .locked и т. д.), а также учётная запись, под которой производилось шифрование (системная, пользовательская, сервисная). Помочь в анализе может применение специализированных ресурсов.

Выявив тип вредоносной программы, нужно собрать по нему все возможные технические признаки компрометации (имена процессов, устанавливаемые сетевые соединения, названия и хеши файлов, учётные записи, адреса почты, с которых производилась рассылка писем, и т. д.). Данную информацию можно получить или из описания вредоносной программы, или при более глубоком анализе её образца. Анализ можно произвести самостоятельно в специализированной системе либо отправить его в антивирусную лабораторию, с которой сотрудничает ваша компания.

Необходимо также выяснить, какие данные пострадали от заражения: пользовательские материалы или, скажем, конфигурационные файлы в технологических системах. С этой целью анализируются события массовых изменений файлов на узлах, объединённых общим процессом, или в сетевых папках с доступом для одной учётной записи или для их группы. Процесс производится посредством специальных утилит для работы с метаданными файлов или с использованием механизмов контроля целостности операционных систем.

Для того чтобы ограничить дальнейшее распространение вредоносной программы, важно определить векторы заражения и «нулевого пациента». Наиболее часто встречающимися векторами распространения являются эксплуатация уязвимостей сетевой инфраструктуры (аналогично сетевым червям и вирусам) и протоколов удалённого доступа (RDP и другие), вложения в электронной почте, заражение через файлы и документы, поступившие из сетевых папок и с внешних устройств, а также распространение в качестве дополнительной нагрузки других вредоносных программ, например через троянские загрузчики. Чаще всего вредоносную программу запускают сами пользователи, но бывают случаи, когда это делает злоумышленник, предварительно проникнувший в интересующий его участок сети.

Чтобы определить границы заражения, можно использовать сетевые средства защиты, антивирусные системы или инструменты мониторинга серверов и рабочих станций — с их помощью вы можете определить, на каких узлах были обнаружены признаки компрометации. На межсетевых экранах, DNS- и прокси-серверах видно, кто обращался к командным центрам вредоносной программы или осуществлял попытку массового заражения внутри сети. Быстро проанализировать большой объём событий и сформировать правила мониторинга и выявления новых заражённых узлов позволяют системы типа SIEM. На рабочих станциях и серверах используются антивирусные средства — современные решения дают возможность весьма оперативно добавлять правила поиска процессов и хешей запускаемых исполняемых файлов по заданным параметрам.

Понять степень влияния инцидента на бизнес-процессы компании и принять решение о дальнейших действиях помогут ответы на вопросы из следующего проверочного списка:

  • Сколько денег потеряла компания из-за заражения?
  • Какие процессы остановились или деградировали?
  • Какие данные были утеряны и есть ли копии этих данных?
  • Насколько конфиденциальны утерянные / украденные данные?
  • Повлияло ли заражение на исполнение требований регуляторов (ЦБ, ФСТЭК России и пр.)?

Предотвращение дальнейшего заражения

Работу по сдерживанию заражения важно начинать параллельно расследованию. Так вы сможете максимально сократить все возможные последствия инцидента. При этом стоит понимать, что неверный порядок действий способен усугубить ситуацию. В идеале компания должна иметь и довести до всех пользователей чёткий план действий на случай массового заражения инфраструктуры. Это — такое же непреложное правило безопасности, как наличие огнетушителя и плана эвакуации на случай пожара.

Приоритетными являются задачи, связанные со сдерживанием распространения вредоносных программ. Основной механизм защиты в этом случае — изоляция заражённых систем и учётных записей от общей инфраструктуры, особенно критически важных её участков. Что следует сделать:

  • Отключить узлы от сети или заблокировать их на сетевом уровне.
  • Произвести блокировку пользователей или групп, попавших в очаг заражения.
  • Принудительно отключить сетевые папки, в том числе неинфицированные.
  • Изолировать СУБД.
  • Изолировать системы хранения резервных копий и поставить ограничения на запись.
  • Произвести блокировку командных центров на внешнем периметре сети.
  • Удалить заражённые письма из почтовых ящиков пользователей.
  • Настроить средства защиты уровня узла на обнаружение и блокировку действий вредоносных программ.
  • Установить критически важные обновления, закрывающие эксплуатируемые вредоносной программой уязвимости.

При наличии полноценного SOC большая часть этих действий выполняется с использованием средств автоматизации, что сильно сокращает время реагирования и, соответственно, может уменьшить масштабы бедствия.

Восстановление инфраструктуры

Прежде чем приступить к восстановлению инфраструктуры, убедитесь, что дальнейшее распространение вредоносных программ невозможно и резервные копии не заражены. Оптимальной является ситуация, когда в организации заранее настроены эффективные механизмы восстановления данных, развёртывания серверов и рабочих станций, создаются копии конфигурационных файлов и задокументированы настройки бизнес-систем. Убедитесь, что сотрудники компании осведомлены о месте нахождения не изменённых вредоносными программами резервных копий, обладают всеми необходимыми знаниями и инструментами для их восстановления.

Если извлечение данных из резервных копий по какой-то причине невозможно, попробуйте восстановить работу системы иными способами. Можно поискать специализированные утилиты — декрипторы — или произвести анализ вредоносной программы в антивирусной лаборатории, специалисты которой в ряде случаев помогут написать программу для восстановления информации. В случае с атакой шифровальщика иногда не остаётся иных вариантов, кроме как заплатить вымогателям за восстановление критически важных данных. Однако стоит понимать, что это не гарантирует вам успеха: часто заражение происходит с ошибками, и злоумышленник сам не может контролировать распространение вредоносной программы.

Не забывайте о важности поддержания коммуникаций между ИТ-отделом и остальными сотрудниками компании в процессе восстановления инфраструктуры. Важно уведомить персонал компании о происходящем и попросить его быть бдительным при обнаружении похожих проблем с компьютерами, а также распространить инструкции с описанием действий при возникновении подозрения на заражение рабочего оборудования. Если перебои в работе критически важных бизнес-процессов становятся помехой для полноценного общения с заказчиками, к работе над устранением последствий инцидента уместно привлечь пресс-службу или подразделение маркетинга. Например, можно сформировать рассылку, корректно объясняющую недоступность сервисов. Особенно это важно для пользователей, чьи данные могли быть скомпрометированы.

Выводы

Для того чтобы снизить риск заражения инфраструктуры и уменьшить время на реагирование, важно настроить систему резервного копирования пользовательской информации и данных критически важных бизнес-систем с хранением на внешнем носителе либо на максимально изолированном от инфраструктуры сервере или СХД. Сформируйте перечень сотрудников, ответственных за эксплуатацию инфраструктуры и средств защиты. Разработайте и протестируйте инструкции по оперативному выявлению, идентификации и предотвращению распространения вредоносной программы. На регулярной основе организуйте проверку цифровой грамотности персонала и проводите комплекс обучающих мероприятий, включающий в себя в том числе проработку механизма действий на случай внешней атаки. Очень важно использовать современное антивирусное ПО и следить за его регулярными обновлениями, а также организовать взаимодействие с антивирусными лабораториями и компаниями, занимающимися расследованием инцидентов. В том случае, если к обслуживанию SOC привлечён опытный сервис-провайдер, за эту часть работы отвечают его эксперты. Грамотные ИБ-специалисты выстроят процесс с минимальными потерями для организации.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru