2022/07/19 10:40:59

Защита от вирусов-вымогателей (шифровальщиков)

Содержание

2023
- Эксперты «РТК-Солар» выпустили дешифратор для шифровальщика HardBit
- «Лаборатория Касперского» выпустила инструмент для разблокировки компьютеров, зараженных популярным вирусом-вымогателем Conti
2022
- «Лаборатория Касперского» опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков и защите от них
- ИБ-исследователи выпустили дешифратор для вымогательского ПО Hive 5
2021: Защита от программ-вымогателей: существует ли она?
2019: Как защитить бизнес от вирусов-вымогателей
2017: Рекомендации по защите от целевых атак шифровальщиков
2016: Запуск сайта No More Ransom для борьбы с троянцами-вымогателями
Смотрите также
Примечания

Основная статья: Вирусы-вымогатели (шифровальщики) Ransomware

2023

Эксперты «РТК-Солар» выпустили дешифратор для шифровальщика HardBit

Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Об этом компания сообщила 7 сентября 2023 года. Подробнее здесь.

«Лаборатория Касперского» выпустила инструмент для разблокировки компьютеров, зараженных популярным вирусом-вымогателем Conti

16 марта 2023 года «Лаборатория Касперского» выпустила новый инструмент дешифрования, который поможет жертвам программ-вымогателей, созданных на основе исходного кода Conti, восстановить свои данные. Подробнее здесь.

2022

«Лаборатория Касперского» опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков и защите от них

«Лаборатория Касперского» 24 июня 2022 года опубликовала практическое руководство по техникам, тактикам и процедурам самых популярных групп шифровальщиков.

В основу исследования легли данные за период с октября 2021 года по март 2022 года. Данное исследование показало, что различные семейства этого вида ПО совпадают более чем на половину в своих TTPs на протяжении всех этапов цепочки атак Сyber Kill Chain (данная цепочка атак показывает, какие этапы должен пройти злоумышленник, чтобы достигнуть своей цели). Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 14.9 т

В исследовании представлены данные об активности Conti/Ryuk (заявила о приостановке деятельности в мае 2022 года), Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Эти группы ведут свою деятельность по всему миру, в том числе в США, Великобритании, Германии. С марта 2021-го по март 2022 года операторы этих групп пытались атаковать более 500 организаций в разных отраслях, среди которых промышленность, разработка ПО, строительство.

В отчёте рассказывается обо всех этапах атаки, излюбленных TTPs злоумышленников и преследуемых ими целях, а также о методах защиты от целенаправленных атак вымогателей. Также он включает правила обнаружения SIGMA, которые могут использовать специалисты SOC.

Проанализировав, какие техники и тактики, собранные в MITRE ATT&CK (база знаний, содержащая таксономию действий, применяемых злоумышленниками в ходе кибератаки), применяют известные группы, эксперты нашли много сходства среди TTPs на протяжении всех этапов цепочки Cyber Kill Chain. Сходство между атаками прослеживается в следующем:

активно используется партнёрская модель Ransomware-as-a-Service (RaaS), когда создатели шифровальщика не сами доставляют вредоносное ПО на устройство, а только предоставляют сервисы шифрования данных. Многие атакующие используют готовые шаблоны или инструменты автоматизации;
повторно используются старые и похожие инструменты. Это сокращает время подготовки к атаке;
повторно используются распространённые тактики, техники и процедуры, что облегчает процесс взлома. Детектировать эти техники возможно, но сделать это превентивно по всем возможным векторам угроз гораздо сложнее;
компании недостаточно оперативно устанавливают обновления и патчи, что облегчает атакующим доступ к их инфраструктуре.

Это глобальное исследование находится в открытом доступе и помогает понять, как действуют данные группы и как защититься от подобных атак.

В последние годы программы-вымогатели — главный кошмар всей отрасли кибербезопасности. Операторы вредоносного ПО постоянно совершенствуют свои инструменты, и изучать все группы шифровальщиков, эволюцию их деятельности — трудоёмкий и сложный процесс даже для опытных аналитиков. Мы с гордостью представляем результаты большой аналитической работы, основанной на тщательном наблюдении за наиболее активными группами. Наш отчёт даёт подробную картину этого вида угроз и, надеемся, сможет облегчить работу всех специалистов по кибербезопасности, — сказал Никита Назаров, руководитель группы сервисов Threat Intelligence.

ИБ-исследователи выпустили дешифратор для вымогательского ПО Hive 5

Исследователь вредоносных программ, известный как reecDeep, разработал и опубликовал на GitHub дешифратор для последней версии вымогательского ПО Hive^[1]. ReccDeep работал не один – ему помогал исследователь из России Андрей Жданов, также известный как rivitna. Специалисты изучили шифровальщик, создали для него генератор ключей, а потом и полноценный инструмент, генерирующий списки ключей и сразу подбирающий нужные.

На странице инструмента для расшифровки данных приводятся технические подробности, описывающие методы его работы. Дешифратор использует брутфорс для подбора ключей к зашифрованным данным. Кроме информации об инструменте, страница на GitHub содержит технические подробности работы Hive 5 версии.

ReecDeep также сказал, что дешифровщик совместим с незначительными обновлениями 5 версии Hive (5.1, 5.2 и так далее). Кроме того, данный инструмент не будет работать с предыдущими версиями вымогательского ПО, так как они написаны на Go и используют совсем другие методы шифрования^[2].

2021: Защита от программ-вымогателей: существует ли она?

Основная статья: Защита от программ-вымогателей: существует ли она?

2019: Как защитить бизнес от вирусов-вымогателей

Вымогательское ПО (ransomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet^[3]. Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.

Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.

Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.

1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.

Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.

Многим компаниям еще только предстоит выучить уроки базовой ИТ-гигиены. Согласно опросу, проведенному ИБ-компанией Tripwire, каждая третья компания, которая столкнулась со взломом инфраструктуры, имела незакрытые уязвимости. Телеметрические системы Sophos только в августе 2019 г. обнаружили 4,3 млн. атак при помощи «последователей» WannaCry. По итогам последнего летнего месяца было зафиксировано 6963 вариантов шифровальщика, 80% из которых — новые. Эксперты насчитали 12 480 вариантов WannaCry, которые появились с момента появления оригинальной версии.

2. Измените установленные по умолчанию пароли ко всем точкам доступа. Переход по потенциально опасной ссылке в э-письме — это наиболее известный способ заражения вредоносным ПО, но он далеко не единственный. Согласно исследованию F-Secure, около трети программ-вымогателей распространялось посредством атак методом подбора паролей, или, как их еще называют, атак при помощи «грубой силы» (brute force), и через подключение к протоколу удаленного рабочего стола (remote desktop protocol, RDP).

Атака методом подбора паролей связана с попытками хакеров получить доступ к серверам и другим устройствам, используя как можно больше вариаций паролей. Обычно эти атаки проводятся с привлечением ботов, в надежде, что рано или поздно угаданный пароль поможет им проникнуть за периметр организации. В связи с тем, что многие организации по каким-то причинам не меняют пароли, которые были установлены производителями оборудования по умолчанию, или же выбирают легко угадываемые комбинации, атаки при помощи «грубой силы» не теряют актуальности.

RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.

3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.

Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.

4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.

5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?

6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.

Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.

7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.

8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.

9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.

10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.

Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.

11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

2017: Рекомендации по защите от целевых атак шифровальщиков

Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:

Сделайте резервную копию данных, которую можно будет использовать для восстановления файлов в случае атаки.
Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
Ознакомьтесь с сайтом международной инициативы No More Ransom, созданной с целью помочь жертвам целевых атак восстановить файлы без необходимости уплаты выкупа. В случае, если ваши данные зашифровали, «Лаборатория Касперского» рекомендует воспользоваться сервисом No Ransom, где представлены инструменты, разработанные компанией для помощи жертвам вымогателей.
Проведите аудит установленного ПО: не только на рабочих станциях, но также на всех сетевых узлах и серверах. Вовремя обновляйте ПО.
Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
Избегайте использования учётных записей с привилегиями администратора. Заведите для управления компьютером отдельную учётную запись, а учётную запись с повышенными привилегиями задействуйте в случаях, когда она действительно требуется, скажем, для установки или настройки программного обеспечения. Большинство повседневных пользовательских задач решается без прав «админа». Это касается и домашних компьютеров, особенно тех, к которым имеют доступ дети, тут вообще лучше настроить режим «детской безопасности», благо для этого есть разнообразные возможности.
Ограничить сетевой доступ к файлам. Отключите механизмы общего доступа к файловым ресурсам вашего компьютера или ограничьте этот доступ. Последние вирусы в том числе распространяются и по сети от компьютера к компьютеру. Там принцип заражения намного сложнее, но речь не об этом. Для домашней сети, по тем же причинам — то же самое. Не предоставляйте неограниченного сетевого доступа к дискам своего компьютера.
Настроить интернет-браузеры. Посмотрите настройки безопасности браузеров, установите тот уровень, который позволит комфортно и безопасно работать. Если набор регулярно посещаемых вами сайтов не слишком велик, можно основательно поднять уровень безопасности без ущерба для качества отображения информации. Конечно, сохранять пароли нехорошо, и этого никто не делает, но на всякий случай — используйте сложные «мастер-пароли» для защиты всех своих сохранённых паролей, если такая опция поддерживается вашим браузером. От специалиста не поможет, но хранить пароли в открытом виде — совсем плохо. Избегайте сайтов-приманок, похожих на настоящие. Внимательно проверяйте, куда именно вы вводите пароли, номера карт и т.д.
Проверять публичный Wi-Fi. При использовании публичного Wi-Fi, например, в кафе, убедитесь, что точка доступа действительно принадлежит кафе, а не просто похожа по названию. Посмотрите, имеет ли она защиту (тот самый «замочек»). Также обратите внимание на то, кому принадлежат сертификаты открываемых вами сайтов: сертификаты должны принадлежать им, а не данному кафе или ещё кому-то. Нет никакой гарантии, что за соседним столиком не примостился начинающий хакер и не собирает пароли от соцсетей или не распространяет тот же вирус WannaCry на ноутбуки посетителей.
Не открывать подозрительные письма (фишинг). Самое главное — защитить ваши данные, именно на них и нацелены всевозможные «шифровальщики», «вымогатели» и другое вредоносное программное обеспечение. С учётом того, что самым дешёвым и работающим способом доставки вредоносного контента является электронная почта — руководствуйтесь соображениями здравого смысла при получении корреспонденции. Считайте, что всё, что вы получаете снаружи — скорее содержит вирус, чем не содержит. Письмо с любого подозрительного или неизвестного вам адреса — повод удалить письмо не читая. При повседневной работе нарабатывается определённый навык, даже визуально можно отличить адреса, скажем, partner.ru от partner.ru.com или вложенный Счёт.docx от исполняемого файла Счёт.docx. ______.exe или ссылки на скрипт http://куда-то-там. Счёт.pdf.js. Важно помнить, что если «банк», «налоговая», «заказчик» и т.д. побуждают вас письмом что-то срочно сделать с вложением, открыть файл или зайти на некий сайт — относитесь к этому крайне настороженно. Кстати, иногда на улице прямо перед офисом можно найти «потерянную» флешку, встречается и такой метод распространения.
Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнуткритически важных объектов.

2016: Запуск сайта No More Ransom для борьбы с троянцами-вымогателями

В конце июля 2016 года был запущен сайт No More Ransom — совместная международная инициатива «Лаборатории Касперского», McAfee, Европола и полиции Нидерландов, направленная на борьбу с троянцами-вымогателями. В качестве основных итогов первого года работы проекта компания приводит следующие цифры: расшифровано более 28 тысяч зараженных вредоносным ПО устройств, а сумма сэкономленных на выкупе денег составила 8 миллионов евро.

На сайте http://omoreransom.org можно найти 54 утилиты для расшифровки файлов, разработанные «Лабораторией Касперского» и другими участниками проекта. Эти инструменты успешно борются со 104 семействами вымогателей. За год сайт No More Ransom посетили 1,3 миллиона уникальных пользователей, из них 150 тысяч пришлось на 14 мая этого года — пик эпидемии шифровальщика WannaCry. Платформа No More Ransom доступна уже на 26 языках.

За 2016 год проект поддержали более ста партнеров, среди которых как частные компании, так и правоохранительные органы разных стран. Из недавно присоединившихся — банковский конгломерат Barclays, бельгийский CERT (CERT.BE), и Глобальный форум по киберэкспертизе (Global Forum on Cyber Expertise, GFCE), а также правоохранительные органы Чехии, Греции, Гонконга и Ирана.