10 шагов по защите от программ-вымогателей

1 Августа, 2016 10:43
Мирослав Мищенко
Если вы следите за новостями из мира информационной безопасности, то наверняка слышали о множестве недавних атак с помощью программ-вымогателей. Всплеск подобных атак на компании и частных лиц не на шутку взволновал многих. И это логично, так как программы-вымогатели – опасная и неприятная угроза. К счастью, тщательно предпринимаемые меры предосторожности позволяют существенно уменьшить риск инфицирования или его воздействие в случае, если атака оказывается успешной.

ЧТО ТАКОЕ ПРОГРАММЫ-ВЫМОГАТЕЛИ?

Программы-вымогатели – это разновидность зловредного ПО, заражающего устройства, сети и ЦОДы. В результате ими становится невозможно пользоваться до тех пор, как пользователь или организация не заплатит выкуп. После этого блокировка снимается. Программы-вымогатели известны как минимум с 1989 года, когда появился троян “PC Cyborg”, шифровавший имена файлов на жестком диске и требовавший $189 за снятие блокировки. За прошедшее с той поры время атаки программ-вымогателей стали намного более изощренными, нацеленными и прибыльными.  

Общий эффект от программ-вымогателей сложно оценить, поскольку многие компании просто соглашаются заплатить – подход, который работает далеко не всегда. Тем не менее, в отчете по кампании программы-вымогателя Cryptowall v3, подготовленном в октябре 2015 года организацией Cyber Threat Alliance, указано, что стоимость той единственной атаки составила $325 миллионов!  (Полный отчет можно прочитать здесь)

Программа-вымогатель, как правило, работает одним из следующих способов. Вымогатели-шифровальщики могут заражать операционную систему таким образом, что устройство больше не сможет загружаться. Другие вымогатели будут зашифровывать диски, наборы файлов или их имена. В некоторых версиях этого зловредного ПО встроен таймер, и через некоторое время начинается удаление файлов, длящееся до тех пор, как будет заплачен выкуп. Все версии программ-вымогателей требуют уплат выкупа для снятия блокировки, шифрования и т.д.

31 марта 2016 такие организации как U.S. Cyber Emergency Response Team и Canadian Cyber Incident Response Centre выпустили совместное предупреждение о программе-вымогателе, успевшей заразить системы в нескольких лечебных учреждениях (см. https://www.us-cert.gov/ncas/alerts/TA16-091A).

Согласно предупреждению, инфицированные пользователи получали сообщение, появлявшееся на устройстве и гласившее примерно следующее:

  • “Ваш компьютер инфицирован вирусом. Нажмите здесь для решения проблемы.”
  • “Ваш компьютер использовался для посещения сайтов с нелегальным контентом. Для разблокирования компьютера вы должны заплатить штраф в размере $100.”
  • “Все файлы на вашем устройстве зашифрованы. Вы должны уплатить выкуп в течение 72 часов, для того, чтобы получить доступ к данным”

В некоторых случаях демонстрировались изображения унизительного или порнографического характера, чтобы мотивировать пользователей как можно быстрее очистить систему. И в любом случае устройство отключалось, критически важные данные становились недоступными, продуктивность нарушалась, а бизнес-процессы останавливались.

КАК ЗАРАЖАЮТСЯ КОМПЬЮТЕРЫ?

Программы-вымогатели попадают в устройства различными способами, но самым обычным является инфицированный файл, прикрепленный к email. К примеру, несколько дней назад я получил письмо, которое утверждало, что пришло от моего банка. В нем был правильный лого, ссылки на сайт банка, мое имя. В письме говорилось, что банк обнаружил подозрительную активность с моим счетом, и что мне нужно установить приложенный файл для того, чтобы подтвердить свою личность. Все очень походило на реальную проблему со счетом, но таковой не являлось. Это была фишинговая атака.

Выдало атаку то, разумеется, что никакой банк никогда не пришлет вам файл с просьбой установить его – особенно для того, чтобы подтвердить свою личность. И, разумеется, приложенный файл был заражен программой-вымогателем, который попал бы в мою систему, если бы я на него кликнул.

Но приложения к электронным письмам не являются единственным способом инфицирования. Фоновая загрузка является еще одним вариантом. Пользователь посещает зараженный сайт, и зловредное ПО загружается и устанавливается без ведома посетителя. Программы-вымогатели также распространяются через социальные сети, браузерные сервисы мгновенных сообщений и т.д. В последнее время уязвимые веб-серверы эксплуатировались как точки входа для получения доступа в сеть организаций. 

КАК УБЕРЕЧЬСЯ?

Вот 10 вещей которые нужно делать для того, чтобы защитить себя и свою организацию от программ-вымогателей.  

  1. Разработайте план резервного копирования и восстановления. Регулярно делайте резервные копии системы и храните их в режиме офлайн на отдельном устройстве.
  2. Используйте профессиональные инструменты обеспечения безопасности электронной почты и веб-серфинга для анализа приложений к письмам, посещаемых вебсайтов, а также файлов на предмет наличия зловредного ПО. Эти инструменты могут блокировать потенциально скомпрометированные рекламы, а также сайты, которые не связаны с бизнес-активностью. Эти инструменты должны включать функциональность «песочницы», благодаря которой новые или нераспознанные файлы могут быть выполнены и проанализированы в безопасной среде.
  3. Обновляйте и устанавливайте «заплатки» для своих операционных систем, устройств и ПО.
  4. Убедитесь в том, что антивирус на устройстве и в сети, а также приложения для борьбы со зловредным ПО используют новейшие обновления. 
  5. Везде где возможно используйте «белые списки» приложений, которые предотвращают загрузку и запуск неавторизованных приложений. 
  6. Разделите сеть на зоны безопасности таким образом, чтобы вирус из одной зоны не мог легко попасть в другую.
  7. Установите и используйте разрешения и привилегии, так чтобы у минимального количества пользователей была возможность заразить критически важные для бизнеса приложения, данные или сервисы. 
  8. Установите и используйте политику безопасности BYOD, благодаря которой могут проверяться и блокироваться устройства, не соответствующие вашим стандартам безопасности (нет клиентского приложения, файлы антивируса устарели, ОС не хватает критически важных «заплаток» и т.д.).
  9. Установите инструменты анализа, которые позволят определить: 1) откуда пришло заражение, 2) как долго вирус был в вашей системе, 3) удалось ли полностью устранить его с устройства, 4) все ли сделано для того, чтобы он не вернулся.  
  10. ОЧЕНЬ ВАЖНО: не рассчитывайте, что ваши сотрудники обеспечат безопасность. Безусловно, важно повышать уровень информированности ваших сотрудников, чтобы они перестали загружать файлы, открывать приложения к электронным письмам или ходить по непроверенным ссылкам. Но люди все равно останутся самым слабым звеном, и ваш план безопасности должен это учитывать.

И вот почему: для многих из ваших сотрудников открытие приложений к почте и поиск в интернете является частью работы. Поэтому им сложно поддерживать необходимый уровень скептицизма. Во-вторых, фишинговые атаки стали очень убедительными. Нацеленная фишинговая атака использует данные, доступные онлайн и профили в социальных сетях для индивидуализации подхода. В-третьих, это в природе человека – открывать неожиданные инвойсы и предупреждающие сообщения от своего банка. Наконец, одно за другим исследования утверждают, что по мнению пользователей безопасность – это чья угодно работа, только не их.

ЧТО ДЕЛАТЬ, ЕСЛИ ПРОИЗОШЛО ЗАРАЖЕНИЕ?

Будем надеяться, что у вас есть свежая резервная копия, и вы можете стереть всю информацию с устройства, загрузив чистую резервную копию. Есть еще несколько вещей, которые желательно учитывать или проделывать в такой ситуации:

1. Сообщите о преступлении

  • Недолгий поиск в интернете приведет вас на сайт, где вы сможете сообщить о киберпреступлении в вашей стране или регионе.  
  • В Европе вы можете найти соответствующий сайт по этой ссылке. (https://www.europol.europa.eu/content/report-cybercrime)

2.  Выкуп не дает никаких гарантий

Выплата выкупа не гарантирует, что зашифрованные файлы опять станут вам доступны. Она гарантирует лишь, что преступник получит деньги жертвы, и, в некоторых случаях – банковскую информацию. Кроме того, расшифровка файлов не означает, что зловредное ПО устранено с устройства.

3. Свяжитесь с экспертами

В штате многих вендоров операционных систем, ПО и приложений безопасности есть эксперты, которые могут порекомендовать действия в случае заражения устройства программой-вымогателем. Кроме того, есть независимые эксперты, которые могут вам помочь.

4. Имейте план B

Что вы будете делать, если ваши компьютерные системы или сеть станут недоступны? Есть ли у вас аварийный план на этот случай? Сможете ли вы обеспечить непрерывность работы, пусть и в ограниченном виде, пока будут идти работы по восстановлению? Вы знаете, сколько вашей организации будет стоить час простоя работы? Отражен ли этот показатель в вашем бюджете ИТ-безопасности? Эта информация должна быть обязательно отражена в вашей политике информационной безопасности. 

ВЫВОДЫ

Киберпреступность – это целая отрасль с миллиардным оборотом. Как и большинство бизнесменов, киберпреступники очень мотивированы к тому, чтобы находить пути заработка. Они используют различные уловки, вымогательство, нападения, угрозы и т.д. для того, чтобы получить доступ к вашим критически важным данным и ресурсам. 

Программы-вымогатели не являются чем-то новым. Но недавние «достижения» в их эффективности и средствах доставки стали одним из важнейших трендов в непрекращающемся поиске новых и неожиданных путей эксплуатации частных лиц и организаций, ведущих деятельность онлайн.

Сегодня в большей степени, чем когда-либо, безопасность перестала быть чем-то добавочным к вашему бизнесу. Это – неотъемлемая часть вашего бизнеса. Убедитесь в том, что вы сотрудничаете с экспертами, которые понимают: безопасность – это не просто какое-то устройство или приложение. Безопасность – это система интегрированных и взаимодействующих технологий, соединенных с эффективной политикой безопасности и сопровождаемая соблюдением принципов жизненного цикла в процессах подготовки, защиты, обнаружения, реагирования и обучения.

Решения в области безопасности должны обмениваться информацией об угрозах для эффективного обнаружения и реагирования на угрозы где угодно в вашей распределенной ИТ-среде. Эти решения должны быть бесшовно интегрированы в вашу сетевую среду, так чтобы защищать ее, как бы она ни развивалась или эволюционировала. Они должны быть способны динамически адаптироваться по мере обнаружения новых угроз. И они никогда не должны мешать основному бизнесу.

Больше технической информации о программах-вымогателях от команды Fortinet FortiGuard вы можете найти в этих блогах:

 Автор статьи - Мирослав Мищенко, руководитель офиса Fortinet в Украине

Материалы по теме:

Комментарии: