Содержание |
Активность киберпреступников, нацеленная на шифрование данных с последующим вымоганием выкупа, не спадает. Более того, их атаки становятся все более изощренными, в них применяются разнообразные средства проникновения в защищенные периметры предприятий. Хакеры не спроста отличаются отменным аппетитом. Бизнес готов платить выкуп за свой главный актив – данные. И платит с завидной регулярностью.
Компания Chainalysis, отследив транзакции по адресам блокчейнов, которые используются вымогателями, сделала вывод, что за прошлый год они получили от своих жертв не менее $350 млн. Эта цифра, считают аналитики, — минимальная сумма, о которой можно говорить с уверенностью: пострадавшие компании далеко не всегда говорят об атаках на их инфраструктуры и выкупных платежах. При этом активность вымогателей только возрастает. По мнению Chainalysis, сумма полученных злоумышленниками средств выросла по сравнению с 2019 годом на 311%. Среди «лидеров» оказались хакерские группировки Ryuk, Maze, Doppelpaymer, Netwalker, Conti и REvil (Sodinokibi).
В конце прошлого года свои выводы о масштабах вымогательства в мире поделилась и российская Group-IB. Ее специалисты считают, что глобальный ущерб от атак превысил $1 млрд. Как и их коллеги Chainalysis, аналитики российской компании подчеркивают, что это – минимальная оценка. Наиболее часто в положении жертв оказываются производственные компании, ритейлеры и государственные учреждения. В Group-IB подчеркивают, что вымогатели активно сотрудничают со злоумышленниками, которые специализируются на компрометации корпоративных сетей и такое партнерство служит катализатором атак. Кроме того, отмечается и недостаточная эффективность средств кибербезопасности, которые не справляются с выявлением угроз на ранней стадии.
Как меняется тактика злоумышленников
Эксперты компании Varonis отмечают значительные изменения, которые произошли в последнее время в тактике атак программ-вымогателей. Ранее они были не столь скрытными: внедренный при помощи фишинга в инфраструктуру жертвы зловред сразу же начинал действовать. Нетипичная активность позволяла быстро выявить угрозу и ликвидировать ее на ранней стадии.
Но с появлением Maze, Dopplepaymer и REvil — программ-вымогателей, работой которых управляют люди, их действия стали гораздо более изощренными. Внедрившись в информационные системы, они не начинают работать сразу, а стремятся расширить свое присутствие: ищут иные уязвимости и используют их, захватывая новые сегменты инфраструктуры и попутно воруя данные. И только после установления контроля над системами вымогатели приступают к шифрованию данных и рассылке предложений о выплате выкупа. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 
Цель людей, стоящих за управляемыми программами-вымогателями — получение доступа к конфиденциальным данным. А значит и выстраивать защиту нужно, ориентируясь на данные. Data-centric, подход, ориентированный на данные – вот под таким углом мы предлагаем смотреть на защиту от программ-вымогателей.
Решение Varonis отслеживает активность с конфиденциальными данными в файловой системе, контролирует, кто стоит за этой активностью, какими привилегиями обладает. Если есть подозрение на нетипичную зловредную активность, система оповещает и даже блокирует учетные записи, от которых исходит угроза.
Давайте рассмотрим, какие же следы злоумышленники оставляют на каждом этапе реализации атаки.
Скомпрометировать систему
Для проникновения в инфраструктуру своих жертв вымогатели могут использовать самые разнообразные инструменты, от кражи учетных данных пользователей, фишинга и до проникновения через удаленные рабочие столы или известные уязвимости сетей.
Уже на этом этапе можно установить активность злоумышленника. Нестандартная активность выявляется по признакам использования им скомпрометированных учетных записей, и при попытках взлома парольной защиты, и при использовании уязвимости и сетевой или серверной части инфраструктуры. Это должно стать поводом для оповещения ИБ-департамента и пользователей.
Достаточно эффективно детектируется активность злоумышленников и на этапе закрепления ими своего присутствия во взломанной инфраструктуре. Например, действия агента CobalStrike BECON можно было определить по использованию им C&C-сервера. Свидетельством работы программы-вымогателя становится и нетипичная веб-активность или подозрительные DNS-запросы.
Наиболее распространенными признаками попыток проникновения злоумышленников в инфраструктуру можно считать ненормальную активность и попытки доступа из необычных локаций, активные попытки взлома доступа к хранилищу данных или массированные атаки на отдельных пользователей.
Закрепиться на плацдарме
Цель групп вымогателей после первоначального проникновения в инфраструктуру – поиск плацдармов для того, чтобы закрепить свое присутствие. Ими могут стать общие файловые ресурсы или DNS-серверы. Для поиска уязвимостей в них используются такие инструменты, как nslookup и smbtools. Признаками такой активности являются слишком большое количество IP-запросов и перебор пользовательских аккаунтов при помощи анализа DNS или AD. Как только такие попытки становятся успешными, в действие вступает вирус, который устанавливает в системе зловредное ПО (например, через протокол RDP).
Противодействовать этим активностям может контроль действий пользователей в привязке к их устройствам. Он может определить слишком частые подключения к системам с использованием учетной записи, попытки доступа к ресурсам, которые, как правило, пользователем не используются или даже попытки перебора паролей к учетным записям.
Определить такие подключения можно с помощью поведенческого анализа. Во-первых, поводом для тревоги может быть попытка подключения скомпрометированного домена. Во-вторых, об опасности свидетельствует «белый шум», попытка злоумышленников скрыть свой трафик в большом количестве соединений. Наконец, активность злоумышленников может проявиться в ненормальной веб-активности, — использовании новых пользовательских агентов, необъяснимых или нелегитимных попытках загрузки файлов.
Расширить свои привилегии
Цель злоумышленников на этом этапе – получение контроля над привилегированными учетными записями, после чего скомпрометированный аккаунт сможет добавить в систему новых администраторов или выгрузить данные учетных записей в облако. Используются для этого известные инструменты с открытым исходным кодом, которые ищут пароли, хранящиеся в форме простого текста, или собирают данные Active Directory. Многие хакерские группировки для поиска административных учетных записей применяют и такой инструмент, как Mimikatz. Такой поиск часто становится плодотворным: многие пользовательские аккаунты обычно имеют права на доступ к гораздо большему числу данных, чем требуется.
Определить подобную активность преступников (проникновение хакерских инструментов в хранилище, поиск файлов с паролями и другими конфиденциальными данными) позволяет контроль за активностью файловой системы. Кроме того, подлежит анализу и активность в Active Directory, нацеленная на сбор учетных данных. Эти меры позволяют выделить потенциальные цели преступников (такие, как учетные записи с правами администратора), определить несанкционированные действия вымогателей (добавление учетки в группу администраторов системы) или предупредить о немотивированной активности того или иного аккаунта (первое подключение к интернету, использование скомпрометированных доменов).
Перевести партию в эндшпиль
Тем не менее, определить активность злоумышленников и обезвредить ее на предыдущих этапах удается не всегда. Это означает необходимость особенного внимания защите критически важных узлов инфраструктуры: серверов Windows и Unix, устройств NAS, SharePoint и почтовых серверов Exchange, как локальных, так и облачных.
Для этого необходимо собирать и анализировать максимально возможный объем информации о том, как пользователи взаимодействуют с данными на всех платформах, с которыми они работают. Часть платформ позволяет сделать это при помощи API, для других требуется применение специально разработанных Varonis моделей угроз, отслеживающих подозрительную активность: излишне большой объем данных, к которым получает доступ тот или иной пользователь, необычное поведение, которое не согласуется с типовыми поведенческими моделями, наконец, изменения, которые пользователь вносит в файлы и попытки их шифрования.
В этом случае, даже если попытки зашифровать данные окажутся успешными, администраторы смогут быстро оценить масштаб проблемы и восстановить поврежденную информацию только в тех файлах, которые подверглись шифрованию, а не в масштабах всей системы. Мониторинг позволит еще и точно определить необходимую точку восстановления данных из резервной копии. Ожидать, что банды кибер-вымогателей сократят свою активность, не приходится. Их действия становятся с каждым днем все более изощренными, а развитие кибер-валют упрощает для зло-умышленников получение выкупа.
В таких условиях наиболее эффективным способом противодействия вымогателям становится комплексная защита, которая реагирует не на последствия атак, а на признаки их подготовки и осуществления. Тотальный контроль данных, которые окружаются несколькими оборонительными периметрами, позволяет отслеживать нелегитимные активности на всех уровнях, от файловых хранилищ до Active Directory, DNS, VPN и прокси-серверов. Дополняет эту защиту выявление наиболее ценных для преступников аккаунтов пользователей – тех, которые имеют широкие права доступа к данным и системам.
Анализ всех активностей, связанных со взаимодействием пользователей с данными, позволяет не просто обеспечить их защиту. Такой аудит лишает злоумышленников возможности организовать масштабную атаку на инфраструктуру: бизнес защищается и от случайных инсайдеров, и от хакерских группировок.
Если вы хотите узнать, какие данные в вашей компании наиболее уязвимы, и как минимизировать риски для бизнеса, пройдите бесплатный health-check от Varonis - оценку защищенности от программ-вымогателей.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
