Атаки вредоносных программ-вымогателей (Ransomware), одна из самых популярных сегодня кибератак, стали кошмаром для всех учреждений и организаций. Тот факт, что злоумышленники шифруют системы, в которые они проникают, и особенно требуют криптовалютных денег, наносит серьезный ущерб учреждениям и организациям как материально, так и морально. Угрозы злоумышленников не возвращать данные или публично раскрывать их в случае неплатежа ставят учреждение или организацию в затруднительное положение.  

Было установлено, что многие учреждения и организации совершают неправильные действия в этом процессе. В результате способов, которые пытаются восстановить зашифрованные данные, было замечено, что данные были повреждены и необратимы даже с правильным ключом. Было замечено, что в результате недопонимания с похитителем возникли непоправимые тупики и были обнаружены результаты, которые могут нанести ущерб репутации учреждения или организации.  

Вы знали это?

• Известно, что организации, пострадавшие от атаки программ-вымогателей, потеряли тысячи долларов во время «простоя». (Gartner) 
• Тенденция атак программ-вымогателей растет с каждым годом в геометрической прогрессии.
• Во время атак программ-вымогателей резервные копии также шифруются из-за неправильных политик резервного копирования.

Жизненный цикл реагирования на инциденты с программами-вымогателями

Жизненный цикл, применяемый в случаях с программами-вымогателями, выглядит следующим образом:

 

 

Подготовка (Prepare)

Подготовительный этап - самый важный элемент в жизненном цикле «реагирования на инциденты с программами-вымогателями». Определение ролей, подчеркивание вклада ролей в процесс и технологию, а также определение действий в чрезвычайных ситуациях имеют жизненно важное значение.  

Oбнаружение

На этапе обнаружения проверяются все данные в сети. Об обнаруженных вредоносных программах-вымогателях сообщается после проведения анализа. Благодаря круглосуточному мониторингу при обнаружении вредоносных программ-вымогателей генерируются сигналы тревоги, о которых сообщается в соответствующие подразделения.  

Процессы обнаружения выполняются с помощью систем обнаружения, созданных и разработанных специально для соответствующего учреждения. Подходы, используемые во время определений и некоторых выборочных исследований, следующие. 

• Обнаружение на основе хэша
• Список расширений файлов (.crypt, .payme .vs)
• Обнаружение связи C&C
• Обнаружение на основе процесса
  • Сканирование мастер-ключа (публичное и частное)
  • Ключевое производство для жертвы
  • Зашифруйте ключ жертвы
• Обнаружение на основе поведения
  • Обнаружение активности SMB
  • Обнаружение активности RDP
  • Обнаружение активности VNC

Анализ (Анализировать)

Вредоносные программы-вымогатели и попытки вымогателей, обнаруженные на этапе анализа, изучаются экспертами по кибербезопасности. Подходы, идентифицированные как ложноположительные, анализируются и сортируются в ходе этого процесса, а для других инициатив принимаются немедленные меры. 

Он направлен на то, чтобы остановить инициативы в результате шагов, предпринятых в рамках запланированного действия, путем взаимодействия с ролями, определенными в процессе подготовки.

Ответ

Во время проверок вредоносное ПО помещается в карантин, проводится технический анализ, анализируются вредоносные действия и сообщается о них. Во время соответствующих уведомлений определяется карта заражения шифровальщиками. Ниже приведены некоторые примеры и подходы к карте заражения.  

Карта заражения

• Phising - Исполняемые файлы, вредоносные бизнес-документы (Word, Excel)
• Комплекты эксплойтов - уязвимости в браузере
• Целевые / автономные атаки - RDP Bruteforce, использование известных уязвимостей

Восстановление

Действия, предпринятые для восстановления систем, которые были заражены или пытались заразить после вмешательства в их естественный жизненный цикл, чрезвычайно важны. После проведенных исследований было установлено, что 67% учреждений и организаций снова столкнулись с аналогичной попыткой после того, как столкнулись с этим типом атаки вредоносного ПО. 

В дополнение к услугам операционного центра, которые он предлагает, UITSEC обеспечивает круглосуточную поддержку с участием опытных консультантов, аналитиков и экспертов, обладающих навыками как в нападении, так и в защите, чтобы выполнить необходимую работу до или после возможной атаки программ-вымогателей.