Атаки вредоносных программ-вымогателей (Ransomware), одна из самых популярных сегодня кибератак, стали кошмаром для всех учреждений и организаций. Тот факт, что злоумышленники шифруют системы, в которые они проникают, и особенно требуют криптовалютных денег, наносит серьезный ущерб учреждениям и организациям как материально, так и морально. Угрозы злоумышленников не возвращать данные или публично раскрывать их в случае неплатежа ставят учреждение или организацию в затруднительное положение.
Было установлено, что многие учреждения и организации совершают неправильные действия в этом процессе. В результате способов, которые пытаются восстановить зашифрованные данные, было замечено, что данные были повреждены и необратимы даже с правильным ключом. Было замечено, что в результате недопонимания с похитителем возникли непоправимые тупики и были обнаружены результаты, которые могут нанести ущерб репутации учреждения или организации.
Вы знали это?
- Известно, что организации, пострадавшие от атаки программ-вымогателей, потеряли тысячи долларов во время «простоя». (Gartner)
- Тенденция атак программ-вымогателей растет с каждым годом в геометрической прогрессии.
- Во время атак программ-вымогателей резервные копии также шифруются из-за неправильных политик резервного копирования.
Жизненный цикл реагирования на инциденты с программами-вымогателями
Жизненный цикл, применяемый в случаях с программами-вымогателями, выглядит следующим образом:
Подготовка (Prepare)
Подготовительный этап - самый важный элемент в жизненном цикле «реагирования на инциденты с программами-вымогателями». Определение ролей, подчеркивание вклада ролей в процесс и технологию, а также определение действий в чрезвычайных ситуациях имеют жизненно важное значение.
Oбнаружение
На этапе обнаружения проверяются все данные в сети. Об обнаруженных вредоносных программах-вымогателях сообщается после проведения анализа. Благодаря круглосуточному мониторингу при обнаружении вредоносных программ-вымогателей генерируются сигналы тревоги, о которых сообщается в соответствующие подразделения.
Процессы обнаружения выполняются с помощью систем обнаружения, созданных и разработанных специально для соответствующего учреждения. Подходы, используемые во время определений и некоторых выборочных исследований, следующие.
- Обнаружение на основе хэша
- Список расширений файлов (.crypt, .payme .vs)
- Обнаружение связи C&C
- Обнаружение на основе процесса
- Сканирование мастер-ключа (публичное и частное)
- Ключевое производство для жертвы
- Зашифруйте ключ жертвы
- Обнаружение на основе поведения
- Обнаружение активности SMB
- Обнаружение активности RDP
- Обнаружение активности VNC
Анализ (Анализировать)
Вредоносные программы-вымогатели и попытки вымогателей, обнаруженные на этапе анализа, изучаются экспертами по кибербезопасности. Подходы, идентифицированные как ложноположительные, анализируются и сортируются в ходе этого процесса, а для других инициатив принимаются немедленные меры.
Он направлен на то, чтобы остановить инициативы в результате шагов, предпринятых в рамках запланированного действия, путем взаимодействия с ролями, определенными в процессе подготовки.
Ответ
Во время проверок вредоносное ПО помещается в карантин, проводится технический анализ, анализируются вредоносные действия и сообщается о них. Во время соответствующих уведомлений определяется карта заражения шифровальщиками. Ниже приведены некоторые примеры и подходы к карте заражения.
Карта заражения
- Phising - Исполняемые файлы, вредоносные бизнес-документы (Word, Excel)
- Комплекты эксплойтов - уязвимости в браузере
- Целевые / автономные атаки - RDP Bruteforce, использование известных уязвимостей
Восстановление
Действия, предпринятые для восстановления систем, которые были заражены или пытались заразить после вмешательства в их естественный жизненный цикл, чрезвычайно важны. После проведенных исследований было установлено, что 67% учреждений и организаций снова столкнулись с аналогичной попыткой после того, как столкнулись с этим типом атаки вредоносного ПО.
В дополнение к услугам операционного центра, которые он предлагает, UITSEC обеспечивает круглосуточную поддержку с участием опытных консультантов, аналитиков и экспертов, обладающих навыками как в нападении, так и в защите, чтобы выполнить необходимую работу до или после возможной атаки программ-вымогателей.