Backup vs Ransomware

Единственный надежный способ защиты от вирусов-вымогателей — это наличие резервной копии.

Автор: Евгений Пухов, технический консультант Commvault

В последние несколько недель к нам в Commvault поступило несколько запросов прокомментировать ситуацию с участившимися атаками вирусов-вымогателей. Обеспокоены многие партнеры, крупные клиенты. Мы решили изложить свою точку зрения на происходящее.

Хакерские атаки с использованием вирусов-шифровальщиков все чаще нацеливаются на крупные компании из списка Fortune 500. К настоящему времени зафиксировано уже несколько крупномасштабных сбоев, вызванных атаками вымогателей, когда хакерские группы шифруют конфиденциальные файлы и требуют деньги у владельцев.

Среди недавних жертв — международная компания Travelex, которую хакеры-вымогатели успешно атаковали в канун Нового года, облачный провайдер Blackbaud. Один из последних громких инцидентов (июль 2020 года) – атака на компанию Garmin. Как сообщают зарубежные СМИ, она стала жертвой вируса-вымогателя WastedLocker. Он парализовал работу компании. Перестали работать не только колл-центр, сайт и производственные площадки, но и сервис Garmin Connect, которым пользуются спортсмены. Устранение последствий атаки потребовало длительной работы.

Случай с Garmin показывает, насколько уязвимы крупные транснациональные компании для вымогателей. Такие компании становятся привлекательными целями по очевидным причинам: они хорошо застрахованы и могут позволить себе заплатить намного больше, чем мелкий бизнес. Впрочем, киберпреступники не брезгуют и более легкой добычей. По оценкам компании Emsisoft, в прошлом году злоумышленники-вымогатели вместе «заработали» в общей сложности около 25 миллиардов долларов. И далеко не все инциденты становятся известными.

Атаки с использованием вирусов-вымогателей (ransomware) эволюционируют едва ли не быстрее, чем программное обеспечение безопасности, способное их обнаружить. Наряду с угрозой корпоративным данным опасности подвергаются данные государственных и частных организаций разного уровня. Многие из них остаются уязвимыми, хотя данные имеют решающее значение для их повседневной работы. Когда организации платят выкуп, это побуждает других преступников совершать подобные атаки с использованием вирусов-шифровальщиков.

Фактические убытки от шифрующих важные данные вирусов-вымогателей не ограничиваются суммой выкупа. Большинство компаний сообщают не только о потере данных, но и о значительном времени простоя в результате атаки. Оба этих последствия очень дорого обходятся бизнесу, особенно крупным компаниям с сотнями сотрудников. Значительное время простоя может привести к потерям доходов в миллионы долларов, падает доверие потребителей.

Средний размер потерь компании или организации убытки от вирусов-вымогателей продолжает расти.

По информации «Лаборатории Касперского», атака вымогателей — наиболее распространенная причина запросов клиентов на расследование инцидентов. Эта категория атак характеризуется быстрым развитием, сложностью раннего обнаружения и очевидными последствиями.

Очевидно, что атаки киберпреступников станут более целенаправленными, изощренными и более сложными для выявления. Станет сложнее обнаруживать вредоносные программы и вирусы-вымогатели, которые обходят решения на основе анализа поведения, статического сканирования или «белых списков».

К тому же, злоумышленники не ограничатся традиционными целями, такими как финансовые организации. Сегодня почти каждая компания или организация хранит и обрабатывает персональную и идентификационную информацию, и эти данные имеют значение на черном рынке.

Слабое звено

Итак, если угрозы станут более сложными, и их будет труднее обнаружить, как организации могут к этому подготовиться? В любом случае стоит подумать о системах восстановления, потому что даже наиболее защищенные организации рано или поздно могут стать жертвами злоумышленников.

Характерно, что продолжающаяся миграция данных на облачные платформы хранения, где есть встроенные возможности восстановления, ограничивает эффективность традиционных вирусов-вымогателей.

90% подобных атак происходит через так называемые конечные точки — клиентские системы. Используя учётные данные сотрудников, вредоносный код проникает с его компьютера в инфраструктуру предприятия, где он может установить каких-то шифровальщиков, программы-шпионы или «червей». Противостоять таким атакам помогают специальные продукты для защиты конечных точек – системы класса endpoint protection (не нужно путать их с решениями endpoint security).

Основные атаки на хорошо защищённые центры обработки данных происходят через самые уязвимые места — конечные офисные устройства типа принтеров, плохо защищённые рабочие компьютеры пользователей, их собственные компьютеры и телефоны. Нередко используются различные методы социальной инженерии, запрашиваются пароли на фишинговых сайтах.

Распространенный вектор атак — слабо защищенные компьютеры пользователей. В условиях популярной сегодня удалённой работы они нередко устанавливают программное обеспечение, которое раньше не применяли, открывают разные вредоносные ссылки, используют собственные устройства, не защищённые согласно строгим корпоративным нормам.

Надежная защита

Мы пришли ко мнению, что единственный надежный способ защиты от вирусов-вымогателей — это наличие резервной копии, которая находится вне данной инфраструктуры и вне компетенции системного администратора. Оптимальный вариант – когда копия размещается в другом ЦОД, и есть еще копия на магнитной ленте.

Наличие резервных копий на носителях нескольких типов всегда спасает от вирусов вымогателей. Даже если вирус установить на сервер резервного копирования, он просто не найдёт каких-то продуктивных данных, потому что хранилище, которое присутствует на этом же сервере, для сторонних приложений выглядит как недоступное устройство. То есть у Commvault, в отличие от других решений резервного копирования и восстановления, оно невидимо в ОС и файловой системе.

Существует также методология обнаружения аномалий в дата-центре, в продуктивных системах. Например, если продуктивная копия какого-то сервиса вдруг стала занимать вдвое больше места, чем днем ранее, стоит обратить внимание на возможные атаки. Скорее всего, эта копия была испорчена. Заметить это можно также по аномально высокому проценту измененных данных. Кроме того, используются специальные технологии под названием Honeypot Trap. Это набор неких файлов, установленных в нетривиальных местах на сервере. Сам факт доступа к ним означает аномальную активность, потому что ни один из продуктивных сервисов к этим файлам обращаться не может.

Стоит, однако, подчеркнуть, что решение Commvault не является полноценной заменой компонентов информационной безопасности. Это программное обеспечение с отчётными и защитными функциями, которое позволяет восстановить систему или зафиксировать факт атаки. Продукты компании не имеют средств противодействия угрозам. Они могут лишь проинформировать администратора о том, что резервная копия нормальная.

Как работает защита от программ-вымогателей:

• Приложение (например, программа-вымогатель) запрашивает запись, удаление или изменение файлов в папке пути монтирования.
• Локальный путь монтирования.Путь UNC.
• NTFS или разрешения учетной записи выступают в качестве первой линии защиты.
• Затем операционная система взаимодействует со стеком драйверов для записи/изменения файлов.
• Фильтрующий драйвер проверяет, поступает ли запрос из процессов Commvault.
• Если это так, то драйвер устройства выдает команды устройству.В противном случае запрос фильтруется и отклоняется, а ответ отправляется обратно в ОС/приложение.

Хронология раздельных копий позволяет восстанавливаться не только с последней версии, но и предыдущей, поэтому, если последняя копия оказалось зашифрованной вирусом, то можно восстановиться с более ранней. Но все же важно своевременно обнаружить атаку. Еще лучше – не допустить ее.

Осведомлен — значит защищен

Предотвратить атаки и проникновение вирусов-шифровальщиков помогут, прежде всего, организационные меры безопасности. Сотрудники должны знать, что такое вирусы-вымогатели, ransomware, и каким образом атаки могут достигать своих целей в организации. Нужно регулярно создавать резервные копии данных и убедиться в возможности быстрого восстановления, прежде чем произойдет настоящая атака вирусов-вымогателей.

Соблюдение корпоративных норм и правил — достаточно адекватная мера. Однако часто эти нормы настолько жёсткие, что использовать их просто неудобно, они мешают сотрудникам выполнять свои обязанности. Поэтому подчас те подвергают свою систему рискам: начинают пользоваться какими-то флэш-накопителями, вместо корпоративного задействуют свой компьютер, потому что не могут воспроизвести какой-нибудь файл или зайти на какой-то сайт.

Данная проблема особенно характерна для крупных международных компаний. Пользователь со своим ПК может не так пристально следить за требованиями безопасности, появляются потенциальные угрозы. Если же пользователь запускает программное обеспечение из надежных источников или посещает только защищенные ресурсы, не открывает фишинговые письма, то, например антивирус может ему и не потребоваться.

Кастомизация резервного копирования

Существующие в компании нормы и требования безопасности, как правило, учитываются при проектировании системы резервного копирования. Инфраструктурные продукты резервного копирования, такие как Commvault Complete Data Protection, могут подстраиваться под любые организации.

Commvault теперь – не компания одного продукта. Появился портфель решений. Лицензирование также стало более гибким и адаптируется к требованиям заказчиков.

BI-надстройка Sensitive Data Governance связана с персональными данными и оснащена модулем защиты от вирусов-шифровальщиков. В ней есть функция мониторинга ресурсов, полнотекстового индексирования, экстракции персональных данных, ведения журналов электронной почты, также предусмотрена интеграция с облачными ресурсами.

Например, интеграция с облачными ресурсами Microsoft дает возможность пользователям Microsoft работать с облачным сервисом Commvault под названием Metallic. По сути, это программное обеспечение Commvault в виртуальной машине. Оплачивается оно «по запросу», как обычный облачный сервис. Таким образом, ПО Commvault можно установить в облаке, получив облачный сервис резервного копирования, или развернуть в локальном ЦОД.

После покупки компании Hedvig у Commvault появилось решение HyperScale X — новый подход к конвергентной платформе хранения резервных копий. Это ПО резервного копирования и восстановления данных от Commvault, плюс хранилище Hedvig. Компания Commvault также предоставляет сервис по восстановлению данных.

Последний рубеж

Чтобы добиться успеха, киберпреступникам -вымогателям нужно:

1. Проникновение в систему в обход ИТ-безопасности.

2. Неадекватные или отсутствующие процедуры резервного копирования и аварийного восстановления.

К сожалению, последнее — не редкость, что подтверждает случай Garmin. Компания медленно восстанавливает свои GPS-трекеры и навигационные услуги. Но, по данным Times, она заплатила злоумышленникам крупную сумму, чтобы получить доступ к ключу дешифрации данных. Компания, вероятно, также понесет значительные убытки из-за простоя, пострадает ее репутация.

Вот еще один недавний инцидент. На этот раз злоумышленники-вымогатели нанесли удар по городу Спаркс, штат Невада. Вирус заблокировал файлы полицейского департамента и важные данные ГИС – пожарные и диспетчерские службы стали недоступными. Однако ИТ-команда Sparks завершила восстановление данных всего за 12 часов, а не за несколько недель, используя Commvault Data Protection.

Ни одна ИТ-система не является на 100% безопасной. Именно поэтому резервное копирование необходимо в качестве последней линии обороны. В случае атаки эта линия защиты данных не должна давать сбоев. Жертвам вымогателей нужны файлы резервного копирования и аварийного восстановления, которые не повреждены вредоносными программами. Процесс восстановления позволит им быстро запустить свои системы в работу и возобновить бизнес-процессы.