«Ваши файлы зашифрованы». Как защититься от вирусов-вымогателей
«Это уведомление — не ошибка. Мы зашифровали все ваши файлы. Чтобы получить ключ и вернуть к ним доступ, заплатите 50 тысяч долларов в биткоинах. У вас 24 часа. Отсчёт пошёл».
Надеемся, что вам не знакомо это сообщение. Если знакомо, однажды вы встретились с вирусом-шифровальщиком…
С чем имеем дело?
«Ransomware», «вирус-шифровальщик», «программа-вымогатель» — бытуют разные названия. Но суть одна.
Вирус проникает в систему и шифрует файлы на ПК, то есть превращает их в нечитаемый набор символов. Дальше злоумышленники требуют выкуп за ключ расшифровки. Обычно просят переводить деньги в криптовалюте, чтобы не обнаружить себя.
Классифицируем
- Блокаторы, или винлокеры. Вместо шифрования блокируют доступ к операционной системе. Пользователь включает компьютер и видит сообщение, которое мы цитировали выше. Такие вымогатели проще в реализации и в основном используются для атак на частные ПК.
- Полное шифрование. Вирус сканирует компьютер и шифрует всё, что находит: фото, видео, приложения, базы данных. Пользователь видит файлы, но не может ими пользоваться.
- Частичное шифрование. Чаще применяется для целевых атак на компании и сложнее обнаруживается антивирусом. Зловред шифрует только нужный тип данных — например, документацию с чувствительной информацией. Другие файлы остаются нетронутыми.
- Шифровальщики с двойным вымогательством. Злоумышленники не только шифруют, но и бэкапят файлы на свой сервер. Зачем? Чтобы угрожать обнародованием, если жертва откажется платить. Это повышает давление на корпорации, которые рискуют репутацией.
- Самоуничтожающиеся шифровальщики. После проведения атаки вымогатель удаляет себя из системы, оставляя на прощание сообщение о выкупе.
Где брешь: как вирус попадает в систему?
«Мы сталкиваемся с тем, что не атаки усложняются, а топ-менеджмент по-прежнему халатно относится к вопросам безопасности. Существует мнение: если вложения в инфобез не приносят деньги, инвестировать туда бессмысленно. К сожалению, правда открывается только постфактум, когда компания уже несёт крупные финансовые и репутационные убытки из-за атаки».
Первая уязвимость, о которой мы хотим напомнить, — это человеческий фактор. Злоумышленники отправляют на корпоративную почту письма, которые не вызывают подозрений. Например, «отчёт от коллеги» или «коммерческое предложение от партнёра». Внутри оставляют вредоносный файл или ссылку. Сотрудник открывает вложение и впускает вымогателя в систему.
Сюда же, к человеческому фактору, отнесём атаки через заражённые внешние устройства и от внутренних хакеров. USB-накопитель или жёсткий диск, «забытый» посетителем в лаунж-зоне офиса, может быть носителем вируса!
Наша статья о человеческом факторе в кибербезопасности: Как устроены атаки на бизнес с использованием социальной инженерии (и как с ними бороться)
Далее — устаревшее ПО. Вы регулярно обновляете весь софт? Если сомневаетесь в ответе, ваша ИТ-система — лёгкая мишень для хакеров. Устаревшие релизы содержат уязвимости, которые открывают доступ к проведению атаки.
Зачастую в корпоративные сети проникают, взламывая удалённый доступ. Слабый пароль или открытый порт позволяют попасть в чужую учётную запись, используя утечки данных или метод брутфорса (перебора паролей). А дальше — ловкость рук и кибермошенничество.
Откуда ещё возможна угроза? От сторонних приложений и ПО. Это так называемые трояны. Злоумышленники внедряют и маскируют код под обновления официальных программ.
Кейс «ОБИТ». Как мы спасли ИТ-инфраструктуру
Хакеры, которые действуют точечно, а не массово, выбирают жертву по двум условиям: 1) легко атаковать; 2) можно потребовать большой выкуп. Недавно наша команда столкнулись с компрометацией крупного транспортного производителя. Кибермошенники зашифровали все виртуальные машины и полностью заблокировали доступ к ИТ-инфраструктуре организации.
Мы провели расследование инцидента и выяснили, что компания внедрила не все меры, которые были рекомендованы нами в результате ИБ-аудита.
Наши инженеры оперативно создали резервную копию серверов, чтобы сохранить данные. Восстановление из бэкапа происходило без подключения к сети — чтобы избежать повторного заражения! В течение ночи команда «ОБИТ» восстанавливала инфраструктуру, и к утру все ключевые сервисы ожили.
Бэкапы — это мощь. Благодаря ним удалось минимизировать потери. Однако, к сожалению, локальные данные, для которых не были настроены бэкапы, утеряны навсегда.
Не надейтесь на «авось» и прислушивайтесь к экспертам. Далеко не у всех инцидентов конец такой же счастливый, как в этом кейсе.
Профилактика вируса: как не допустить атаку
Проводите инвентаризацию ИБ и всей сети
Профилактика, как известно, лучшее лечение. Возьмите за правило регулярный и полный чекап внутреннего и внешнего периметра. Все обновления выполнены? Нет ли устаревших решений? У кого доступ к данным?
Рекомендуем опираться на независимую оценку. У штатных специалистов может быть «замылен глаз», из-за чего часть уязвимостей остаётся незамеченной. А компании, специализирующиеся на ИБ-аудите, могут комплексно оценить состояние вашей технологической брони.
Обеспечьте гигиенический минимум
Без зоркого антивируса и межсетевых экранов нового поколения никуда! Они отслеживают входящий, исходящий и межсетевой трафик и блокируют подозрительную активность.
Укрепите меры безопасности
Во-первых, подключите двухфакторную аутентификацию для всех учётных записей — и особенно для удалённого доступа. Если кибермошенники украдут или подберут пароль, их остановит второй слой защиты: код из приложения, SMS, звонок или аппаратный ключ.
Недавно мы вместе с партнёром MULTIFACTOR провели вебинар, где разобрали, как устроены решения 2FA и как их внедрить. Запись тут!
Во-вторых, внедрите SIEM-системы для отслеживания подозрительной активности в сети и обязательно настройте оповещения. Так вы будете в курсе каждой попытки взлома и сможете реагировать на опережение.
Регулярно обновляйте ПО
Установить неудачный релиз программы — гораздо меньшее зло, чем оставить уязвимую версию. Если в обновлении есть баги, разработчик обнаружит и пофиксит их. В то время как «зазоры» в старой версии останутся с вами навсегда. А точнее — до первой удачной атаки злоумышленников.
Регулярно делайте бэкапы и храните их на независимом сервере
О важности резервных копий сказано достаточно, поэтому сразу перейдём к советам. Среди зарекомендовавших себя продуктов для надёжного хранения в облаках — «Кибер Бэкап» от «Киберпроекта» и Veeam от Cloud.ru. Для резервирования инфраструктуры — HYSTAX и VMware.
Больше решений — на нашем сайте.
Обучайте сотрудников
Проводите регулярные тренинги по кибербезопасности, учите распознавать изощрённый фишинг и инф��рмируйте о последствиях ИБ-инцидентов. Инвестируйте в Security Awareness и привлекайте специалистов по обучению.
Помните: цепь прочна настолько, насколько прочно её самое слабое звено.
Подружитесь с надёжным ИТ-подрядчиком
Ваше спокойствие — наша задача. Развивайте компанию, а мы сделаем всё возможное, чтобы кибермошенники не нарушили ваши планы.
Сегодня кибератаки перешли в категорию «не если, а когда» для бизнеса любого размера. В случае компрометации вашего ИТ-периметра «ОБИТ» оперативно зафиксирует это и предотвратит инцидент.
Мы сотрудничаем с лучшими разработчиками средств защиты и внедряем их в ваш бизнес со всей ответственностью.
Подписывайтесь на наш VC-блог и Telegram-канал, чтобы регулярно получать полезную информацию об ИТ для бизнеса.