Содержание статьи
Отчет «Программы‑вымогатели 2020/2021», опубликованный Group-IB в марте текущего года, свидетельствует: в 2019–2020 годах операторы программ‑вымогателей заработали не менее миллиарда долларов, воспользовавшись уязвимостью организаций, которые основное внимание уделили преодолению последствий пандемии COVID-19.
Более того, атака DoppelPaymer на одну из клиник Дюссельдорфа привела к человеческой трагедии. Из‑за активности вымогателя одна из пациенток не была вовремя госпитализирована и скончалась из‑за того, что медпомощь ей оказать не успели.
info
Текст предоставлен компанией Varonis и публикуется на правах рекламы.
Качественные изменения в атаках и обороне
Эксперты наблюдают как количественный, так и качественный рост угроз. Средний выкуп, который запрашивали злоумышленники у своих жертв, составил, по данным Group-IB, 170 тысяч долларов. На восстановление данных и инфраструктуры компаниям, пережившим нападение, требовалось около 18 дней, а срок начала атаки после проникновения хакеров внутрь охраняемого периметра составляет 13 дней.
Выводы экспертов Group-IB подтверждают данные компании Coalition. Ее специалисты отмечают, что в первом квартале прошлого года средний размер запрашиваемого выкупа составлял 230 тысяч долларов, а во втором — уже более 338 тысяч. При этом на долю ransomware пришелся 41% всех зафиксированных ИБ‑инцидентов.
Острота угрозы обеспечивается и заметными качественными изменениями в организации и проведении атак. Эксперты Varonis отмечают, что ранее преступники действовали крайне прямолинейно: после внедрения в инфраструктуру сразу же запускался вирус‑шифровальщик, то есть само шифрование было конечной целью атаки.
Однако активные действия киберпреступных организаций (Maze, DopplePaymer, REvil и других — от их руки совершается 42% всех нападений) возвели атаки на новый уровень. Теперь после проникновения в систему злоумышленники предпочитают сначала попасть в новые сегменты, утвердиться в системе и приступить к главной цели — краже информации. И только после захвата данных вымогатели попутно начинают шифрование. Требование выкупа при этом теперь базируется на угрозе опубликовать украденную информацию, а не оставить жертву без ключа для расшифровки.
Наконец, еще одна черта действий вымогателей — «преступность как сервис». Атаку шифровальщиков можно заказать, и такой подход к организации нападения приобрел большую популярность: в Group-IB считают, что на долю RaaS приходится до 64% всех атак.
В центре мишени — данные
Данные — главная цель киберпреступников. Эффективное противодействие им должно быть адекватным, а значит, дата‑центричным. Именно корпоративная информация должна стать и главным объектом обороны — такой подход исповедуют в Varonis. Эксперты компании считают, что эффективная защита от действий злоумышленников, инсайдеров и программ‑вымогателей необходима на всех этапах возможного нападения.
Такое внимание к данным объясняется не только их ценностью. Специалисты Varonis подсчитали, что в среднем в корпоративных хранилищах около 8,5 миллиона файлов содержат почти 14 миллионов конфиденциальных записей. При этом около 2 миллионов папок, в которых содержатся такие файлы, открыты для доступа всех учетных записей.
Проникновение
Первый этап нападения — проникновение злоумышленников в систему. Для него могут использоваться самые разнообразные инструменты: кража учетных данных пользователей, фишинговые рассылки, взлом удаленных рабочих столов.
Несмотря на проявляемую осмотрительность, активность киберпреступников заметна уже на этом этапе. О ней говорит аномальная активность, доступ из нехарактерных локаций, попытки доступа к хранилищам данных или атаки на пользовательские аккаунты. Все это — достаточный повод для того, чтобы служба ИБ предупредила пользователей, что необходимо проявлять особенное внимание к требованиям безопасности, провела массовую смену паролей, взяла на особый контроль поток входящих сообщений и состояния уязвимых узлов серверной и сетевой инфраструктур.
Разведка инфраструктуры
Для понимания структуры сети и формирования вектора дальнейшей атаки часто используют хорошо известные инструменты, такие как nslookup. О проведении разведки свидетельствует, например, резкий рост обратных DNS-запросов, когда злоумышленники запрашивают имена машин по последовательным IP-адресам.
Наиболее эффективный способ противодействия хакерам на этой стадии — мониторинг активности протокола DNS. В этом случае у защитников будет возможность выявить атаку на этапе разведки и отслеживать передачу трафика поверх DNS-протокола. Это позволяет перехватить управляющую информацию от сервера С&C или даже отдельные файлы, отправленные в качестве полезной нагрузки. Дополнительно то же средство позволяет отслеживать обращения пользователей к интернет‑ресурсам изнутри сети, например к доменам с подозрительной или низкой репутацией.
Расширение привилегий
Это третий «типовой» этап атаки. Его цель — контроль за привилегированными учетными записями, который дает возможность увеличить число администраторов системы или выгрузить данные в облако для их последующей компрометации. Для поиска административных учеток может использоваться поиск по Active Directory или стандартная утилита Windows SetSPN. В рамках атак часто применяются такие инструменты, как Mimikatz, John the Ripper, hashcat.
Эта активность преступников неслучайна. Множество компаний не детализируют свои политики определения прав доступа, и привилегированным пользователям часто доступен гораздо больший объем данных, чем требуется в действительности.
Определить попытки преступников расширить собственные привилегии помогает контроль за активностью в AD, попытками размещения хакерских инструментов в хранилище и поиск файлов, содержащих пароли. С помощью этих мер можно выявить, например, немотивированную активность учетной записи или подключение с нестандартных для нее устройств. Также важно проводить регулярные аудиты всех инфраструктурных ресурсов и, например, минимизировать число общедоступных общих папок и убедиться, что у всех SPN-учеток назначены очень длинные пароли.
На этом же этапе злоумышленнику также желательно закрепиться на завоеванных плацдармах, чтобы в случае необходимости повторно подключиться к жертве через какое‑то время или если прервется текущая атака. Чаще всего злоумышленники достигают этого через установку бэкдоров и самозапускающихся после перезагрузки процессов.
Открытое нападение
Конечно, успех оборонительных действий на предыдущих этапах нападения возможен далеко не всегда. Но это не означает, что успех хакерской атаки неминуем. Отразить ее можно и на последнем этапе — попытке перейти к открытой фазе преступных действий, массовому похищению данных, их компрометации и шифрованию с последующим требованием выкупа.
Особое внимание нужно уделять состоянию наиболее уязвимых узлов инфраструктуры: серверам, сетевым хранилищам, локальным и облачным почтовым серверам и SharePoint. А для этого требуется постоянно анализировать взаимодействие пользователей с данными, необходимыми им для работы.
Использовать для этого можно API (если они предусмотрены) или специальные агенты (например, разработанные компанией Varonis), отслеживающие подозрительную активность. О ней могут говорить и слишком большой объем данных, запрашиваемых пользователем, и поведение, которое отличается от типовых моделей, и изменения в файлах, свидетельствующие о попытках шифрования.
Даже если такие попытки шифрования приведут к успеху, администраторы смогут определить масштаб нападения и сосредоточиться на восстановлении из бэкапа только пострадавших файлов, что принципиально сократит срок преодоления последствий.
Эти качественные изменения, происходящие в действиях кибервымогателей, могут быть нейтрализованы только адекватными защитными мерами — применением комплексных средств обороны корпоративных инфраструктур. Тотальный контроль не только инфраструктуры, но и данных, отслеживание преступной активности на всех уровнях, от файловых хранилищ до прокси‑серверов, особенное внимание к административным учетным данным — все эти меры могут и отразить атаку в самом ее начале, и точно отреагировать на угрозу в тот момент, когда она становится явной.
