Блог

Однією з найпопулярніших категорій кіберзлочинів, що швидко розвиваються, є програма-вимагач. Щодня відбувається понад 4000 атак програмами-вимагачами. Така кількість атак у поєднанні з тісними взаємовідносинами компаній із третіми особами збільшує ймовірність компрометації даних співробітників. Безпеку конфіденційних даних можна забезпечити за допомогою стратегії запобігання атакам програмами-вимагачами та процесом швидкого виявлення скомпрометованих даних.

Ефективна стратегія запобігання атакам передбачає розгортання елементів управління безпекою на кожному етапі розвитку типової атаки програмою-вимагачем.

Основні етапи атаки програмами-вимагачами:

1. Фішингова атака – відправка електронного листа зі шкідливими посиланнями, що переадресовують користувача на сайт шахраїв. На таких сайтах відбувається крадіжка внутрішніх облікових даних. Це найпопулярніший спосіб старту атаки;
2. Взаємодія з користувачем (жертвою) – перехід за посиланням, завантаження вкладень тощо;
3. Компрометація облікового запису – компрометація корпоративних облікових даних жертви за допомогою відправки їх на шкідливий сайт, а також за допомогою соціальної інженерії (наприклад, хакер видає себе за співробітника IT-відділу та запитує підтвердження повідомлення двофакторної автентифікації). На цьому етапі найчастіше відбувається впровадження шкідливого ПЗ, ініціюючи встановлення програми-вимагача;
4. Визначення привілейованих даних – виявлення та компрометація привілейованих облікових даних для отримання несанкціонованого доступу до конфіденційних областей мережі;
5. Пошук конфіденційних даних (особисті дані, дані клієнтів, номери соціального страхування, корпоративні облікові дані, дані корпоративної та особистої електронної пошти, будь-який цифровий слід, який може бути використаний для крадіжки особистих даних);
6. Ексфільтрація даних – розгортання шкідливої ​​програми для встановлення бекдор-підключень до серверів кіберзлочинця при виявленні цінних ресурсів даних. Через бекдор-підключення починається передача даних, за які згодом кіберзлочинець вимагатиме викуп;
7. Шифрування даних – кіберзлочинець шифрує операційні та комп’ютерні системи жертви з метою завдати максимальної шкоди. Жертва отримує сповіщення про викуп (зазвичай у файлі TXT) з чітким зазначенням ціни викупу. Найчастіше кіберзлочинці вимагають сплатити викуп у криптовалюті (біткоїни), скільки правоохоронним органам складніше відстежити їхній рух. Щоб прискорити процес виплати викупу, злочинці загрожують розмістити дані у даркнеті або видалити їх;
8. Дамп даних – завершальний етап атаки. На цьому етапі кіберзлочинці публікують усі скомпрометовані дані на кіберзлочинам ринку. Деякі кіберзлочинці повністю видаляють дані, позбавляючи себе необхідності публікувати їх на чорному ринку та відстежувати запити на покупку. Якщо жертва відмовляється виплачувати викуп, кіберзлочинець може покарати жертву та опублікувати всі дані на форумах. Вільний доступ до даних, розміщених на таких форумах, завдає більшої шкоди компанії, ніж їхній продаж 1 групі кіберзлочинців.

Захистити та знизити вплив програм-вимагачів можна за допомогою впровадження заходів безпеки на кожному етапі атаки:

1. Навчання з питань безпеки. Дуже складно перемогти програму-вимагач, якщо вона вже проникла в корпоративну мережу. Запобігаючи проникненню, кіберзлочинці не мають змоги провести успішну атаку. Співробітники часто не знають, як розпізнати погрози та як реагувати на них, і тим самим сприяють успіху атаки. Важливо забезпечити якісне навчання всіх співробітників, проінформувати про потенційні ризики та навчити розпізнавати загрози;
2. Відстеження взаємодій із шкідливими посиланнями та вкладеннями. Щоб запобігти атаці і не дати їй перейти на наступний етап, така активність має бути виявлена ​​якнайшвидше. Співробітники повинні негайно попередити IT-фахівців із безпеки;
3. Запобігання компрометації облікового запису. Використання багатофакторної аутентифікації. Найбільш безпечною формою є метод біометричної автентифікації. Такі біометричні дані, як відбитки пальців, розпізнавання облич, дуже складно вкрасти чи скопіювати;
4. Захист привілейованих даних. Використання менеджера паролів, багатофакторної аутентифікації, моделі безпеки з нульовою довірою. В останньому випадку весь внутрішній трафік сприймається як шкідливий і тому користувачеві необхідно постійно підтверджувати свою особу при запиті доступу до конфіденційних ресурсів;
5. Запобігання втраті даних. Закриття або сегментування від загального доступу користувачів до чутливих областей мережі. Також необхідно забезпечити захист багатофакторною автентифікацією всіх облікових записів користувачів, які мають доступ до закритих областей;
6. Запобігання крадіжці даних. Цей процес складається з 2 елементів: виявлення та запобігання. Методи виявлення включають:

• використання SIEM для моніторингу мережного трафіку у режимі реального часу;
• моніторинг з’єднань із зовнішніми IP-адресами;
• моніторинг підозрілої активності вихідного трафіку;

Методи запобігання включають:

• протоколи безпеки (DNS, HTTP, FTP);
• виправлення вразливостей програмного забезпечення.

7. Захист від шифрування даних. Процеси швидкого перемикання операцій на системи резервного копіювання можуть мінімізувати збої у бізнесі у разі атаки програмою-вимагачем. Такі середовища повинні бути доступні з унікальним набором облікових даних, тобто повинні відрізнятися від тих, що використовуються у звичайному середовищі IT.