Знаки семейного движения на выкуп: Веселый выкуп невесты в стиле гаи

Атаки программ-вымогателей, управляемых людьми: катастрофа, которую можно предотвратить

Управляемые людьми кампании программ-вымогателей представляют значительную и растущую угрозу для бизнеса и представляют собой одну из самых влиятельных тенденций современных кибератак.В этих атаках с использованием клавиатуры, которые отличаются от программ-вымогателей с автоматическим распространением, таких как WannaCry или NotPetya, злоумышленники используют методы кражи учетных данных и горизонтального перемещения, традиционно связанные с целевыми атаками, такими как атаки со стороны субъектов национального государства. Они демонстрируют обширные знания в области системного администрирования и общих неправильных настроек сетевой безопасности, проводят тщательную разведку и адаптируются к тому, что они обнаруживают в скомпрометированной сети.

Известно, что эти атаки используют недостатки конфигурации сети и уязвимые службы для развертывания полезной нагрузки программ-вымогателей.И хотя программы-вымогатели — очень заметное действие, предпринимаемое в этих атаках, операторы-люди также доставляют другие вредоносные полезные нагрузки, крадут учетные данные, а также получают доступ и удаляют данные из скомпрометированных сетей.

Новости об атаках программ-вымогателей часто фокусируются на вызванных ими простоях, выплатах выкупа и подробностях полезной нагрузки программ-вымогателей, оставляя в стороне детали зачастую длительных кампаний и предотвратимой компрометации домена, которые позволяют этим атакам, управляемым людьми, увенчаться успехом.

Согласно нашим расследованиям, эти кампании не заботятся о скрытности и показали, что они могут беспрепятственно работать в сетях.Операторы-люди компрометируют учетные записи с более высокими привилегиями, повышают привилегии или используют методы сброса учетных данных, чтобы закрепиться на машинах и продолжать беспрепятственно проникать в целевые среды.

Кампании программ-вымогателей, управляемых людьми, часто начинаются с «товарных вредоносных программ», таких как банковские трояны, или с «простых» векторов атак, которые обычно вызывают несколько предупреждений об обнаружении; однако они, как правило, рассматриваются как неважные и, следовательно, не тщательно исследуются и не устраняются.Кроме того, первоначальные полезные нагрузки часто останавливаются антивирусными решениями, но злоумышленники просто развертывают другую полезную нагрузку или используют административный доступ для отключения антивируса, не привлекая внимания специалистов по реагированию на инциденты или центров управления безопасностью (SOC).

Некоторые известные кампании программ-вымогателей, управляемых людьми, включают REvil, Samas, Bitpaymer и Ryuk. Корпорация Майкрософт активно отслеживает эти и другие длительные кампании программ-вымогателей, управляемых людьми, которые имеют перекрывающиеся схемы атак.Они используют в своих интересах аналогичные недостатки безопасности, выделяя несколько ключевых уроков в области безопасности, в частности то, что эти атаки часто можно предотвратить и обнаружить.

Борьба с атаками такого рода и их предотвращение требует изменения образа мышления, который фокусируется на комплексной защите, необходимой для замедления и остановки злоумышленников, прежде чем они смогут добиться успеха. Атаки, осуществляемые человеком, будут по-прежнему использовать уязвимости безопасности для развертывания разрушительных атак до тех пор, пока защитники не будут последовательно и агрессивно применять передовые методы обеспечения безопасности в своих сетях.В этом блоге мы расскажем о тематических исследованиях программ-вымогателей, управляемых людьми, которые используют разные векторы входа и методы пост-эксплуатации, но имеют подавляющее совпадение в неправильных конфигурациях безопасности, которыми они злоупотребляют, и влиянии, которое они оказывают на организации.

Группа PARINACOTA: массовые кампании по монетизации

Одним из действующих лиц, появившихся в этой тенденции управляемых людьми атак, является активная, высокоадаптивная группа, которая часто использует Вадхраму в качестве полезной нагрузки. Microsoft отслеживала эту группу в течение некоторого времени, но теперь называет их PARINACOTA, используя наше новое обозначение имен для цифровых преступников, основанных на глобальных вулканах.

PARINACOTA затрагивает три-четыре организации каждую неделю и выглядит довольно изобретательным: в течение 18 месяцев, которые мы наблюдали за ним, мы наблюдали, как группа меняет тактику, чтобы соответствовать ее потребностям, и использует скомпрометированные машины для различных целей, включая майнинг криптовалюты, рассылку спама. электронные письма или проксирование для других атак.Цели и полезные нагрузки группы со временем менялись в зависимости от типа скомпрометированной инфраструктуры, но в последние месяцы они в основном развернули программу-вымогатель Wadhrama.

Группа чаще всего применяет метод разгрома и захвата, при котором они пытаются проникнуть в машину в сети и приступить к последующему выкупу менее чем за час. Есть исключительные кампании, в которых они пытаются вести разведку и перемещаться по горизонтали, как правило, когда они приземляются на машину и сеть, что позволяет им быстро и легко перемещаться по окружающей среде.

PARINACOTA, как правило, осуществляются методом грубой силы на серверы, на которых подключен протокол удаленного рабочего стола (RDP) к Интернету, с целью бокового перемещения внутри сети или выполнения дальнейших действий методом грубой силы против целей за пределами сети. Это позволяет группе расширять скомпрометированную инфраструктуру, находящуюся под их контролем. Часто группа нацелена на встроенные учетные записи локального администратора или список общих имен учетных записей. В других случаях группа нацелена на учетные записи Active Directory (AD), которые они скомпрометировали или о которых им известно заранее, например учетные записи служб известных поставщиков.

Группа применила метод грубой силы RDP, печально известный тем, что старая программа-вымогатель под названием Samas (также известная как SamSam). Другие семейства вредоносных программ, такие как GandCrab, MegaCortext, LockerGoga, Hermes и RobbinHood, также использовали этот метод в целевых атаках программ-вымогателей. Однако было также замечено, что PARINACOTA приспосабливается к любому пути наименьшего сопротивления, который они могут использовать. Например, иногда они обнаруживают неисправленные системы и используют обнаруженные уязвимости для получения первоначального доступа или повышения привилегий.

Рисунок 1. Цепочка заражения PARINACOTA

Мы получили представление об этих атаках, исследуя скомпрометированную инфраструктуру, которую группа часто использует для прокси-атак на свои следующие цели. Чтобы найти цели, группа сканирует Интернет на наличие машин, которые прослушивают RDP-порт 3389. Злоумышленники делают это со взломанных машин с помощью таких инструментов, как Masscan.exe, , которые могут найти уязвимые машины во всем Интернете менее чем за шесть минут.

Как только уязвимая цель найдена, группа приступает к атаке грубой силы с использованием таких инструментов, как NLbrute.exe или ForcerX, начиная с общих имен пользователей, таких как «admin», «administrator», «guest» или «test». После успешного получения доступа к сети группа проверяет скомпрометированную машину на наличие подключения к Интернету и вычислительную мощность. Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения последующих RDP-атак против других целей.Эта тактика, которая не использовалась аналогичными операторами программ-вымогателей, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована. Фактически, было замечено, что группа оставляла свои инструменты работающими на скомпрометированных машинах в течение нескольких месяцев подряд.

На машинах, которые группа не использует для последующих RDP-атак методом полного перебора, выполняется отдельный набор действий. Этот метод помогает злоумышленникам избежать обнаружения на основе репутации, что может заблокировать их окна сканирования; он также сохраняет их инфраструктуру управления и контроля (C2).Кроме того, PARINACOTA использует административные привилегии, полученные с помощью украденных учетных данных, для отключения или остановки любых запущенных служб, которые могут привести к их обнаружению. Защита от несанкционированного доступа в Microsoft Defender ATP предотвращает вредоносные и несанкционированные настройки, включая антивирусные решения и возможности облачного обнаружения.

После отключения решений безопасности группа часто загружает ZIP-архив, содержащий десятки известных инструментов злоумышленников и пакетных файлов для кражи учетных данных, сохранения, разведки и других действий, не опасаясь предотвращения следующих этапов атаки.С помощью этих инструментов и пакетных файлов группа очищает журналы событий с помощью wevutil.exe , а также проводит обширную разведку на машине и в сети, обычно ища возможности для бокового перемещения с помощью обычных инструментов сетевого сканирования. При необходимости группа повышает привилегии от локального администратора до СИСТЕМЫ, используя специальные возможности в сочетании с пакетным файлом или загруженными эксплойтами файлами, названными в честь конкретных CVE, на которые они воздействуют, также известной как атака «Sticky Keys».

Группа выгружает учетные данные из процесса LSASS, используя такие инструменты, как Mimikatz и ProcDump, чтобы получить доступ к соответствующим паролям локального администратора или учетным записям служб с высокими привилегиями, которые можно использовать для запуска в качестве запланированной задачи или службы или даже использовать в интерактивном режиме. Затем PARINACOTA использует тот же сеанс удаленного рабочего стола для эксфильтрации полученных учетных данных. Группа также пытается получить учетные данные для определенных банковских или финансовых веб-сайтов, используя findstr.exe для проверки файлов cookie, связанных с этими сайтами.

Рис. 2. Предупреждение Microsoft Defender ATP о краже учетных данных

Имея под рукой учетные данные, PARINACOTA устанавливает постоянство, используя различные методы, в том числе:

• Изменения реестра с использованием файлов .bat или .reg для разрешения подключений RDP
• Настройка доступа через существующие приложения удаленной помощи или установка бэкдора
• Создание новых локальных учетных записей и добавление их в группу локальных администраторов

Чтобы определить тип полезной нагрузки для развертывания, PARINACOTA использует такие инструменты, как Process Hacker, для идентификации активных процессов. Злоумышленники не всегда сразу устанавливают программы-вымогатели; было замечено, что они устанавливают майнеры монет и используют massmail.exe для проведения спам-кампаний, в основном используя корпоративные сети в качестве распределенной вычислительной инфраструктуры для получения прибыли. Однако группа через несколько недель возвращается к тем же машинам для установки программы-вымогателя.

Группа выполняет те же действия для доставки полезной нагрузки программы-вымогателя:

• Устанавливает вредоносный файл HTA (во многих случаях hta ) с использованием различных точек расширения автозапуска (ASEP), но часто с помощью ключей запуска реестра или папки «Автозагрузка».Файл HTA содержит инструкции по оплате выкупа.
• Удаляет локальные резервные копии с помощью таких инструментов, как exe , чтобы подавить восстановление выкупленных файлов.
• Останавливает активные службы, которые могут помешать шифрованию, с помощью exe , net. exe или других инструментов.

Рисунок 3. Остановка служб и процессов PARINACOTA

• Сбрасывает массив исполняемых файлов вредоносных программ, часто называя файлы в зависимости от их предполагаемого поведения.Если предыдущие попытки остановить антивирусное программное обеспечение не увенчались успехом, группа просто отбрасывает несколько вариантов вредоносного ПО до тех пор, пока им не удастся запустить тот, который не обнаружен, что указывает на то, что даже при обнаружении и предупреждении сетевые администраторы либо не видят их, либо не видят. реагируя на них.

Как уже упоминалось, в последнее время PARINACOTA в основном избавилась от программы-вымогателя Wadhrama, которая после шифрования целевых файлов оставляет следующую записку о выкупе:

Рис. 4.Записка о выкупе Вадрама

В нескольких наблюдаемых случаях целевые организации, которые смогли устранить заражение программами-вымогателями, не смогли полностью удалить механизмы сохраняемости, что позволило группе вернуться и снова развернуть программы-вымогатели.

Рис. 5. Представление компьютера ATP в Microsoft Defender, показывающее повторное заражение Wadhrama

PARINACOTA регулярно использует майнеры монет Monero на скомпрометированных машинах, что позволяет им получать одинаковые доходы независимо от типа машины, к которой они обращаются.Monero популярен среди киберпреступников благодаря своим преимуществам конфиденциальности: Monero не только ограничивает доступ к балансу кошелька, но и смешивает монеты из других транзакций, чтобы помочь скрыть особенности каждой транзакции, в результате чего транзакции не так легко отследить по сумме, как другие. цифровые валюты.

Что касается компонента программы-вымогателя, мы видели сообщения о том, что группа взимает от 0,5 до 2 биткойнов за скомпрометированную машину. Это зависит от того, что злоумышленники знают об организации и активах, которые они скомпрометировали.Сумма выкупа корректируется в зависимости от вероятности того, что организация заплатит из-за воздействия на их компанию или предполагаемой важности цели.

Doppelpaymer: программа-вымогатель следит за Dridex

Doppelpaymer недавно вызвала хаос в ходе нескольких получивших широкую огласку атак на различные организации по всему миру. Некоторые из этих атак были связаны с требованием крупного выкупа, причем в некоторых случаях злоумышленники запрашивали миллионы долларов.

Программа-вымогатель Doppelpaymer, как и Wadhrama, Samas, LockerGoga и Bitpaymer до нее, не обладает присущими червям возможностями.Операторы-люди вручную распространяют его в скомпрометированных сетях, используя украденные учетные данные для привилегированных учетных записей вместе с обычными инструментами, такими как PsExec и групповая политика. Они часто злоупотребляют учетными записями служб, в том числе учетными записями, используемыми для управления продуктами безопасности, которые имеют права администратора домена для запуска собственных команд, часто останавливая антивирусное программное обеспечение и другие элементы управления безопасностью.

Присутствие банковских троянов, таких как Dridex, на компьютерах, скомпрометированных Doppelpaymer, указывает на возможность того, что Dridex (или другое вредоносное ПО) внедряется на более ранних стадиях атаки через поддельные программы обновления, вредоносные документы в фишинговых сообщениях электронной почты или даже путем доставки через ботнет Emotet.

Хотя Dridex, вероятно, используется в качестве начального доступа для доставки Доппельпеймера на машины в затронутых сетях, большинство из этих сетей содержат артефакты, указывающие на брутфорс RDP. Это в дополнение к многочисленным признакам кражи учетных данных и использования средств разведки. На самом деле следователи обнаружили артефакты, свидетельствующие о том, что затронутые сети были тем или иным образом скомпрометированы различными злоумышленниками за несколько месяцев до развертывания программы-вымогателя, что свидетельствует об успешности этих (и других) атак в сетях, где тщательность в средствах контроля безопасности и мониторинге не применяется.

Использование многочисленных методов атак отражает то, насколько свободно злоумышленники работают без сбоев, даже когда доступные датчики обнаружения и реагирования на конечных точках (EDR) и платформы защиты конечных точек (EPP) уже обнаруживают их действия. Во многих случаях некоторые машины работают без стандартных средств защиты, таких как обновления безопасности и облачная антивирусная защита. Также отсутствует гигиена учетных данных, учетные записи с чрезмерными привилегиями, предсказуемые пароли локального администратора и RDP, а также автоматические оповещения EDR о подозрительных действиях.

Рис. 6. Образец предупреждения Microsoft Defender ATP

Успех атак зависит от того, смогут ли операторы кампании получить контроль над учетными записями домена с повышенными привилегиями после установления первоначального доступа. Злоумышленники используют различные методы для получения доступа к привилегированным учетным записям, в том числе распространенные инструменты для кражи учетных данных, такие как Mimikatz и LaZagne. Microsoft также наблюдала за использованием инструмента Sysinternals ProcDump для получения учетных данных из памяти процесса LSASS.Злоумышленники также могут использовать LSASecretsView или аналогичный инструмент для доступа к учетным данным, хранящимся в разделе секретов LSA реестра. Эта часть реестра, доступная для локальных администраторов, может раскрывать учетные данные для учетных записей домена, используемых для запуска запланированных задач и служб.

Рисунок 7. Цепочка заражения Доппельпеймер

Операторы кампании постоянно крадут учетные данные, постепенно получая более высокие привилегии, пока не получат контроль над учетной записью уровня администратора домена.В некоторых случаях операторы создают новые учетные записи и предоставляют этим учетным записям привилегии удаленного рабочего стола.

Помимо защиты привилегированных учетных записей, злоумышленники используют другие способы установления постоянного доступа к скомпрометированным системам. В нескольких случаях замечено, что затронутые машины запускают сценарий PowerShell Empire в кодировке base64, который подключается к серверу C2, предоставляя злоумышленникам постоянный контроль над машинами. Ограниченные данные свидетельствуют о том, что злоумышленники установили механизмы сохранения WMI, возможно, во время более ранних взломов, для запуска PowerShell Empire.

После получения необходимых учетных данных злоумышленники проводят обширную разведку машин и работающего программного обеспечения, чтобы определить цели для доставки программ-вымогателей. Они используют встроенную команду qwinsta для проверки активных сеансов RDP, запуска инструментов, запрашивающих Active Directory или LDAP, и проверки связи с несколькими машинами. В некоторых случаях злоумышленники нацелены на компьютеры с высокой степенью воздействия, например на компьютеры, на которых запущено программное обеспечение для управления системами. Злоумышленники также определяют машины, которые они могли бы использовать, чтобы оставаться в сети после развертывания программы-вымогателя.

Злоумышленники используют различные протоколы или системные платформы (WMI, WinRM, RDP и SMB) в сочетании с PsExec для горизонтального перемещения и распространения программ-вымогателей. Достигнув нового устройства боковым движением, злоумышленники пытаются остановить службы, которые могут предотвратить или помешать успешному распространению и выполнению программ-вымогателей. Как и в других кампаниях по вымогательству, злоумышленники используют встроенные команды для остановки Exchange Server, SQL Server и подобных служб, которые могут блокировать определенные файлы и препятствовать попыткам их шифрования.Они также останавливают антивирусное программное обеспечение прямо перед удалением самого файла вымогателя.

Попытки обойти антивирусную защиту и развернуть программу-вымогатель особенно успешны в случаях, когда:

• Злоумышленники уже имеют права администратора домена
• Защита от несанкционированного доступа отключена
• Облачная защита отключена
• Антивирусное программное обеспечение не управляется должным образом или находится в неработоспособном состоянии

Microsoft Defender ATP создает предупреждения для многих действий, связанных с этими атаками. Однако во многих из этих случаев затронутые сегменты сети и связанные с ними оповещения не отслеживаются активно и не реагируют на них.

Злоумышленники также используют несколько других методов для обхода защиты и запуска кода программы-вымогателя. В некоторых случаях мы обнаружили артефакты, указывающие на то, что они вводят законный двоичный файл и используют альтернативные потоки данных, чтобы маскировать выполнение двоичного файла программы-вымогателя как законный двоичный файл.

Рисунок 8. Вывод дампа командной строки альтернативного потока данных

Двоичный файл программы-вымогателя Doppelpaymer, используемый во многих атаках, подписан с использованием якобы украденных сертификатов из OFFERS CLOUD LTD , которым могут доверять различные решения безопасности.

Доппельпеймер шифрует различные файлы и отображает записку о выкупе. В наблюдаемых случаях он использует собственное расширение имени для зашифрованных файлов, используя информацию о затронутой среде. Например, он использовал l33tspeak версий названий компаний и телефонных номеров компаний.

Примечательно, что кампании Doppelpaymer не полностью заражают скомпрометированные сети программами-вымогателями. Только часть машин имеет двоичный файл вредоносного ПО, а файлы немного меньшего количества зашифрованы.Злоумышленники сохраняют устойчивость на машинах, на которых нет программ-вымогателей, и, похоже, намереваются использовать эти машины, чтобы вернуться в сети, которые платят выкуп или не выполняют полное реагирование на инциденты и восстановление.

Ryuk: управляемая человеком программа-вымогатель, инициированная заражением Trickbot

Ryuk — это еще одна активная кампания программ-вымогателей, управляемая людьми, которая наносит ущерб организациям, от юридических лиц до местных органов власти и некоммерческих организаций, нарушая работу предприятий и требуя огромных выкупов.Ryuk возник как полезная нагрузка программы-вымогателя, распространяемой по электронной почте, но с тех пор она была принята операторами программ-вымогателей, управляемых людьми.

Как и Doppelpaymer, Ryuk является одной из возможных возможных полезных нагрузок, доставляемых операторами-людьми, которые попадают в сети через банковские трояны, в данном случае Trickbot. В начале заражения Ryuk существующий имплантат Trickbot загружает новую полезную нагрузку, часто Cobalt Strike или PowerShell Empire, и начинает перемещаться по сети, активируя заражение Trickbot для развертывания программы-вымогателя.Использование маяка Cobalt Strike или полезной нагрузки PowerShell Empire дает операторам больше маневренности и возможностей для горизонтального перемещения по сети. Основываясь на нашем расследовании, в некоторых сетях это также может дать злоумышленникам дополнительное преимущество, заключающееся в том, что они сливаются с действиями и инструментами красной команды.

В ходе наших расследований мы обнаружили, что эта активация происходит на имплантатах Trickbot разного возраста, что указывает на то, что операторы-люди, стоящие за Ryuk, вероятно, имеют какой-то список проверок и целей для развертывания программы-вымогателя. Однако во многих случаях эта фаза активации наступает спустя много времени после первоначального заражения Trickbot, и возможное развертывание полезной нагрузки программы-вымогателя может произойти через недели или даже месяцы после первоначального заражения.

Во многих сетях Trickbot, который может распространяться непосредственно по электронной почте или в качестве полезной нагрузки второго этапа для других троянских программ, таких как Emotet, часто считается угрозой с низким приоритетом, и его нельзя устранять и изолировать с такой же степенью тщательности, как другие, более громких вредоносных программ. Это работает на пользу злоумышленникам, позволяя им иметь длительное постоянство в самых разных сетях.Trickbot и операторы Ryuk также используют пользователей, работающих в качестве локальных администраторов в средах, и используют эти разрешения для отключения инструментов безопасности, которые в противном случае препятствовали бы их действиям.

Рисунок 9. Цепочка заражения Ryuk

После активации в сети операторы используют свои инструменты Cobalt Strike или PowerShell, чтобы инициировать разведку и боковое перемещение в сети. Их начальные шаги обычно заключаются в использовании встроенных команд, таких как net group, для перечисления членства в группах с высокой ценностью, таких как администраторы домена и администраторы предприятия, а также для определения целей для кражи учетных данных.

Ryuk используют различные методы для кражи учетных данных, в том числе инструмент для кражи учетных данных LaZagne. Злоумышленники также сохраняют различные кусты реестра для извлечения учетных данных из локальных учетных записей и части реестра LSA Secrets, в которой хранятся пароли учетных записей служб, а также запланированных задач, настроенных на автоматический запуск с определенной учетной записью. Во многих случаях такие службы, как программное обеспечение для обеспечения безопасности и управления системами, настраиваются с привилегированными учетными записями, такими как администратор домена; это позволяет операторам Ryuk легко переходить с начального рабочего стола на системы серверного класса и контроллеры домена. Кроме того, во многих средах, успешно скомпрометированных Ryuk, операторы могут использовать встроенную учетную запись администратора для горизонтального перемещения, поскольку эти пароли совпадают, а не случайным образом.

После первоначальной базовой разведки и кражи учетных данных злоумышленники в некоторых случаях используют инструмент аудита безопасности с открытым исходным кодом, известный как BloodHound, для сбора подробной информации о среде Active Directory и возможных путях атаки. Злоумышленник получает доступ к этим данным и связанным с ними украденным учетным данным и, вероятно, сохраняет их даже после завершения действия программы-вымогателя.

Затем злоумышленники продолжают перемещаться в сторону более ценных систем, проверяя и перечисляя интересующие их файлы по мере их продвижения, возможно, извлекая эти данные. Затем злоумышленники повышают права до администратора домена и используют эти разрешения для развертывания полезной нагрузки Ryuk.

Распространение программы-вымогателя часто происходит через несколько недель или даже месяцев после того, как злоумышленники начинают действовать в сети. Операторы Ryuk используют украденные учетные данные администратора домена, часто из интерактивного сеанса входа в систему на контроллере домена, для распространения полезной нагрузки Ryuk.Было замечено, что они делали это с помощью групповых политик, устанавливая элемент запуска в общем ресурсе SYSVOL или, что чаще всего в недавних атаках, через сеансы PsExec, исходящие от самого контроллера домена.

Улучшение защиты для предотвращения программ-вымогателей, управляемых людьми

В управляемых людьми кампаниях по вымогательству, даже если выкуп выплачивается, некоторые злоумышленники остаются активными в затронутых сетях с настойчивостью через PowerShell Empire и другие вредоносные программы на компьютерах, которые могут показаться не связанными с действиями вымогателей.Чтобы полностью восстановиться после атак программ-вымогателей с участием человека, необходимо выполнить всесторонние процедуры реагирования на инциденты и последующее укрепление сети.

Как мы узнали из приспособляемости и находчивости злоумышленников, кампании, управляемые людьми, нацелены на обход средств защиты и разумное использование того, что им доступно, для достижения своей цели, мотивированной прибылью. Техники и методы, используемые в атаках программ-вымогателей, управляемых людьми, которые мы обсуждали в этом блоге, подчеркивают следующие важные уроки безопасности:

1. ИТ-специалисты играют важную роль в обеспечении безопасности

Некоторые из наиболее успешных кампаний программ-вымогателей, управляемых людьми, были направлены против серверов, на которых было намеренно отключено антивирусное программное обеспечение и другие средства безопасности, что администраторы могут сделать для повышения производительности.Многие из наблюдаемых атак используют вредоносное ПО и инструменты, которые уже обнаружены антивирусом. На одних и тех же серверах также часто отсутствует защита брандмауэром и MFA, они имеют слабые учетные данные домена и используют неслучайные пароли локальных администраторов. Часто эти средства защиты не развертываются из-за опасений, что элементы управления безопасностью нарушат работу или повлияют на производительность. ИТ-специалисты могут помочь определить истинное влияние этих параметров и сотрудничать с командами безопасности в их устранении.

Злоумышленники пользуются настройками и конфигурациями, которыми управляют и контролируют многие ИТ-администраторы.Учитывая ключевую роль, которую они играют, ИТ-специалисты должны быть частью групп безопасности.

2. Кажущиеся редкими, изолированными или массовыми предупреждениями о вредоносном ПО могут указывать на развертывание новых атак и давать наилучшие шансы предотвратить более крупный ущерб

Атаки, управляемые человеком, включают в себя довольно длинную и сложную цепочку атак до развертывания полезной нагрузки программы-вымогателя. Более ранние шаги включают в себя такие действия, как заражение вредоносным ПО и кража учетных данных, которые Microsoft Defender ATP обнаруживает и выдает предупреждения.Если этим оповещениям сразу же присваивается приоритет, команды по обеспечению безопасности могут лучше смягчить атаки и предотвратить полезную нагрузку программ-вымогателей. Заражение товарными вредоносными программами, такими как Emotet, Dridex и Trickbot, должно быть устранено и рассматриваться как потенциальная полная компрометация системы, включая любые учетные данные, присутствующие в ней.

3. Чтобы по-настоящему смягчить современные атаки, необходимо устранить слабые места в инфраструктуре, которые позволяют злоумышленникам

Группы программ-вымогателей, которыми управляют люди, регулярно поражают одни и те же цели несколько раз.Обычно это происходит из-за того, что не удалось устранить механизмы сохраняемости, которые позволяют операторам возвращаться и развертывать последующие раунды полезной нагрузки, поскольку целевые организации сосредотачиваются на работе по устранению заражений программами-вымогателями.

Организациям следует уделять меньше внимания разрешению предупреждений в кратчайшие сроки и больше — изучению поверхности атаки, которая привела к возникновению предупреждения. Это требует понимания всей цепочки атак, но, что более важно, выявления и устранения слабых мест в инфраструктуре, чтобы не допустить злоумышленников.

Хотя Wadhrama, Doppelpaymer, Ryuk, Samas, REvil и другие управляемые человеком атаки требуют изменения мышления, проблемы, которые они создают, вряд ли уникальны.

Лишение злоумышленников возможности горизонтально перемещаться с одного компьютера на другой в сети снизит влияние программ-вымогателей, управляемых человеком, и сделает сеть более устойчивой ко всем видам кибератак. Основные рекомендации по противодействию программам-вымогателям и другим кампаниям, управляемым людьми, заключаются в соблюдении правил гигиены учетных данных и прекращении ненужного обмена данными между конечными точками.

Вот соответствующие действия по смягчению последствий, которые предприятия могут применять для повышения уровня безопасности и повышения устойчивости к кибератакам в целом:

• Защитите активы, подключенные к Интернету, и убедитесь, что для них установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита этих активов на наличие уязвимостей, неправильных конфигураций и подозрительной активности.
• Безопасный шлюз удаленных рабочих столов с помощью таких решений, как Многофакторная идентификация Azure (MFA). Если у вас нет шлюза MFA, включите проверку подлинности на уровне сети (NLA).
• Применяйте принцип наименьших привилегий и соблюдайте гигиену учетных данных. Избегайте использования служебных учетных записей уровня администратора на уровне домена. Применяйте надежные рандомизированные, своевременные пароли локальных администраторов. Используйте такие инструменты, как LAPS.
• Отслеживание попыток грубой силы. Проверьте чрезмерное количество неудачных попыток аутентификации (идентификатор события безопасности Windows 4625).
• Монитор для очистки журналов событий, особенно журнала событий безопасности и операционных журналов PowerShell.Microsoft Defender ATP вызывает предупреждение «Журнал событий был очищен», и Windows создает идентификатор события 1102, когда это происходит.
• Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
• Определите, где учетные записи с высоким уровнем привилегий входят в систему и раскрывают учетные данные. Отслеживайте и исследуйте события входа в систему (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
• Включите облачную защиту и автоматическую отправку образцов в антивирусной программе «Защитник Windows». Эти возможности используют искусственный интеллект и машинное обучение, чтобы быстро выявлять и останавливать новые и неизвестные угрозы.
• Включите правила уменьшения уязвимой зоны, включая правила, блокирующие кражу учетных данных, активность программ-вымогателей и подозрительное использование PsExec и WMI. Для противодействия злонамеренным действиям, инициированным с помощью документов Office, использующих оружие, используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office.Чтобы оценить влияние этих правил, разверните их в режиме аудита.
• Включите AMSI для Office VBA, если у вас есть Office 365.
• Используйте брандмауэр Защитника Windows и сетевой брандмауэр, чтобы по возможности предотвратить взаимодействие RPC и SMB между конечными точками. Это ограничивает боковое движение, а также другие атакующие действия.

Рисунок 10. Улучшение защиты от управляемых человеком программ-вымогателей

Как корпорация Майкрософт помогает клиентам бороться с атаками, управляемыми человеком

Рост количества адаптируемых, изобретательных и постоянных атак, управляемых человеком, характеризует потребность в расширенной защите от нескольких поверхностей атак.Microsoft Threat Protection обеспечивает комплексную защиту удостоверений, конечных точек, данных, приложений и инфраструктуры. Благодаря встроенной аналитике, автоматизации и интеграции Microsoft Threat Protection объединяет и объединяет в единое решение возможности Microsoft Defender Advanced Threat Protection (ATP), Office 365 ATP, Azure ATP и Microsoft Cloud App Security, обеспечивая клиентам интегрированную безопасность и непревзойденная прозрачность векторов атак.

Создание оптимальной организационной системы безопасности является ключом к защите сетей от атак, осуществляемых человеком, и других изощренных угроз.Microsoft Secure Score оценивает и измеряет состояние безопасности организации и предоставляет рекомендуемые действия по улучшению, рекомендации и средства контроля. Используя централизованную панель мониторинга в центре безопасности Microsoft 365, организации могут сравнивать уровень своей безопасности с эталонными показателями и устанавливать ключевые показатели эффективности (KPI).

На конечных точках Microsoft Defender ATP обеспечивает унифицированные возможности защиты, расследования и реагирования. Надежные средства защиты на основе машинного обучения и поведения обнаруживают кампании, управляемые человеком, в нескольких точках цепочки атак до того, как будет развернута полезная нагрузка программы-вымогателя.Эти расширенные обнаружения вызывают оповещения в Центре безопасности Microsoft Defender, позволяя группам по обеспечению безопасности немедленно реагировать на атаки, используя богатые возможности Microsoft Defender ATP.

Функция управления угрозами и уязвимостями использует основанный на оценке рисков подход к обнаружению, установлению приоритетов и устранению неправильных конфигураций и уязвимостей на конечных точках. В частности, это позволяет администраторам безопасности и ИТ-администраторам беспрепятственно сотрудничать для устранения проблем.Например, благодаря интеграции Microsoft Defender ATP с Microsoft Intune и System Center Configuration Manager (SCCM) администраторы безопасности могут одним щелчком мыши создать задачу исправления в Microsoft Intune.

Эксперты Microsoft отслеживают несколько групп программ-вымогателей, управляемых людьми. Чтобы еще больше помочь клиентам, мы выпустили отчет Microsoft Defender ATP Threat Analytics о кампаниях и средствах защиты от атаки. С помощью Threat Analytics клиенты могут видеть индикаторы деятельности Wadhrama, Doppelpaymer, Samas и других кампаний в своей среде, а также получать подробные сведения и рекомендации, призванные помочь группам по обеспечению безопасности расследовать атаки и реагировать на них. Отчеты также включают в себя соответствующие расширенные поисковые запросы, которые могут помочь специалистам по безопасности искать признаки атак в своей сети.

Клиенты, подписавшиеся на Microsoft Threat Experts, управляемую службу поиска угроз в Microsoft Defender ATP, получают целевые уведомления о новых кампаниях программ-вымогателей, которые наши эксперты обнаруживают во время поиска угроз. Уведомления по электронной почте предназначены для информирования клиентов об угрозах, которые им необходимо расставить по приоритетам, а также важной информации, такой как график событий, затронутые компьютеры и индикаторы компрометации, которые помогают в расследовании атак и смягчении их последствий.Кроме того, с помощью экспертов по запросу клиенты могут напрямую обращаться к аналитикам безопасности Майкрософт, чтобы получить рекомендации и идеи, чтобы лучше понять, предотвратить и отреагировать на атаки, управляемые человеком, и другие сложные угрозы.

Команда Microsoft Threat Protection Intelligence

Свяжитесь с нами

Вопросы, опасения или идеи по поводу этой истории? Присоединяйтесь к обсуждениям в технических сообществах Microsoft Threat Protection и Microsoft Defender ATP.

Прочитать все записи в блоге Майкрософт по анализу безопасности.

Подпишитесь на нас в Твиттере @MsftSecIntel .

Выкуп за Аргентину составляет 60 миллионов долларов

БУЭНОС-АЙРЕС, 20 июня — За освобождение двух аргентинских руководителей был выплачен выкуп в размере 60 миллионов долларов. тому назад.

Но официальные лица многонациональной компании, которая, как сообщается, заплатила выкуп — который считается самым высоким за похищение — не были доступны для комментариев, и не было никакого независимого подтверждения отчета партизан.

Два бизнесмена, Хуан и Хорхе Борн, наследники одного из величайших аргентинских состояний, занимают высокие посты в Bunge and Born Company, аргентинском зерновом концерне, который занялся другими областями, чтобы стать самой важной многонациональной корпорацией со штаб-квартирой в Аргентине. .

«Представители партизан, называемых Монтонеро», сказали, что компания заплатила большую часть выкупа наличными.

Братья освобождены

Сегодня на тайной пресс-конференции партизаны сделали свои разоблачения.Согласно присутствовавшим источникам, Mon?oneros представили Хорхе Борна, старшего из братьев, которому 41 год, и освободили его после окончания конференции.

Партизаны сообщили, что 40-летний Хуан Борн был освобожден ранее в неизвестном месте. Согласно источникам, Монтонеро сказали, что 60 миллионов долларов будут использованы для создания «народной организации» и «развития комплексной войны против империализма для достижения национального освобождения». Семьи обоих братьев Борн переехали в Бразилию вскоре после того, как двое мужчин были похищены 19 сентября прошлого года.

Ранее на этой неделе в рамках соглашения о выкупе Бунге и Борн стремились раздать еду и одежду на сумму 1 миллион долларов бедным людям примерно в 60 местах по всей стране. Полиция перехватывала многие из этих грузов до того, как они попадали в районы трущоб.

О раздаче было объявлено в рекламе, появившейся в среду в нескольких европейских и аргентинских газетах. В рекламе, размещенной Бунге и Борном по просьбе партизан, пояснялось, что еда и одежда раздавались «как жест Хорхе и Хуану Борну.

Согласно объявлению, Монтонеро также потребовали от компании выплатить «очень важную сумму» за освобождение братьев и в качестве «штрафа за преступление, связанное с нерегулярным обменом денег».

В объявлении не указывалось, сколько денег должно быть выплачено, и не объяснялись финансовые нарушения, которые компания должна была совершить.

Партизаны также потребовали, чтобы Бунге и Борн достигли «немедленного решения» своих трудовых проблем и разместили бусто покойного президента Хуана Доминго Перлина и его второй жены Евы Дуарте на всех своих фабриках.

По словам Монтонеро, они признали братьев Борн виновными в эксплуатации рабочих компании и приговорили их к одному году «народной тюрьмы». Но партизаны заявили, что приговор был смягчен до девяти месяцев после того, как компания удовлетворила их требования о выкупе.

Во время похищения менеджера Bunge and Born Альберто Боша и шофера Хуана Карло; Переса, были застрелены партизанами.

Через десять дней после захвата двух братьев Монтонеро похитили еще одного руководителя Бунге и Борн, Альфредо Маргарита, который, как сообщается, был в состоянии сообщить партизанам, сколько компания может заплатить в качестве выкупа.Мистер Маргарит был освобожден вскоре после выплаты выкупа, который, по неподтвержденным новостям, составлял несколько миллионов долларов.

Братья Борн были похищены вскоре после того, как они вышли из дома и направились в офис. В тщательно продуманной засаде использовались поддельные дорожные знаки, угнанные общественные транспортные средства и десятки партизан, одетых в форму муниципальных служащих.

Монтонеро — одна из полудюжины партизанских групп, действующих в Аргентине. Они официально объявили о своем разрыве с перонистским движением, возглавляемым президентом Изабель Мартинес де Перон, третьей женой генерала Перрона, через два месяца после его смерти 1 июля прошлого года.

Хотя Монтонеро заявляют, что являются истинными наследниками генерала Перона, перед смертью он публично осудил их.

Монтонеро исповедуют революционную социалистическую философию, но еще несколько лет назад их убеждения были ближе к фашизму. Из-за их политической изменчивости они держались на расстоянии вытянутой руки Народно-революционной армией, другой крупной партизанской группировкой, которая всегда была марксистско-ленинской.

Монтонеро похитили, а затем убили Джона Патрика Игана, консула Соединенных Штатов в городе Кордова.Г-н Иган был застрелен партизанами 27 февраля после того, как правительство Аргентины отказалось показать четверых захваченных Монтонеро по национальному телевидению. Позже источники в полиции сообщили, что трое из четырех уже мертвы.

Семья подтверждает освобождение

БУЭНОС-АЙРЕС, 20 июня (AP). Член семьи Борн подтвердил сегодня, что Хорхе был освобожден, и сказал, что Хуан был освобожден 45 дней назад. Представитель семьи отказался сообщить подробности об освобождении или сообщить, где находятся братья.

Что такое программа-вымогатель? | Краудстрайк

Определение программы-вымогателя

Программа-вымогатель — это тип атаки вредоносного ПО, при котором данные жертвы шифруются до тех пор, пока злоумышленнику не будет произведен платеж. Если выкуп не производится, злоумышленник публикует данные на сайтах утечки данных (DLS) или навсегда блокирует доступ к файлам.

остается одной из самых прибыльных тактик для киберпреступников. По данным Cybersecurity Ventures, глобальная стоимость программ-вымогателей в 2020 году оценивается в 20 миллиардов долларов, а средняя сумма выкупа составляет платежа на общую сумму 1 доллар.79 миллионов.

Статистика программ-вымогателей

Ниже приведены некоторые статистические данные о программах-вымогателях за 2021 год из ежегодного опроса CrowdStrike Global Security Attitude Survey:

• средний размер выкупа в размере увеличился на 63% в 2021 году до 1,79 млн долларов США по сравнению с 1,10 млн долларов США в 2020 году
• средний требуемый выкуп от злоумышленников составляет 6 миллионов долларов
• 96% тех, кто заплатил первоначальный выкуп , также должны были заплатить комиссию за вымогательство
• 66% организаций респондентов подверглись как минимум одной атаке программ-вымогателей в этом году
• 57% пострадавших от программ-вымогателей не имели комплексной стратегии для координации своих действий

Ресурсы программ-вымогателей

• О программе-вымогателе:
• Защита от программ-вымогателей:

Как работает программа-вымогатель

Сегодня программы-вымогатели обычно распространяются через адресные фишинговые электронные письма, схемы социальной инженерии, атаки через водопой или сети вредоносной рекламы. В большинстве случаев жертва в конечном итоге нажимает на вредоносную ссылку, вводя вариант программы-вымогателя на свое устройство.

После заражения устройства или системы программа-вымогатель немедленно приступает к работе, чтобы идентифицировать и зашифровать файлы жертвы. После того, как данные были зашифрованы, для разблокировки файлов требуется ключ дешифрования. Чтобы получить ключ дешифрования, жертва должна следовать инструкциям, оставленным в записке о выкупе, в которой указано, как заплатить злоумышленнику — обычно в биткойнах.

Злоумышленники рассчитывают на то, что частные лица и корпоративные пользователи будут настолько отчаянно нуждаться в восстановлении своевременного доступа к данным, что будут готовы выложить солидный выкуп за ключ дешифрования, необходимый для разблокировки данных.

Письмо с требованием выкупа в биткойнах

Типы программ-вымогателей

Шифрование Ransomware: В этом случае программа-вымогатель систематически шифрует файлы на жестком диске системы, которые становится трудно расшифровать, не заплатив выкуп за ключ дешифрования. Оплата запрашивается при использовании BitCoin, MoneyPak, PaySafeCard, Ukash или предоплаченной (дебетовой) карты.

Блокировщики экрана: Блокировщики полностью блокируют ваш компьютер или систему, поэтому ваши файлы и приложения недоступны.На экране блокировки отображается требование выкупа, возможно, с обратным отсчетом, чтобы повысить срочность и побудить жертв к действию.
Scareware: Scareware — это тактика, которая использует всплывающие окна, чтобы убедить жертву, что у них есть вирус, и предлагает им загрузить поддельное программное обеспечение для решения проблемы

Вредоносная реклама: Вредоносная реклама — или вредоносная реклама — это метод внедрения вредоносного кода в цифровую рекламу

Примеры вариантов программ-вымогателей

Вариант	Описание
CryptoLocker	Программа-вымогатель CryptoLocker была революционной как по количеству затронутых систем, так и по использованию надежных криптографических алгоритмов. Группа в основном использовала свой ботнет для банковского мошенничества.
NotPetya	NotPetya сочетает в себе вымогателей с возможностью распространения по сети. Он распространяется на машины Microsoft Windows с использованием нескольких методов распространения, включая эксплойт EternalBlue для уязвимости CVE-2017-0144 в службе SMB.
Ryuk	WIZARD SPIDER — это сложная группа eCrime, которая использует программу-вымогатель Ryuk с августа 2018 года, нацеленную на крупные организации с целью получения крупного выкупа.
REvil (Sodinokibi)	Программа-вымогатель Sodinokibi/REvil обычно ассоциируется с злоумышленником Pinchy SPIDER и его аффилированными лицами, работающими по модели программы-вымогателя как услуги (RaaS).
WannaCry	WannaCry нацелился на организации здравоохранения и коммунальные предприятия, используя эксплойт Microsoft Windows под названием EternalBlue, который позволял обмениваться файлами, тем самым открывая дверь для распространения программ-вымогателей.

На кого нацелены программы-вымогатели?

Целями программ-вымогателей могут стать организации любого размера.Хотя охота на крупную дичь становится все более популярной, программы-вымогатели часто нацелены на малые и средние организации , включая государственные и местные органы власти, которые часто более уязвимы для атак.

Малые предприятия становятся мишенью по ряду причин: от денег и интеллектуальной собственности (ИС) до данных клиентов и доступа к ним. На самом деле доступ может быть основным фактором, поскольку SMB может использоваться в качестве вектора для атаки на более крупную родительскую организацию или на цепочку поставок более крупной цели.

Успех атак программ-вымогателей на малые предприятия можно объяснить уникальными проблемами, связанными с меньшими размерами, а также более распространенными проблемами, с которыми сталкиваются организации любого размера: человеческий фактор . В то время как рабочие компьютеры распространены и даже ожидаются в крупных организациях, небольшие организации не всегда предоставляют рабочие компьютеры и вместо этого могут полагаться на то, что сотрудники используют свои личные устройства.

Эти устройства используются как для рабочих целей, включая доступ и хранение привилегированных документов и информации, так и для личных действий, таких как просмотр и поиск.Эти машины двойного назначения содержат большие объемы как деловой, так и личной информации, включая данные кредитных карт, учетные записи электронной почты, платформы социальных сетей, а также личные фотографии и контент.

Университеты, например, часто имеют небольшие группы безопасности и большую базу пользователей, которые активно обмениваются файлами, поэтому средства защиты легче взломать. Медицинские организации также могут стать мишенью, поскольку им часто требуется немедленный доступ к своим данным, а на карту может быть поставлена ​​жизнь, что заставляет их платить сразу же. А финансовые учреждения и юридические фирмы с большей вероятностью заплатят выкуп из-за конфиденциальности своих данных — и заплатят его тихо, чтобы избежать негативной огласки.

Должны ли вы платить выкуп?

ФБР не поддерживает выплату выкупа в ответ на атаку программы-вымогателя. Они утверждают, что выплата выкупа не только поощряет бизнес-модель, но также может попасть в карманы террористических организаций, отмывателей денег и стран-изгоев. Более того, хотя немногие организации публично признаются в выплате выкупа, злоумышленники будут публиковать эту информацию в даркнете, делая ее общеизвестной для других злоумышленников, ищущих новую цель.

Оплата выкупа не приводит к более быстрому или гарантированному восстановлению. Может быть несколько ключей дешифрования, может быть плохая утилита дешифрования, дешифратор может быть несовместим с операционной системой жертвы, может быть двойное дешифрование, и ключ дешифрования работает только на одном уровне, а некоторые данные могут быть повреждены. Менее половины жертв программ-вымогателей могут успешно восстановить свои системы.

Защита от программ-вымогателей

После того, как программа-вымогатель выполнила шифрование, восстановить эти данные часто бывает слишком поздно.Вот почему лучшая защита от программ-вымогателей основывается на упреждающем предотвращении.

постоянно развивается, что затрудняет защиту многих организаций. Следуйте этим рекомендациям, чтобы обеспечить безопасность своих операций:

1. Обучите всех сотрудников передовым методам кибербезопасности:

Ваши сотрудники находятся на переднем крае вашей безопасности. Убедитесь, что они соблюдают правила гигиены — например, используют надежную защиту паролем, подключаются только к защищенному Wi-Fi и никогда не нажимают на ссылки из нежелательных электронных писем.

2. Регулярно обновляйте операционную систему и другое программное обеспечение:

Киберпреступники постоянно ищут лазейки и лазейки, которые можно использовать. Бдительно обновляя свои системы, вы сведете к минимуму подверженность известным уязвимостям.

3. Внедрение и усиление безопасности электронной почты

CrowdStrike рекомендует внедрить решение для защиты электронной почты, которое выполняет фильтрацию URL-адресов, а также изолированную программную среду для вложений. Чтобы оптимизировать эти усилия, можно использовать функцию автоматического ответа, позволяющую ретроактивно помещать в карантин доставленные электронные письма до того, как пользователь взаимодействует с ними.

4. Постоянно контролируйте свою среду на предмет вредоносной активности и IOA:

CrowdStrike® Falcon Insight™ для обнаружения и реагирования на конечных точках (EDR) действует как камера наблюдения на всех конечных точках, фиксируя необработанные события для автоматического обнаружения вредоносной активности, не идентифицированной методами предотвращения, и обеспечивая видимость для упреждающего поиска угроз.

Для незаметных, скрытых атак, которые могут не вызвать немедленное автоматическое оповещение, CrowdStrike предлагает управляемый поиск угроз Falcon OverWatch™, который включает в себя элитную команду опытных охотников, которые активно ищут угрозы от вашего имени 24 часа в сутки, 7 дней в неделю.

5. Интегрируйте информацию об угрозах в свою стратегию безопасности:

Контролируйте свои системы в режиме реального времени и будьте в курсе последних данных об угрозах, чтобы быстро обнаруживать атаки, понимать, как лучше реагировать, и предотвращать их распространение. CrowdStrike Falcon X автоматизирует анализ угроз и расследование инцидентов, чтобы изучить все угрозы и заблаговременно принять контрмеры в течение нескольких минут.

6. Разработка защищенных от программ-вымогателей автономных резервных копий

При разработке инфраструктуры резервного копирования, защищенной от программ-вымогателей, наиболее важная идея, которую следует учитывать, заключается в том, что злоумышленники нацеливались на онлайн-резервные копии перед развертыванием программ-вымогателей в среде.

По этим причинам единственным надежным способом спасения данных во время атаки программ-вымогателей является резервное копирование, защищенное от программ-вымогателей. Например, резервное копирование ваших данных в автономном режиме позволяет быстрее восстанавливать их в чрезвычайных ситуациях.

7. Внедрение надежной программы защиты личных данных

Организации могут повысить уровень безопасности, внедрив надежную программу защиты удостоверений, чтобы понять гигиену локальных и облачных хранилищ удостоверений (например, Active Directory, Azure AD).Выявляйте пробелы и анализируйте поведение и отклонения для каждой учетной записи рабочей силы (люди-пользователи, привилегированные учетные записи, учетные записи служб), выявляйте горизонтальное перемещение и реализуйте условный доступ с учетом рисков для обнаружения и предотвращения угроз программ-вымогателей.

Что делать, если вас атаковала программа-вымогатель

Как только программа-вымогатель проникает на устройство в вашей сети, она может нанести ущерб, вызывая сбои, которые приводят к остановке бизнес-операций. Поскольку на карту поставлены данные компании и клиента, финансовое благополучие и репутация бренда, крайне важно знать, что делать, если вы получите программу-вымогатель.

Если вы столкнулись с программой-вымогателем, важно:

1. Найдите зараженное устройство (устройства): Если программа-вымогатель проникнет в вашу сеть, важно немедленно выявить и изолировать любые зараженные устройства, прежде чем брешь распространится на остальную часть сети.

Во-первых, ищите любые подозрительные действия в сети, такие как переименование файлов или изменение расширений файлов. Вполне вероятно, что система была взломана из-за человеческой ошибки — например, сотрудник щелкнул подозрительную ссылку в фишинговом письме — поэтому сотрудники могут быть полезным источником информации.Спросите, получал ли кто-либо или замечал какие-либо подозрительные действия, которые могут помочь выявить зараженные устройства.

2. Остановите программу-вымогатель на своем пути: разница между опасной для бизнеса инфекцией и незначительным сбоем в сети может заключаться во времени реакции. Компании должны быстро отключать или ограничивать доступ к сети, чтобы остановить распространение вируса с зараженных устройств.

Если возможно, каждое устройство, подключенное к сети, как локальное, так и внешнее, должно быть отключено. При необходимости также отключите все беспроводные подключения, включая Wi-Fi и Bluetooth, поскольку это помогает предотвратить проникновение программ-вымогателей в сеть, захват и шифрование важных данных.

3. Оцените масштабы проблемы: важно понимать степень ущерба, причиненного нарушением, чтобы подготовить соответствующий ответ.

Проверить все устройства, подключенные к сети. Первоначальные симптомы шифрования программы-вымогателя включают изменение имени файла и попытки сотрудников получить доступ к файлам. Любые устройства, демонстрирующие эти признаки, должны быть отмечены и немедленно отключены от сети, что может привести вас к шлюзу, через который заражение впервые получило доступ к сети.

Создайте список зараженных устройств и центров обработки данных. Процесс восстановления бизнеса должен включать расшифровку каждого скомпрометированного устройства, чтобы предотвратить повторный запуск процесса шифрования, когда вы вернетесь к работе.

4. Обратите внимание на свои резервные копии: в наше время, когда риски кибербезопасности таятся за каждым углом, наличие резервных копий всех ваших цифровых данных, отделенных от централизованной сети, имеет решающее значение для быстрого возобновления работы и минимизации простоя, в случае нарушения.

После того, как все устройства были расшифрованы и оснащены антивирусным ПО, пришло время обратиться к данным резервной копии, чтобы восстановить любые скомпрометированные файлы.

Однако перед этим выполните быструю проверку всех файлов резервных копий. Возрастающая изощренность и устойчивость современных программ-вымогателей означает, что эти файлы также могут быть повреждены, и перенос этих данных в сеть может просто вернуть вас к первому шагу.

5. Сообщите об атаке: Хотя непосредственным приоритетом после взлома является остановка распространения и начало фазы восстановления, необходимо также учитывать более широкие последствия атаки. Скомпрометированные данные влияют не только на бизнес, но и на его сотрудников и клиентов.

Поскольку программы-вымогатели обычно связаны с угрозой утечки данных, о любой атаке следует сообщать соответствующим органам как можно скорее.

Американское законодательство о данных на самом деле не существует на федеральном уровне. Тем не менее, ряд отдельных штатов и некоторые федеральные правила налагают строгие штрафы на эти правила соответствия данных. Например, если вы столкнулись с утечкой данных в Калифорнии, вы должны сообщить об этом в CCPA, и любое индивидуальное нарушение влечет за собой штраф в размере 7500 долларов США за каждое нарушение.

О программах-вымогателях и других формах вредоносного ПО также следует сообщать правоохранительным органам, которые могут помочь выявить виновных и предотвратить атаки в будущем.

Удаление программ-вымогателей

Если произойдет самое худшее, и отдельные устройства компании или даже вся ваша сеть будут скомпрометированы программой-вымогателем, есть несколько доступных вариантов восстановления.

Общие стратегии удаления программ-вымогателей включают:

• Попытка удалить программу-вымогатель с помощью программного обеспечения
• Оплата выкупа
• Сброс зараженных устройств до заводского режима

Не рекомендуется платить выкуп.Киберпреступникам нельзя доверять расшифровку и возврат доступа к данным даже после того, как вы заплатили. А в худшем случае вы даже можете оказаться в списке целей для будущих атак вредоносного ПО, если злоумышленники узнают, что вы, вероятно, уступите их требованиям.

Кроме того, успешные атаки программ-вымогателей лишь подталкивают новых преступников к проникновению в потенциально прибыльное пространство, усугубляя проблему для всех.

Вместо этого ограничьте доступ к сети для любых скомпрометированных устройств — и тех, которые демонстрируют подозрительное поведение — и стремитесь остановить дальнейшее распространение программы-вымогателя.

Советы по удалению программ-вымогателей включают:

• Перезагрузка в безопасном режиме — в зависимости от типа программы-вымогателя перезагрузка устройства и его перезапуск в безопасном режиме могут остановить распространение. Хотя некоторые трояны, такие как «REvil» и «Snatch», могут работать во время загрузки в безопасном режиме, это не относится ко всем программам-вымогателям, и безопасный режим может выиграть драгоценное время для установки антивирусного программного обеспечения. Однако важно отметить, что любые зашифрованные файлы останутся зашифрованными даже в безопасном режиме, и их необходимо будет восстановить с помощью резервной копии данных.
• Установите программное обеспечение для защиты от программ-вымогателей — после того, как зараженные устройства будут идентифицированы и отключены от сети, программу-вымогатель необходимо удалить с помощью программного обеспечения для защиты от вредоносных программ. Если вы попытаетесь работать как обычно до того, как устройства будут полностью расшифрованы, вы рискуете возродить необнаруженное вредоносное ПО, что приведет к дальнейшему распространению и большему количеству скомпрометированных файлов.
• Сканирование программ-вымогателей — если вы считаете, что на ваших устройствах нет программ-вымогателей или других червей, убедитесь, что вы сканируете систему — как путем ручного поиска любого подозрительного поведения, такого как изменение расширения файла, так и с помощью брандмауэров нового поколения. Тщательное сканирование должно выявить любые скрытые трояны, которые могут снова нанести ущерб после восстановления вашего компьютера.
• Восстановите компьютер — предприятия должны всегда хранить резервные копии своих файлов, изолированных от сети. Таким образом, любые зашифрованные файлы могут быть быстро восстановлены из безопасного источника после удаления программы-вымогателя, что сводит к минимуму время простоя и нарушения работы.
• Сообщить о нападении в полицию – атакующие программы-вымогатели являются киберпреступниками. Любая атака должна быть задокументирована и о ней должно быть сообщено — компании не должны просто упускать это из виду после того, как им удалось восстановить свои устройства.Записывайте скриншоты или фотографируйте любые заметки о выкупе и собирайте все доступные доказательства, такие как электронные письма или веб-сайты, которые потенциально могут быть источником вредоносного вредоносного ПО, и сообщайте об утечке как можно скорее.

Что такое программа-вымогатель: определение, типы атак, примеры

Этот пост также доступен в: немецкий

Каждый день специалисты по кибербезопасности обнаруживают более 200 000 новых штаммов программ-вымогателей. Это означает, что каждую минуту появляется не менее 140 штаммов, способных избежать обнаружения и нанести непоправимый ущерб.Но что такое вымогатели в конце концов? Вкратце, программа-вымогатель — одна из самых распространенных и опасных киберугроз на сегодняшний день, имеющая разрушительные последствия как для отдельных лиц, так и для бизнеса.

В этой статье я объясню, что такое программа-вымогатель, как она работает, как ее предотвратить и что делать в случае атаки. Кроме того, последние статистические данные и примеры программ-вымогателей покажут вам реальные факты, чтобы вы поняли, как на самом деле происходят атаки программ-вымогателей.

Что такое программа-вымогатель?

Программа-вымогатель — это тип вредоносного ПО, которое блокирует пользователям доступ к их операционной системе или файлам до тех пор, пока не будет выплачен выкуп. Он делает это, блокируя экран системы или шифруя файлы пользователей.

Жертвы получают записку с требованием выкупа, в которой сообщается, что они должны заплатить определенную сумму денег (обычно в криптовалютах), чтобы восстановить доступ к своей системе или данным. Как правило, для завершения платежа существует ограничение по времени, иначе файлы могут быть безвозвратно утеряны или обнародованы злоумышленниками. Следует напомнить, что даже если жертва заплатит выкуп, нет никакой гарантии, что ключ дешифрования будет доставлен.

Как работает программа-вымогатель?

Каждая программа-вымогатель ведет себя по-разному. Существует 2 типа программ-вымогателей: программы-вымогатели для шкафчиков и программы-вымогатели-шифровальщики. Первый блокирует доступ жертвы к операционной системе, что делает невозможным доступ к рабочему столу, любым приложениям или файлам, а второй является наиболее распространенным, который включает в себя усовершенствованные алгоритмы шифрования и предназначен для блокировки системных файлов.

Однако результат всегда один. Блокировка файлов или систем и требование выкупа за их восстановление .Вот несколько общих шагов о том, как работает программа-вымогатель:

Киберпреступники просто ищут самый простой способ заражения системы или сети и используют этот бэкдор для распространения вредоносного контента. Тем не менее, это наиболее распространенные методы заражения, используемые киберпреступниками:

После первоначального доступа программа-вымогатель распространяется через тактику бокового перемещения на все устройства в вашей сети и пытается получить полный доступ.Если микросегментация или сетевая сегментация не используются, программы-вымогатели будут перемещаться по сети в горизонтальном направлении, а это означает, что угроза распространяется на другие конечные точки и серверы во всей ИТ-среде, что приводит к самораспространению. Таким образом, хакеры могут использовать методы уклонения от обнаружения для создания постоянных атак программ-вымогателей.

Эксфильтрация данных

Если в прошлом программы-вымогатели использовали такие тактики, как слабое симметричное шифрование, то теперь операторы программ-вымогателей используют более продвинутые методы, такие как эксфильтрация данных.По сути, хакеры могут эксфильтровать конфиденциальные бизнес-данные, прежде чем выполнять шифрование, что приводит к двойному вымогательству: таким образом киберпреступники могут угрожать организациям сделать их личную информацию общедоступной, если выкуп не будет уплачен. Удержание данных в заложниках больше не является единственным методом.

Уничтожить резервные копии

Программа-вымогатель будет искать резервные копии, чтобы уничтожить их перед шифрованием данных. Этот тип вредоносных программ может распознавать резервные копии по расширению файла, и документы, хранящиеся в облаке, также могут подвергаться риску.Автономное хранилище резервных копий или функции только для чтения в файлах резервных копий могут препятствовать распознаванию и удалению резервных копий.

Шифрование данных

— это практически сочетание криптографии с вредоносным ПО. Операторы программ-вымогателей используют асимметричное шифрование, также известное как криптография с открытым ключом, процесс, в котором используется набор ключей (один открытый ключ и один закрытый ключ) для шифрования и расшифровки файла и защиты его от несанкционированного доступа или использования. Ключи генерируются уникально для жертвы и становятся доступными только после выплаты выкупа.

Почти невозможно расшифровать файлы, которые удерживаются с целью получения выкупа, без доступа к закрытому ключу. Однако некоторые типы программ-вымогателей можно расшифровать с помощью специальных дешифраторов программ-вымогателей .

Требовать выкуп

После шифрования на экране появляется предупреждение с инструкциями по оплате ключа дешифрования. Все происходит всего за несколько секунд,   , так что жертвы совершенно ошеломлены, когда с недоверием смотрят на записку с требованием выкупа.

Источник изображения

Появление Биткойна и эволюция алгоритмов шифрования помогли превратить программы-вымогатели из незначительной угрозы, используемой в кибервандалах, в полноценную машину для зарабатывания денег. Обычно злоумышленники запрашивают оплату в биткойнах, потому что эту криптовалюту не могут отследить исследователи кибербезопасности или правоохранительные органы.

Киберпреступники вскоре поняли, что компании и организации приносят гораздо больше прибыли, чем пользователи, поэтому они преследовали более крупные цели: полицейские управления, городские советы и даже школы и больницы.Если процент предприятий, заплативших выкуп, вырос до 26% в 2020 году и увеличился до 32% в 2021 году, то 170 404 доллара — это средняя сумма выкупа, выплаченного в этом году. А пока давайте выясним, каковы главные цели программ-вымогателей.

Государственные учреждения

Государственные учреждения, такие как государственные учреждения, управляют огромными базами данных личной и конфиденциальной информации, которую киберпреступники могут продавать, что делает их фаворитами среди операторов программ-вымогателей. Поскольку персонал не обучен обнаруживать и предотвращать кибератаки, а государственные учреждения часто используют устаревшее программное обеспечение и оборудование, это означает, что их компьютерные системы полны дыр в безопасности, которые так и просятся, чтобы их использовали.

К сожалению, успешное заражение оказывает большое влияние на выполнение обычных действий, вызывая огромные сбои. В таких обстоятельствах жертвы программ-вымогателей несут финансовый ущерб либо в связи с получением крупных выплат программ-вымогателей, либо в результате возмещения ущерба от этих атак.

Предприятия

Короче говоря, потому что там деньги. Злоумышленники знают, что успешное заражение может привести к серьезным сбоям в бизнесе, что повысит их шансы на получение оплаты.Поскольку компьютерные системы в компаниях часто сложны и подвержены уязвимостям, их можно легко взломать с помощью технических средств. Кроме того, человеческий фактор по-прежнему является огромной проблемой, которую также можно использовать с помощью тактики социальной инженерии. Стоит отметить, что программы-вымогатели могут поражать не только компьютеры, но и серверы и облачные системы обмена файлами, проникая глубоко в ядро ​​бизнеса.

Киберпреступники знают, что предприятия предпочитают не сообщать о заражении, опасаясь юридических последствий и ущерба для бренда.

Домашние пользователи

Поскольку у них обычно нет резервных копий данных, домашние пользователи являются целью номер один для операторов программ-вымогателей. У них мало или вообще нет образования в области кибербезопасности, а это значит, что они нажимают практически на все, что делает их уязвимыми для манипуляций со стороны кибер-злоумышленников. Они также не вкладывают средства в необходимые решения для кибербезопасности и не поддерживают свое программное обеспечение в актуальном состоянии (даже если специалисты всегда придираются к ним). Наконец, из-за огромного количества пользователей Интернета, которые могут стать потенциальными жертвами, большее количество зараженных компьютеров означает больше денег для групп вымогателей.

Примеры программ-вымогателей

Теперь вы знаете, что существует множество версий. С такими именами, как CryptXXX, Troldesh или Chimera, эти штаммы звучат так, будто из них сделаны хакерские фильмы. Таким образом, хотя новички могут захотеть получить часть денег, горстка семей установила свое господство.

Программа-вымогатель Conti

Conti стала известна после атак на медицинские учреждения. Его обычные методы используют фишинговые атаки для получения удаленного доступа к машине и дальнейшего бокового распространения в сети, в то же время выполняя кражу учетных данных и сбор незашифрованных данных.

Известной атакой стала атака на Управление здравоохранения Ирландии (HSE) 14 мая 2021 года, когда банда запросила 20 миллионов долларов, чтобы не публиковать похищенные данные.

Программа-вымогатель DarkSide

DarkSide  – это программа-вымогатель, работающая как группа программ-вымогателей как услуги (RaaS). Он начал атаковать организации по всему миру в августе 2020 года и, как и другие подобные угрозы, используемые в целевых кибератаках, DarkSide не только шифрует данные жертвы, но и извлекает их с пораженных серверов.

Всего за 9 месяцев работы DarkSide было отправлено не менее 90 миллионов долларов в виде выкупа в биткойнах с 47 различных кошельков. Банда вымогателей получила около 10 миллионов долларов от этой коммерческой организации по распространению химикатов Brenntag , которая заплатила выкуп в размере 4,4 миллиона долларов, и Colonial Pipeline , которая также заплатила 5 миллионов долларов в криптовалюте.

Это хороший пример программы-вымогателя, которая использует двойное вымогательство, поскольку хакеры обычно просят выкуп за возврат похищенных данных, поэтому давление платежа выше.

Программа-вымогатель REvil

Программа-вымогатель REvil, также известная как Sodinokibi, впервые обнаруженная в апреле 2019 года и работающая по модели «программа-вымогатель как услуга», известна своими атаками на JBS в июне 2021 года и Kaseya в июле 2021 года.

Из-за уязвимости программного обеспечения Kaseya к атакам с внедрением SQL REvil Ransomware удалось зашифровать серверы Kaeya. Это привело к атаке на цепочку поставок, поскольку ее клиенты были заражены.

JBS, крупнейшее в мире предприятие по упаковке мяса, пострадало от REvil 30 мая 2021 года и было вынуждено заплатить выкуп в размере 11 миллионов долларов, чтобы предотвратить утечку данных хакерами в Интернете.

Программа-вымогатель Avaddon

Avaddon Ransomware распространялся с помощью фишинговых писем с вредоносными файлами сценариев JAVA и известен своей атакой на французское предприятие AXA в мае 2021 года. Его операторы обычно используют веб-сайты с утечкой данных, чтобы публиковать там информацию о жертвах, которые не платят выкуп.

Программа-вымогатель QLocker

Как следует из названия, программа-вымогатель QLocker работает как шкафчик, компрометируя устройства хранения данных пользователей. Поэтому жертвы заблокированы, пока они не предоставят пароль.Его целью являются устройства QNAP. Файлы на этих сетевых устройствах хранения зашифрованы в формате архива 7-zip, для которого требуется пароль.

Программа-вымогатель Ryuk

Ryuk  – это группа программ-вымогателей как услуги (RaaS), активная с августа 2018 года. Она широко известна тем, что запустила частную партнерскую программу, в которой партнеры могут подавать заявки и резюме, чтобы подать заявку на членство. В последние месяцы 2020 года аффилированные лица банды атаковали примерно 20 компаний каждую неделю , а начиная с ноября 2020 года они координировали массовую волну атак на систему здравоохранения США.

Программа-вымогатель WannaCry

Даже если это не последнее время, конечно, мы не можем не упомянуть об этом знаменитом. В пятницу, 12 мая 2017 г., около 11:00 по восточноевропейскому времени/15:00 по Гринвичу по всему миру начала распространяться программа-вымогатель «беспрецедентного уровня» (Европол). Он использовал уязвимость в Windows, которая позволяла заражать компьютеры жертв без каких-либо действий. До 24 мая 2017 года инфекция затронула более 200 000 человек в 150 странах мира.

Статистика программ-вымогателей

Вот некоторые статистические данные, которые помогут вам лучше понять угрозу программ-вымогателей, начиная с первой программы-вымогателя 1989 года, распространяемой через дискеты и с ценой выкупа в 189 долларов США, до сегодняшнего выкупа в миллионах долларов.

• В первой половине 2021 года число атак программ-вымогателей удвоилось по сравнению с 2020 годом.
• Эксфильтрация и утечка данных были распространенной практикой, допускавшей двойное вымогательство.
• Conti, Avaddon и REvil являются авторами 60% атак.
• В США зарегистрировано 54,9 % жертв, что является основной целью атак программ-вымогателей.

Основные цели программ-вымогателей по отраслям

№1. правительство

Согласно отчету SonicWall о киберугрозах за 2021 год, число атак на государственных заказчиков гораздо больше, чем на любую другую отрасль.К июню государственные клиенты «получили примерно в 10 раз больше попыток программ-вымогателей, чем в среднем».

Источник изображения

№2. Образование

В первой половине 2021 года в сфере образования было даже больше попыток программ-вымогателей, чем в государственном секторе. В марте Киберотдел ФБР выпустил экстренную тревогу, чтобы предупредить об увеличении числа атак программ-вымогателей, нацеленных на государственные учреждения, образовательные учреждения, частные компании и сектор здравоохранения. Месяц спустя банда вымогателей Conti зашифровала системы в государственных школах округа Броуард, угрожая раскрыть конфиденциальные личные данные учащихся и сотрудников, если школьный округ не выплатит огромный выкуп в размере 40 миллионов долларов.

№3. Здравоохранение

Организации здравоохранения стали новыми излюбленными объектами атак программ-вымогателей. Больницы, в том числе UC San Diego Health, Scripps Health, SalusCare, New Hampshire Hospital и Atascadero State Hospital, стали постоянными объектами кибератак. Как указывалось ранее, поставщики медицинских услуг теряют в среднем 7% своих клиентов после утечки данных или атаки программ-вымогателей, что является самым высоким показателем по сравнению с другими отраслями.

№4. Розничная торговля

Операторы программ-вымогателей часто нацеливаются на предприятия розничной торговли, потому что «они редко хорошо защищены, а преимущества легко монетизировать.Специалисты по безопасности SonicWall обнаружили поразительные всплески программ-вымогателей в розничных магазинах (264%). В июле сеть супермаркетов Coop была вынуждена закрыть 500 своих магазинов после атаки программы-вымогателя Kaseya.

Источники данных изображения: здесь и здесь.

Как предотвратить программы-вымогатели

Проверяйте дважды, прежде чем открывать ссылки и вложения в электронной почте

Вредоносные ссылки, безусловно, являются очень популярными инструментами приманки тактики социальной инженерии, присутствующими в электронных письмах или сообщениях СПАМ.Но вы никогда не должны нажимать на ссылку, которая кажется сомнительной, так как заражение может произойти в кратчайшие сроки. Один неверный щелчок — и вредоносные программы-вымогатели развернуты.

Это относится и к вложениям электронной почты с вредоносными файлами JavaScript, например, в форме readme.txt.js. Вместо того, чтобы сразу открывать странные вложения, вам следует выполнить некоторые базовые проверки, такие как определение отправителя и подтверждение адреса электронной почты. Если вы должны включить макрос, чтобы увидеть, что внутри, это, скорее всего, мошенничество.Вот почему вы всегда должны отключать макросы в качестве меры предосторожности.

Загружайте файлы только из надежных источников и в случае подозрения отправляйте их ИТ-команде для проверки в песочнице.

Обновляйте программное обеспечение

Это может показаться очень повторяющимся и тривиальным побуждением, но каким бы простым оно ни было, это действительно основное решение с точки зрения предотвращения. Это потому, что программы не идеальны, и по этой причине исследователи безопасности всегда улучшают их, выпуская исправления.Таким образом, организации и частные лица могут извлечь выгоду только из последних исправлений, постоянно запуская обновления. Инструмент управления исправлениями настроит для вас автоматическое развертывание исправлений.

Применить принцип наименьших привилегий

Принцип наименьших привилегий (POLP) – это основной принцип нулевого доверия. Пользователям предоставляется минимально необходимый доступ к приложениям или системам для успешного выполнения своих задач. Таким образом, ограниченный доступ не позволит никому ошибочно или не вмешиваться в файлы и другие конфиденциальные данные.

Использовать VPN в общедоступной сети Wi-Fi

Публичный Wi-Fi никогда не бывает безопасным. Хакер может, например, выполнить атаку «Человек посередине». Убедитесь, что вы используете VPN для защиты своих действий при подключении к общедоступной сети Wi-Fi.

Используйте многоуровневый подход к кибербезопасности

Ключом к успеху является хорошая защита от киберугроз. Используйте надежные решения в области кибербезопасности, которые защитят ваши конечные точки и сеть: инструмент защиты от шифрования программ-вымогателей, брандмауэр, хороший антивирус, защиту электронной почты, DNS-фильтр, автоматическое исправление программного обеспечения, программное обеспечение PAM, и этот список можно продолжить.

Защищаться от программ-вымогателей проще при наличии правильных знаний и привычек, а также надежного набора решений. Как всегда, Heimdal™ Security может помочь вам с последним. Если вы хотите узнать больше о том, какие продукты нашей компании лучше всего подходят для ваших нужд, не стесняйтесь обращаться к нам или заказать демонстрацию.

Сегментируйте свою сеть

Благодаря сегментации сети сеть разбивается на подсети, поэтому у вас есть разные сегменты. Это особенно полезно, когда мы говорим о боковом движении.Если программа-вымогатель заразит ваши системы, она не сможет распространиться на другие части сети при наличии разграничения. Решение для мониторинга сетевого трафика тоже было бы неплохо, так как оно идет рука об руку с сегментацией сети.

Резервное копирование и шифрование данных

Само по себе резервное копирование не представляет жизнеспособного варианта для организаций в настоящее время, поскольку передовые программы-вымогатели извлекают данные и используют их как метод двойного вымогательства. Тем не менее, резервная копия должна быть создана, если вы хорошо с ней справляетесь.В противном случае, как бы вы восстановили свои данные, если ключ дешифрования недоступен? Информация в облаке должна храниться в зашифрованном виде, а резервные копии должны регулярно тестироваться для проверки производительности. Автономная резервная копия, такая как жесткий диск, может быть полезна. Неизменяемое решение для хранения (WORM — Write-Once-Read-Many) сохранит вашу информацию в ведре и заблокирует ее, чтобы ее нельзя было изменить. Вы также можете защитить свою резервную копию с помощью защиты конечных точек на своих серверах.

Развитие культуры осведомленности о кибербезопасности

Обучите своих сотрудников распознавать вредоносные сообщения электронной почты.Странный адрес электронной почты, зависание над перенаправлением на странный веб-сайт, грамматические ошибки, обезличенная адресация могут быть признаками скомпрометированных электронных писем. Инвестируйте в решения для обучения по вопросам безопасности. Это очень хорошие сервисы с практическими примерами: сотрудники могут научиться с помощью имитации фишинга лучше справляться с мошенническими электронными письмами.

Они также не должны предоставлять личные данные ненадежным лицам по телефону, электронной почте или в сообщениях.

Как реагировать на атаку программы-вымогателя

Все предприятия должны иметь план реагирования на инциденты и знать его наизусть.Это значительно сократит время ответа. Время реагирования является ключевым фактором в таких инцидентах, и быстрое реагирование может быть достигнуто только при соответствующем планировании. В случае атаки программ-вымогателей ваши ИТ-специалисты должны точно знать, что делать.

Изолировать затронутые конечные точки

Если одна или несколько ваших конечных точек были заражены программой-вымогателем, первым делом отключите ее от сети, чтобы остановить распространение.

Определите штамм программы-вымогателя

Следующим шагом является идентификация штамма программы-вымогателя, то есть, в основном, какая программа-вымогатель скомпрометировала вашу сеть.

Сообщить властям

Обратитесь в ФБР или другие органы власти, так как в прошлом они специально просили получать информацию о каждом случае атаки в целях статистики, а также потому, что программа-вымогатель является преступлением. А с точки зрения GDPR вы избежите штрафа.

Удалить вредоносное ПО

Удалить программу-вымогатель. Как? Если ваш компьютер заблокирован, откройте его в безопасном режиме и установите решение для защиты от вредоносных программ, чтобы удалить программу-вымогатель.

Затем используйте инструмент для расшифровки программ-вымогателей.Проверьте их из NO MORE RANSOM или нашей статьи со списком бесплатных инструментов для расшифровки.

Важно помнить, что удаление вредоносного ПО не приводит к автоматической расшифровке файлов. Таким образом, даже если вы удалили программу-вымогатель, файлы все равно остаются зашифрованными, поэтому вам нужно будет расшифровать их с помощью определенного инструмента или ключа дешифрования.

Восстановить данные

Восстановите данные из резервной копии. Платить выкуп — не выход.

Заключение

принесла вымогательство в глобальные масштабы, и мы все, пользователи, владельцы бизнеса и лица, принимающие решения, должны помешать этому.

Теперь мы знаем, что:

• создание вредоносных программ или угроз программ-вымогателей теперь является бизнесом, и к нему следует относиться соответствующим образом;
• стереотип «одинокий хакер в подвале» давно умер;
•  в нынешнем ландшафте угроз доминируют четко определенные и хорошо финансируемые группы, которые используют передовые технические инструменты и навыки социальной инженерии для доступа к компьютерным системам и сетям;
• Более того, крупные государства нанимают киберпреступные группы для достижения не только финансовых целей, но и политических и стратегических интересов.

Мы также знаем, что мы не бессильны, и есть несколько простых способов защититься от программ-вымогателей. Киберпреступники имеют такое же влияние на ваши данные и вашу безопасность, как и вы.

Нейтрализуйте программы-вымогатели до того, как они нанесут удар.

Защита от шифрования программ-вымогателей Heimdal™

Специально разработан для противодействия угрозе безопасности номер один для любого бизнеса — программам-вымогателям.

• Блокирует любые несанкционированные попытки шифрования;
• Обнаруживает программы-вымогатели независимо от сигнатуры;
• Универсальная совместимость с любым решением по кибербезопасности;
• Полный контрольный журнал с потрясающей графикой;

LockBit: быстрая детонация с использованием одного скомпрометированного удостоверения | Блог

Макс Хайнемейер, директор по поиску угроз | Четверг, 25 февраля 2021 г.

Программа-вымогатель LockBit была недавно идентифицирована Cyber ​​AI во время судебного разбирательства с розничной компанией в США.После того, как первоначальный плацдарм был установлен через скомпрометированные административные учетные данные, внутренняя разведка, горизонтальное перемещение и шифрование файлов происходили одновременно, что позволило программе-вымогателю пройти через цифровую систему всего за несколько часов.

Этот инцидент служит последним напоминанием о том, что кампании программ-вымогателей теперь распространяются по организациям со скоростью, намного превышающей скорость реагирования людей, что демонстрирует необходимость автономного реагирования со скоростью машины для сдерживания угрозы до того, как будет нанесен ущерб.

Программа-вымогатель Lockbit определена

Впервые обнаруженная в 2019 году программа LockBit представляет собой относительно новое семейство программ-вымогателей, которые быстро используют общедоступные протоколы и инструменты, такие как SMB и PowerShell. Первоначально он был известен как «ABCD» из-за расширения имени файла зашифрованных файлов, прежде чем он начал использовать текущее расширение .lockbit. С тех пор он превратился в один из самых опасных штаммов вредоносного ПО на сегодняшний день, требуя в среднем около 40 000 долларов США за организацию.

По мере того, как киберпреступники увеличивают скорость и масштаб своих атак, программы-вымогатели остаются серьезной проблемой для организаций во всех отраслях. За последние 12 месяцев Darktrace наблюдала увеличение числа случаев программ-вымогателей более чем на 20% среди своих клиентов. Злоумышленники постоянно разрабатывают новые варианты угроз, нацеленные на эксплойты, используя готовые инструменты и извлекая выгоду из развивающейся бизнес-модели Ransomware-as-a-Service (RaaS).

Как работает LockBit?

При типичной атаке злоумышленник проводит дни или недели внутри системы, вручную выбирая наилучший способ остановить бизнес жертвы.На этом этапе выявляются многочисленные индикаторы компрометации, такие как маяки управления и контроля (C2), которые ИИ Darktrace идентифицирует в режиме реального времени.

LockBit, однако, требует присутствия человека только в течение нескольких часов, после чего он распространяется по системе и заражает другие хосты самостоятельно, без необходимости контроля со стороны человека. Важно отметить, что вредоносное ПО проводит разведку и продолжает распространяться на этапе шифрования. Это позволяет ему наносить максимальный урон быстрее, чем другие ручные подходы.

Защита на основе искусственного интеллекта необходима для отражения этих атак, управляемых машинами, которые могут распространяться со скоростью и масштабом и часто остаются незамеченными инструментами безопасности на основе сигнатур. Кибер-ИИ дополняет человеческие команды, не только обнаруживая тонкие признаки угрозы, но и автономно реагируя за секунды, быстрее, чем можно ожидать от любого человека.

Анализ программы-вымогателя: анализ атаки LockBit с помощью ИИ

Рис. 1. Хронология атаки на зараженный хост и хост шифрования.Зараженным хостом было устройство, первоначально зараженное LockBit, которое затем распространилось на хост шифрования, устройство, которое выполняло шифрование.

Первоначальная компрометация

Атака началась, когда киберпреступник получил доступ к одному привилегированному удостоверению — либо с помощью грубой силы на внешнем устройстве, как это было в предыдущих атаках программы-вымогателя LockBit, либо просто с помощью фишинговой электронной почты. С помощью этих учетных данных устройство могло распространять и шифровать файлы в течение нескольких часов после первоначального заражения.

Если бы методом проникновения была фишинговая атака, маршрут, который становится все более популярным в последние месяцы, Antigena Email от Darktrace удержала бы электронную почту и удалила вредоносную полезную нагрузку, тем самым предотвратив атаку с самого начала.

Ограничение разрешений, использование надежных паролей и многофакторная проверка подлинности (MFA) имеют решающее значение для предотвращения использования стандартных сетевых протоколов в таких атаках.

Внутренняя разведка

В 14:19 по местному времени первая из многих команд WMI (ExecMethod) для нескольких внутренних назначений была выполнена с внутреннего IP-адреса через DCE-RPC.Эта серия команд повторялась на протяжении всего процесса шифрования. Учитывая, что эти команды были необычными в контексте нормального «образа жизни» организации, Darktrace предупреждала группу безопасности о каждом из этих подключений.

В течение трех минут устройство начало записывать исполняемые файлы по протоколу SMB в скрытые общие папки в нескольких местах назначения, многие из которых были одинаковыми. Запись файлов в скрытые общие ресурсы обычно ограничена. Однако несанкционированное использование административных учетных данных предоставило эти привилегии.Исполняемые файлы были записаны в каталог Windows/Temp. Имена файлов имели схожий формат: .*eck[0-9]?.exe

Darktrace идентифицировала каждую из этих SMB-записей как потенциальную угрозу, поскольку такая административная активность была неожиданной для скомпрометированного устройства.

Команды WMI и записи исполняемых файлов по-прежнему выполнялись в несколько мест назначения. Менее чем за два часа команда ExecMethod была доставлена ​​на критичное устройство — «хост шифрования» — вскоре последовала запись исполняемого файла (eck3.exe) на его скрытую долю c$.

Сценарий LockBit может проверять свои текущие привилегии и, если он не является администратором, пытается обойти его с помощью контроля учетных записей Windows (UAC). Этот конкретный хост предоставил процессу необходимые привилегии. Как только это устройство было заражено, началось шифрование.

Шифрование файлов

Всего через одну секунду после начала шифрования Darktrace предупредил о необычном расширении файла в дополнение к предыдущим высокоточным предупреждениям для более ранних этапов жизненного цикла атаки.

Файл восстановления — «Restore-My-Files.txt» — был идентифицирован Darktrace через одну секунду после первого события шифрования. Было записано 8998 файлов восстановления, по одному в каждую зашифрованную папку.

Рис. 2. Пример визуализатора угроз Darktrace, демонстрирующий аномальные подключения SMB, нарушения модели обозначены точками.

Узел шифрования был важным устройством, которое регулярно использовало SMB. Использование SMB — популярная тактика киберпреступников. Такие инструменты настолько часто используются, что методы обнаружения на основе сигнатур трудно быстро определить, является ли их деятельность вредоносной или нет.В этом случае оценка Darktrace «Необычная активность» для устройства была повышена в течение двух секунд после первого шифрования, что указывает на то, что устройство отклонялось от своего обычного поведения.

Во время процесса шифрования Darktrace также обнаружила устройство, выполняющее сетевую разведку, перечисляющее общие ресурсы на 55 устройствах (через srvsvc) и сканирующее более 1000 внутренних IP-адресов на девяти критически важных TCP-портах.

В течение этого времени «Нулевой пациент» — изначально зараженное устройство — продолжал записывать исполняемые файлы в скрытые общие папки.LockBit использовал исходное устройство для распространения вредоносного ПО по цифровому имуществу, в то время как «хост шифрования» одновременно выполнял разведку и шифровал файлы.

Несмотря на то, что Cyber ​​AI обнаружил угрозу еще до того, как началось шифрование, команда безопасности не следила за Darktrace во время атаки. Таким образом, вторжение было продолжено, и более 300 000 файлов были зашифрованы и дополнены расширением .lockbit. Пострадали четыре сервера и 15 настольных устройств, прежде чем администраторы остановили атаку.

Распространение программ-вымогателей типа «бей и беги»

В то время как большинство программ-вымогателей находятся внутри организации в течение нескольких дней или недель, самоуправляемая природа LockBit позволяет злоумышленнику «бей и беги», развертывая программы-вымогатели с минимальным вмешательством, требуемым после первоначального вторжение. Поэтому способность обнаруживать аномальную активность во всей цифровой инфраструктуре в режиме реального времени имеет решающее значение для предотвращения с помощью LockBit.

На WMI и SMB полагаются подавляющее большинство компаний по всему миру, и тем не менее они использовались в этой атаке для распространения по системе и шифрования сотен тысяч файлов.Распространенность и объем этих подключений делают их практически невозможными для мониторинга только с помощью людей или методов обнаружения на основе сигнатур.

Кроме того, уникальность цифрового имущества каждого предприятия не позволяет обнаружению на основе сигнатур эффективно предупреждать о внутренних подключениях и объеме таких подключений. Darktrace, однако, использует машинное обучение, чтобы понять индивидуальную модель поведения каждого устройства, в данном случае позволяя выделять необычную внутреннюю активность по мере ее возникновения.

Задействованная организация не настроила Darktrace Antigena — технологию автономного реагирования Darktrace — в активном режиме. Если бы этот параметр был включен, Antigena хирургическим путем заблокировала бы первоначальные операции WMI и записи на SMB-диски, которые инициировали атаку, в то же время позволив критическим сетевым устройствам продолжать стандартные операции. Даже если бы плацдарм был установлен, Antigena внедрила бы «модель жизни» хоста шифрования, предотвратив каскадное шифрование через SMB.Это демонстрирует важность противодействия атакам со скоростью машины с помощью автономной кибербезопасности, которая в режиме реального времени реагирует на сложные угрозы, когда специалисты по безопасности не могут этого сделать.

LockBit может зашифровать тысячи файлов за считанные секунды, даже если они нацелены на хорошо подготовленные организации. Ожидается, что в 2021 году этот тип программ-вымогателей со встроенной функциональностью, подобной червям, станет все более распространенным. Такие атаки могут развиваться со скоростью, с которой не может справиться ни одна команда безопасности, работающая в одиночку.Подход Darktrace, использующий неконтролируемое машинное обучение, может за считанные секунды реагировать на эти быстрые атаки и блокировать их на самых ранних стадиях.

Благодарим аналитика Darktrace Изабель Финн за ее понимание вышеуказанной угрозы.

Узнайте больше о том, как ИИ ловит программы-вымогатели LockBit и другие сложные атаки .lockbit Расширение файла шифрования Windows\Temp\eck2.exe
Windows\Temp\eck3.exe
Windows\Temp\eck4.exe
Windows\Temp\eck5.exe
Windows\Temp\eck6.exe
Windows \ Temp \ Neweck.exe Имя имена файлов исполняемого привода

Darktrace Модель Обнаружения:

• Устройство / новое или необычная активность WMI
• Соблюдение / SMB-накопитель Написать
• Arcommise / Ransomware / Supplective SMB Activity
• Компрометация / программы-вымогатели / вымогательство или оскорбительные слова, записанные в SMB
• Аномальный файл / внутреннее / дополнительное расширение, добавленное к файлу SMB
• Аномальное подключение / перечисление SMB
• Сканирование устройства / сети — низкий показатель аномалии
• Аномальное подключение / устойчивое преобразование типа MIME
• Аномальное подключение / Подозрительное отношение чтения/записи
• Необычная активность / Устойчивая аномальная активность SMB
• Устройство / Большое Количество взломов модели

Макс Хайнемейер

Макс является экспертом по кибербезопасности с более чем десятилетним опытом работы в этой области, специализирующимся в широком спектре областей, таких как тестирование на проникновение, Red-Teaming, консалтинг SIEM и SOC и поиск Advanced Группы постоянных угроз (APT).В Darktrace Макс курирует глобальные усилия по поиску угроз, работая со стратегическими клиентами над расследованием киберугроз и реагированием на них. Он тесно сотрудничает с командой исследований и разработок в штаб-квартире Darktrace в Кембридже, Великобритания, руководя исследованиями новых инноваций в области искусственного интеллекта и их различных оборонительных и наступательных приложений. Идеи Макса регулярно публикуются в международных СМИ, таких как BBC, Forbes и WIRED. Живя в Германии, он был активным членом Chaos Computer Club. Макс имеет степень магистра Университета Дуйсбург-Эссен и степень бакалавра наук Кооперативного государственного университета Штутгарта в области международных информационных систем для бизнеса.

Новый вариант программы-вымогателя может стать следующей большой угрозой

Команды по безопасности предприятий могут захотеть добавить «Yanluowang» в длинный и постоянно растущий список программ-вымогателей, которых им необходимо остерегаться.

Исследователи из Symantec говорят, что злоумышленник, который проводил целевые атаки на американские организации как минимум с августа, недавно начал использовать новую программу-вымогатель в своих кампаниях.

Злоумышленник ранее был связан с атаками, связанными с использованием другого семейства программ-вымогателей под названием Thieflock, доступного через операцию «программа-вымогатель как услуга» (RaaS) под названием группа Canthroid.Филиал Thieflock, по-видимому, теперь переключился на конкурирующий штамм вымогателя Yanluowang и в настоящее время является единственной атакующей группой, использующей вредоносное ПО.

Его цели включают организации в сфере финансовых услуг, а также в сфере производства, ИТ-услуг и машиностроения.

Алан Невилл, аналитик угроз из группы Symantec по поиску угроз, говорит, что если авторы Yanluowang также используют RaaS, то весьма вероятно, что другие группы вскоре также начнут использовать это вредоносное ПО.

«Главным выводом для нас является то, что Yanluowang, похоже, зарекомендовала себя на рынке киберпреступности и завоевывает популярность среди потенциальных сотрудников, — говорит Невилл. «Если Yanluowang останется здесь, организации должны ознакомиться с TTP, связанными с этой группой, и убедиться, что у них есть все возможности для защиты от них».

Yanluowang — один из множества новых вариантов программ-вымогателей, появившихся в этом году на фоне продолжающихся арестов правоохранительными органами крупных операторов программ-вымогателей, таких как те, что стоят за вариантами REvil и Cl0p.Буквально на этой неделе исследователи Red Canary сообщили о наблюдении злоумышленника, использующего набор уязвимостей ProxyShell в Microsoft Exchange для развертывания нового варианта программы-вымогателя под названием BlackByte, о котором недавно предупреждали и другие компании, такие как SpiderLabs TrustWave.

Double Trouble
Многие из новых штаммов программ-вымогателей использовались в так называемых атаках с двойным вымогательством, когда злоумышленники шифровали и похищали конфиденциальные корпоративные данные, а также угрожали утечкой данных, чтобы попытаться вымогать деньги у жертв .

По данным NCC Group, только в октябре около 314 организаций по всему миру стали жертвами атак с двойным вымогательством — это на 65% больше, чем в предыдущем месяце. Около 35% жертв этих атак составили организации промышленного сектора. Среди самых злостных преступников были банды, выходящие за рамки семейств программ-вымогателей, таких как Lockbit, Conti, Hive и Blackmatter

Расследование деятельности Yanluowang, проведенное Symantec, показало, что бывшая дочерняя компания Thieflock использует различные легальные инструменты с открытым исходным кодом в своей кампании по распространению программ-вымогателей.Это включало использование PowerShell для загрузки бэкдора под названием BazarLoader для помощи в начальной разведке и последующей доставке законного инструмента удаленного доступа под названием ConnectWise.

Для перемещения в горизонтальном направлении и выявления важных целей, таких как сервер Active Directory организации, злоумышленник использовал такие инструменты, как SoftPerfect Network Scanner и Adfind, бесплатный инструмент для запросов к AD.

«Злоумышленники часто используют этот инструмент для поиска важных серверов в организациях, — говорит Невилл.«Этот инструмент можно использовать для извлечения информации, относящейся к компьютерам в сети, информации об учетных записях пользователей и многого другого».

Другие инструменты, которые злоумышленник использует в атаках на Yanluowang, включают в себя несколько инструментов для кражи учетных данных, таких как GrabFF для сброса паролей из Firefox, аналогичный инструмент для Chrome под названием GrabChrome и один для Internet Explorer и других браузеров под названием BrowserPassView. Исследователи Symantec также обнаружили, что бывший филиал Thieflock использовал сценарий PowerShell под названием KeeThief для копирования главного ключа из менеджера паролей с открытым исходным кодом KeePass и других инструментов для захвата данных и снимков экрана из скомпрометированных систем.

Широкое использование злоумышленником бесплатных инструментов с открытым исходным кодом, некоторые из которых имеют законные цели, согласуется с тем, что делают другие операторы программ-вымогателей, говорит Невилл.

«Как правило, большинство этих групп следуют схожим схемам с точки зрения методов вторжения, обнаружения системы, методов бокового перемещения и развертывания», — говорит он. «Состав набора инструментов будет различаться между группами, но тактика часто очень похожа».

Динамичный год
Беспощадный натиск программ-вымогателей почти не замедляется.Репрессивные меры правоохранительных органов и более совершенная защита предприятий вынудили многие группы программ-вымогателей развиваться и адаптировать свои стратегии, но сами атаки существенно не замедлились.

Мэтт Халл, глобальный руководитель отдела аналитики стратегических угроз в NCC Group, говорит, что ландшафт угроз программ-вымогателей был очень динамичным за последние 12 месяцев, отчасти из-за деятельности правоохранительных органов и отчасти из-за атак, подобных атакам на Colonial Pipeline, которые получили много внимания.

«Мы также видели, как к столу приходили новые игроки», — отмечает он.