Вредоносные программы, которые шифруют данные жертвы до тех пор, пока не будут выполнены требования вымогателя, представляют собой одну из самых распространенных форм киберпреступности. Количество атак с использованием программ-шантажистов продолжает расти. Сегодня киберпреступники применяют более 50 видов программ-шантажистов, чтобы вымогать деньги у отдельных пользователей и компаний.
Ежедневно предпринимается более 4000 подобных атак, и их количество растет на 300% в год (Symantec, 2016 Internet Security Threat Report, April 2016, https://www.symantec.com/security-center/threat-report). Никто не защищен от программ-шантажистов — они без разбора атакуют крупные, средние и малые компании, правительственные учреждения и отдельных пользователей. Требования таких программ в денежном выражении возросли более чем вдвое в 2016 году по сравнению с 2015 годом (с 294 до 679 долл.), но затраты на устранение ущерба и потери продуктивности значительно выше (Symantec, 2016 Internet Security Threat Report, April 2016, https://www.symantec.com/security-center/threat-report). Поражение программами-шантажистами равноценно катастрофической потере данных; при этом все данные остаются в системах, но уже не могут использоваться.
Компаниям, особенно с ограниченными ресурсами, трудно противостоять угрозе шантажа. Службы резервного копирования и восстановления данных позволяют вернуть данные после атаки, но они не снижают угрозы. Чтобы помешать шантажистам, компаниям необходим всеобъемлющий подход к защите устройств и сетей от вредоносных программ с использованием в качестве страховки резервных копий и аварийного восстановления — последнего надежного решения в случае повреждения данных.
В предлагаемой статье мы подробно рассмотрим проблему программ-шантажистов: методы их работы и приемы, предпринимаемые для повреждения данных, способы снижения уязвимости в отношении атак и то, каким образом можно обрести спокойствие и уверенность в будущем с помощью решений для резервного копирования и восстановления.
Что такое программы-шантажисты
Распознать подобную программу обычному пользователю компьютера или мобильного устройства непросто. Заражение программой-шантажистом обычно начинается, когда конечный пользователь получает письмо по электронной почте из непроверенного источника и открывает зараженное вложение или щелкает по мошеннической веб-ссылке. Фальшивые электронные сообщения часто мастерски выполнены и выглядят как обычная деловая корреспонденция. С помощью компактного инструментария они анализируют локальную систему в поисках уязвимых мест — часто программ сторонних поставщиков, которыми можно воспользоваться для продолжения атаки (см. рисунок).
Рисунок. Схема заражения программой-шантажистом |
В течение последнего десятилетия чаще всего встречаются два типа программ-шантажистов:
- блокировщики экрана, которые вышли из моды в последние годы, отображают сообщение, занимающее весь экран, и препятствуют доступу к зараженному устройству, если не уплачен выкуп;
- шифровальщики, которые портят файлы данных; полностью восстановить данные после такой атаки почти невозможно.
Эффективность программ-шантажистов второго типа, которые шифруют каждый файл, который им удается обнаружить на жестком диске, объясняется сложностью расшифровки файлов в отсутствие ключа.
Приведем пример. В CryptoLocker, широко распространенной программе шантажа, используется алгоритм шифрования RSA с открытым ключом. В данном случае в основном используется случайный 2048-разрядный ключ. Просто подобрать правильный ключ почти невозможно. По оценкам специалистов по шифрованию, при использовании такого метода восстановления на настольном компьютере x86 для поиска ключа потребуется 4 294 967 296 × 1,5 млн лет. Число возможных комбинаций в этом ключе шифрования больше, чем звезд в Млечном Пути. Атака методом подбора, описанная в этом абзаце, отражает математический расчет для взлома 512-разрядного шифра на типовом компьютере x86.
Значительная часть современных программ-шантажистов распространяется преступными синдикатами, которые уделяют много времени изучению потенциально уязвимых организаций и привычек пользователей, чтобы подготовить специализированные сообщения, неотличимые от обычной деловой переписки. По мере того как злоумышленники совершенствуют свои методы, просто обучать пользователей игнорировать такие сообщения становится все менее эффективным. Из-за огромного разнообразия программ-шантажистов возникают трудности при выборе подходящей функциональности и снижается эффективность защиты с использованием сигнатур. Основные разновидности программ-шантажистов представлены в таблице 1.
Как программы-шантажисты влияют на компании
Программы-шантажисты представляют собой весьма актуальную проблему в цифровом мире. Количественные показатели говорят о том, как новые тенденции в развитии вредоносных программ влияют на компании и отдельных пользователей. Например, по данным ФБР, сумма, в которую программы-шантажисты обошлись компаниям в первом квартале 2016 года, составила более 200 млн долл., а число пользователей во всем мире, пострадавших от программ-шантажистов какого-либо типа, в марте 2016 года превысило отметку в 2 млн.
Программы-шантажисты с функцией шифрования нарушают работу отдельных пользователей и компаний тремя способами.
1. Щифрование корпоративных и личных документов и данных. Наиболее очевидное следствие поражения программой-шантажистом — потеря доступа к важным документам, которые стали непригодными для чтения из-за несанкционированного шифрования. После того как в целевой сети или конечной точке обнаружено уязвимое место, выполняется эксплойт, чтобы установить командное соединение с удаленным сервером злоумышленника. Загружаются ключи шифрования и начинается процесс шифрования локальных файлов.
Различные виды программ-шантажистов поражают от десятков до сотен типов файлов. Файлы со всевозможными расширениями, указывающими на пользовательский контент,. doc,. txt,. jpg,. mp3,. html,. xls и др., являются целью для какой-либо разновидности программ-шантажистов. Ущерб наносится немедленно. Пораженные системы необходимо выключить и изолировать от сети, чтобы предотвратить дальнейшее заражение. Работа на пораженных компьютерах останавливается. Пострадавшая компания может попытаться вернуть данные, заплатив выкуп или расшифровав данные, но полное восстановление без ключа расшифровки от взломщика или доступ к резервным копиям данных почти невозможны.
2. Шифрование файловых серверов. Программа-шантажист может поразить файловые серверы и общие сетевые устройства, что потенциально приводит к вторичному распространению цифровой инфекции. Мощность большинства современных разновидностей программ-шантажистов достаточна для обработки сетевых папок. Если программа-шантажист проникает в сетевые папки, она испортит данные, сохраненные в таких сетевых репозиториях обмена файлами, как Box, Dropbox и OneDrive. Эти всегда активные ресурсы не обеспечивают защиты или возможности восстановления в случае заражения программой-шантажистом. Кроме того, необходимо принимать во внимание названные службы при проектировании стратегий восстановления и борьбы с программами-шантажистами.
Помимо поражения сетевых папок, многие новые разновидности программ-шантажистов похищают учетные данные электронной почты и используют их для создания внутренних сообщений, выглядящих как подлинные, которые разносят инфекцию по всей компании.
3. Раскрытие конфиденциальной информации во время восстановления. Независимо от того, взаимодействует жертва напрямую со злоумышленником или просто списывает данные как потерянные, компании подвергаются риску раскрытия критически важных данных: они могут оказаться доступны посторонним лицам, в том числе конкурентам и просто случайным посетителям общедоступной сети. Если злоумышленник может зашифровать файлы и расшифровать их удаленно, зачастую ему удается получить доступ к тем же файлам через черный ход, открытый программой-шантажистом.
Как уменьшить риски
Снижение риска, связанного с программами-шантажистами, начинается с подготовки продуманной и исчерпывающей стратегии безопасности, в которой предусмотрены меры для обеспечения непрерывности бизнес-процессов и восстановления данных.
Простое зеркалирование файлов на другие подключенные общие устройства и синхронизируемые «облачные» службы не дает защиты. Зато изолированные решения резервного копирования данных бизнес-уровня располагают рядом важных функций, которые отличают их от большинства «облачных» служб синхронизации и обмена и делают краеугольным камнем любого плана защиты от программ-шантажистов. Перечислим эти функции.
- Реализация гибридных систем защиты, в которой сочетаются резервные копии на локальных и «облачных» серверах. Оптимальный вариант — объединить быстроту восстановления с локального сервера и повышенную гибкость избыточной «облачной» системы на случай, если локальные хранилища данных будут поражены.
- Детальное управление количеством сохраненных резервных копий, а также длительностью времени хранения данных. Функции Flexible Recovery Point Objective (RPO), которые задают реалистичные параметры доступности чистых файлов, гарантируют, что компании будут надежно и эффективно защищены от шантажа.
- Назначение и поддержание отдельных политик хранения данных для резервных копий, размещенных локально и в «облаке».
- Шифрование как неактивных резервных копий, так и в процессе их перемещения, чтобы обеспечить целостность важной бизнес-информации.
Перечисленные возможности позволяют гарантировать эффективный поэтапный ответ на заражение программой-шантажистом, который начнется с изоляции зараженного устройства от сети, уничтожения программы-шантажиста с помощью антивирусного средства и запуска восстановления из чистых резервных файлов с помощью RPO, предшествующего времени заражения.
Построение защиты от программ-шантажистов
Учитывая растущее число разновидностей программ-шантажистов и векторы атаки, компанию можно считать надежно защищенной, только если существует продуманная стратегия резервного копирования и восстановления в случае поражения.
При проектировании и реализации целостной защиты у компаний есть несколько вариантов, которые могут значительно уменьшить риск заражения и степень ущерба. Сочетание фундаментальных защитных решений и технических средств управления способно смягчить текущие и будущие угрозы со стороны программ-шантажистов.
1. Инвентаризация ресурсов и классификация данных
Невозможно защитить то, чего вы не знаете. Сильная позиция в борьбе с программами-шантажистами или любой другой угрозой основана на исчерпывающей инвентаризации ИТ-ресурсов и глубоком анализе данных различных типов, от критических и конфиденциальных до обычных, требующих защиты.
2. Защита конечных пользовательских систем от вредоносных программ
Инструменты на основе сигнатур обеспечивают базовую защиту от наиболее известных разновидностей программ-шантажистов, но только если их действие распространяется за пределы рабочих станций и охватывает серверы, планшеты и смартфоны. Если в защите от вредоносных программ есть пробелы, то программы-шантажисты могут проникнуть в локальную сеть и заразить серверы и общие файлы.
3. Дополнительная защита от вредоносных программ и сетевые средства
Почему это важно: дополнительная защита с использованием эвристических методов для анализа поведения пользователя и сети, наряду с сетевыми средствами, которые инспектируют трафик в поисках указателей на атаки и взлом, надежно противодействует даже самым изощренным разновидностям программ-шантажистов.
4. Белый список приложений
Разрешение запуска только заведомо безопасных исполняемых файлов лишает большинство программ-шантажистов способности устанавливать командные подключения и инициировать незаконные процессы.
5. Оценка уязвимости
Внешние и внутренние оценки уязвимости и тесты на проникновение помогают распознать уязвимые места, через которые происходит заражение программами-шантажистами. Следует тестировать не только конечные точки сети, но и все аспекты вашего присутствия в общедоступной сети, возможно уязвимые для заражения.
6. Обучение пользователей
Пользователи — первый и последний уровень защиты от программ-шантажистов. Обучение должно выходить за рамки простых политик и включать активные упражнения, демонстрирующие, как важно распознавать фишинговую электронную почту и избегать ее. Просвещение в отношении проблем безопасности не должно быть разовым мероприятием. Регулярные семинары и специализированные классы для пользователей разных уровней — от обычных служащих до руководителей — основа успешной программы.
Рекомендуемые методы снижения уязвимости
Выстраивая комплексную защиту от программ-шантажистов, вы можете дополнить решения резервного копирования, восстановления, устранения рисков и предотвращения простыми элементами управления, которые опираются не на специализированные решения поставщиков, а на здравый смысл и фундаментальные методы информационной безопасности.
- Обеспечьте создание надежных, сложных пользовательских паролей, которые меняются по крайней мере через каждые 90 дней. Блокируйте учетные записи после определенного числа неудачных попыток входа. Защитите пользовательские системы блокировками экрана и автоматически блокируйте доступ пользователей после определенного периода отсутствия активности.
- Отключите большинство локальных административных прав, применяя принцип предоставления минимальных прав ко всем системам и службам. Ограничение привилегий поможет предотвратить запуск программ-шантажистов или ограничит их способность распространяться по сети.
- Ответственно управляйте исправлениями, чтобы устранить уязвимые места в операционных системах и приложениях, особенно сторонних приложениях таких поставщиков, как Oracle (Java) и Adobe. Уязвимые приложения являются мишенью в большинстве атак, поэтому своевременное применение обновлений уменьшит количество точек входа, доступных шантажисту.
- Включите защитные компоненты на основе узла, такие как Microsoft Enhanced Mitigation Experience Toolkit (EMET) для мониторинга, регистрации и отключения процессов, связанных с типовыми приемами эксплуатации памяти, в частности атаками с переполнением буфера.
- Помечайте все сообщения электронной почты, приходящие извне, словом EXTERNAL в строке темы, чтобы предотвратить попытки фишинга.
- Отключите функции автозапуска для внешних носителей и макросы в документах Microsoft Office, присоединенных к сообщениям от внешних отправителей. Проверяйте перед запуском все программы, загружаемые из общедоступной сети.
- Подготовьте план реагирования на происшествия с формально документированными процедурами. С ним необходимо ознакомить все ключевые подразделения (администрацию, отдел кадров, юристов и т. д.). В плане следует указать конкретные шаги, предпринимаемые при обнаружении программы-шантажиста, а также оговорить ответственность отдельных лиц и описать круг обязанностей бизнес-подразделений и альтернативные аварийные рабочие процессы.
Разработка плана защиты от программ-шантажистов
Компании часто заблуждаются, не считая себя привлекательной целью для шантажистов. Большинство ИТ-специалистов, которым пришлось испытать атаки программ-шантажистов, говорят, что против их компаний проводились целенаправленные атаки. Главная причина, по которой атакованные компании отказывались платить выкуп, — наличие у них полной и точной резервной копии.
Защита компании от программ-шантажистов может быть нелегким делом. Но благодаря правильному подбору точечных решений, фундаментальным элементам управления и продуманной стратегии резервного копирования ваша организация может приобрести высокую устойчивость к этой растущей угрозе и в конечном итоге обеспечить себе возможность восстановления.
Существует стандартный набор шагов для подготовки эффективной политики защиты от программ-шантажистов.
Шаг 1. Повышение осведомленности пользователей
Несмотря на многочисленные сообщения о программах-шантажистах, рядовые пользователи могут быть не осведомлены об угрозе, исходящей от этой разновидности вредоносов. Многие пользователи ошибочно полагают, что не подвергаются риску шантажа, считая компании более привлекательными жертвами. Конечным пользователям необходимо рассказать всю правду о программах-шантажистах: достаточно один раз щелкнуть на файле, вложенном в сообщение электронной почты, чтобы потерять данные и возможность продолжать работу. Кроме того, небольшие и средние компании тоже очень уязвимы в отношении нарушений безопасности.
Шаг 2. Оценка состояния защиты
Полная неуязвимость практически недостижима. Однако можно спроектировать архитектуру безопасности, снижающую риски, исходящие от программ-шантажистов. Следует проанализировать меры безопасности, применяемые вашей компанией, в частности изучить эксплуатационные методики, технологии безопасности и политики и процедуры для защиты данных и реагирования на события. Далее в статье будет приведен пример контрольного списка для оценки защищенности.
Шаг 3. Устранение пробелов
На основе оценки защищенности можно приступить к устранению изъянов инфраструктуры. Разверните и настройте продукты и службы безопасности, необходимые для того, чтобы обеспечить приемлемую защиту от наиболее распространенных угроз. В синергичной стратегии безопасности задействованы технологические уровни, которые формируют защитные барьеры. Благодаря такому подходу с эшелонированной защитой и взаимоблокировками увеличиваются шансы отклонить, обнаружить и отреагировать на атаки программ-шантажистов по сравнению с пористой инфраструктурой.
Шаг 4. Назначение политик и процедур
Технология безопасности — лишь часть стратегии защиты. Необходимо подготовить политики и процедуры безопасности. Политики безопасности определяют ожидаемые параметры и стандарты производительности и эксплуатации, а также предоставляют средства для оценки эффективности защиты. В рамках политики безопасности необходимо предусмотреть процедуры для проверки безопасности, поддержания готовности, реализации планового обучения и реагирования на происшествия.
Шаг 5. Контроль и поддержка
Угрозы постоянно меняются, и многие небольшие и средние компании не располагают ресурсами для эффективного и согласованного управления своей инфраструктурой безопасности. С помощью служб мониторинга и управления можно своевременно обновлять политики безопасности, настройки решений и реакцию на события.
Резервное копирование и восстановление для борьбы с программами-шантажистами
Компаниям всех размеров приходилось платить выкуп распространителям программ-шантажистов, чтобы разблокировать данные, необходимые им для ведения бизнеса. Но владельцы малых и средних компаний, инвестировавшие в технологию резервного копирования и восстановления данных, могут вернуть свои файлы на момент времени перед заражением компьютера и избежать крупных выплат киберпреступникам.
Необходимо организовать централизованное управление резервным копированием и восстановлением данных на всех серверах в компании, в том числе расположенных удаленно и в офисах филиалов. А поддержка большого числа приложений и операционных систем гарантирует быстрое восстановление всех данных компании в случае атаки программ-шантажистов (или другой угрозы в отношении данных, например отключения электропитания, наводнения или пожара). Необходимы также разнообразные и гибкие варианты развертывания для защиты сложных сред, виртуальных машин, удаленных офисов и распределенных сетей.
Наиболее исчерпывающие и эффективные стратегии резервного копирования и восстановления обеспечивают резервное копирование локально для быстрого восстановления и в «облаке» для сохранения копий вне компании. В гибридном решении сочетаются лучшие свойства «облачных» и локальных методов, предоставляемых как служба.
Решение резервного копирования — лишь один элемент полного плана BCDR (непрерывности бизнеса и аварийного восстановления). Профессиональная помощь от поставщиков решений поможет вам разработать исчерпывающую стратегию BCDR, охватывающую планирование, тестирование и подготовку отчетов. Если деятельность вашей компании нарушена, поставщик решений должен выполнить отработку отказа, активировать виртуальный сервер и обеспечить вам доступ к данным.
Для компаний, предпочитающих исключительно «облачный» подход, некоторые поставщики предоставляют решения для резервного копирования напрямую в «облако». Вы можете переместить данные в «облако» и с помощью служб переноса данных. С помощью служб переноса данных можно избежать передачи полной резервной копии по каналу связи или повышенного использования пропускной способности в случае очень больших пересылок. Решение резервного копирования должно работать и в собственной частной сети.
Технология резервного копирования и восстановления — незаменимый элемент защиты критических данных от широкого спектра угроз. В борьбе против программ-шантажистов решение резервного копирования поможет небольшим компаниям «перевести часы» на момент времени, предшествующий атаке, и восстановить нормальную работу без риска продолжительного простоя или потери данных. Список таких решений приведен в таблице 2.
Контрольный список защиты от программ-шантажистов
Чтобы снизить уязвимость в отношении атаки программами-шантажистами, следует применить специальные профилактические меры, в том числе:
- подготовить план резервного копирования и восстановления профессионального уровня для всех критически важных данных;
- регулярно тестировать планы непрерывности бизнеса и аварийного восстановления (BCDR), чтобы уменьшить влияние заражения программами-шантажистами и способствовать восстановлению;
- использовать белые списки приложений, чтобы предотвратить запуск несанкционированных программ;
- своевременно применять исправления операционных систем и программных продуктов;
- ограничить возможность пользователей устанавливать и запускать несанкционированные программы;
- отключить макросы во вложенных файлах электронной почты;
- научить пользователей не щелкать на подозрительных веб-ссылках в сообщениях электронной почты;
- подготовить план реагирования на атаки программ-шантажистов и регулярно обновлять его.