По некоторым оценкам, каждый день страховщикам предъявляется около 100 претензий по поводу атак программ-вымогателей. А поскольку средняя атака вымогателя может занять от 60 до 120 дней, чтобы перейти от первоначального нарушения безопасности к доставке фактического вымогателя, это означает, что сотни компаний могут иметь хакеров, скрывающихся в своих сетях в любое время, готовясь вызвать их вредоносное ПО для шифрования сети.
Итак, каковы первые признаки компаний, которые пытаются обнаружить атаку программ-вымогателей до того, как они нанесут слишком большой ущерб? Что им делать, если они обнаруживают, что атака продолжается?
Шифрование файлов программами-вымогателями — последнее, что происходит; перед этим мошенники потратят недели или больше, исследуя сеть, чтобы обнаружить слабые места. Один из наиболее распространенных способов проникновения банд программ-вымогателей в корпоративные сети — использование ссылок протокола удаленного рабочего стола (RDP), которые остаются открытыми для Интернета.
ПОСМОТРЕТЬ: Программы-вымогатели: пять причин, по которым ваша самая большая головная боль в сфере безопасности отказывается исчезнуть
«Посмотрите на свое окружение и поймите, что ваша уязвимость RDP есть, и убедитесь, что у вас есть двухфакторная аутентификация на этих ссылках или они находятся за VPN », — сказал Джаред Фиппс, вице-президент охранной компании SentinelOne.
Изоляция коронавируса означает, что больше сотрудников работают из home, и поэтому все больше компаний открывают ссылки RDP, чтобы упростить удаленный доступ. По словам Фиппса, это дает возможность бандам вымогателей, поэтому сканирование ваших систем с выходом в Интернет на наличие открытых портов RDP — это первый шаг.
Еще одним предупреждающим знаком может быть неожиданное появление программных инструментов в сети. Злоумышленники могут начать с контроля только одного компьютера в сети — возможно, через фишинговое письмо (действительно, поток фишинговых писем может быть индикатором атаки, и если персонал обучен их обнаруживать, это может обеспечить раннее предупреждение). Имея эту опору в сети, хакеры будут исследовать оттуда, чтобы увидеть, что еще они могут найти для атаки.
Это означает использование сетевых сканеров, таких как AngryIP или Advanced Port Scanner. Если они обнаружены в сети, пора связаться с вашей командой безопасности. Если никто изнутри не признается в использовании сканера, пришло время расследовать, согласно компании Sophos, занимающейся технологической безопасностью, которая в недавнем сообщении в блоге обрисовала некоторые из признаков того, что атака вымогателя может происходить.
СМОТРИ: Внутри атаки вымогателя: от первого взлома до требования выкупа
Еще один красный флаг — любое обнаружение MimiKatz , который является одним из инструментов, наиболее часто используемых хакерами, наряду с Microsoft Process Explorer, в их попытках украсть пароли и данные для входа в систему, сказал Sophos.
После того, как они получили доступ к сети, банды вымогателей часто в следующий раз попытаются расширить свой охват, создав для себя учетные записи администратора, например, в Active Directory, и используют эти дополнительные возможности для отключения программного обеспечения безопасности с помощью «Приложения, созданные для помощи в принудительном удалении программного обеспечения, такие как Process Hacker, IOBit Uninstaller, GMER и PC Hunter», — сказал Sophos. «Эти типы коммерческих инструментов являются законными, но в чужих руках команды безопасности и администраторы должны задаться вопросом, почему они внезапно появились», — заявили в компании по безопасности.
Чтобы этого не произошло, компаниям необходимо искать учетные записи, созданные вне вашей системы продажи билетов или системы управления учетными записями, — сказал Фиппс из SentinelOne. После того, как злоумышленники получили полномочия администратора, они попытаются распространиться дальше по сети с помощью PowerShell.
На выполнение всего проекта у банд вымогателей могут уйти недели, а может, и месяцы. Это отчасти потому, что чем медленнее они перемещаются по компьютерной сети, тем труднее их обнаружить. И многие инструменты безопасности записывают трафик в сети только в течение определенного периода времени, а это означает, что если хакеры продержатся какое-то время, командам безопасности становится намного сложнее определить, как они вообще попали в систему.
«Это похоже на самописец полетных данных: если подождать достаточно долго, он фиксирует атаку, и нет никаких доказательств, что они это выяснили», — сказал Фиппс. «Людям сложнее выяснить и провести расследование, потому что все инструменты безопасности, которые у них есть, не показывают данных о проникновении».
Есть также некоторые явные признаки того, что атака программ-вымогателей близится к завершению. Злоумышленники попытаются отключить Active Directory и контроллеры домена и повредить любые резервные копии, которые они могут найти, а также отключить любые системы развертывания программного обеспечения, которые могут использоваться для отправки исправлений или обновлений. «А потом они нанесут вам удар», — сказал Фиппс.
Sophos также отметил, что в этот момент банда может попытаться зашифровать несколько устройств, чтобы посмотреть, сработает ли их план: «Это покажет их руку, и злоумышленники будут знать, что их время теперь ограничено. "
ПОСМОТРЕТЬ: Программы-вымогатели: как нажатие на одно электронное письмо привело к большим проблемам для всего бизнеса
Итак, как остановить злоумышленников, когда они окажутся в ? По словам Фиппса, самое важное — получить контроль над сеансами RDP, потому что это останавливает проникновение злоумышленников и перекрывает им доступ к управлению и контролю. Другие шаги, такие как принудительная смена пароля в основных системах, могут быть полезны, но если хакеры смогут использовать RDP для возврата в сеть, такие шаги будут подорваны. Также важно отслеживать непредвиденное появление учетных записей администраторов, и компаниям следует рассмотреть возможность мониторинга или ограничения использования PowerShell.
Как сделать вашу организацию более сложной и, следовательно, менее привлекательной целью для банд вымогателей? Ключевым моментом здесь является поддержание обновлений и исправлений программного обеспечения; многие атаки программ-вымогателей работают с ошибками программного обеспечения, но большинство из этих недостатков уже давно исправлены компаниями-разработчиками программного обеспечения — вам просто нужно установить исправление. В случае атак программ-вымогателей по электронной почте обучение персонала тому, чтобы не переходить по случайным ссылкам, а также сочетание надежных паролей с двухфакторной аутентификацией в максимально возможном количестве систем также поможет сдержать или замедлить злоумышленников.
