Спеціаліст Sophos дуже добре знає процес і наслідки успішної атаки програм-вимагачів. З точки зору жертви: так працює атака програм-вимагачів.
Жодна організація не хоче стати жертвою кіберзлочинців. Але якщо є вразливі місця, зловмисники, ймовірно, знайдуть їх і використають. І можуть пройти місяці або навіть більше, перш ніж жертва навіть помітить цей стан. Так звані служби реагування на інциденти допомагають компаніям виявляти, блокувати та пом’якшувати атаки та їхні наслідки. Цей моніторинг спеціалістів також дає змогу точно аналізувати шаблони атак і, як результат, крупним планом побачити, як кіберзлочинність насправді впливає на жертв.
Справжній ворог – людина, а не машина
Зловмисники стають все більш вправними у прихованому режимі, щоб не викликати підозр у команд безпеки та залишатися непоміченими. Тому необхідні різні рівні безпеки, щоб прорвати ланцюг атак у різних місцях. У той час як початкове порушення відбувається автоматизовано, хакери потім використовують легітимні ІТ-інструменти, такі як мережеві сканери, для своїх незаконних цілей, щоб обійти технології безпеки та пересуватися по мережі. Проблема для жертв полягає в тому, що команди з безпеки ІТ повинні бути особливо пильними в оцінці інструментів, які є законними, але також популярними та часто використовуваними зловмисниками. Крім того, зловмисники регулярно компрометують наявні облікові записи адміністратора, щоб сховатися на виду. Якщо їх зупиняють у своїх атаках, вони намагаються щось інше. І тут проявляється один із найважливіших аспектів кіберзлочинності, який досі надто недооцінюють жертви: ви боретеся не зі шкідливим програмним кодом, а з людьми.
Програми-вимагачі – це фінал кібератаки
За словами служб реагування на інциденти, багато постраждалих вважають, що атака сталася безпосередньо перед тим, як вона стала видимою – наприклад, через повідомлення про програму-вимагач. Однак це буває дуже рідко. Насправді зловмисники зазвичай перебували в мережі досить довго до цього моменту. Вони працюють приховано під радаром, сканують систему, встановлюють бекдори та викрадають інформацію. Усі ці дії є маркерами, які необхідно перевірити, щоб полегшити повне відновлення після атаки. Частиною атаки, яка найбільше викликає тривогу, є запуск програм-вимагачів. На цьому етапі зловмиснику вдається застосувати всі наведені вище методи в мережі жертви (див. графіку поведінки різних програм-вимагачів), що дозволяє йому зламати прикриття та бути присутнім. Іншими словами, впровадження програм-вимагачів означає кінець атаки, а не початок.
Жертви і нападники піддаються сильному стресу
Близько дев’яноста відсотків атак, які спостерігають служби реагування на інциденти, стосуються програм-вимагачів, і наслідки цих атак часто є руйнівними. Це особливо вірно для критично важливих організацій, таких як заклади охорони здоров’я, де успішна атака може означати скасовані операції, відсутність рентгенівських знімків, зашифровані результати скринінгу раку тощо.
Деякі жертви почуваються безсилими й вважають сплату викупу єдиним варіантом, наприклад, щоб відновити доступ до резервних копій даних, викрадених зловмисниками. Інші організації вирішили не платити. Треті більше стурбовані шкодою для своєї репутації (публікацією вкрадених даних), ніж викупом за ключі дешифрування. Самі програми-вимагачі варіюються від ділових і складних до низькоякісних і неякісних. Аналіз програм-вимагачів показав, що атаки не тільки виснажливі та лякають жертв, а й що злочинці також усе більше відчувають «стрес від успіху»: вони все частіше переслідують компанії, які відмовляються платити.
Завдання реконструкції: знайти джерело
Дані служб реагування на інциденти також свідчать про те, що багатьом жертвам важко зрозуміти переміщення програм-вимагачів через організацію. Існує загальне припущення, що з початкової точки він автоматично розширюється в усіх напрямках мережі, тоді як насправді він стратегічно зосереджується на попередньо вибраному списку пристроїв і мережевих областей. Це також показує, що зловмисники не лише націлені на документи та інші дані, а й просто хочуть відключити пристрої та системи до такої міри, щоб у них було достатньо ресурсів лише для запуску сповіщень про програму-вимагач.
Для жертв атаки це означає, що відновлення системи не починається з відновлення резервної копії та пошуку того, що зробили зловмисники. Процес відновлення часто починається з серйозного завдання відновлення всіх постраждалих машин. А разом з цим і важке завдання ідентифікації: звідки походить атака і чи, можливо, злочинці все ще в системі?
Захист від небезпеки тільки машиною і людиною
Камери відеоспостереження можуть зафіксувати злочини та стримати злочинців, але вони не можуть зупинити злом. Вирішальним фактором є втручання служби безпеки, яка стежить за записами в прямому ефірі та вживає відповідних заходів. Оскільки кіберзлочинці стали більш прихованими та покращили свою здатність використовувати законні інструменти та процеси, цінність людського фактора в пошуках загроз зросла. Цей метод поєднує передові алгоритми найсучаснішого програмного забезпечення безпеки з щоденним людським досвідом, здатним оцінити нюанси атаки – навичкою, якою програмне забезпечення (ще) не володіє.
Дізнайтесь більше на Sophos.com[starboxid=15]