Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Существуют различные методы развертывания программ-вымогателей, включая изменение групповых политик, использование PsExec или даже ручное копирование и запуск — на усмотрение киберпреступников.

Еще один важный момент — система должна оставаться доступной, чтобы жертва могла получить электронное письмо или ссылку на портал для связи со злоумышленниками. Вот почему многие программы-вымогатели добавляют в исключения список системных папок. Ниже приведен список исключений программы-вымогателя Darkside:

$recycle.bin

config.msi

$windows.~bt

$windows.~ws

windows

appdata

application data

boot

google

mozilla

program files

program files (x86)

programdata

system volume information

tor browser

windows.old

intel

msocache

perflogs

x64dbg

public

all users

default

Интересно, что в списке есть папка tor browser. Дело в том, что у Darkside был портал для жертв в даркнете, доступ к которому возможен только через браузер Tor.

После развертывания программы-вымогателя злоумышленники готовы обсудить с жертвой сумму выкупа. Иногда требуют выкуп отдельно за дешифровку и отдельно — за удаление украденных данных.

Иногда атака на этом не заканчивается. Например, известно, что злоумышленники, связанные с группой REvil, проводят DDoS-атаки против жертв, которые отказываются платить.

Выводы

Теперь у вас есть четкое представление об этапах типовых атак с использованием программ-вымогателей. Разумеется, с точки зрения тактик, техник и процедур такие атаки могут сильно различаться, но основные цели почти всегда одни и те же: получить полный контроль над доменом, украсть наиболее ценные конфиденциальные данные и развернуть программу-вымогатель.

В следующей главе мы рассмотрим процесс реагирования на инциденты и шесть этапов реагирования на современные атаки с использованием программ-вымогателей.

<p>Глава 3</p><p>Процесс реагирования на инциденты</p>

Вы уже имеете неплохое представление о современных атаках с использованием программ-вымогателей, а значит, пора разобраться в процессе реагирования на инциденты. Анализ процессов может показаться немного скучным, но разбираться в них очень важно — это поможет вам более оперативно реагировать на инциденты.

Мы не будем останавливаться на вещах, о которых вы уже знаете. Вместо этого мы рассмотрим классический процесс реагирования на инциденты, разработанный Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST), в контексте атак с использованием программ-вымогателей — естественно, с использованием реальных примеров и опыта.

Этот процесс был представлен в «Руководстве по работе с инцидентами компьютерной безопасности» (Computer Security Incident Handling Guide9) Полом Цихонски, Томом Милларом, Тимом Грансом и Карен Скарфоне. До сих пор многие группы реагирования на инциденты по всему миру постоянно используют его в своей практике. Я не собираюсь пересказывать здесь эту статью — я поделюсь своим мнением и опытом, чтобы вы могли лучше понять ее, когда будете читать или перечитывать.

В этой главе мы рассмотрим все этапы процесса реагирования на инциденты и затронем следующие темы:

Подготовка к инцидентам.

Обнаружение и анализ угроз.

Сдерживание, устранение и восстановление.

Действия после инцидента.

Подготовка к инцидентам

Подготовка — жизненно важная часть процесса реагирования на инциденты. Речь идет не только о команде, но и об атакованной ИТ-инфраструктуре. Представьте, что вы должны отреагировать на инцидент, связанный с программами-вымогателями, но ваша инфраструктура полностью зашифрована и в ней работают только базовый уровень журналирования и антивирусное программное обеспечение. Звучит пугающе, но именно так обстояли дела со многими инцидентами, которые мне довелось расследовать, — компании не думают о своей безопасности, пока не попадут под удар.

Очень важно прийти к осознанию того, что вашей инфраструктуре не хватает средств контроля безопасности и людей. Чтобы убедиться в этом, не нужно ждать реального инцидента — во многих случаях достаточно сделать простой тест на проникновение.

Некоторые компании не задумываются о безопасности даже после успешной атаки с использованием программ-вымогателей. Яркий пример — австралийская транспортно-логистическая компания Toll Group. В феврале 2020 г. эта компания подверглась атаке со стороны операторов программы-вымогателя Netwalker. В мае Toll Group вернулась к нормальной работе, и ее тут же успешно атаковала другая группа — на этот раз связанная с программой-вымогателем Nefilim.

Как видите, мир программ-вымогателей очень агрессивен, поэтому подготовка команды и ИТ-инфраструктуры к угрозам крайне важна.

Команда

На самом деле не обязательно иметь группу реагирования на инциденты в штате организации. Такие услуги оказывают многие сервисные компании, которые проводят идентификацию и анализ, а также предоставляют инструкции по устранению последствий.

Перейти на страницу:

Похожие книги

Все жанры