Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Итак, вы заблокировали командные серверы, изменили пароли для взломанных учетных записей, удалили вредоносное ПО и инструменты злоумышленников. Достаточно ли этого? Готовы ли вы снова запустить эту рабочую станцию или сервер? Если вы на сто процентов уверены, что все чисто, — почему бы и нет? Если нет — возможно, лучше заново развернуть систему из образа.

Возможна и другая ситуация — сеть уже зашифрована. Обычно в этом случае остается два варианта: вести переговоры с кибершантажистами и платить выкуп или восстанавливать инфраструктуру с нуля.

В первом случае дешифраторы, предоставляемые злоумышленниками, могут создать дополнительные проблемы. Вот еще один пример: операторы программы-вымогателя ProLock активно действовали с апреля по июнь 2020 г., и некоторые жертвы согласились заплатить выкуп и получили дешифратор. Но возникла проблема — дешифратор не работал должным образом, некоторые файлы размером более 64 Мбайт повреждались в процессе расшифровки. Как только это стало известно, репутация злоумышленников пошатнулась, и очень скоро ProLock исчез.

Конечно, не все дешифраторы работают плохо. Многие злоумышленники предоставляют исполняемые файлы, которые действительно все расшифровывают. Но это не гарантирует безопасности после оплаты — известны случаи, когда злоумышленники снова и снова атаковали одни и те же компании, пытаясь заработать еще больше денег.

Поэтому после успешной атаки — и особенно если организация решила заплатить — крайне важно улучшить состояние безопасности, чтобы вооружиться против будущих кибератак. Этому посвящен последний этап — действия после инцидента.

На заключительном этапе группа реагирования на инциденты должна помочь пострадавшей компании понять, почему злоумышленникам удалось добиться успеха и что делать, чтобы избежать подобных ситуаций в будущем.

В зависимости от того, кто использовал программу-вымогатель, жизненный цикл инцидентов может быть абсолютно разным. На основе того, что именно вы обнаружили, вы можете дать комплекс рекомендаций. Давайте рассмотрим самые общие пункты.

Как мы выяснили, многие атаки программ-вымогателей начинаются с публично доступных RDP-серверов, а значит, хорошей рекомендацией будет выбрать другие методы удаленного доступа или, например, внедрить для таких RDP-соединений многофакторную аутентификацию.

Говоря об общедоступных частях уязвимой инфраструктуры, организация должна убедиться, что все уязвимости исправлены — особенно те, которые позволяют злоумышленникам получать данные действующих учетных записей или удаленно запускать код.

Если злоумышленники проникли через целевой фишинг, может потребоваться дополнительное обучение персонала или повышение безопасности почтового трафика, например внедрение систем «детонации» вредоносного ПО — технологичных «песочниц», которые анализируют каждое вложение или ссылку как во входящих, так и в исходящих электронных письмах.

То же самое можно сказать и о продуктах безопасности, ориентированных на внутреннюю сеть, — в некоторых случаях достаточно их правильно настроить, в других — необходимо их заменить. Кроме того, для них могут потребоваться дополнительные возможности мониторинга и дополнительный персонал, который, разумеется, нужно обучить.

Наконец, если имевшиеся резервные копии в итоге были удалены (как вы уже знаете, это довольно распространенная стратегия злоумышленников), организации следует подумать о защите резервного копирования — например, о внедрении правила 3–2–1, использовании отдельных учетных записей для доступа к серверам резервного копирования и реализации многофакторной аутентификации для любого типа доступа.

Это не весь список действий после инцидента, а лишь несколько примеров, чтобы помочь вам понять, что обычно делается на этом этапе.

Надеюсь, теперь вы лучше понимаете, как в целом выглядит типичный процесс реагирования на инциденты. Дополнительные сведения можно найти в «Руководстве по работе с инцидентами компьютерной безопасности», подготовленном NIST.

В этой главе мы рассмотрели различные этапы процесса реагирования на инциденты, чтобы вы могли получить ясное представление об основных этапах борьбы с атаками программ-вымогателей. Мы продолжим изучать этот вопрос, чтобы вы смогли лучше ориентироваться в деталях.

Вы уже знаете, что киберразведка — очень важная часть процесса реагирования на инциденты, поэтому в следующей главе мы обсудим разные уровни аналитики и обратим особое внимание на атаки программ-вымогателей. Мы просмотрим открытый отчет об угрозах и извлечем из него разные виды данных, чтобы как следует разобраться, чем они отличаются.