27.01.2021

Новое поколение инструментов в борьбе с шифровальщиками

Bitdefender > Статьи > Новое поколение инструментов в борьбе с шифровальщиками

Что такое Ransomware?

Ransomware — это вредоносная программа, которая пытается зашифровать файлы и удержать их для получения выкупа. Жертвы программ должны платить выкуп злоумышленникам за восстановление доступа к ресурсам, обычно в не отслеживаемой криптовалюте, в обмен на ключ дешифровки, которые могут появиться, а могут и не появиться после оплаты.

Для отдельного человека файлы, такие как фотографии, видео или важные документы может вызвать беспокойство, если оно скомпрометировано. Но для предприятия выкупаемое содержимое может легко включать в себя информацию, являющуюся собственной разработкой: данные, личная информация клиента, реквизиты счета и платежной карты, или другие.

Почти всегда Ransomware мотивируется прибылью, однако продвинутые атаки с целью выкупа могут иметь более широкие цели и причинить огромный вред организациям, включая существенные проблемы, если атака с целью выкупа приведет к тому, что организация не сможет продолжать свою нормальную деятельность. В экстремальных случаях человеческие жизни могут быть даже поставлены под угрозу.

Примеры недавних резонансных атак с использованием выкупа с огромными денежными потерями и негативным социальным влиянием:

Программы выкупа могут проявляться на зараженном ноутбуке, настольном компьютере или сервере несколькими способами. Как правило, отказывая пользователю в доступе к системе до тех пор, пока выкуп не будет выплачен:

  • Шифрование конфиденциальных и личных файлов без возможности расшифровки.
  • Угроза публичного доступа к конфиденциальным и личным файлам.
  • Блокировка экрана компьютера запрещает полный доступ к системе.
  • Блокирует работу определенных приложений, снижая производительность пользователей.

Программы-вымогатели являются высоко адаптируемыми, тщательно разработанными, чтобы избежать обнаружения с помощью программного обеспечения безопасности. Даже небольшие задержки в обнаружении могут обеспечить достаточно времени для потенциально необратимого шифрования файлов.

 

Как программное обеспечение для получения выкупа проникает в организацию?

Ransomware имеет множество жизнеспособных путей проникновения в организацию, и киберпреступники очень творчески подходят к использованию как технологических, так и человеческих уязвимостей.

Несмотря на многолетние тренинги в области безопасности, рискованное поведение пользователей остается неизменно высоким, что приводит к рискованным кликам по сомнительным ссылкам и непродуманным загрузкам собственных приложений/файлов.

  • Адресная фишинговая электронная почта с вредоносными ссылками и вложениями в файлы.
  • Загрузка вредоносных документов, как инициированная пользователем, так и вызванная загрузкой с диска.
  • Загрузка вредоносных программ/ исполняемых файлов, включая поддельное программное обеспечение и поддельные обновления продуктов.
  • Бесфайловые атаки в пространстве памяти, инициированные браузером, без прикосновения к дисковому диску.
  • Заражение документов и мультимедийных файлов из сетевых файловых ресурсов и портативных мультимедийных дисков.

Рисунок 1: Общие векторы атаки с использованием выкупа

 

Что такое программа защиты от вымогательств?

Комплексная защита от выкупа требует постоянной бдительности на нескольких одновременных фронтах, каждый из которых должен быть охвачен решением в области безопасности:

Упреждающая защита. Создание защищенных от взлома резервных копий пользовательских файлов, недоступных для выкупа.

Блокирование и предотвращение. Развертывание адаптивных средств защиты, не зависящих от методов обнаружения на основе сигнатур.

Мониторинг и раннее обнаружение. Отслеживание подозрительных процессов и сетевой активности, корреляция показателей атак.

EDR и реагирование на инциденты. Профилактика не эффективна на 100% все время, поэтому EDR ищет подозрительные индикаторы на конечной точке и в сетевом трафике для корреляции с конкретными инцидентами для реагирования.

Применение исправлений уязвимостей. Обновление уязвимых приложений и операционных систем с помощью новейших версий, поставляемых поставщиками. Исправления, применяются автоматически.

Управление конфигурацией риска. Выявление и закрытие всех доступных источников проникновения программ-вымогателей путем выявления и исправления неправильных конфигураций системы, многие из которых можно исправить автоматически.

Мониторинг рискованного поведения пользователей. Определите и исправьте поведение пользователей, которое увеличивает риск для организации, например повторное использование пароля, попадание в фишинговые ловушки, рискованные клики и скачивания, а также входы на незашифрованные сайты.

Управление приложениями и устройствами. Контролируйте использование и разрешайте запуск только необходимых приложений и только необходимые внешние устройства для доступа к системе.

Победа над программами-вымогателями требует понимания всей цепочки «Cyber Kill Chain» и сопоставления защиты с каждой стадией атаки:

Рисунок 2: Тактика атак с целью получения выкупа и типичная «Cyber Kill Chain»

 

Защита векторов атак вымогателей

Облегчение от выкупа всех его разрушительных последствий также требует охвата всех распространенных векторов атаки:

  • Ссылки на фишинговую или спамовую электронную почту и вредоносные файловые вложения.
  • Загрузка вредоносных файлов, как инициированная пользователем, так и произведенная в результате загрузки с диска.
  • Загрузка вредоносных программ или исполняемых файлов.
  • Бесфайловые атаки в пространстве памяти, инициированные браузером без прикосновения к диску.
  • Портативные мультимедийные диски и сетевые или удаленные файловые ресурсы общего доступа.

 

Как работает система защиты от мошенничества Bitdefender?

Резервные копии с защитой от несанкционированного доступа:

Bitdefender создает автоматические резервные копии пользовательских файлов, защищенные от взлома, без использования теневых копий, которые неоднократно доказывали, что их можно легко удалить с помощью программ для выкупа. Это защита в режиме hands-free, без надобности, чтобы пользователь что-то делал. Ransomware не может получить доступ к защищенным резервным копиям файлов, и пользователь не знает об их наличии. Смягчение последствий выкупа определяет, когда новое программное обеспечение пытается зашифровать файлы, и автоматически создает резервную копию целевых файлов, которая будет восстановлена после блокировки вредоносной программы. Bitdefender блокирует все процессы участвующие в атаке и начнет восстановление, одновременно уведомив об этом пользователя.

Блокирование и предотвращение

Защита от бесфайловых атак и Hyper Detect:

При активизации Bitdefender автоматически обнаруживает и блокирует атаки без файлов на этапе предварительного выполнения, предотвращая шифрование файлов и сохраняя полный доступ к системе. HyperDetect может обнаруживать и блокировать безфайловые атаки на этапе предварительного выполнения, используя высокоточные модели машинного обучения для обнаружения новых и неизвестных вредоносных программ с высокой точностью для успешного обнаружения и безфайловых выкупов во время нескольких шагов в цепочке атак, анализируя поведение на уровне кода.

Машинное обучение против вредоносного ПО:

Bitdefender Security автоматически и непрерывно обучает и улучшает свои возможности распознавания вредоносного ПО, используя один из крупнейших в отрасли репозиториев образцов, собранных в полевых условиях из обширной сети сенсоров глобальной сети. По мере развития программ-вымогателей, Bitdefender точно обнаруживает новые шаблоны как в предварительном исполнении, так и во время выполнения.

Усовершенствованный Anti-Exploit:

Авторы программ-вымогателей используют наборы эксплойтов, которые используют уязвимости нулевого дня или непревзойденные уязвимости, чтобы закрепиться в системе. Bitdefender фокусируется на методах атаки для защиты систем и предотвращения предвзятого отношения к программам выкупа. Передовые технологии защиты от эксплуатации позволяют быстро выявлять и автоматически завершать вредоносные процессы.

Защита сети:

Network Attack Defense использует поведенческую эвристику для анализа сетевой активности хостов в режиме реального времени и усиливает контроль против техник эксплойта, которые могут отфильтровывать личную информацию из вашей сети. Она использует машинное обучение для блокирования эксплойтов выкупа, которые поступают через точки входа в сеть, такие как BlueKeep. Network Protection также служит для остановки начального доступа, доступа к учетным данным, обнаружения и атаки на поперечное перемещение.

Мониторинг и раннее обнаружение

Расширенный контроль над угрозами:

GravityZone отслеживает запущенные процессы в режиме реального времени – модификации ключей, чтение/запись файлов, действия по шифрованию – для выявления подозрительных или вредоносных процессов с целью их автоматического или ручного завершения командами безопасности.

EDR и реагирование на инциденты:

Не все атаки можно заблокировать или предотвратить, а некоторые стадии атаки проявляются медленно с течением времени. EDR всегда будет играть роль в смягчении последствий применения программ выкупа. GravityZone EDR автоматически коррелирует множество признаков атаки и компрометации (IOAs/IOCs) с вредоносной активностью, наблюдаемой в системе и в сети, что способствует быстрому и точному реагированию на инциденты, что сокращает время пребывания злоумышленника в сети и облегчает быстрое восстановление файлов из программ, использующих выкуп.

Снижение рисков пользователей и системы

Ликвидация уязвимостей:

Непревзойденные системы оставляют организации восприимчивыми к атакам с целью получения выкупа. Модуль GravityZone Patch Management помогает организациям поддерживать операционные системы и приложения в актуальном состоянии по всей базе установки Windows, включая desktop/laptop, физические серверы и виртуальные серверы.

Ошибочные конфигурации системы:

Неправильно настроенные системы оставляют двери широко открытыми для атак с целью выкупа, включая настройки безопасности браузера, сети и учетных записей, настройки безопасности операционной системы, такие как открытые порты, несущественные сервисы и инструменты административного сценария (например, PowerShell). GravityZone сканирует случаи неправильной настройки системы и может автоматически обновлять многие настройки неправильно настроенных машин удаленно, одновременно уведомляя администратора о необходимости сброса остальных настроек.

Уязвимости приложений:

Устаревшие приложения с известными уязвимостями (CVE) могут быть использованы авторами выкупа с целью злоупотребления функциональностью программ или загрузки вредоносного контента из Интернета. Рискованные приложения могут быть обновлены до более новой/безопасной версии или удалены из системы, если приложение не требуется пользователю. GravityZone сканирует CVE и ранжирует уязвимости приложения по степени серьезности, чтобы администраторы могли принять оперативные меры.

Рискованное поведение пользователей:

Пользователи добавляют риск заражения программой выкупа каждый раз, когда они открывают электронное письмо, нажимают на ссылку или загружают файл. GravityZone Human Risk Analytics изучает, где пользователи просматривают, какие файлы открывают, к каким файлам они обращаются, как и где они входят на рискованные веб-сайты, а также следит за гигиеной паролей и их повторным использованием, чтобы можно было исправить рискованное поведение.

 

Зачем нужна защита от программ-вымогателей Bitdefender?

Комплексная защита от выкупа на конечных точках имеет решающее значение, так как конечные точки являются шлюзами к серверам с высокой добавленной стоимостью и другим объектам, на которых хранится конфиденциальная информация, данные о клиентах, платежные реквизиты и другая ценная интеллектуальная собственность.

Преимущества предотвращения мошенничества со стороны Bitdefender:

  • Hands-free гарантия непрерывности бизнеса от всех распространенных векторов атак выкупа.
  • Спокойствие и уверенность в том, что ваше решение в области безопасности адаптировано к победе над новыми и новейшими технологиями с использованием выкупа.
  • Свобода от использования резервных копий на рабочих местах или длительное время восстановления из облачных резервных копий.
  • Локальные, сетевые и основанные на инцидентах опции восстановления файлов и устранения нарушений для восстановления после атак.
  • Ошибки случаются! Bitdefender перемещает ограничительный баланс между безопасностью и производительностью пользователя в пользу пользователя.

Случаи использования Bitdefender Смягчение последствий выкупа:

Bitdefender охватывает больше случаев использования средств защиты от выкупа, чем конкурирующие решения, предлагая пользователям и администраторам безопасности многоуровневые инструменты для защиты от выкупа. Тщательное предотвращение и восстановление происходит на уровне администрирования конечных точек, сети и GravityZone Console, независимо от того, была ли первоначальная атака успешной или нет.

Локальное программное обеспечение для уменьшения риска выкупа:

Для предотвращения локального вымогательства администраторы могут настроить политику безопасности Bitdefender на мониторинг процессов на конечных точках и восстановление зашифрованных файлов, как только адаптивная технология обнаружит и заблокирует атаку. Даже если программе-вымогателю удается зашифровать локальные файлы, технология предотвращения атак сразу же внедряется для восстановления этих файлов – автоматически или по требованию, когда администратор контролирует время восстановления зашифрованных файлов.

Remote Ransomware Mitigation:

Для Remote Ransomware Mitigation администратор безопасности может включить технологию мониторинга сетевого ресурса пути, к которому можно получить удаленный доступ и предотвратить шифрование файлов. На удаленной конечной точке пользователь Агент Ransomware Mitigation подтверждает, что Ransomware Mitigation перехватил поведение удаленного вредоносного процесса и защитил файлы. Администраторы Bitdefender могут быстро запустить отчеты об аудите и узнать больше информации об IP-адресе – где была запущена удаленная атака на выкуп, а также защитный модуль, который защищал конечную точку, и они также может получать уведомление по электронной почте в случае блокировки атаки, содержащее информацию об IP-адресе злоумышленника.

Управление инцидентами из GravityZone:

В GravityZone команды безопасности имеют полную видимость kill-chain атаки и файлов, затронутых атакой выкупа. Bitdefender EDR детектирует, что администраторы безопасности могут либо убить активный вредоносный процесс, либо поместить зараженные файлы в карантин. Они также могут навсегда занести в черный список IP-адрес злоумышленника.

Рисунок 3: GravityZone EDR реакция на инцидент показывает полную цепь атак

 

Отличия Gravity Zone

Предупреждение и смягчение последствий выкупа встроено в консоль управления гравитационной зоной и Bitdefender.

Endpoint Security Tools (BEST) клиент на несколько уровней, намного опережает конкурирующие решения безопасности.

 

Непревзойденное сочетание защиты от вымогателей в GravityZone:

 

Многоуровневые блокировочные слои
  • Конечная точка и сеть, предварительное выполнение и доступ, на базе файлов и без файлов.
Многоуровневые слои обнаружения
  • Проверка процесса, мониторинг реестра, проверка кода, Hyper Detect.
Многоуровневые слои восстановления
  • Эффективный откат на локальной машине, удаленная система или EDR инциденты.
Адаптивная защита
  • Расширенный Anti-Exploit, адаптивные эвристики, настраиваемое машинное обучение.
Технологии снижения рисков
  • Автоматическое исправление уязвимостей, неправильные настройки системы, поведение пользователя.
Резервные копии с защитой от несанкционированного доступа
  • Не используются уязвимые теневые копии, программы выкупа не могут удалить резервные копии.
Удаленная блокировка программы выкупа
  •  Блокирует удаленные и сетевые атаки на выкуп, а также IP-адреса злоумышленников, внесенных в черные списки.
Зачистка уровня Enterpise
  •  Убийство процессов удаленно, простой глобальный карантин файлов и их удаление.

 

Непревзойденная комбинация средств защиты от выкупа в GravityZone

Самый награжденный поставщик безопасности конечных точек!

Bitdefender постоянно занимает первые места в независимых тестах и оценках третьих сторон:

Закажите бесплатное пилотное тестирования защиты от шифровальщиков с полной технической поддержкой выделенного менеджера.

Статьи
28.10.2021
Что такое MSP и MSSP, и как они могут увеличить свой доход?
22.10.2021
Эксплоиты в системах Windows
29.03.2021
MITRE ATT & CK Framework в жизни платформы безопасности