Программы-вымогатели не пытаются скрываться. Не заметить их просто невозможно — злоумышленники блокируют системы и дают четкие инструкции о том, что нужно сделать и сколько заплатить, чтобы вернуть себе данные и контроль над устройствами.
Поэтому обычно киберпреступники требуют выкуп, когда уже готовы раскрыть себя, то есть уже после того, как достигли других целей, например украли данные, установили скрытые структуры управления и контроля или продали доступ третьим сторонам.
Зная это, многие организации действуют на упреждение и принимают меры на более ранних этапах жизненного цикла угроз, чтобы предотвращать атаки, а затем стараются обнаруживать проникновение в сеть до того, как будет нанесен ощутимый вред. Такой двунаправленный подход (предотвращение и защита) необходимо применять на этапе снижения рисков в цикле обнаружение, оценка и снижение рисков.
Как работают вымогатели
Любая кибератака начинается с того, что хакер получает доступ к системе — через уязвимое конечное устройство пользователя, открытые IP-адреса, незащищенные веб-сайты, неправильно настроенные облачные сервисы, скомпрометированные учетные данные или злонамеренные действия сотрудников организации.
Получив доступ, злоумышленник горизонтально распространяет атаку на другие устройства и системы, подбираясь к самым чувствительным и ценным активам. Обычно это приводит к утечке данных — информации о клиентах и счетах и других персональных сведений, который можно продать или использовать в дальнейшем. Эти действия выполняются скрытно, чтобы их никто не обнаружил. Программа-вымогатель внедряется, только когда злоумышленники вынесли все ценное, что смогли найти.
Злоумышленникам выгоднее оставить вымогательство на последний момент, ведь, согласно отчету Trend Micro Data science для понимания программ-вымогателей, большинство жертв не платит. (Те, кто все же платит, финансируют еще 6–10 атак.) Большинство хакеров понимают, что целесообразнее заниматься другими атаками, а к вымогательству прибегнуть, только если это удобно.
В сети киберпреступники часто оставляют черные ходы (бэкдоры) и другие структуры, чтобы сохранить доступ и ударить снова, даже после атаки программы-вымогателя. Так называемый этап сопровождения может длиться месяцами и даже дольше. Веб-компания GoDaddy годами подверглась кибератакам, потому что злоумышленники остались в сети даже после того, как начальные атаки были отражены.
Принимая меры как можно раньше и действуя на упреждение, организации смогут блокировать несанкционированный доступ, выявлять горизонтальное распространение и реагировать на необычное поведение в сети задолго до внедрения программ-вымогателей.
Шаг 1. Проактивный подход к защите
Первая цель проактивного подхода — реализовать как можно больше мер, чтобы блокировать угрозы и схемы вымогательства еще до того, как они попадут в сеть. В предыдущих статьях в этой серии о защите от программ-вымогателей описано, как укрепить общий уровень безопасности в организации: строгие правила создания паролей, многофакторная аутентификация, контроль учетных данных и своевременное обновление приложений и операционных систем.
Изоляция в «песочнице» — еще один хороший способ помешать злоумышленникам проникнуть в сеть или зайти слишком далеко, особенно применительно к атакам через электронную почту и браузер. Проверка вложений и веб-страниц до того, как они попадут на конечные устройства, позволяет защититься от вредоносных программ и скриптов, хотя такой подход замедляет работу пользователей, поскольку письма и страницы будут загружаться с задержкой.
Поэтому обычно киберпреступники требуют выкуп, когда уже готовы раскрыть себя, то есть уже после того, как достигли других целей, например украли данные, установили скрытые структуры управления и контроля или продали доступ третьим сторонам.
Зная это, многие организации действуют на упреждение и принимают меры на более ранних этапах жизненного цикла угроз, чтобы предотвращать атаки, а затем стараются обнаруживать проникновение в сеть до того, как будет нанесен ощутимый вред. Такой двунаправленный подход (предотвращение и защита) необходимо применять на этапе снижения рисков в цикле обнаружение, оценка и снижение рисков.
Как работают вымогатели
Любая кибератака начинается с того, что хакер получает доступ к системе — через уязвимое конечное устройство пользователя, открытые IP-адреса, незащищенные веб-сайты, неправильно настроенные облачные сервисы, скомпрометированные учетные данные или злонамеренные действия сотрудников организации.
Получив доступ, злоумышленник горизонтально распространяет атаку на другие устройства и системы, подбираясь к самым чувствительным и ценным активам. Обычно это приводит к утечке данных — информации о клиентах и счетах и других персональных сведений, который можно продать или использовать в дальнейшем. Эти действия выполняются скрытно, чтобы их никто не обнаружил. Программа-вымогатель внедряется, только когда злоумышленники вынесли все ценное, что смогли найти.
Злоумышленникам выгоднее оставить вымогательство на последний момент, ведь, согласно отчету Trend Micro Data science для понимания программ-вымогателей, большинство жертв не платит. (Те, кто все же платит, финансируют еще 6–10 атак.) Большинство хакеров понимают, что целесообразнее заниматься другими атаками, а к вымогательству прибегнуть, только если это удобно.
В сети киберпреступники часто оставляют черные ходы (бэкдоры) и другие структуры, чтобы сохранить доступ и ударить снова, даже после атаки программы-вымогателя. Так называемый этап сопровождения может длиться месяцами и даже дольше. Веб-компания GoDaddy годами подверглась кибератакам, потому что злоумышленники остались в сети даже после того, как начальные атаки были отражены.
Принимая меры как можно раньше и действуя на упреждение, организации смогут блокировать несанкционированный доступ, выявлять горизонтальное распространение и реагировать на необычное поведение в сети задолго до внедрения программ-вымогателей.
Шаг 1. Проактивный подход к защите
Первая цель проактивного подхода — реализовать как можно больше мер, чтобы блокировать угрозы и схемы вымогательства еще до того, как они попадут в сеть. В предыдущих статьях в этой серии о защите от программ-вымогателей описано, как укрепить общий уровень безопасности в организации: строгие правила создания паролей, многофакторная аутентификация, контроль учетных данных и своевременное обновление приложений и операционных систем.
Изоляция в «песочнице» — еще один хороший способ помешать злоумышленникам проникнуть в сеть или зайти слишком далеко, особенно применительно к атакам через электронную почту и браузер. Проверка вложений и веб-страниц до того, как они попадут на конечные устройства, позволяет защититься от вредоносных программ и скриптов, хотя такой подход замедляет работу пользователей, поскольку письма и страницы будут загружаться с задержкой.
Trend Micro
Fight Ransomware with a Cybersecurity Audit
An advanced cybersecurity audit helps identify overlooked IP addresses, forgotten devices, and misconfigured infrastructure.