Как реагировать на атаки шифровальщиков: рекомендации для CISO
Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.
Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.
Кратко об атаках шифровальщиков
Львиная доля таких атак развивается по двум сценариям. Либо в корпоративную сеть проникают через уязвимости интернет-приложений (Exploit Public Facing Application), таких как VPN или почтовые сервисы вроде Microsoft Exchange, либо точкой входа в IT-инфраструктуру компании становятся партнеры и подрядчики, чьи легитимные доступы используются злоумышленниками.
Причем все чаще киберпреступники действуют не в одиночку, а организованными группами с четким разделением обязанностей. Одни хакеры занимаются получением первоначального доступа и проводят разведку. Другие же сортируют жертв и решают, чьи файлы сразу зашифровать и потребовать выкуп, а за кем лучше шпионить, тайно выгружая данные. Третьи специализируются непосредственно на операциях шифрования.
Если же говорить об общей реализации подобных нелегальных акций, то это по большей части human-operated атаки. То есть ИБ-службе компании противостоят не автоматические сетевые черви, а живые люди, хотя многие стадии процесса, несомненно, автоматизированы. Так, получение первоначального доступа (Initial Access) зачастую выполняется при помощи специальных веб-серверов, которые используют выгрузки данных из Shodan или самостоятельно сканируют потенциально уязвимые веб-приложения.
Впрочем, для жертвы атаки нет никакой разницы, координируется нападение вручную или происходит автоматически. Даже разновидность и семейство ransomware не играют большой роли для бизнеса. Разбираться с деталями приходится уже команде реагирования на инциденты. Эти нюансы не влияют на порядок действий ИБ-службы компании.
Атака глазами жертвы
Обычно атака вируса-шифровальщика для компании — это все равно что гром среди ясного неба. ИБ-специалистам попросту некогда углубляться в детали и, например, пытаться атрибутировать семейство «прилетевшего» шифровальщика в столь накаленной обстановке. Как же выглядит такая атака глазами ее жертвы?
Как правило, атакующие переходят к активным действиям, когда бизнес и ИБ-служба менее всего готовы держать оборону — посреди ночи или в выходные дни. Злоумышленники стараются запустить процесс шифрования файлов, ставших целью атаки, одномоментно на всех компьютерах с помощью централизованного управления. Это могут быть групповые политики, механизмы удаленного доступа или средства администрирования.
Иронично, но порой атакующие задействуют и применяемые в компании средства защиты информации. Частый кейс — когда вирус-шифровальщик распространяют по сети через средства администрирования антивируса.
Периодически случаются накладки: не удалось отключить СЗИ, шифрование не запустилось. Тогда злоумышленникам приходится выполнять дополнительные действия вручную. В такие моменты атакующие оставляют следы, которые потом служат зацепками при расследовании инцидента. Хотя в идеале компании и службе ИБ надо не доводить ситуацию до критической и вовремя проводить профилактику подобных атак.
Превентивные меры
Есть два вида превентивных мер. Первые направлены на предотвращение атак вирусов-шифровальщиков. Вторые помогут ИБ-службе снизить вред для бизнеса, если злоумышленникам все же получится зашифровать файлы организации.
Как уменьшить вероятность атак вирусов-шифровальщиков
Базовые способы минимизировать риски описаны в целом ряде инструкций и регламентов. Речь идет о проработанной парольной политике, внедрении двухфакторной аутентификации, принципах наименьших привилегий, мониторинге сети. Вместо того чтобы в очередной раз повторять такие технические »азбучные истины», обратим внимание на другие полезные меры, которыми бизнес часто пренебрегает.
Регулярно проводить инвентаризацию сети и связанных процессов. Обычная ситуация: ИБ-специалисты забыли о существовании сервера, перестали контролировать его с помощью СЗИ и выполнять обновления. В результате этот заброшенный элемент инфраструктуры стал точкой входа для киберпреступников. Или же аутсорсерам предоставили слишком широкие права доступа, что также повысило риск атаки.
Чтобы исключить такие опасные недоработки, безопасникам следует периодически «прочесывать» сеть организации и наводить в ней порядок. Например, проверять, что все серверы и хосты находятся под защитой, а у подрядчиков нет возможности выходить за пределы подсети, где они проводят работы.
Проводить инвентаризацию СЗИ. Такие проверки дадут ИБ-службе понимание, покрыта ли сеть средствами защиты в достаточной степени. Далеко не обязательно нужно стопроцентное покрытие: все зависит от особенностей бизнеса, обрабатываемых данных, масштабов и сложности инфраструктуры, количества внешних интеграций и многих других факторов.
Своевременно контролировать показания СЗИ. Казалось бы, что может быть проще и очевиднее? И все же нередки ситуации, когда антивирус бьет тревогу и сообщает об обнаружении вредоноса, но никто не обращает на это внимания. ИБ-специалисты спохватываются лишь с началом атаки.
А ведь даже обычный антивирус способен засечь атакующего не только на этапе импакта, но и на стадиях закрепления в системе, повышения привилегий, разведки, сбора данных. Нужно лишь внимательно следить за показаниями средств защиты и вовремя на них реагировать, иначе любые инструменты бесполезны.
Как подготовиться к атакам вирусов-шифровальщиков и минимизировать вред для бизнеса
Сделать сеть абсолютно неуязвимой для вымогателей физически невозможно. Более реалистичная задача — выстроить работу так, чтобы эффективно реагировать на любую атаку на ранней стадии. В этом компаниям помогут компетентный SOC, средства защиты, эффективные рабочие процессы. И снова есть несколько полезных шагов, которые почему-то не всегда очевидны для бизнеса и сотрудников службы безопасности.
Ускорить согласования и подписание документов. Иногда драгоценное время при реагировании теряется из-за волокиты. Подписание NDA, поиск и согласование доступов — все это растягивается «до бесконечности». Между тем сетевые логи уходят в ротацию, следы действий киберпреступника исчезают. Да и злоумышленник все еще может находиться в сети и продолжать наносить урон бизнесу.
В повседневной рутине топ-менеджмент и ИБ-служба не всегда обращают внимание на то, насколько неповоротливы административные процедуры в компании. Поэтому стоит оценить такие процессы, не дожидаясь инцидента. Например, разыграть ситуацию, когда требуется быстро подписать NDA в выходной или праздник. Либо согласовать сетевые доступы, пока отвечающий за инфраструктуру администратор находится в отпуске. Если подобная задача оказывается невыполнимой, это повод в корне пересмотреть процессы и убрать лишние административные барьеры.
Обеспечить контроль инфраструктуры при любых обстоятельствах. Оптимально, когда несколько взаимозаменяемых администраторов обладают всеми сетевыми доступами и знают, как действовать в случае атаки.Если один из таких специалистов, опять же, уйдет в отпуск или на больничный, а в это время компания подвергнется нападению шифровальщика, контроль над сетью не будет потерян.
Внедрить централизованное хранилище данных. Желательно, чтобы в компании применялась система управления информацией и событиями безопасности (SIEM) или другой инструмент, где централизованно сохраняются логи и прочие полезные при расследовании инцидентов данные. Тогда на их сбор и анализ при реагировании на инцидент уйдет намного меньше времени. Кстати, некоторые злоумышленники подчищают такие цифровые улики, так что не помешает дополнительно защитить эту информацию.
Составить базовую логическую карту корпоративной сети. С подобной картой ИБ-специалистам и команде реагирования не придется судорожно метаться по всей инфраструктуре в попытках понять, где находятся те или иные компоненты, что выходит в интернет, а что нет, каковы правила доступа и перехода между сетевыми сегментами. Безопасники сумеют быстрее сориентироваться, чтобы блокировать действия злоумышленника и разобраться в инциденте. Заодно им станет гораздо проще проводить вышеупомянутую инвентаризацию сети и СЗИ.
Следовать правилу резервного копирования »3–2–1» В двух словах: такой подход предполагает создание трех резервных копий данных, которые сохраняются в двух различных физических форматах. Притом одна из копий вовсе должна храниться за пределами организации. Даже если злоумышленник зашифрует всю информацию внутри корпоративной сети, бизнес не потеряет жизненно важные файлы.
Составить план коммуникаций на случай инцидента. ИБ-службе стоит подготовить детальный гайд, где будет прописано, кого из топ-менеджмента, сотрудников компании, представителей клиентов и партнеров, наконец, какие надзорные органы уведомить об атаке шифровальщика. Так получится согласовать действия, избежать паники и конфликтных ситуаций, а иногда и штрафных санкций со стороны госорганов.
Всегда нужно помнить и том, что атакующие могут давить на жертв и угрожать опубликовать данные. Это приведет к дополнительной моральной и организационной нагрузке на бизнес. Поэтому лучше заранее подготовиться к подобным ситуациям: определить, стоит ли вообще давать комментарии для СМИ и общественности, насколько подробные разъяснения нужны.
Реагирование на атаку шифровальщика
Но что делать, а чего не делать, если профилактика не сработала и атака вируса-шифровальщика уже началась? Прежде всего важно понимать, какие действия только усугубляют ситуацию.
Как не стоит действовать при атаках вирусов-шифровальщиков
При таких инцидентах работает медицинский принцип «не навреди». Перечислим нежелательные меры.
Пытаться продолжить работу так, будто ничего не произошло. В случае атаки некоторые системные администраторы и ИБ-специалисты предпочитают пойти по пути наименьшего сопротивления: поскорее восстановить работоспособность инфраструктуры своими силами (да, изредка атакующие оставляют такую возможность) и забыть о произошедшем. Никто даже не пытается изолировать сеть и проверить, не закрепился ли в ней злоумышленник. А ведь нет никаких гарантий, что он не вернется и снова не зашифрует данные организации. В нашей практике бывают случаи, когда, скажем, за пару лет атакующий трижды проникает в сеть через одну и ту же точку входа. Бизнес же спохватывается и начинает расследование только после третьего инцидента.
Ниже представлен Unified Kill chain — модель проведения атаки. Факт запуска вируса-шифровальщика внутри инфраструктуры на ней соответствует пункту Impact. Представьте, какое количество действий внутри вашей инфраструктуры провел атакующий. Вряд ли при столь масштабном воздействии можно просто сделать вид, как будто ничего не случилось.
С ходу перезагружать машины, на которых уже запущено шифрование. Столь радикальные меры чреваты тем, что файлы технически не удастся восстановить, даже если заплатить злоумышленнику за приватный ключ. ИБ-служба рискует навсегда потерять и критичную для бизнеса информацию, и криминалистические артефакты (логи и прочее), необходимые для расследования инцидента. Сразу же «дергать рубильник» целесообразно лишь в ситуациях, когда злоумышленник уже замечен в сети, но шифрование на машине пока не началось. В противном случае нужно сперва оценить риски.
Как правильно действовать при атаках
Здесь возникают нюансы в зависимости от того, как быстро был замечен злоумышленник, каков уровень квалификации сотрудников службы информационной безопасности, ведется ли мониторинг сети. Есть и ряд универсальных шагов.
Выявить не затронутые атакой хосты и защитить хранящиеся там данные. Следует снять с еще не зараженных хостов бекапы и поместить их в изолированное хранилище. Конечно, можно защитить ценные файлы настройками файрвола или EDR-системы. Это усложнит задачу злоумышленникам и поможет выиграть немного времени для работы безопасников. Но рано или поздно атакующий может пробиться и через эти барьеры. Так что лучше всего сохранить холодный бэкап в физическом хранилище (на жестком диске или магнитной ленте), недоступном из интернета и скомпрометированной сети. И это вовсе не излишняя паранойя: спустя какое-то время после атаки многие злоумышленники перепроверяют, не пропущены ли важные файлы и хосты.
Убедиться, что в снятых бэкапах нет зараженных хостов. Обычнотакая задача требует подключения команды реагирования. Альтернативный вариант — попытаться выполнить базовую проверку с помощью, например, утилиты AutoRuns. Но это не даст стопроцентной гарантии отсутствия зараженных хостов, к тому же и для такого теста понадобится экспертиза.
Собрать базовый набор данных об инциденте. На языке компьютерных криминалистов это звучит как «снять триаж». Для последующего расследования инцидента пригодится любая связанная с атакой информация: логи различных приложений, журналы ОС, сведения об аутентификациях и запусках программ. Иногда есть смысл оперативно собрать такие данные еще до привлечения команды реагирования. Ведь, как уже отмечалось, логи со временем уходят в ротацию, а злоумышленники порой возвращаются в сеть, чтобы «прибраться» за собой.
Предупредить партнеров и клиентов о компрометации своей сети. Например, это актуально для компаний, которые предоставляют различные IT-услуги. Если клиенты вдруг засекут, что через подрядчика в их инфраструктуру проникли злоумышленники или «прилетели» фишинговые письма, возникнут нежелательные вопросы. Лучше честно предупредить о компрометации своей сети, чтобы партнеры тоже предприняли дополнительные меры перестраховки.
Проверить защищенность бизнес-коммуникаций в мессенджерах. Некоторые киберпреступники используют программы-шпионы, чтобы изучать переписку своих жертв в Telegram и других мессенджерах. Поэтому в случае атаки нужно предупредить всех сотрудников, что их аккаунты в таких приложениях также могут быть скомпрометированы. Сотрудникам рекомендуется закрыть все сессии мессенджеров с мобильных гаджетов, поскольку атакующим труднее получить к ним доступ. Далее следует вести бизнес-коммуникацию только с проверенных средствами защиты устройств, которые никак не связаны со скомпрометированной корпоративной сетью.
Принять решение, платить выкуп или нет. Впрочем, это тема настолько острая, что о ней лучше поговорить отдельно.
Стоит ли платить выкуп злоумышленнику
Часто встречается категоричное мнение, что идти на поводу у злоумышленников нельзя ни в коем случае. С моральной точки зрения это справедливо, но представим, будто компанию застали врасплох: критичные файлы зашифрованы, ИБ-служба не успела вовремя снять бэкапы с хостов, и работа парализована. Притом каждый час простоя приводит к материальным потерям. Вероятно, тогда топ-менеджменту придется выбирать между принципами и сохранением бизнеса.
С другой стороны, остается опасность, что даже после выплаты выкупа не получится вернуть свои файлы. Так может произойти из-за ошибок и технических сбоев в работе шифровальщиков. В результате не удастся расшифровать ничего, либо потеряется часть данных. А еще злоумышленник может просто отказаться выполнять свою часть «сделки». В общем, на вопрос о том, стоит ли выполнять требования киберпреступника, сложно ответить однозначно. Все зависит от конкретной ситуации и множества факторов.
Есть ли смысл сообщать об атаке в правоохранительные органы
Помимо «платить или не платить?» есть и другой острый вопрос в контексте атак шифровальщиков: «заявлять или не заявлять?». Крайне маловероятно, что правоохранительные органы быстро выведут злоумышленников на чистую воду и вернут потерянные данные. В большинстве случаев атакующие действуют из-за рубежа, и найти концы оказывается трудно.
Впрочем, если бизнес оперирует персональными данными, то по закону необходимо уведомить об атаке Роскомнадзор в течение суток. Иначе есть риск столкнуться еще и со штрафными санкциями.
Обратиться к правоохранителям стоит и потому, что это пускай небольшой, но значимый вклад в разоблачение киберпреступников. Рано или поздно накопится критическая масса информации по засветившимся в ряде инцидентов злоумышленникам, и на них удастся выйти.
Расследование атаки
Итак, все меры по карантину еще не зашифрованных файлов предприняты, а правоохранительные органы и клиенты компании проинформированы об атаке. Самое время по горячим следам приступить к расследованию инцидента.
Правда, здесь встает еще один вопрос: всегда ли нужно расследовать атаки вирусов-шифровальщиков? Например, насколько это целесообразно, если компании все равно не вернуть зашифрованные файлы или выкуп злоумышленнику уже заплачен?
Что дает расследование бизнесу
Разобраться в инциденте следует в любом случае. Если не сделать выводов из произошедшего, то атака рано или поздно повторится. Тот же самый злоумышленник поймет, что ему никто не помешает вновь зашифровать файлы компании, и воспользуется такой возможностью. Или найдутся новые незваные гости.
Расследование восстановит картину инцидента и позволит обнаружить точки входа, через которые киберпреступник проник в корпоративную сеть. Также бизнес получит подробные рекомендации, как закрыть эти бреши и сделать инфраструктуру безопаснее. Попутно команда реагирования очистит корпоративную сеть от закладок и других средств закрепления атакующего. Таким образом, вероятность повторной атаки существенно снизится.
Как долго длится расследование и что на это влияет
Расследование подобных атак может продолжаться от пары часов до нескольких месяцев и даже дольше. Вот основные факторы, от которых это зависит:
скорость сбора данных и выполнения рекомендаций команды реагирования администраторами компании;
объемы сети и количество зараженных хостов;
степень гибкости центрального администрирования сети.
Нередко процесс тормозят сами ИБ-специалисты пострадавшей от атаки компании. Здесь снова на ум приходят примеры, когда вместо оценки рисков и сбора первичных данных об инциденте (триажа) штатные специалисты судорожно переустанавливают операционную систему на устройствах. Или же выполняются другие необдуманные действия, которые уничтожают необходимые для расследования следы.
Отчасти так происходит из-за отсутствия планов реагирования в организациях. Другая причина — банальная паника ИБ-специалистов. Некоторые из них попросту пытаются «спрятать голову в песок» и сделать вид, будто ничего не произошло. Опять же, переустановить ОС на устройствах, а потом восстановить потерянные файлы из бэкапов, пока никто не узнал об инциденте. То есть это способ избежать ответственности за непредотвращенную атаку.
Так или иначе, команда реагирования заходит в тупик и не может продолжать обратное движение по вектору атаки от хоста к хосту. Приходится идти окольным путем: выдвигать и самим же проверять различные гипотезы.
Возвращаясь к страху ответственности: порой этот пункт становится серьезным камнем преткновения. Часто админы и безопасники думают, что цель команды реагирования — найти козла отпущения. Они не спешат помогать расследованию или даже саботируют его по мере возможности.
На самом деле смысл реагирования на инцидент совершенно не в том, чтобы наказать виновных — задача лишь восстановить картину произошедшего.
Конкретные решения по итогам расследования принимаются на уровне C-level компании. Если безопасник или админ в состоянии внятно объяснить, почему в сети присутствует та или иная уязвимость, то бояться ему нечего.
Увы, вывести универсальный алгоритм действий ИБ-специалистов при атаке вирусов-шифровальщиков нельзя. Даже на вопрос, стоит ли платить выкуп злоумышленнику, нет однозначного ответа.
Если свести все к нескольким простым советам, то, пожалуй, нужно как можно лучше разбираться в корпоративной сети, обеспечить ее достаточное покрытие средствами защиты, избавиться от административных барьеров и волокиты в бизнес-процессах. Когда атака произошла, необходимо спасти данные с еще не зараженных хостов и оперативно привлечь команду реагирования. Ведь нерасследованный инцидент — это, по сути, приглашение в гости новых злоумышленников.
