Новое поколение инструментов в борьбе с шифровальщиками

Что такое Ransomware?

Ransomware — это вредоносная программа, которая пытается зашифровать файлы и удержать их для получения выкупа. Жертвы программ должны платить выкуп злоумышленникам за восстановление доступа к ресурсам, обычно в не отслеживаемой криптовалюте, в обмен на ключ дешифровки, которые могут появиться, а могут и не появиться после оплаты.

Для отдельного человека файлы, такие как фотографии, видео или важные документы может вызвать беспокойство, если оно скомпрометировано. Но для предприятия выкупаемое содержимое может легко включать в себя информацию, являющуюся собственной разработкой: данные, личная информация клиента, реквизиты счета и платежной карты, или другие.

Почти всегда Ransomware мотивируется прибылью, однако продвинутые атаки с целью выкупа могут иметь более широкие цели и причинить огромный вред организациям, включая существенные проблемы, если атака с целью выкупа приведет к тому, что организация не сможет продолжать свою нормальную деятельность. В экстремальных случаях человеческие жизни могут быть даже поставлены под угрозу.

Примеры недавних резонансных атак с использованием выкупа с огромными денежными потерями и негативным социальным влиянием:

• Больницы: Британская Национальная Служба Здравоохранения (общие расходы - 92 млн фунтов стерлингов, прямые расходы и потеря производительности).
• Правительство штата/местное правительство: Штат Луизиана (объявлено чрезвычайное положение), 2 города Флориды (выплачено 1,1 млн. долл. США).
• Образование: Университет штата Юта (457 000 долл. США), Калифорнийский университет в Сан-Франциско (1,14 млн долл. США).

Программы выкупа могут проявляться на зараженном ноутбуке, настольном компьютере или сервере несколькими способами. Как правило, отказывая пользователю в доступе к системе до тех пор, пока выкуп не будет выплачен:

• Шифрование конфиденциальных и личных файлов без возможности расшифровки.
• Угроза публичного доступа к конфиденциальным и личным файлам.
• Блокировка экрана компьютера запрещает полный доступ к системе.
• Блокирует работу определенных приложений, снижая производительность пользователей.

Программы-вымогатели являются высоко адаптируемыми, тщательно разработанными, чтобы избежать обнаружения с помощью программного обеспечения безопасности. Даже небольшие задержки в обнаружении могут обеспечить достаточно времени для потенциально необратимого шифрования файлов.

Как программное обеспечение для получения выкупа проникает в организацию?

Ransomware имеет множество жизнеспособных путей проникновения в организацию, и киберпреступники очень творчески подходят к использованию как технологических, так и человеческих уязвимостей.

Несмотря на многолетние тренинги в области безопасности, рискованное поведение пользователей остается неизменно высоким, что приводит к рискованным кликам по сомнительным ссылкам и непродуманным загрузкам собственных приложений/файлов.

• Адресная фишинговая электронная почта с вредоносными ссылками и вложениями в файлы.
• Загрузка вредоносных документов, как инициированная пользователем, так и вызванная загрузкой с диска.
• Загрузка вредоносных программ/ исполняемых файлов, включая поддельное программное обеспечение и поддельные обновления продуктов.
• Бесфайловые атаки в пространстве памяти, инициированные браузером, без прикосновения к дисковому диску.
• Заражение документов и мультимедийных файлов из сетевых файловых ресурсов и портативных мультимедийных дисков.

Рисунок 1: Общие векторы атаки с использованием выкупа

Что такое программа защиты от вымогательств?

Комплексная защита от выкупа требует постоянной бдительности на нескольких одновременных фронтах, каждый из которых должен быть охвачен решением в области безопасности:

Упреждающая защита. Создание защищенных от взлома резервных копий пользовательских файлов, недоступных для выкупа.

Блокирование и предотвращение. Развертывание адаптивных средств защиты, не зависящих от методов обнаружения на основе сигнатур.

Мониторинг и раннее обнаружение. Отслеживание подозрительных процессов и сетевой активности, корреляция показателей атак.

EDR и реагирование на инциденты. Профилактика не эффективна на 100% все время, поэтому EDR ищет подозрительные индикаторы на конечной точке и в сетевом трафике для корреляции с конкретными инцидентами для реагирования.

Применение исправлений уязвимостей. Обновление уязвимых приложений и операционных систем с помощью новейших версий, поставляемых поставщиками. Исправления, применяются автоматически.

Управление конфигурацией риска. Выявление и закрытие всех доступных источников проникновения программ-вымогателей путем выявления и исправления неправильных конфигураций системы, многие из которых можно исправить автоматически.

Мониторинг рискованного поведения пользователей. Определите и исправьте поведение пользователей, которое увеличивает риск для организации, например повторное использование пароля, попадание в фишинговые ловушки, рискованные клики и скачивания, а также входы на незашифрованные сайты.

Управление приложениями и устройствами. Контролируйте использование и разрешайте запуск только необходимых приложений и только необходимые внешние устройства для доступа к системе.

Победа над программами-вымогателями требует понимания всей цепочки «Cyber Kill Chain» и сопоставления защиты с каждой стадией атаки:

Рисунок 2: Тактика атак с целью получения выкупа и типичная «Cyber Kill Chain»

Защита векторов атак вымогателей

Облегчение от выкупа всех его разрушительных последствий также требует охвата всех распространенных векторов атаки:

• Ссылки на фишинговую или спамовую электронную почту и вредоносные файловые вложения.
• Загрузка вредоносных файлов, как инициированная пользователем, так и произведенная в результате загрузки с диска.
• Загрузка вредоносных программ или исполняемых файлов.
• Бесфайловые атаки в пространстве памяти, инициированные браузером без прикосновения к диску.
• Портативные мультимедийные диски и сетевые или удаленные файловые ресурсы общего доступа.

Как работает система защиты от мошенничества Bitdefender?

Резервные копии с защитой от несанкционированного доступа:

Bitdefender создает автоматические резервные копии пользовательских файлов, защищенные от взлома, без использования теневых копий, которые неоднократно доказывали, что их можно легко удалить с помощью программ для выкупа. Это защита в режиме hands-free, без надобности, чтобы пользователь что-то делал. Ransomware не может получить доступ к защищенным резервным копиям файлов, и пользователь не знает об их наличии. Смягчение последствий выкупа определяет, когда новое программное обеспечение пытается зашифровать файлы, и автоматически создает резервную копию целевых файлов, которая будет восстановлена после блокировки вредоносной программы. Bitdefender блокирует все процессы участвующие в атаке и начнет восстановление, одновременно уведомив об этом пользователя.

Блокирование и предотвращение

Защита от бесфайловых атак и Hyper Detect:

При активизации Bitdefender автоматически обнаруживает и блокирует атаки без файлов на этапе предварительного выполнения, предотвращая шифрование файлов и сохраняя полный доступ к системе. HyperDetect может обнаруживать и блокировать безфайловые атаки на этапе предварительного выполнения, используя высокоточные модели машинного обучения для обнаружения новых и неизвестных вредоносных программ с высокой точностью для успешного обнаружения и безфайловых выкупов во время нескольких шагов в цепочке атак, анализируя поведение на уровне кода.

Машинное обучение против вредоносного ПО:

Bitdefender Security автоматически и непрерывно обучает и улучшает свои возможности распознавания вредоносного ПО, используя один из крупнейших в отрасли репозиториев образцов, собранных в полевых условиях из обширной сети сенсоров глобальной сети. По мере развития программ-вымогателей, Bitdefender точно обнаруживает новые шаблоны как в предварительном исполнении, так и во время выполнения.

Усовершенствованный Anti-Exploit:

Авторы программ-вымогателей используют наборы эксплойтов, которые используют уязвимости нулевого дня или непревзойденные уязвимости, чтобы закрепиться в системе. Bitdefender фокусируется на методах атаки для защиты систем и предотвращения предвзятого отношения к программам выкупа. Передовые технологии защиты от эксплуатации позволяют быстро выявлять и автоматически завершать вредоносные процессы.

Защита сети:

Network Attack Defense использует поведенческую эвристику для анализа сетевой активности хостов в режиме реального времени и усиливает контроль против техник эксплойта, которые могут отфильтровывать личную информацию из вашей сети. Она использует машинное обучение для блокирования эксплойтов выкупа, которые поступают через точки входа в сеть, такие как BlueKeep. Network Protection также служит для остановки начального доступа, доступа к учетным данным, обнаружения и атаки на поперечное перемещение.

Мониторинг и раннее обнаружение

Расширенный контроль над угрозами:

GravityZone отслеживает запущенные процессы в режиме реального времени - модификации ключей, чтение/запись файлов, действия по шифрованию - для выявления подозрительных или вредоносных процессов с целью их автоматического или ручного завершения командами безопасности.

EDR и реагирование на инциденты:

Не все атаки можно заблокировать или предотвратить, а некоторые стадии атаки проявляются медленно с течением времени. EDR всегда будет играть роль в смягчении последствий применения программ выкупа. GravityZone EDR автоматически коррелирует множество признаков атаки и компрометации (IOAs/IOCs) с вредоносной активностью, наблюдаемой в системе и в сети, что способствует быстрому и точному реагированию на инциденты, что сокращает время пребывания злоумышленника в сети и облегчает быстрое восстановление файлов из программ, использующих выкуп.

Снижение рисков пользователей и системы

Ликвидация уязвимостей:

Непревзойденные системы оставляют организации восприимчивыми к атакам с целью получения выкупа. Модуль GravityZone Patch Management помогает организациям поддерживать операционные системы и приложения в актуальном состоянии по всей базе установки Windows, включая desktop/laptop, физические серверы и виртуальные серверы.

Ошибочные конфигурации системы:

Неправильно настроенные системы оставляют двери широко открытыми для атак с целью выкупа, включая настройки безопасности браузера, сети и учетных записей, настройки безопасности операционной системы, такие как открытые порты, несущественные сервисы и инструменты административного сценария (например, PowerShell). GravityZone сканирует случаи неправильной настройки системы и может автоматически обновлять многие настройки неправильно настроенных машин удаленно, одновременно уведомляя администратора о необходимости сброса остальных настроек.

Уязвимости приложений:

Устаревшие приложения с известными уязвимостями (CVE) могут быть использованы авторами выкупа с целью злоупотребления функциональностью программ или загрузки вредоносного контента из Интернета. Рискованные приложения могут быть обновлены до более новой/безопасной версии или удалены из системы, если приложение не требуется пользователю. GravityZone сканирует CVE и ранжирует уязвимости приложения по степени серьезности, чтобы администраторы могли принять оперативные меры.

Рискованное поведение пользователей:

Пользователи добавляют риск заражения программой выкупа каждый раз, когда они открывают электронное письмо, нажимают на ссылку или загружают файл. GravityZone Human Risk Analytics изучает, где пользователи просматривают, какие файлы открывают, к каким файлам они обращаются, как и где они входят на рискованные веб-сайты, а также следит за гигиеной паролей и их повторным использованием, чтобы можно было исправить рискованное поведение.

Зачем нужна защита от программ-вымогателей Bitdefender?

Комплексная защита от выкупа на конечных точках имеет решающее значение, так как конечные точки являются шлюзами к серверам с высокой добавленной стоимостью и другим объектам, на которых хранится конфиденциальная информация, данные о клиентах, платежные реквизиты и другая ценная интеллектуальная собственность.

Преимущества предотвращения мошенничества со стороны Bitdefender:

• Hands-free гарантия непрерывности бизнеса от всех распространенных векторов атак выкупа.
• Спокойствие и уверенность в том, что ваше решение в области безопасности адаптировано к победе над новыми и новейшими технологиями с использованием выкупа.
• Свобода от использования резервных копий на рабочих местах или длительное время восстановления из облачных резервных копий.
• Локальные, сетевые и основанные на инцидентах опции восстановления файлов и устранения нарушений для восстановления после атак.
• Ошибки случаются! Bitdefender перемещает ограничительный баланс между безопасностью и производительностью пользователя в пользу пользователя.

Случаи использования Bitdefender Смягчение последствий выкупа:

Bitdefender охватывает больше случаев использования средств защиты от выкупа, чем конкурирующие решения, предлагая пользователям и администраторам безопасности многоуровневые инструменты для защиты от выкупа. Тщательное предотвращение и восстановление происходит на уровне администрирования конечных точек, сети и GravityZone Console, независимо от того, была ли первоначальная атака успешной или нет.

Локальное программное обеспечение для уменьшения риска выкупа:

Для предотвращения локального вымогательства администраторы могут настроить политику безопасности Bitdefender на мониторинг процессов на конечных точках и восстановление зашифрованных файлов, как только адаптивная технология обнаружит и заблокирует атаку. Даже если программе-вымогателю удается зашифровать локальные файлы, технология предотвращения атак сразу же внедряется для восстановления этих файлов - автоматически или по требованию, когда администратор контролирует время восстановления зашифрованных файлов.

Remote Ransomware Mitigation:

Для Remote Ransomware Mitigation администратор безопасности может включить технологию мониторинга сетевого ресурса пути, к которому можно получить удаленный доступ и предотвратить шифрование файлов. На удаленной конечной точке пользователь Агент Ransomware Mitigation подтверждает, что Ransomware Mitigation перехватил поведение удаленного вредоносного процесса и защитил файлы. Администраторы Bitdefender могут быстро запустить отчеты об аудите и узнать больше информации об IP-адресе – где была запущена удаленная атака на выкуп, а также защитный модуль, который защищал конечную точку, и они также может получать уведомление по электронной почте в случае блокировки атаки, содержащее информацию об IP-адресе злоумышленника.

Управление инцидентами из GravityZone:

В GravityZone команды безопасности имеют полную видимость kill-chain атаки и файлов, затронутых атакой выкупа. Bitdefender EDR детектирует, что администраторы безопасности могут либо убить активный вредоносный процесс, либо поместить зараженные файлы в карантин. Они также могут навсегда занести в черный список IP-адрес злоумышленника.

Рисунок 3: GravityZone EDR реакция на инцидент показывает полную цепь атак

Отличия Gravity Zone

Предупреждение и смягчение последствий выкупа встроено в консоль управления гравитационной зоной и Bitdefender.

Endpoint Security Tools (BEST) клиент на несколько уровней, намного опережает конкурирующие решения безопасности.

Непревзойденная комбинация средств защиты от выкупа в GravityZone

Самый награжденный поставщик безопасности конечных точек!

Bitdefender постоянно занимает первые места в независимых тестах и оценках третьих сторон:

• Рейтинг №1 и выбор редакции PC в номинации "Лучшее хостинговое программное обеспечение для защиты и безопасности конечных точек в 2020 году".
• Занял 1-е место и получил награду "Лучшая антивирусная защита для Mac в 2020 году" от редакции PC.
• Лидер в Forrester Wave for Cloud Workload Security, четвертый квартал 2019 г.
• "Самый крупный поставщик EDR, которого вы не рассматривали, но должны были"- Forrester Research.
• 100% обнаружение по сравнению с реальными угрозами, AV-тест (январь-октябрь 2020 г.)

Закажите бесплатное пилотное тестирования защиты от шифровальщиков с полной технической поддержкой выделенного менеджера.