Что мы знаем о вымогателях? Вроде бы это преступники,которые требуют от вас деньги или вещи под угрозой наступления неблагоприятныхпоследствий. В бизнесе такое время от времени случается, все примернопредставляют, как нужно поступать в таких ситуациях. Но что делать, если вирус-вымогательпоселился на ваших рабочих компьютерах, блокирует доступ к вашим данным итребует перевести деньги определенным лицам в обмен на код разблокировки? Нужнообращаться к специалистам по информационной безопасности. И лучше всего сделатьэто заранее, чтобы не допустить проблем.

Число киберпреступлений в последние годы выросло на порядок.По данным исследования SentinelOne,половина компаний в крупнейших европейских странах подверглась атакамвирусов-вымогателей, причем более 80% из них стали жертвами три и более раз. Аналогичнаякартина наблюдается по всему миру. Специализирующаяся на информационнойбезопасности компания Clearswift называет своеобразный «топ» стран, более всегопострадавших от ransomware– программ-вымогателей: США, Россия, Германия, Япония, Великобритания и Италия.Особый интерес злоумышленников вызывают малый и средний бизнес, потому что уних больше денег и более чувствительные данные, чем у частных лиц, и нет мощныхслужб безопасности, как у крупных компаний.

Что делать и, главное, как предотвратить атаку вымогателей?Для начала оценим саму угрозу. Атака может проводиться несколькими путями. Одиниз самых распространенных – электронная почта. Преступники активно пользуютсяметодами социальной инженерии, эффективность которой нисколько не снизилась современ знаменитого хакера ХХ века Кевина Митника. Они могут позвонитьсотруднику компании-жертвы от имени реально существующего контрагента и послебеседы направить письмо с вложением, содержащим вредоносный файл. Сотрудник,конечно же, его откроет, потому что он только что говорил с отправителем потелефону. Или бухгалтер может получить письмо якобы от службы судебных приставовили от банка, в котором обслуживается его компания. Не застрахован никто, идаже МВД страдает не в первый раз: несколько месяцев назад хакеры прислали вбухгалтерию Казанского линейного управления МВД фальшивыйсчет от «Ростелекома» с вирусом-шифровальщиком, который заблокировал работубухгалтерской системы.

Источником заражения может стать и фишинговый сайт, накоторый пользователь зашел по обманной ссылке, и «случайно забытая» кем-то из посетителейофиса флешка. Все чаще и чаще заражение происходит через незащищенные мобильныеустройства сотрудников, с которых они получают доступ к корпоративным ресурсам.А антивирус может и не сработать: известны сотни вредоносных программ,обходящих антивирусы, не говоря уже об «атаках нулевого дня», эксплуатирующихтолько что открытые «дыры» в программном обеспечении.

Что представляетсобой «кибервымогатель»?

Программа, известная как «вымогатель», «шифровальщик», ransomware блокирует доступ пользователя к операционнойсистеме и обычно шифрует все данные на жестком диске. На экран выводитсясообщение о том, что компьютер заблокирован и владелец обязан передатьзлоумышленнику крупную сумму денег, если хочет вернуть себе контроль надданными. Чаще всего на экране включается обратный отсчет за 2-3 суток, чтобыпользователь поспешил, иначе содержимое диска будет уничтожено. В зависимостиот аппетитов преступников и размеров компании суммы выкупа в России составляютот нескольких десятков до нескольких сотен тысяч рублей.

Типы вымогателей

Источник: Microsoft, 2017

Эти зловреды известны уже много лет, но в последние два-тригода они переживают настоящий расцвет. Почему? Во-первых, потому, что людиплатят злоумышленникам. По данным «Лаборатории Касперского», 15% российскихкомпаний, атакованных таким образом, предпочитают заплатить выкуп, а 2/3компаний в мире, подвергшихся такой атаке, потеряли свои корпоративные данныеполностью или частично.

Второе – инструментарий киберпреступников стал болеесовершенным и доступным. И третье – самостоятельные попытки жертвы «подобратьпароль» ничем хорошим не заканчиваются, а полиция редко может найтипреступников, особенно за время обратного отсчета.

Кстати. Далеко не все хакеры тратят свое время на то, чтобысообщить пароль жертве, перечислившей им требуемую сумму.

В чем проблемабизнеса

Главная проблема в области информационной безопасности у малогои среднего бизнеса в России состоит в том, что денег на мощныеспециализированные средства ИБ у них нет, а ИТ-систем и сотрудников, с которымимогут происходить разного рода инциденты, более, чем достаточно. Для борьбы с ransomwareнедостаточноиметь только настроенные фаервол, антивирус и политики безопасности. Нужноиспользовать все доступные средства, в первую очередь предоставляемыепоставщиком операционной системы, потому что это недорого (или входит встоимость ОС) и на 100% совместимо с его собственным ПО.

Подавляющее большинство клиентских компьютеров изначительная часть серверов работают под управлением ОС Microsoft Windows. Всемизвестны встроенные средства безопасности, такие, как «Защитник Windows» и«Брандмауэр Windows», которые вместе со свежими обновлениями ОС и ограничениемправ пользователя обеспечивают вполне достаточный для рядового сотрудникауровень безопасности при отсутствии специализированных средств.

Но особенность взаимоотношений бизнеса и киберпреступниковзаключается в том, что первые часто не знают о том, что они атакованы вторыми. Ониполагают себя защищенными, а на самом деле зловреды уже проникли через периметрсети и тихо делают свою работу – ведь не все из них ведут себя так нагло, кактрояны-вымогатели.

Microsoftизменила подход к обеспечению безопасности: теперь она расширила линейкупродуктов ИБ, а также делает акцент не только на том, чтобы максимальнообезопасить компании от современных атак, но и на том, чтобы дать возможностьрасследовать их, если заражение все же произошло.

Защита почты

Почтовую систему как главный канал проникновения угроз вкорпоративную сеть необходимо защитить дополнительно. Для этого Microsoft разработаласистему Exchange ATP(Advanced Treat Protection),которая анализирует почтовые вложения или интернет-ссылки и своевременнореагирует на выявленные атаки. Это отдельный продукт, он интегрируется в Microsoft Exchange и не требуетразвертывания на каждой клиентской машине.

Система Exchange ATP способна обнаруживать даже «атаки нулевого дня», потому что запускаетвсе вложения в специальной «песочнице», не выпуская их в операционную систему,и анализирует их поведение. Если оно не содержит признаков атаки, то вложениесчитается безопасным и пользователь может его открыть. А потенциальновредоносный файл отправляется в карантин и о нем оповещается администратор.

Что касается ссылок в письмах, то они тоже проверяются. Exchange ATP подменяет все ссылки напромежуточные. Пользователь кликает по линку в письме, попадает напромежуточную ссылку, и в этот момент система проверяет адрес на безопасность. Проверкапроисходит так быстро, что пользователь не замечает задержки. Если ссылка ведетна зараженный сайт или файл, переход по ней запрещается.

Как работает Exchange ATP

Источник: Microsoft, 2017

Почему проверка происходит в момент клика, а не приполучении письма – ведь тогда на исследование есть больше времени и,следовательно, потребуются меньшие вычислительные мощности? Это сделано специальнодля защиты от трюка злоумышленников с подменой содержимого по ссылке. Типичныйпример: письмо в почтовый ящик приходит ночью, система проводит проверку иничего не обнаруживает, а к утру на сайте по этой ссылке уже размещен,например, файл с трояном, который пользователь благополучно скачивает.

И третья часть сервиса Exchange ATP – встроенная система отчетности. Онапозволяет проводить расследования произошедших инцидентов и дает данные дляответов на вопросы: когда произошло заражение, как и где оно произошло. Этопозволяет найти источник, определить ущерб и понять, что это было: случайноепопадание или целенаправленная, таргетированная атака против этой компании.

Полезна эта система и для профилактики. Например,администратор может поднять статистику, сколько было переходов по ссылкам,помеченным как опасные, и кто из пользователей это делал. Даже если непроизошло заражения, все равно с этими сотрудниками нужно провестиразъяснительную работу.

Правда, есть категории сотрудников, которых должностныеобязанности заставляют посещать самые разные сайты – таковы, например,маркетологи, исследующие рынок. Для них технологии Microsoft позволяют настроить политикутак, что любые скачиваемые файлы перед сохранением на компьютере будутпроверяться в «песочнице». Причем правила задаются буквально в несколько кликов.

Защита учетных данных

Одна из целей атак злоумышленников – учетные данныепользователей. Технологии краж логинов и паролей пользователей достаточномного, и им должна противостоять прочная защита. Надежд на самих сотрудниковмало: они придумывают простые пароли, применяют один пароль для доступа на всересурсы и записывают их на стикере, который приклеивают на монитор. С этимможно бороться административными мерами и задавая программно требования кпаролям, но гарантированного эффекта все равно не будет.

Если в компании заботятся о безопасности, в нейразграничиваются права доступа, и, например, инженер или менеджер по продажамне может зайти на бухгалтерский сервер. Но в запасе у хакеров есть еще одинтрюк: они могут отправить с захваченного аккаунта рядового сотрудника письмо целевомуспециалисту, который владеет нужной информацией (финансовыми данными иликоммерческой тайной). Получив письмо от «коллеги», адресат стопроцентно его откроети запустит вложение. И программа-шифровальщик получит доступ к ценным длякомпании данным, за возврат которых компания может заплатить большие деньги.

Чтобы захваченная учетная запись не давала злоумышленникамвозможности проникнуть в корпоративную систему, Microsoft предлагает защитить ее средствамимногофакторной аутентификации Azure Multifactor Authentication. То есть длявхода нужно ввести не только пару логин/пароль, но и ПИН-код, присланный в СМС,Push-уведомлении, сгенерированный мобильным приложением, или ответить роботу нателефонный звонок. Особенно полезна многофакторная аутентификация при работе судаленными сотрудниками, которые могут заходить в корпоративную систему изразных точек мира.

Azure Multifactor Authentication

Источник: Microsoft, 2017

Для более крупных компаний Microsoft разработала и продвинутую сервернуюсистему анализа событий, происходящих в локальном домене – Advanced ThreatAnalytics. Эта аналитическая служба следит за поведением пользователей и сигнализируетв случае обнаружения аномальных событий: при заходе из необычного места (другойстраны), при многочисленных неправильных наборах пароля, при заходах на серверадругих отделов и т.д.

Белые списки

Новые кибератаки требуют новых решений безопасности, и такиеесть в операционной системе Windows 10 Enterprise. Одно из таких решений –запуск только доверенного программного обеспечения на клиентских компьютерах.Такой подход успешно реализован на мобильных платформах, где все приложенияпроходят проверку и имеют цифровую подпись, на основании которой устройстворазрешает его запуск. В Windows эта функция реализована с помощью механизмабезопасности Device Guard.

Device Guard – это программно-аппаратный комплекс, которыйпозволяет на настольном ПК с Windows 10 запуск только доверенных приложений,т.е. они должны быть подписаны Microsoft. Если пользователь попытаетсяустановить приложение вне списка (независимо от того, умышленно он это делаетили нет), в запуске будет отказано, даже если он работает под правамилокального администратора, так как список приложений подписывается сервернымсертификатом с более высокими привилегиями.

А как защищаться от исполнения вредоносных Java и другихскриптов, если у корпоративных самописных приложений есть зависимость от них? Вэтом случае Microsoft рекомендует использовать связку Device Guard вместе сApplocker и запрещать запуск всех скриптов, кроме тех, которые прописаныApplocker по определенному пути.

Эти инструменты предоставляют высокий уровень защиты иработают на программно-аппаратном уровне. То есть никакой вымогатель непропишется на компьютере пользователя.

Внедрение этих списков не добавит головной болиадминистраторам компании, потому что их не нужно прописывать для каждой рабочейстанции. Система позволяет создать несколько шаблонов списков и настроитьполитики, в которых будет прописано, каким группам пользователей соответствуеттот или иной «белый список».

Глобальная защита

Выше мы говорили о защите почты при помощи Exchange Advanced Threat Protection,но похожее решение существует и на уровне операционной системы. Этослужба Windows Defender AdvancedThreat Protection (WD ATP), датчики которойвстроенныв Windows10. По умолчанию датчики выключены, их можно легко активироватьскриптом с помощью групповых политик. И раз WD ATP активен, он логирует все события,которые происходят на каждом ПК: каждый созданный файл, процесс, ключ реестра иустановленные связи между событиями. Эти данные анализируются в службе Azure, что позволяет создатьшаблон нормального поведения для каждой отдельной рабочей станции, и в случаевыявления отклонений от этого нормального поведения (появление вредоноснойактивности на устройстве) WD ATP посылает уведомление в свою консоль и на почтуадминистратору. Результаты анализа и мониторинга выводятся единым экраномотчетности на портале Windows Security Center,и предназначен в первую очередь для специалистов по безопасности.

Центр управления безопасностью

Источник: Microsoft, 2017

Это достаточно мощная служба, фактически выполняющая функцииSIEM-системы (исовместимая со сторонними SIEM).Она анализирует данные, поступающие с большого количества конечных устройств c Windows, Office и EMS, что позволяет использоватьединую базу угроз, и обнаруживать атаки раньше, чем они попадают в базыпоставщиков антивирусов. Пожалуй, ни одна другая компания не может сравниться сMicrosoft повозможностям сбора аналитических данных с компьютеров и серверов по всему миру.Каждый день миллионы копий Windows,Office, другихприложений Microsoft отправляют информацию о состоянии безопасности.

Windows АТР своевременно обнаруживает атаки, проводитглубокий анализ файлов и быстро определяет уровень угроз в регионе и масштабзаражения. Это облачная система, она не требует отдельной инсталляции и сложнойнастройки, что очень удобно и экономно для компаний. В последние образы Windows10 Enterprise (Е5) встроены датчики, определяющие зловредное поведение, идоступ к ним администратор получает при подключении к сервису Windows АТР.

Интересно, что, выпуская такие продвинутые средства защиты, Microsoft не позиционируетсебя как участника рынка информационной безопасности. Тем не менее, сам факт,что компания занялась защитой информационных ресурсов клиентов на таком высокомуровне, говорит о том, что действительно: одного антивируса для защиты уженедостаточно.