Вирусы-шифровальщики (ransomware) стали одной из самых серьезных киберугроз современности. Они не только наносят значительный финансовый ущерб, но и парализуют работу предприятий, организаций и отдельных пользователей.

Согласно исследованиям, количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом прошлого года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Жертвами шифровальщиков чаще всего становились предприятия госсектора и медицинские учреждения, а также российские ритейлеры, производственные, строительные, туристические и страховые компании. Почему же современные антивирусы часто оказываются бессильными перед лицом этой угрозы, и как защититься от шифровальщиков? Давайте разберемся.

Компания «Сайберпик» предлагает стратегию защиты от вирусов-шифровальщиков, в которую входят: модуль «Спектр | DCAP» для защиты от вирусов-шифровальщиков (3 месяца бесплатного пользования), обучение сотрудников на тестовом стенде компании и бесплатное пользование «Спектром-V».

Почему вирусы-вымогатели так распространены?

Ответ прост: это очень прибыльно. Киберпреступники получают огромные суммы выкупа, а создать новый вирус-вымогатель относительно легко. Готовые инструменты можно найти в даркнете, а процесс создания зачастую не требует глубоких знаний в программировании. Появилась даже уникальная модель «Шифровальщик как сервис» (Ransomware-as-a-Service), которая позволяет киберпреступникам без обширных технических знаний проводить самостоятельные атаки. Высокая эффективность и быстрая окупаемость делают ransomware крайне привлекательным видом киберпреступлений.

Классические инструменты и программные решения для защиты

Существует ряд различных общепринятых инструментов и методик, нацеленных на защиту от вирусов-шифровальщиков, каждый из которых имеет свои преимущества и недостатки:

• Предотвращение:
  • Системы предотвращения вторжений (IPS) – активное блокирование атак на периметре поможет от атаки «в лоб», но слабо поможет от атаки на пользователя посредством социальной инженерии.
  • Сегментация сети – разделение сети на изолированные сегменты усложняет проведения любых атак, но слабо защищает от последовательного автоматизированного распространения ransomware с использованием уязвимостей нулевого дня.
  • Контроль доступа – разграничение прав пользователей по доступу к данным и сервисам сыграет важную роль при первичной атаке за счет снижения площади воздействия, но требует решений и инструментов по их контролю.
  • Обучение сотрудников – регулярные тренинги по кибербезопасности помогают сотрудникам распознавать фишинговые атаки и другие виды социальной инженерии, но не защищают от человеческого фактора.
• Обнаружение:
  • Системы обнаружения вторжений (IDS) – мониторинг сетевого трафика поможет выявить подозрительную активность, но с лимитированными возможностями анализа высокоуровневых протоколов.
  • EDR/XDR-решения (Endpoint/Extended Detection and Response) – базовая защита серверов и рабочих станций, уязвимая к неизвестным сигнатурам и методикам из-за ограничений по ресурсам для сложного эвристического анализа.
• Восстановление:
  • Регулярное резервное копирование – хранение резервных копий данных на изолированных устройствах, защитит лишь в случае реальной изоляции одной из копий данных на случай полной компрометации сети.
  • Планы восстановления после сбоев – разработка детальных планов действий на случай удаления данных или заражения ransomware, корректно работает лишь при регулярных практических учениях по восстановлению.
  • Логирование событий – использование SIEM позволяет заранее выявить, понять и предотвратить ход атаки, но требует экспертных знаний команды в написании правил корреляции.

Классические и привычные методы защиты являются неплохим вариантом защиты, но не всегда достаточным – как мы видим из исследований и новостей об успешных атаках на организации.

Почему традиционных методов защиты зачастую недостаточно?

Вирусы-шифровальщики постоянно эволюционируют, что затрудняет их обнаружение традиционными антивирусными решениями, основанными на сигнатурах. Злоумышленники все чаще разрабатывают уникальные варианты ransomware, нацеленные на конкретные организации и использующие методы социальной инженерии для внедрения вредоноса. Программа-вымогатель может даже использовать скомпрометированные антивирусные сервисы атакуемой системы для распространения и работы своих копий, что дополнительно усложняет противодействие.

Кроме того, вирусы-шифровальщики зачастую используют совершенно легитимные инструменты для своей активности – например, функционал Windows BitLocker для шифрования или встроенные в ОС модули удаленного запуска процессов. С точки зрения того же антивируса это не является подозрительной активностью, хотя на самом деле система уже заражена.

Реальность такова, что какими бы сложными не являлись традиционные методы защиты, они либо являются лишь реактивными инструментами, не позволяющими полностью защититься от новых и неизвестных сигнатур, либо слишком общие в своем подходе (такие как резервирование и сегментация сети) и не нацелены на противодействие конкретной угрозе. Также нередко защита появляется уже только постфактум – когда о штаммах становится известно в результате прошедших атак. Именно поэтому киберпреступники в первую очередь активно ищут возможности обойти или нейтрализовать хорошо известные методы противодействия, посвящая данному вопросу достаточно много времени на стадии разработки и тестирования.

Новый датацентричный подход в защите от ransomware

Помимо традиционного подхода в защите данных и инфраструктуры, существует также и более современный метод противодействия программам-вымогателям, ориентированный непосредственно на целевые для атаки данные, – решения класса DAG/DCAP. В отличие от тех же антивирусов, которые фокусируются на обнаружении вредоносного кода с использованием сигнатур и эвристики, системы DAG/DCAP обеспечивают глубокий контроль над доступом к неструктурированным данным и выявляют аномалии в поведении пользователей на уровне обращений с файлами и объектами, и блокируют такую подозрительную активность с помощью агентов или скриптов.

Важно также понимать, что DAG/DCAP не сканируют файлы на наличие вредоносных программ, но зато анализируют само содержимое этих файлов для выявления наличия в них конфиденциальных данных. Это позволяет контролировать их местонахождение, текущие разрешения и отслеживать активность сотрудников, работающих с ними, а также выстраивать приоритеты по защите информации.

Решения DAG/DCAP эффективны благодаря следующим функциональным особенностям:

• Фокус на данные, а не на устройства (датацентричный подход): сосредоточение защиты на самих данных – их расположении, правах доступа, степени конфиденциальности.
• Глубокий анализ поведения (UEBA-аналитика), выявление аномалий и нарушений политик безопасности: настраиваемые политики хранения, прав доступа и работы с данными, идентификация подозрительных шаблонов поведения, предотвращение несанкционированных действий, случаи возникновения излишних привилегий и т.д.
• Централизованное управление: единая точка управления для контроля доступа к данным.
• Проактивная защита: позволяют обнаруживать и предотвращать угрозы на ранних стадиях, прежде чем они приведут к серьезным последствиям.
• Интеграция с другими системами безопасности: DAG/DCAP легко интегрируется с другими решениями для обеспечения комплексной защиты, например, с SIEM. В этом случае возможно в режиме «единого окна» получать исчерпывающую информацию о состоянии инфраструктуры и оперативно реагировать на возникающие инциденты.

Механизм эффективности решений DAG/DCAP в противодействии вирусам-вымогателям

DAG/DCAP система анализирует характерный паттерн поведения вируса-шифровальщика, а не его сигнатуру. Для DCAP не важна разновидность вируса, канал проникновения или специфика самого алгоритма шифрования данных, — детектируется именно определенная цепочка файловых операций от имени скомпрометированной УЗ на защищаемом файловом ресурсе. По факту обнаружения вредоносной активности система не только уведомляет Администратора СЗИ об инциденте по различным каналам, но и самостоятельно может заблокировать подозрительные файловые операции на уровне драйвера файловой подсистемы. В отличие блокировки учетной записи в домене или запуска скриптовых файлов, данных подход делает невозможным совершения каких-либо операций ввода-вывода на файловом сервере из-под данной УЗ. Подобный тип реакции гарантирует быструю остановку нелегитимной активности с файлами вне зависимости от сигнатуры вируса-шифровальщика.

В качестве дополнительного инструмента защиты от ransomware, в октябре 2024 года команда CyberPeak выпустила Спектр–V – утилиту-эмулятор вируса-шифровальщика. Данное приложение в безопасном режиме имитирует реальное поведение вредоносного ПО на файловом ресурсе и предназначено как для тестирования корпоративных систем безопасности, так и наглядной демонстрации возможностей противодействия системы DAG/DCAP шифрованию данных.

Заключение

Борьба с ransomware требует комплексного подхода, включающего в себя как разнообразные технические, так и организационные меры. Не существует универсального решения, которое могло бы полностью защитить от этой угрозы. Однако, сочетание различных инструментов и технологий, а также постоянное обучение сотрудников могут значительно снизить риски.

Решения класса DAG/DCAP играют все более важную роль в защите от данного типа киберугроз, дополняя существующий традиционный подход к защите ИТ-инфраструктуры. Они позволяют организациям кардинально уменьшить площадь атаки на данные, обнаруживать и предотвращать нелегитимную активность на ранних стадиях, минимизируя ущерб, а также устранять саму возможность утечки данных и ущерба для них. На данный момент класс решений DAG/DCAP можно по праву считать одним из важнейших элементов в системе защиты ИТ – ландшафта компании, наряду с привычными решениями XDR, DLP, SIEM и IPS/IDS.

Антон Здоров, инженер технического сопровождения продаж компании «Сайберпик»