Олег Скулкин, BI.ZONE: Резервное копирование – не панацея

Программы-шифровальщики все чаще появляются на радарах российских ИБ-специалистов. При этом чем крупнее компания, тем выше шансов стать жертвой группы вымогателей.

Какие уязвимости используют злоумышленники? И как защитить бизнес от шифровальщиков? Подробностями с Cyber Media поделился Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Cyber Media: Шифровальщиков называют главной угрозой этого десятилетия. Почему именно их, а не шпионское ПО, нацеленное на кражу банковских данных, например?

Олег Скулкин: Программы, которые крадут банковские данные, уже не так актуальны. Сейчас их чаще используют для получения первоначального доступа к корпоративным сетям. Если несколько лет назад печально известный Emotet был банковским трояном, то сегодня он используется чаще всего для загрузки дополнительного ВПО на скомпрометированную систему.

Злоумышленникам выгоднее проникать в ИТ-инфраструктуру организации и вымогать у нее крупную сумму. К тому же, взлом одной крупной компании по масштабу может быть громче и выгоднее, чем множества счетов физических лиц. Если корпорация перестает работать, то обычно страдает огромное количество людей. Вот почему до сих пор считается, что атака на крупную компанию – самая яркая и внушительная из всех возможных.

Еще один момент – если украли ваши данные, то вы продолжаете функционировать. Если злоумышленникам удалось распространить программу-вымогатель по сети, то компания больше не функционирует. Час простоя для крупной корпорации может стоить много миллионов рублей. И чем больше времени нужно ей для восстановления, тем больше денег она теряет. Даже если соглашается заплатить выкуп.

Cyber Media: Принято считать, что шифровальщики нужны исключительно для вымогательства денег из компаний. Используются ли они в других целях?

Олег Скулкин: Да, такие примеры есть. В России программы-вымогатели часто используют не только ради выкупа, но и с целью разрушить ИТ-инфраструктуру организации. В геополитическом контексте сегодня это государственные структуры, предприятия ОПК и другие интересные злоумышленникам объекты.

Часто преступники используют исходный код программ-вымогателей, которые попали в открытый доступ. На их основе они создают свое вредоносное ПО, и используют его, чтобы получить выкуп, разрушить ИТ-инфраструктуру организации, а иногда еще и с целью замести следы. Есть примеры, когда прогосударственные группы распространяли программу-вымогатель по корпоративной сети и требовали выкуп, хотя при этом фоном выгружали секретные данные. И таких случаев немало.

Cyber Media: Эксперты все чаще говорят о вайперах. Что отличает их от классических шифровальщиков? И насколько часто они встречаются?

Олег Скулкин: Учитывая опять же геополитическую ситуацию, вайперы встречаются сейчас довольно часто.

Если диск заражен программой-вымогателем, то файлы зашифровываются. Когда жертва платит выкуп, то она получает либо ПО для дешифровки данных, либо пароль.

Отличие вайперов в том, что они уничтожают файлы. Восстановить их не получится: данные разрушены, переписаны или стерты полностью. Здесь сразу понятно, что цель злоумышленников – не получить выкуп от организации, а разрушить ее ИТ-инфраструктуру.

Cyber Media: За последний год российские компании стали больше инвестировать в ИБ. Снизилось ли количество успешных атак с использованием шифровальщиков?

Олег Скулкин: Количество атак только растет, особенно на российские организации.

Успех атаки зависит от того, насколько хорошо защищена организация. Если у нее, например, есть SOC, то ее сложнее взломать. Злоумышленники используют программу-шифровальщик в конце, когда сеть уже полностью скомпрометирована. Все предыдущие шаги можно отследить с помощью постоянного мониторинга. Если его нет, то организация слепа и видит угрозу только в момент требования выкупа.

К сожалению, в России пока мало компаний с SOC или схожим уровнем защиты. Базовые средства вроде межсетевого экрана или антивируса есть, конечно, у многих. Но от атак, управляемых человеком, они не спасают, а это большинство случаев с использованием программ-вымогателей. Вот почему многое зависит от того, как именно организация подходит к вопросам ИБ.

Cyber Media: Какие практики могут помочь в случае с программами-шифровальщиками?

Олег Скулкин: Резервное копирование данных. Хотя с ним тоже бывают проблемы. Например, часто компания создает и хранит резервные копии, но никогда не пробует что-то из них восстановить. И вот злоумышленник зашифровывает данные, но не успевает добраться до серверов с резервными копиями. В этот момент в компании воодушевленно восклицают: «Ура, все хорошо, сейчас все восстановим». А на деле ничего не получается.

Да и в целом резервное копирование – не панацея. Это тоже данные, и их тоже могут удалить. Более того, злоумышленники стараются найти сервера с резервными копиями прежде, чем распространить программу-вымогатель.

Я бы рекомендовал отслеживать технологические тренды, которые есть в ИБ. В частности, можно внедрить SIEM-систему, в которой собирается много информации из разных источников, логов и т. д. В ней же можно мониторить сработки на основе корреляций, которые возникают в сети. Хотя и здесь не все так просто. Даже если вы видите какие-то следы того, что проводится сетевая разведка или кто-то пытается получить доступ к аутентификационному материалу – отреагировать быстро вряд ли получится. Скорее всего, злоумышленники уже распространят программу-вымогатель и зашифруют данные.

Другое дело – технологии EDR и XDR. Почти та же SIEM, но с огромной разницей – есть возможность реагирования на угрозы. Вы можете изолировать хост, провести какой-то криминалистический анализ на основе собранных данных и что-то сразу удалить (вредоносное ПО, хакерские инструменты и т.д.). Скорость расследования и реагирования намного выше. В случае с вымогателями и их программами это особенно важно.

Cyber Media: Может быть, есть эффективные организационные меры? Сегментирование?

Олег Скулкин: Здесь многое зависит от возможностей организации. Сегментирование могут позволить себе далеко не все компании. И даже если вы сегментируете сеть, то все равно могут остаться трасты между сегментами, и злоумышленники смогут получить к ним доступ.

Думаю, главный организационный момент – обнаружение атаки на ранних этапах. Важно увидеть, что злоумышленник попал в корпоративную сеть. А лучше – не допустить этого.

В организации со штатом несколько тысяч человек всегда есть риск, что кто-то пройдет по ссылке в фишинговом письме и злоумышленник получит доступ к какому-нибудь хосту. Дальше еще проще: пользователи могут использовать одинаковые пароли или хранить конфиденциальные данные в хранилищах, к которым легко получить доступ.

Такие примеры есть. Злоумышленник получает доступ к личной почте сотрудника, ищет там что-то ценное и находит VPN-ключи, всю информацию о корпоративной сети, файлы с паролями от всех сервисов компании и т.д.

Cyber Media: Человеческий фактор…

Олег Скулкин: Да, и он в истории с шифровальщиками играет очень важную роль. По статистике именно человек – самое слабое звено, из-за которого атаки становятся успешными.

В организации может быть все хорошо с ИТ-инфраструктурой и средствами защиты, но всегда найдется какой-то человек. Он либо не вовремя обновит программу, либо при обновлении не посмотрит, что сервер уже был скомпрометирован. Такое уже случалось не раз. В 2020-2021 гг было обнаружено много уязвимостей в серверах Microsoft Exchange. С каждым патчем люди обновляли версии, но забывали проверять сервер на наличие веб-шеллов. Очень часто они уже были, а простое обновление версии не решало проблему. Операторы шифровальщиков этим успешно пользовались.

Cyber Media: Что нового в разработке, распространении и эксплуатации шифровальщиков? Появились ли какие-то новые тенденции и особенности?

Олег Скулкин: Из нового то, что часть программ-вымогателей утекли в сеть. В их числе Conti и LockBit. Соответственно злоумышленники стали работать с этим ПО не в составе этих групп или по «партнерской» программе, а используют его на свое усмотрение.

Еще один момент – у вымогателей появился большой интерес к линукс-инфраструктуре. Раньше от их действий страдал только Windows-сегмент, сейчас у любой группы есть программы под Linux. И это логично – крупные компании хранят наиболее конфиденциальные данные на серверах, управляемых этой ОС. Если их зашифровать, то шанс получить выкуп намного выше. Но и это еще не все – некоторые группы уже разрабатывают ПО под MacOS.

Есть изменения в том, как злоумышленники получают первоначальный доступ к корпоративной сети. Раньше они чаще использовали публично доступные терминальные серверы и различные боты, которые распространялись фишингом. Сейчас популярнее уязвимости в публично доступных приложениях. В этом списке далеко не один только Microsoft Exchange, о котором я уже говорил.

Cyber Media: А если говорить о жертвах шифровальщиков? Какие компании сейчас наиболее интересны вымогателям?

Олег Скулкин: Все зависит от групп. Наиболее серьезные фокусируются на крупных организациях. Такие группы настолько продвинуты, что отслеживают выручку жертвы и выставляют выкуп исходя из этой суммы. Обычно это 1-5% годового дохода компании.

Есть группы, которые используют программы-вымогатели в атаках на небольшие компании. Чаще они работают путем подбора данных для доступа к серверам и просят от жертв несколько сотен тысяч рублей.

Тем не менее шанс получить выкуп всегда выше там, где жертвой оказывается крупная компания. В корпорациях и холдингах много данных, без доступа к которым функционировать они не смогут. Это миллионные, а порой и миллиардные потери. Если нет резервных копий, приходится платить. Так заканчиваются 99% успешных атак вымогателей на крупный бизнес.

Cyber Media: Как меняется ситуация в группах, особенно на фоне нескольких утечек исходного кода «брендовых» шифровальщиков за последнее время?

Олег Скулкин: Работать с чужим кодом программ-вымогателей теперь может кто угодно. От истории с партнерской программой группы частично отошли. При этом результат обычно тот же, что и раньше.

Что касается утечек, то слить код может любой участник группы. Точно так же может поступить сотрудник ИТ-компании. Причины всегда разные, их много. В случае с Conti, например, сыграли роль разногласия участников в отношении к геополитическим событиям.

Кстати, долго считалось, что большинство партнерских программ-вымогателей используют в России. Но если мы посмотрим на последние задержания, то зачастую они проходили в других странах. И это еще раз подтверждает факт, что в истории с шифровальщиками все не так однозначно, как кажется на первый взгляд.