Эксперт по компьютерной
криминалистике Angara SOC
Киберкриминалисты обычно распутывают следы хакерской активности, но иногда противостоят атакам, которые продолжают развитие «здесь и сейчас». Как это может выглядеть на примере атаки программы-вымогателя?
Достаточно распространенная ситуация: специалисты ИТ-департамента выявляют атаку программы-вымогателя и более того: видят, что программа продолжает работу в инфраструктуре компании, шифруя все новые и новые данные! Прежде чем звать специалистов по реагированию, которые помогут выяснить причины успеха данной кибератаки, раскрыть используемые злоумышленниками тактики, техники и процедуры, оценить нанесенный ущерб, получить рекомендации по повышению уровня защищенности инфраструктуры и ликвидации слабых мест в защите, — еще можно успеть выполнить ряд действий по минимизации ущерба от «вымогателя»…
Программы-вымогатели становятся популярнее с каждым годом. Причин тому несколько, одна из основных — простота монетизации преступной деятельности. За первую половину 2023 года суммарные запросы киберпреступников за разблокирование зашифрованной информации стали на 175,8 млн долларов больше, чем год назад, по данным Chainalysis.
Исследователи анализировали движение криптовалюты — в большинстве случаев хакеры запрашивают выкуп именно в «крипте». Если динамика сохранится, то итогом 2023 года может стать сумма выкупов более 900 млн долларов. Возможно, будет побит рекорд 2021 года, когда выкупы составили 939,9 млн долларов.
Экосистема программ-вымогателей развивается крайне динамично и, как отмечают специалисты «Лаборатории Касперского», становится еще более «индустриализированной». Напомню, например, что хакеры активно используют современные практики, позволяющие, в частности, арендовать инструменты для киберпреступления. Предложений RaaS — Ransomware as a Service — в даркнете все больше, и они становятся все популярнее. Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «вредоносное ПО как услуга» (MaaS, Malware as a Service), — именно программы-вымогатели, по данным «Касперского».
Первое действие, нужное в такой ситуации, связано не с цифровыми технологиями, а с психологией: надо перестать паниковать! Эмоциями делу не поможешь, а основная цель сейчас — сдержать угрозу, сохранив в целости как можно большее количество данных компании.
Фотографируем «ransom note», то есть записку с требованием выкупа. Именно фотографируем! В теории можно сделать «принтскрин», но на практике быстрее и проще будет именно получить снимок «ransom note» — смартфон с камерой есть у каждого! Можно тут же передать эту информацию специалистам по ИБ, которые занимаются отражением данной атаки, но можно на некоторое время и забыть — сейчас у нас другие задачи.
Все действия, которые я приведу ниже, затронут — как минимум частично — привычные ИТ-процессы в компании, нарушив при этом операционную деятельность. Но на ИТ-процессы уже повлиял работающий «вымогатель» — вы помните? И его мы сейчас останавливаем, а с остальным потом разберемся.
Выполнять эту последовательность надо быстро, но спокойно: действия требуют аккуратности.
Теперь зовите «безопасников» и компьютерных криминалистов. Здесь начинается уже самый настоящий форензик.
Выполнив пункты 1–4, можно совместно со специалистами начать исследование активности операторов «шифровальщика». Как именно вредоносное программное обеспечение распространялось в сети компании? Как передвигались атакующие и какие действия они, возможно, еще выполняли? Есть ли сейчас у атакующих доступ к вашей сети?
Тут самое важное — помнить, что реагирование на компьютерный инцидент — это не только история про сдерживание, но еще и комплекс мероприятий по идентификации и ликвидации последствий в максимально полном объеме.
Замечу, что выплата выкупа в общем случае никак не гарантирует восстановления данных! Зачастую хакеры после получения оговоренного выкупа от жертвы просто скрываются с деньгами, не выполняя условий соглашения. Иногда «вымогатель» написан с ошибками, не позволяющими восстановить данные, а иногда восстановление попросту не предусмотрено, о чем жертва узнает слишком поздно.
И, конечно же, получение ряда практических выводов для того, чтобы исключить впредь атаки «вымогателей», — как минимум по уже реализованной в данном случае схеме.
Другими словами: «lessons must be learned».
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться