Атака «шифровальщика»: спасаем, что можно

Лада Антипова

Эксперт по компьютерной криминалистике Angara SOC

Киберкриминалисты обычно распутывают следы хакерской активности, но иногда противостоят атакам, которые продолжают развитие «здесь и сейчас». Как это может выглядеть на примере атаки программы-вымогателя?

Достаточно распространенная ситуация: специалисты ИТ-департамента выявляют атаку программы-вымогателя и более того: видят, что программа продолжает работу в инфраструктуре компании, шифруя все новые и новые данные! Прежде чем звать специалистов по реагированию, которые помогут выяснить причины успеха данной кибератаки, раскрыть используемые злоумышленниками тактики, техники и процедуры, оценить нанесенный ущерб, получить рекомендации по повышению уровня защищенности инфраструктуры и ликвидации слабых мест в защите, — еще можно успеть выполнить ряд действий по минимизации ущерба от «вымогателя»…

Почему рассматриваем именно «вымогателей»

Программы-вымогатели становятся популярнее с каждым годом. Причин тому несколько, одна из основных — простота монетизации преступной деятельности. За первую половину 2023 года суммарные запросы киберпреступников за разблокирование зашифрованной информации стали на 175,8 млн долларов больше, чем год назад, по данным Chainalysis.

Исследователи анализировали движение криптовалюты — в большинстве случаев хакеры запрашивают выкуп именно в «крипте». Если динамика сохранится, то итогом 2023 года может стать сумма выкупов более 900 млн долларов. Возможно, будет побит рекорд 2021 года, когда выкупы составили 939,9 млн долларов.

Экосистема программ-вымогателей развивается крайне динамично и, как отмечают специалисты «Лаборатории Касперского», становится еще более «индустриализированной». Напомню, например, что хакеры активно используют современные практики, позволяющие, в частности, арендовать инструменты для киберпреступления. Предложений RaaS — Ransomware as a Service — в даркнете все больше, и они становятся все популярнее. Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «вредоносное ПО как услуга» (MaaS, Malware as a Service), — именно программы-вымогатели, по данным «Касперского».

Что делаем, столкнувшись с активностью «вымогателя», в реальном времени

Первое действие, нужное в такой ситуации, связано не с цифровыми технологиями, а с психологией: надо перестать паниковать! Эмоциями делу не поможешь, а основная цель сейчас — сдержать угрозу, сохранив в целости как можно большее количество данных компании.

Фотографируем «ransom note», то есть записку с требованием выкупа. Именно фотографируем! В теории можно сделать «принтскрин», но на практике быстрее и проще будет именно получить снимок «ransom note» — смартфон с камерой есть у каждого! Можно тут же передать эту информацию специалистам по ИБ, которые занимаются отражением данной атаки, но можно на некоторое время и забыть — сейчас у нас другие задачи.

Все действия, которые я приведу ниже, затронут — как минимум частично — привычные ИТ-процессы в компании, нарушив при этом операционную деятельность. Но на ИТ-процессы уже повлиял работающий «вымогатель» — вы помните? И его мы сейчас останавливаем, а с остальным потом разберемся.

Последовательность действий «just now»

Выполнять эту последовательность надо быстро, но спокойно: действия требуют аккуратности.

1. Отключаем инструменты резервного копирования, работающие в данной ИТ-инфраструктуре. Возможно, они уже обработаны «вымогателем» или были заблаговременно удалены его операторами, а возможно, бэкапированы уже зашифрованные фрагменты данных, но есть шансы — и немалые! — восстановить пораженные фрагменты из резервных копий. Бэкап как последний эшелон защиты данных должен быть «изолирован» первым делом.
2. Отключаем административные ресурсы, а именно C$, IPC$, ADMIN$.
3. Если вы пользуетесь каким-либо дополнительным функционалом по синхронизации данных, его необходимо отключить.
4. Изолируем отдельные сегменты сети и / или наиболее критичные хосты. В этом все способы хороши! Иногда для конечных узлов это позволяют сделать файерволы — внутри сети или стоящие на периметре — встроенные межсетевые экраны, некоторые EDR/XDR-решения с соответствующим функционалом и т. д. Иногда наиболее быстрым и потому наиболее действенным вариантом будет отключение питания— это точно сделает данные на этих системах недоступными для «вымогателя».

Теперь зовите «безопасников» и компьютерных криминалистов. Здесь начинается уже самый настоящий форензик.

Что дальше?

Выполнив пункты 1–4, можно совместно со специалистами начать исследование активности операторов «шифровальщика». Как именно вредоносное программное обеспечение распространялось в сети компании? Как передвигались атакующие и какие действия они, возможно, еще выполняли? Есть ли сейчас у атакующих доступ к вашей сети?

Тут самое важное — помнить, что реагирование на компьютерный инцидент — это не только история про сдерживание, но еще и комплекс мероприятий по идентификации и ликвидации последствий в максимально полном объеме.

Замечу, что выплата выкупа в общем случае никак не гарантирует восстановления данных! Зачастую хакеры после получения оговоренного выкупа от жертвы просто скрываются с деньгами, не выполняя условий соглашения. Иногда «вымогатель» написан с ошибками, не позволяющими восстановить данные, а иногда восстановление попросту не предусмотрено, о чем жертва узнает слишком поздно.

И, конечно же, получение ряда практических выводов для того, чтобы исключить впредь атаки «вымогателей», — как минимум по уже реализованной в данном случае схеме.

Другими словами: «lessons must be learned».