Ловушка для обманщика: как поймать вредонос на «живца»

Ловушка для обманщика: как поймать вредонос на «живца»
a37c7801caf033b7104170b34e9b2f7d.jpg

Польская компания REDTEAM.PL обнаружила активную кампанию вымогательского ПО Black Kingdom. Для атаки хакеры используют известную уязвимость ПО Pulse Secure VPN, программная коррекция (патч) для которой существует, но, судя по успешности атак, не многие пользователи успели вовремя установить это обновление.
Что в этой новости более интересно – обнаружить атаку и получить образец вымогательского ПО Black Kingdom удалось благодаря системе Honeypot («горшочек с медом» – англ.). Это класс систем, предназначенный для обмана злоумышленников и пассивной ловли вредоносного ПО в специализированные ловушки.
Ловушка представляет собой либо аналогичный корпоративным, либо хуже защищенный ресурс, доступный в Интернете. Он попадает в спектр обнаруженных хакерской разведкой информационных систем и становится объектом атаки одним из первых. Так  происходит заражение ресурса и, соответственно, раннее обнаружение вредоносного ПО аналитиками ИБ и присутствия атаки в системе. Из обнаруженного образца безопасники получают информацию о векторах распространения, используемых уязвимостях и сами индикаторы компрометации. Кроме того, ресурс может располагать ложными данными о привилегированных записях и других системах и таким образом сдерживать реальное заражение.
Системы Honeypot сейчас представлены более широким классом решений – Deception, имеющим гораздо большие возможности реализации, масштабирования и автоматизации. В том числе, функция присутствия не только на периметре, но и внутри сети, что позволяет создать целую систему ложных целей. Современные решения класса Deception могут подделывать не только Windows/Linux/Mac-устройства и сетевое оборудование, но и банкоматы и POS-устройства, SCADA-устройства, базы данных, корпоративные приложения Oracle, SAP и даже SWIFT-инфраструктуры.
Группа компаний Angara активно работает с этими решениями и рекомендует следующих производителей:
• TrapX DeceptionGrid,
• Illusive Networks.
Напоминаем, что при заражении вымогательским ПО платить вымогателям не имеет смысла. Таким образом вы только подстегиваете его на дальнейшую деятельность. Восстановить файлы удается редко, и ключи, как правило, у хакеров уже не хранятся.
Некоторые антивирусные аналитики, например «Лаборатории Касперского», периодически разрабатывают дешифраторы для популярных вирусов-шифровальщиков. А лучшим методом защиты данных от утери является их резервное копирование.

Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group