Ransomware — это вредоносная программа, которая пытается зашифровать файлы и удержать их для получения выкупа. Жертвы программ должны платить выкуп злоумышленникам за восстановление доступа к ресурсам, обычно в не отслеживаемой криптовалюте, в обмен на ключ дешифровки, которые могут появиться, а могут и не появиться после оплаты.
Для отдельного человека файлы, такие как фотографии, видео или важные документы может вызвать беспокойство, если оно скомпрометировано. Но для предприятия выкупаемое содержимое может легко включать в себя информацию, являющуюся собственной разработкой: данные, личная информация клиента, реквизиты счета и платежной карты, или другие.
Почти всегда Ransomware мотивируется прибылью, однако продвинутые атаки с целью выкупа могут иметь более широкие цели и причинить огромный вред организациям, включая существенные проблемы, если атака с целью выкупа приведет к тому, что организация не сможет продолжать свою нормальную деятельность. В экстремальных случаях человеческие жизни могут быть даже поставлены под угрозу.
Примеры недавних резонансных атак с использованием выкупа с огромными денежными потерями и негативным социальным влиянием:
- Больницы: (общие расходы - 92 млн фунтов стерлингов, прямые расходы и потеря производительности).
- Правительство штата/местное правительство: (объявлено чрезвычайное положение), (выплачено 1,1 млн. долл. США).
- Образование (457 000 долл. США), (1,14 млн долл. США).
- Шифрование конфиденциальных и личных файлов без возможности расшифровки.
- Угроза публичного доступа к конфиденциальным и личным файлам.
- Блокировка экрана компьютера запрещает полный доступ к системе.
- Блокирует работу определенных приложений, снижая производительность пользователей.
Как программное обеспечение для получения выкупа проникает в организацию?
Ransomware имеет множество жизнеспособных путей проникновения в организацию, и киберпреступники очень творчески подходят к использованию как технологических, так и человеческих уязвимостей.
Несмотря на многолетние тренинги в области безопасности, рискованное поведение пользователей остается неизменно высоким, что приводит к рискованным кликам по сомнительным ссылкам и непродуманным загрузкам собственных приложений/файлов.
- Адресная фишинговая электронная почта с вредоносными ссылками и вложениями в файлы.
- Загрузка вредоносных документов, как инициированная пользователем, так и вызванная загрузкой с диска.
- Загрузка вредоносных программ/ исполняемых файлов, включая поддельное программное обеспечение и поддельные обновления продуктов.
- Бесфайловые атаки в пространстве памяти, инициированные браузером, без прикосновения к дисковому диску.
- Заражение документов и мультимедийных файлов из сетевых файловых ресурсов и портативных мультимедийных дисков.
Рисунок 1: Общие векторы атаки с использованием выкупа
Что такое программа защиты от вымогательств?
Комплексная защита от выкупа требует постоянной бдительности на нескольких одновременных фронтах, каждый из которых должен быть охвачен решением в области безопасности:
- Упреждающая защита. Создание защищенных от взлома резервных копий пользовательских файлов, недоступных для выкупа.
- Блокирование и предотвращение. Развертывание адаптивных средств защиты, не зависящих от методов обнаружения на основе сигнатур.
- Мониторинг и раннее обнаружение. Отслеживание подозрительных процессов и сетевой активности, корреляция показателей атак.
- EDR и реагирование на инциденты. Профилактика не эффективна на 100% все время, поэтому EDR ищет подозрительные индикаторы на конечной точке и в сетевом трафике для корреляции с конкретными инцидентами для реагирования.
- Применение исправлений уязвимостей. Обновление уязвимых приложений и операционных систем с помощью новейших версий, поставляемых поставщиками. Исправления, применяются автоматически.
- Управление конфигурацией риска. Выявление и закрытие всех доступных источников проникновения программ-вымогателей путем выявления и исправления неправильных конфигураций системы, многие из которых можно исправить автоматически.
- Мониторинг рискованного поведения пользователей. Определите и исправьте поведение пользователей, которое увеличивает риск для организации, например повторное использование пароля, попадание в фишинговые ловушки, рискованные клики и скачивания, а также входы на незашифрованные сайты.
- Управление приложениями и устройствами. Контролируйте использование и разрешайте запуск только необходимых приложений и только необходимые внешние устройства для доступа к системе.
Рисунок 2: Тактика атак с целью получения выкупа и типичная « Cyber Kill Chain»
Защита векторов атак вымогателей
Облегчение от выкупа всех его разрушительных последствий также требует охвата всех распространенных векторов атаки:
- Ссылки на фишинговую или спамовую электронную почту и вредоносные файловые вложения.
- Загрузка вредоносных файлов, как инициированная пользователем, так и произведенная в результате загрузки с диска.
- Загрузка вредоносных программ или исполняемых файлов.
- Бесфайловые атаки в пространстве памяти, инициированные браузером без прикосновения к диску.
- Портативные мультимедийные диски и сетевые или удаленные файловые ресурсы общего доступа.
Резервные копии с защитой от несанкционированного доступа:
Bitdefender создает автоматические резервные копии пользовательских файлов, защищенные от взлома, без использования теневых копий, которые неоднократно доказывали, что их можно легко удалить с помощью программ для выкупа. Это защита в режиме hands-free, без надобности, чтобы пользователь что-то делал. Ransomware не может получить доступ к защищенным резервным копиям файлов, и пользователь не знает об их наличии. Смягчение последствий выкупа определяет, когда новое программное обеспечение пытается зашифровать файлы, и автоматически создает резервную копию целевых файлов, которая будет восстановлена после блокировки вредоносной программы. Bitdefender блокирует все процессы участвующие в атаке и начнет восстановление, одновременно уведомив об этом пользователя.
Блокирование и предотвращение
Защита от бесфайловых атак и Hyper Detect:
При активизации Bitdefender автоматически обнаруживает и блокирует атаки без файлов на этапе предварительного выполнения, предотвращая шифрование файлов и сохраняя полный доступ к системе. HyperDetect может обнаруживать и блокировать безфайловые атаки на этапе предварительного выполнения, используя высокоточные модели машинного обучения для обнаружения новых и неизвестных вредоносных программ с высокой точностью для успешного обнаружения и безфайловых выкупов во время нескольких шагов в цепочке атак, анализируя поведение на уровне кода.
Машинное обучение против вредоносного ПО:
Bitdefender Security автоматически и непрерывно обучает и улучшает свои возможности распознавания вредоносного ПО, используя один из крупнейших в отрасли репозиториев образцов, собранных в полевых условиях из обширной сети сенсоров глобальной сети. По мере развития программ-вымогателей, Bitdefender точно обнаруживает новые шаблоны как в предварительном исполнении, так и во время выполнения.
Усовершенствованный Anti-Exploit:
Авторы программ-вымогателей используют наборы эксплойтов, которые используют уязвимости нулевого дня или непревзойденные уязвимости, чтобы закрепиться в системе. Bitdefender фокусируется на методах атаки для защиты систем и предотвращения предвзятого отношения к программам выкупа. Передовые технологии защиты от эксплуатации позволяют быстро выявлять и автоматически завершать вредоносные процессы.
Защита сети:
Network Attack Defense использует поведенческую эвристику для анализа сетевой активности хостов в режиме реального времени и усиливает контроль против техник эксплойта, которые могут отфильтровывать личную информацию из вашей сети. Она использует машинное обучение для блокирования эксплойтов выкупа, которые поступают через точки входа в сеть, такие как BlueKeep. Network Protection также служит для остановки начального доступа, доступа к учетным данным, обнаружения и атаки на поперечное перемещение.
Мониторинг и раннее обнаружение
Расширенный контроль над угрозами:
GravityZone отслеживает запущенные процессы в режиме реального времени - модификации ключей, чтение/запись файлов, действия по шифрованию - для выявления подозрительных или вредоносных процессов с целью их автоматического или ручного завершения командами безопасности.
EDR и реагирование на инциденты:
Не все атаки можно заблокировать или предотвратить, а некоторые стадии атаки проявляются медленно с течением времени. EDR всегда будет играть роль в смягчении последствий применения программ выкупа. GravityZone EDR автоматически коррелирует множество признаков атаки и компрометации (IOAs/IOCs) с вредоносной активностью, наблюдаемой в системе и в сети, что способствует быстрому и точному реагированию на инциденты, что сокращает время пребывания злоумышленника в сети и облегчает быстрое восстановление файлов из программ, использующих выкуп.
Снижение рисков пользователей и системы
Ликвидация уязвимостей:
Непревзойденные системы оставляют организации восприимчивыми к атакам с целью получения выкупа. Модуль GravityZone Patch Management помогает организациям поддерживать операционные системы и приложения в актуальном состоянии по всей базе установки Windows, включая desktop/laptop, физические серверы и виртуальные серверы.
Ошибочные конфигурации системы:
Неправильно настроенные системы оставляют двери широко открытыми для атак с целью выкупа, включая настройки безопасности браузера, сети и учетных записей, настройки безопасности операционной системы, такие как открытые порты, несущественные сервисы и инструменты административного сценария (например, PowerShell). GravityZone сканирует случаи неправильной настройки системы и может автоматически обновлять многие настройки неправильно настроенных машин удаленно, одновременно уведомляя администратора о необходимости сброса остальных настроек.
Уязвимости приложений:
Устаревшие приложения с известными уязвимостями (CVE) могут быть использованы авторами выкупа с целью злоупотребления функциональностью программ или загрузки вредоносного контента из Интернета. Рискованные приложения могут быть обновлены до более новой/безопасной версии или удалены из системы, если приложение не требуется пользователю. GravityZone сканирует CVE и ранжирует уязвимости приложения по степени серьезности, чтобы администраторы могли принять оперативные меры.
Рискованное поведение пользователей:
Пользователи добавляют риск заражения программой выкупа каждый раз, когда они открывают электронное письмо, нажимают на ссылку или загружают файл. GravityZone Human Risk Analytics изучает, где пользователи просматривают, какие файлы открывают, к каким файлам они обращаются, как и где они входят на рискованные веб-сайты, а также следит за гигиеной паролей и их повторным использованием, чтобы можно было исправить рискованное поведение.
Зачем нужна защита от программ-вымогателей Bitdefender?
Комплексная защита от выкупа на конечных точках имеет решающее значение, так как конечные точки являются шлюзами к серверам с высокой добавленной стоимостью и другим объектам, на которых хранится конфиденциальная информация, данные о клиентах, платежные реквизиты и другая ценная интеллектуальная собственность.
Преимущества предотвращения мошенничества со стороны Bitdefender:
- Hands-free гарантия непрерывности бизнеса от всех распространенных векторов атак выкупа.
- Спокойствие и уверенность в том, что ваше решение в области безопасности адаптировано к победе над новыми и новейшими технологиями с использованием выкупа.
- Свобода от использования резервных копий на рабочих местах или длительное время восстановления из облачных резервных копий.
- Локальные, сетевые и основанные на инцидентах опции восстановления файлов и устранения нарушений для восстановления после атак.
- Ошибки случаются! Bitdefender перемещает ограничительный баланс между безопасностью и производительностью пользователя в пользу пользователя.
Bitdefender охватывает больше случаев использования средств защиты от выкупа, чем конкурирующие решения, предлагая пользователям и администраторам безопасности многоуровневые инструменты для защиты от выкупа. Тщательное предотвращение и восстановление происходит на уровне администрирования конечных точек, сети и GravityZone Console, независимо от того, была ли первоначальная атака успешной или нет.
Локальное программное обеспечение для уменьшения риска выкупа:
Для предотвращения локального вымогательства администраторы могут настроить политику безопасности Bitdefender на мониторинг процессов на конечных точках и восстановление зашифрованных файлов, как только адаптивная технология обнаружит и заблокирует атаку. Даже если программе-вымогателю удается зашифровать локальные файлы, технология предотвращения атак сразу же внедряется для восстановления этих файлов - автоматически или по требованию, когда администратор контролирует время восстановления зашифрованных файлов.
Remote Ransomware Mitigation:
Для Remote Ransomware Mitigation администратор безопасности может включить технологию мониторинга сетевого ресурса пути, к которому можно получить удаленный доступ и предотвратить шифрование файлов. На удаленной конечной точке пользователь Агент Ransomware Mitigation подтверждает, что Ransomware Mitigation перехватил поведение удаленного вредоносного процесса и защитил файлы. Администраторы Bitdefender могут быстро запустить отчеты об аудите и узнать больше информации об IP-адресе – где была запущена удаленная атака на выкуп, а также защитный модуль, который защищал конечную точку, и они также может получать уведомление по электронной почте в случае блокировки атаки, содержащее информацию об IP-адресе злоумышленника.
Управление инцидентами из GravityZone:
В GravityZone команды безопасности имеют полную видимость kill-chain атаки и файлов, затронутых атакой выкупа. Bitdefender EDR детектирует, что администраторы безопасности могут либо убить активный вредоносный процесс, либо поместить зараженные файлы в карантин. Они также могут навсегда занести в черный список IP-адрес злоумышленника.
Рисунок 3: GravityZone EDR реакция на инцидент показывает полную цепь атак
Отличия Gravity Zone
Предупреждение и смягчение последствий выкупа встроено в консоль управления гравитационной зоной и Bitdefender.
Endpoint Security Tools (BEST) клиент на несколько уровней, намного опережает конкурирующие решения безопасности.
Непревзойденное сочетание защиты от вымогателей в GravityZone:
Многоуровневые блокировочные слои | Конечная точка и сеть, предварительное выполнение и доступ, на базе файлов и без файлов. |
Многоуровневые слои обнаружения | Проверка процесса, мониторинг реестра, проверка кода, Hyper Detect. |
Многоуровневые слои восстановления | Эффективный откат на локальной машине, удаленная система или EDR инциденты. |
Адаптивная защита | Расширенный Anti-Exploit, адаптивные эвристики, настраиваемое машинное обучение. |
Технологии снижения рисков | Автоматическое исправление уязвимостей, неправильные настройки системы, поведение пользователя. |
Резервные копии с защитой от несанкционированного доступа | Не используются уязвимые теневые копии, программы выкупа не могут удалить резервные копии. |
Удаленная блокировка программы выкупа | Блокирует удаленные и сетевые атаки на выкуп, а также IP-адреса злоумышленников, внесенных в черные списки. |
Зачистка уровня Enterpise | Убийство процессов удаленно, простой глобальный карантин файлов и их удаление. |
Непревзойденная комбинация средств защиты от выкупа в GravityZone
Самый награжденный поставщик безопасности конечных точек!
Bitdefender постоянно занимает первые места в независимых тестах и оценках третьих сторон:
- Рейтинг №1 и выбор редакции PC в номинации
- Занял 1-е место и получил награду от редакции PC.
- - Forrester Research.
- , AV-тест (январь-октябрь 2020 г.)
