Согласно отчету , некоторые варианты программ-вымогателей шифруют файлы с ошеломляющей скоростью – до 25 000 файлов в минуту. То есть стоит пересмотреть свою стратегию обнаружения угроз и реагирования на них.
Как быстро программы-вымогатели шифруют файлы?
Информация о том, как быстро злоумышленники-вымогатели на самом деле шифруют файлы, подскажет, как лучше всего разработать соответствующий план смягчения угроз. Недавно исследователи измерили скорость шифрования 100 образцов программ-вымогателей из 10 семейств программ-вымогателей:
Результаты шифрования были в порядке скорости:
LockBit – 05:50
Babuk – 06:34
Avaddon – 13:15
Ryuk – 14:30
Revil – 24:16
BlackMatter – 43:03
Darkside – 44:52
Conti – 59:34
Maze – 1:54:33
Mespinoza (PYSA) – 1:54:54
Среднее медианное время шифрования этих вариантов программ-вымогателей для набора из почти 100 000 файлов размером 54 ГБ составило 42 минуты 52 секунды. Некоторые варианты программ-вымогателей занимали менее 10 минут, а другие чуть менее 2 часов.
Самое быстрое время Lockbit (для одного образца) – 4:09 минут или примерно 25 000 файлов в минуту (если бы только решения для резервного копирования работали так быстро).
Почему обнаружение и реагирование не поможет?
После вступления программы-вымогателя в стадию атаки у вас мало времени на реагирование. То есть с началом шифрования файлов нет смысла полагаться на обнаружение и реагирование.
Сегодня 95% программ-вымогателей используют методы обхода для того, чтобы оставаться незамеченными традиционными решениями до стадии выполнения. Как только вымогатель запускается (например, начинает шифровать файлы), EDR должен мгновенно обнаружить вредоносное поведение и отреагировать. К сожалению, быстрой реакции не будет (потребуется не менее 30 минут), а значит разрушительный ущерб уже будет нанесен.
Вот почему многие поставщики решений по обнаружению и реагированию прилагают столько усилий для:
Сокращение времени обнаружения — чем быстрее EDR обнаруживают вредоносы, тем меньше ущерба те нанесут.
Смягчение атак – усилия по смягчению последствий помогут «откатить» вашу систему к состоянию до атаки.
Шифрование — последний шаг
Когда программе-вымогателю удается проникнуть в систему (через троянскую программу, эксплойт через уязвимость, фишинг и т. д.), она не сразу нанесет ущерб. Сначала программа-вымогатель пройдет этапы собственной версии .
Перед инициированием своих «действий по целям», программе потребуется как минимум:
- получить первоначальный доступ к сети,
- установить соединение со своим сервером
управления и контроля (C2), - скачать дополнительную полезную нагрузку,
- выполнить повышение привилегий,
- выполнить боковое перемещение,
- заразить как можно больше конечных точек.
Как победить даже самые быстрые программы-вымогатели?
Для успешного выполнения всех шагов программа-вымогатель (или ее часть, которая первоначально закрепилась в системе) должна быть как можно более «тихой», чтобы остается незамеченной.
| 95 % вариантов программ-вымогателей используют один или несколько методов уклонения, например , и др. |
Платформа Minerva Anti Evasion использует методы уклонения программ-вымогателей против них самих. Решение заставляет программы-вымогатели обезоруживать себя на неопределенный срок, прерывая их до запуска шифрования файлов.
Чем больше методов уклонения использует программа-вымогатель, тем легче платформе Minerva ее остановить. По сути, Minerva предотвращает продвижение программы-вымогателя на те этапы, на которых она может нанести ущерб.
Даже LockBit, самая быстрая известная программа-вымогатель, не может обогнать Minerva. Подробнее о возможностях Minerva по предотвращению угроз в отношении LockBit 2.0 читайте в .
Традиционные стратегии реагирования на угрозы, хотя и важны, не очень эффективны против противников с такими качествами. Вместо этого предприятия должны сосредоточиться на предотвращении угроз — подход, в котором Minerva преуспевает.
Cloud Networks является официальным партнером, реализующим защиту от Minerva. На вы можете заказать бесплатный пилот.
.
