Что нужно, чтобы победить самого быстрого в мире шифровальщика?

Что нужно, чтобы победить самого быстрого в мире шифровальщика?

Согласно отчету Splunk , некоторые варианты программ-вымогателей шифруют файлы с ошеломляющей скоростью – до 25 000 файлов в минуту. То есть стоит пересмотреть свою стратегию обнаружения угроз и реагирования на них.

Как быстро программы-вымогатели шифруют файлы?

Информация о том, как быстро злоумышленники-вымогатели на самом деле шифруют файлы, подскажет, как лучше всего разработать соответствующий план смягчения угроз. Недавно исследователи измерили скорость шифрования 100 образцов программ-вымогателей из 10 семейств программ-вымогателей:

ransomware families.png

Рисунок 1. 10 семейств программ-вымогателей и соответствующие им штаммы из отчета Splunk.

Результаты шифрования были в порядке скорости:

  1. LockBit – 05:50

  2. Babuk – 06:34

  3. Avaddon – 13:15

  4. Ryuk – 14:30

  5. Revil – 24:16

  6. BlackMatter – 43:03

  7. Darkside – 44:52

  8. Conti – 59:34

  9. Maze – 1:54:33

  10. Mespinoza (PYSA) – 1:54:54

Среднее медианное время шифрования этих вариантов программ-вымогателей для набора из почти 100 000 файлов размером 54 ГБ составило 42 минуты 52 секунды. Некоторые варианты программ-вымогателей занимали менее 10 минут, а другие чуть менее 2 часов.

Самое быстрое время Lockbit (для одного образца) – 4:09 минут или примерно 25 000 файлов в минуту (если бы только решения для резервного копирования работали так быстро).

Почему обнаружение и реагирование не поможет?

После вступления программы-вымогателя в стадию атаки у вас мало времени на реагирование. То есть с началом шифрования файлов нет смысла полагаться на обнаружение и реагирование.

Сегодня 95% программ-вымогателей используют методы обхода для того, чтобы оставаться незамеченными традиционными решениями до стадии выполнения. Как только вымогатель запускается (например, начинает шифровать файлы), EDR должен мгновенно обнаружить вредоносное поведение и отреагировать. К сожалению, быстрой реакции не будет (потребуется не менее 30 минут), а значит разрушительный ущерб уже будет нанесен.

Вот почему многие поставщики решений по обнаружению и реагированию прилагают столько усилий для:

  1. Сокращение времени обнаружения — чем быстрее EDR обнаруживают вредоносы, тем меньше ущерба те нанесут.

  2. Смягчение атак – усилия по смягчению последствий помогут «откатить» вашу систему к состоянию до атаки.


Шифрование — последний шаг

Когда программе-вымогателю удается проникнуть в систему (через троянскую программу, эксплойт через уязвимость, фишинг и т. д.), она не сразу нанесет ущерб. Сначала программа-вымогатель пройдет этапы собственной версии цепочки киберубийств .

Перед инициированием своих «действий по целям», программе потребуется как минимум:

  • получить первоначальный доступ к сети,
  • установить соединение со своим сервером
        управления и контроля (C2),
  • скачать дополнительную полезную нагрузку,
  • выполнить повышение привилегий,
  • выполнить боковое перемещение,
  • заразить как можно больше конечных точек.

Как победить даже самые быстрые программы-вымогатели?

Для успешного выполнения всех шагов программа-вымогатель (или ее часть, которая первоначально закрепилась в системе) должна быть как можно более «тихой», чтобы остается незамеченной.

95 % вариантов программ-вымогателей используют один или несколько методов уклонения, например уклонение от «песочницы , «запутывание» и др.

Платформа Minerva Anti Evasion использует методы уклонения программ-вымогателей против них самих. Решение заставляет программы-вымогатели обезоруживать себя на неопределенный срок, прерывая их до запуска шифрования файлов.

Чем больше методов уклонения использует программа-вымогатель, тем легче платформе Minerva ее остановить. По сути, Minerva предотвращает продвижение программы-вымогателя на те этапы, на которых она может нанести ущерб.

Даже LockBit, самая быстрая известная программа-вымогатель, не может обогнать Minerva. Подробнее о возможностях Minerva по предотвращению угроз в отношении LockBit 2.0 читайте в исследовании от производителя .

Традиционные стратегии реагирования на угрозы, хотя и важны, не очень эффективны против противников с такими качествами. Вместо этого предприятия должны сосредоточиться на предотвращении угроз — подход, в котором Minerva преуспевает.

Cloud Networks является официальным партнером, реализующим защиту от Minerva. На сайте компании вы можете заказать бесплатный пилот.

                                                                               

Оригинал статьи .

безопасность данных Защита от программ-шифровальщиков Защита от шифровальщиков программа-вымогатель
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Cloud Networks

Полезные статьи и новости по теме информационной безопасности и IT-решений для SMB-бизнеса и Enterprise.