14 Января, 2019

Как защитить резервные копии от вымогателей

Владимир Безмалый

Ransomware становится умнее, нападая на резервные копии, чтобы предотвратить восстановление. Чтобы этого не случилось, сделайте несколько простых шагов.

Несмотря на недавнее снижение количества атак, вымогатели по- прежнему представляют значительные угрозы для предприятий. Такие нападения становятся более опасными. В частности, авторы вымогателей знают, что резервные копии являются эффективной защитой, и модифицируют свои вредоносные программы для отслеживания и устранения резервных копий.

Уменьшение количества Ransomware

Компания McAfee сообщает об уменьшении количества вредоносных программ и образцов за прошедший год. Согласно последнему отчету, в третьем квартале 2018 года количество образцов вымогателей составило менее половины количества образцов на конец 2017 года, когда их количество достигло около 2,3 миллиона. По данным «Лаборатории Касперского» , 765 000 ее пользователей были атакованы вредоносными программами, зашифровавшими файлы в течение прошлого года, по сравнению с более чем пятью миллионами, которые были атакованы криптомайнерами.

Директор по исследованию угроз BitDefender Богдан Ботезату говорит, что главная причина прекращения атак вымогателей заключается в том, что компании, занимающиеся вопросами безопасности, лучше защищаются от них. «Всегда будут новые версии вымогателей, некоторые из которых будут более сложными, чем другие, а некоторые сложнее поймать, но мы не ожидаем, что вымогатели приобретут гораздо большие масштабы», — говорит он. «По крайней мере, не больше, чем в прошлом году».

«В течение нескольких лет вымогатели были главной угрозой, но их количество значительно уменьшелось», — говорит Адам Куджава, глава отдела исследования вредоносных программ в Malwarebytes. Тем не менее, вымогатели, которые там находятся, развиваются, говорит он. Например, авторы вредоносных программ используют в своих интересах последние эксплойты, такие как те, что просочились из АНБ. «Мы видим, что они появляются во многих семействах вредоносных программ», — говорит он. «Когда вы используете такой вид эксплойта, то, если вы заражаете одну систему, вы можете заразить гораздо больше, используя эти эксплойты. Вы создаете гораздо большую цель — это тенденция».

Резервное копирование – новая цель вымогателей

По словам Кудзавы, Ransomware теперь удаляет все резервные копии, которые встречаются на этом пути. Например, распространенной тактикой вымогателей является удаление автоматических копий файлов, которые создает Windows. «Поэтому, если вы перейдете к восстановлению системы, вы не сможете вернуться назад», — сказал он. «Мы также видели, как они обращаются к общим сетевым дискам».

Два недавних примера вымогателей, у которых есть прицел на резервные копии, — SamSam и Ryuk . В ноябре Министерство юстиции США предъявило обвинение двум иранцам в использовании вредоносного ПО SamSam для вымогательства более 30 миллионов долларов у более чем 200 жертв, включая больницы. Злоумышленники максимизировали ущерб, начав атаки в нерабочее время и «зашифровав резервные копии компьютеров жертв», говорится в обвинительном заключении.

Совсем недавно Ryuk поразил нескольких крупных целей, в том числе Los Angeles Times и провайдера облачных данных Data Resolution. По словам исследователей безопасности в Check Point , Ryuk включает в себя скрипт, который удаляет теневые тома и файлы резервных копий. «Хотя этот конкретный вариант вредоносного ПО не предназначен специально для резервного копирования, он подвергает риску более упрощенные решения для резервного копирования, которые приводят к хранению данных на общих файловых ресурсах», — говорит Брайан Дауни, старший директор по управлению продуктами в Continuum, базирующейся в Бостоне. технологической компании, которая предлагает услуги резервного копирования и восстановления.

Наиболее распространенный способ — использовать функцию Microsoft Windows под названием «Previous Versions», говорит Мунир Хахад, глава отдела исследований угроз в Juniper Networks. Это позволяет пользователям восстанавливать более ранние версии файлов. «Большинство вариантов вымогателей удаляют моментальные копии теневых копий», — говорит он, добавляя, что большинство атак вымогателей также будут атаковать резервные копии на подключенных сетевых драйверах.

Атака вымогателей на резервные копии оппортунистические, нецелевые

Однако это не означает, что все резервные копии уязвимы. По словам Дэвида Лавиндера (David Lavinder), главного технолога Booz Allen Hamilton, когда вымогатели используют резервные копии, это не преднамеренные цели. В зависимости от вымогателя, он обычно работает путем сканирования системы, ищущей определенные типы файлов. «Если он обнаружит расширение файла резервной копии, он наверняка зашифрует его», — говорит он.

Ransomware также пытаются распространить, заразив как можно больше других систем, говорит он. Это вид червей , как и в случае с WannaCry , именно там ожидается увидеть больше активности в будущем. «Мы не ожидаем увидеть преднамеренное нацеливание резервных копий, но мы ожидаем увидеть более сфокусированные усилия», — говорит он.

Вы можете защитить свои резервные копии и системы от этих новых тактик вымогателей, приняв несколько основных мер предосторожности.

Дополните резервные копии Windows дополнительными копиями и сторонними инструментами

Чтобы защитить себя от вымогателей, которые удаляют или шифруют локальные резервные копии файлов, Kujawa предлагает использовать дополнительные резервные копии, сторонние утилиты или другие инструменты, которые не являются частью конфигурации Windows по умолчанию.

Изолировать резервные копии

Чем больше барьеров существует между зараженной системой и ее резервными копиями, тем сложнее будет вымогателю добраться до нее. По словам Лэндона Льюиса, генерального директора Pondurance, консалтинговой фирмы по кибербезопасности в Индианаполисе, одна из распространенных ошибок заключается в том, что пользователи используют тот же метод аутентификации для своих резервных копий, что и в других местах. «Если учетная запись вашего пользователя скомпрометирована, первое, что злоумышленник хочет сделать, — это повысить его привилегии», — сказал он.

Храните несколько копий в нескольких местах

Льюис рекомендует компаниям хранить три разных копии своих важных файлов, используя как минимум два разных метода резервного копирования, и хотя бы один из них должен находиться в другом месте. Облачные резервные копии предоставляют простой в использовании вариант резервного копирования вне сайта, говорит он. «Блокировать хранилище в Интернете очень недорого. Трудно спорить, почему кто-то не использовал бы его в качестве дополнительного метода резервного копирования. А если вы используете другую систему аутентификации, это даже лучше».

Многие поставщики резервного копирования также предлагают возможность отката или нескольких версий одного и того же файла. Если вымогатель атакует и шифрует файлы, тогда утилита резервного копирования автоматически делает резервные копии зашифрованных версий и перезаписывает хорошие, тогда вымогателю даже не нужно изо всех сил добираться до резервных копий. В результате откаты становятся стандартной функцией, и компании должны проверить, прежде чем выбирать стратегию резервного копирования. «Я бы добавил это к моим критериям наверняка», — говорит Льюис.

Тест, тест, тест

Многие компании обнаруживают, что их резервные копии давно не обновлялись или слишком громоздки, чтобы вернуться после того, как стали жертвами атаки. Если вы не выполнили какое-либо упражнение по восстановлению, и оно не задокументировано, и никто не знаком с ним, то восстановление после атаки будет весьма затруднено и многие клиенты рассматривают возможность оплаты, а в некоторых случаях фактически оплачивают, потому что платить злоумышленнику на самом деле дешевле.

Боб Антиа (Bob Antia), CSO в Kaseya, технологической компании, предоставляющей решения для резервного копирования в рамках своих предложений, также рекомендует проверить, могут ли поставщики резервного копирования обнаруживать атаку с использованием вымогателей, особенно более новые и скрытые варианты. По его словам, некоторые вымогатели теперь намеренно заражают медленно или бездействуют перед заражением. «Эти две методики означают, что трудно узнать, к какому моменту времени нужно восстанавливаться из ваших резервных копий», — говорит он. «Я ожидаю, что вымогатели продолжат находить хитрые способы скрыть себя, чтобы сделать восстановление более трудным».