Очередная волна массовых заражений вирусами-вымогателями показала, что корпоративный сегмент так же от них незащищен, как и домашние пользователи. А в силу того, что на коммерческие компании направлены еще и фишинговые атаки, их уязвимость гораздо больше. Если поискать на просторах интернета рекомендации по защите компаний от шифровальщиков, вы наткнетесь либо на рекламные статьи-рекомендации от известных разработчиков антивирусов, либо рекомендательные заметки блогеров, несущие неконцептуальные советы: «забрать у пользователей админские права» и «не открывать вложения в письмах из неизвестных источников».
К слову сказать, права администратора шифровальщикам и не нужны, чтобы зашифровать документы пользователя или, например, файловые базы 1С на компьютере. А фишинговые атаки направлены как раз на то, чтобы атакуемый думал, что письмо из известного источника, например, бухгалтеру присылают письма с вирусами якобы от налоговой или из банка.
Современные тенденции
Современные вирусы имеют модульную структуру. Так злоумышленникам проще и быстрее их изменять, подстраиваясь под новые уязвимости и задачи, а антивирусам сложнее им противодействовать. Задача атакующего модуля «закрепиться» в системе. Заражение может произойти из-за запуска вложения из фишингового письма или удаленно, используя уязвимость в атакуемой системе, или с помощью выполнения вредоносного кода со взломанного или зараженного интернет-сайта. Далее атакующий модуль, в зависимости от целей, сообщает на управляющие серверы об успешном заражении, включая данные об инфицированной системе, а затем загружает с них следующие модули на компьютер жертвы. Эти модули могут дать удаленный доступ к системе или отправить на сервер все учетные данные пользователей, обнаруженные в системе, собрать адреса электронной почты или зашифровать файлы на диске, разослать зараженные письма или атаковать соседние компьютеры в локальной сети.
Например, первая версия вируса WannaCry искала компьютеры в сети Интернет, перебирая IP-адреса, с уязвимостью сервиса SMB, заражала их, скачивала модуль-вымогатель, который шифровал файлы и выводил сообщение с требованием выкупа. Позднее появилась модификация WannaCry, которая, кроме модуля-вымогателя, имела еще и модуль, атакующий и другие компьютеры в локальной сети. Следующие волны заражений шифровальщиками показали, что хоть атакующие модули вирусов и пути заражения были другими, но они тоже содержали в себе аналогичный модуль, позволяющий распространятся в локальной сети. Также они содержали модуль, который рассылал письма с зараженными вложениями по почте.
Таким образом, подход к защите от шифровальщиков должен быть комплексный.
Способы защиты от вирусов-шифровальщиков
Резервное копирование. Безусловно, резервное копирование не является прямой защитой от вирусов-вымогателей, но является защитой от их действий. Последние эпидемии дали четко понять, что цель шифровальщиков не столько заработать, сколько парализовать атакуемых. Грамотно настроенное хранение резервных копий и продуманный план аварийного восстановления минимизируют простой бизнеса, а следовательно, и недополученную прибыль, финансовые и репутационные потери.
Централизованная антивирусная защита. О преимуществах именно централизованной защиты можно написать целую статью, но мы остановимся на том, как антивирус может помочь защититься от шифровальщиков. Да, современные вирусы загружают свои модули зашифрованными и по шифрованным протоколам, чтобы избежать обнаружения антивирусом, но не стоит забывать, что и современные антивирусы – не просто «обнаружитель зловредов». Это и сетевой экран, который поможет заблокировать загрузку модулей вируса, и «песочница», в которой запускается подозрительное приложение и анализируется его поведение, анализ интернет-ссылок на кросс-скриптинг или мошеннические сайты.
Актуальные обновления программного обеспечения. Напомним, что компания Microsoft опубликовала обновление MS17-010, которое закрывало уязвимость сервиса SMB, еще 14 марта 2017 года. Через месяц, 14 апреля 2017 года, хакерской группой The Shadow Brokers были опубликованы сведения об уязвимости и исполняемый код эксплойта EternalBlue. Далее, 21 апреля 2017 года, было зарегистрировано первое публичное использование эксплоита EternalBlue, когда программа-бэкдор DoublePulsar поразила свыше 200 тысяч компьютеров. И, наконец, 12 мая 2017 года (через два месяца после публикации обновления, закрывающего уязвимость) начинается масштабная кибератака вируса WannaCry, использовавшего эксплоит EternalBlue и код DoublePulsar. Последствия атаки:
- по состоянию на 13 мая, инфицированы 131 233 компьютеров во всем мире;
- за первые четыре дня пострадали около 300 тысяч пользователей в 150 странах мира;
- по состоянию на 26 мая, инфицированы более 410 000 компьютеров во всем мире;
- по состоянию на 6 июня, заражены более 520 000 компьютеров и 200 000 IP-адресов;
- ущерб от действий вируса только за первые четыре дня оценили свыше миллиарда долларов.
Казалось бы, что комментарии излишни, однако уже 27 июня 2017 года начинается массовое распространение вируса Petya.A, который успешно эксплуатирует уязвимость EternalBlue и код DoublePulsar на компьютерах, где уязвимость до сих пор не закрыта.
Ограничение прав пользователей. Не давайте пользователям прав администратора, не работайте сами под учетными записями администраторов, и, тем более, не отключайте UAC. Внимательный читатель напомнит нам, что мы писали «права администратора шифровальщикам и не нужны». Но ведь дело не только в шифровании файлов, например, Petya.A подменяет MBR, что невозможно без привилегированных прав. Также пользователи, обладающие достаточными правами, любят отключать «тормозящие» антивирусы или «надоедливые» обновления.
Ограничение использования программ. Средствами групповых политик нужно запретить запуск программ отовсюду, кроме папок Windows и Program Files. Таким образом, вы обезопаситесь от запуска вирусов из почтовых вложений или загруженных из интернета.
Сетевая безопасность. Разделяйте серверы и пользовательские компьютеры в разные VLAN’ы. Межсетевые экраны должны быть активны и настроены не только на пограничных маршрутизаторах, но и на рабочих станциях и серверах.
Описанные выше меры носят бюджетный характер – не требуют дополнительных материальных затрат. Если же бюджет на ИТ в компании позволяет выделить дополнительные средства на защиту, то стоит обратить внимание на следующие решения:
- Использование корпоративного портала с поддержкой версионности файлов для хранения документов.
- Использования систем обнаружения/предотвращения вторжений (IDS/IPS).
- Регулярное использование сканеров безопасности для обнаружения и устранения уязвимостей в корпоративных информационных системах.
