Атаки с использованием программ-вымогателей вызывают серьезную обеспокоенность у специалистов ИБ. Общая практика на сегодня — заблокировать скаичвание и выполнения кода этих вредоносных программ. Однако лишь немногие организации могут проактивно предотвратить автоматическое распространение шифровальщика, которому удалось обойти защиту на этих этапах атаки. Из-за распространения программ-вымогателей происходит не единичное, а массовое заражение и выход из строя хостов в организации, поэтому неспособность предотвратить распространение криптолокера по сети — серьезная брешь в системе кибербезопасности. На сегодня платформа унифицированной защиты учетных записей Silverfort является единственным решением, в котором для эффективного предотвращения автоматического распространения вымогателей применяется МФА, которая не позволяет им вырваться за пределы первоначально зараженной машины.
Автоматическое распространение — главная особенность криптолокеров
Атаки с использованием вирусов-шифровальщиков из небольшой неприятности превратились в серьезную проблему в 2017 году, когда WannaCry и NotPetya нанесли ущерб организациям по всему миру. По оценкам, сумма ущерба составила примерно в 15 млрд. долларов. Именно в этих атаках впервые было использовано шифрование данных вместе с автоматическим распространением вируса. Единственное письмо с вредоносным содержанием, которое открыл сотрудник, обманутый методами социальной инженерии, приводит к шифрованию данных не только на конечной точке этого сотрудника, но и на всех машинах в корпоративной инфраструктуре. Эта новая реальность заставила руководителей ИБ в различных организациях пересмотреть свои приоритеты и поставить защиту от программ-вымогателей на первое место.
Как устроена атака программы-вымогателя: доставка, выполнение, распространение
Атака с использованием вируса-шифровальщика состоит из нескольких этапов, о которых речь пойдет ниже.
Доставка полезной нагрузки — есть защита
Цель данного этапа — доставить код программы-вымогателя на нужную машину. Вот некоторые наиболее распространенные способы сделать это: через фишинговые письма с вредоносным содержанием, скомпрометированный доступ по протоколу удаленного рабочего стола (RDP) или применение стратегии “watering hole” (заманивание на зараженный веб-сайт). В таблице ниже, взятой с сайта www.statista.com, приведена детальная информация о векторах заражения:
Безопасность на этом этапе атаки обеспечивают решения для защиты электронной почты, которые сканируют письма на наличие опасного контента и удаляют его еще до того, как с ним произойдет взаимодействие. Также от проникновения вымогателя защищают EPP-платформы, предотвращающие загрузку потенциально вредоносного ПО, и применение МФА на RDP-соединениях, которое не дает злоумышленнику получить доступ по скомпрометированным учетным данным.
Выполнение вредоносного кода — есть защита
На этом этапе программа-вымогатель, которой удалось проникнуть на рабочую станцию или сервер, начинает выполнять свой код и шифровать данные.
В таблице ниже, составленной Лабораторией Касперского, представлены наиболее успешные семейства вирусов-шифровальщиков:
Чтобы предотвратить выполнение кода вымогателя, организации разворачивают на своих рабочих станциях и серверах решения для хостовой защиты (EPP). Цель EPP-решения — заблокировать выполнение любого вредоносного процесса и предотвратить тем самым шифрование файлов.
Распространение шифровальщика — слепая зона в защите
На этапе распространения экземпляры программы-вымогателя копируются на другие машины в корпоративной сети, типично используя аутентификацию с помощью взломанны учетных данных. Один из самых уязвимых участков поверхности атаки — это общие папки. У каждого пользователя в корпоративной среде есть доступ хотя бы к нескольким из них, что прокладывает дорогу для распространения вируса.
Именно на этом этапе программы-вымогатели наносят массовый ущерб, но до сих пор этот этап упускается из виду корпоративными системами кибербезопасности. Пока что нет защитного решения, которое могло бы предотвращать автоматическое распространение программы-вымогателя в реальном времени. На деле это означает, что если вредоносной программе удалось обойти защиту на этапах доставки кода и ее выполнения — а определенной их части это в любом случае удастся, — то она может распространиться в сети и зашифровать данные на любой машине, до которой доберется. И пока вендоры совершенствуют EPP-платформы для защиты от новых разновидностей программ-вымогателей, злоумышленники создают все более скрытные вредоносы, а значит обход СЗИ является вполне вероятным сценарием.
Какие трудности возникают при защите от автоматического распространения вируса?
Чтобы лучше понять первопричину этой проблемы, нужно рассмотреть принцип автоматического распространения вымогателя.
Сначала тело вируса выполняется на одной зараженной конечной точке, которую можно назвать «нулевым пациентом». Чтобы распространиться по сети, вредоносная программа будет использовать действующие, но скомпрометированные учетные данные для прохождения стандартной аутентификации на других машинах. По сути, она выполняется исключительно со злым умыслом, но со стороны выглядит как любая другая аутентификация легитимного пользователя. Тогда поставщик идентификационной информации — в этом случае Active Directory — не сможет распознать этот злой умысел и разрешит соединение.
По этим причинам мы имеем слепую зону в защите от программ-вымогателей: с одной стороны, нет такого СЗИ, которое могло бы в реальном времени заблокировать выполнение аутентификации; с другой, единственное решение, которому это под силу — система управления учетными записями — не может различить безопасную и злоумышленную аутентификацию.
Именно здесь в игру вступает унифицированная платформа защиты учетных записей Silverfort.
Решение проблемы: унифицированная платформа защиты учетных данных
Silverfort разработал первую унифицированную платформу защиты учетных записей, цель которой — проактивно предотвращать атаки с применением скомпрометированных учетных данных для получения доступа к корпоративным ресурсам. В решении Silverfort используется инновационная безагентная технология для нативной интеграции с Identity-продвайдерами в корпоративной среде, такими как AD, обеспечивая непрерывный мониторинг, анализ рисков и применение политик доступа при каждой попытке получить доступ к локальному или облачному ресурсу. Таким образом, Silverfort реализует многофакторную аутентификацию и аутентификацию с учетом рисков на ресурсах и интерфейсах доступа, которые раньше нельзя было защитить, в том числе на интерфейсах командной строки Windows для удаленного доступа, за счет которых в большинстве случаев и происходит распространение программ-вымогателей.
Как Silverfort защищает от автоматического распространения шифровальщиков в реальном времени?
Как уже упоминалось, вирус распространяется в целевой инфраструктуре (особенно часто через общие папки), используя для аутентификации скомпрометированные учетные данные. Разберемся, как Silverfort решает эту проблему.
Непрерывный мониторинг
Платформа Silverfort непрерывно анализирует все действия всех пользователей по аутентификации и их попытки получить доступ в среде Active Directory, что позволяет создать на основе этих данных точный профиль стандартного поведения как пользователей, так и машин.
Анализ рисков
Когда вирус пытается распространиться по сети, с одной машины и учетной записи одновременно предпринимается множество попыток войти в другие системы. Механизм анализа рисков Silverfort немедленно выявит это аномальное поведение и повысит уровень риска как этой машины, так и пользовательского аккаунта.
Применение политик доступа
Благодаря Silverfort пользователи могут создавать политики доступа, которые с учетом уровня риска активируют защиту в реальном времени — запрашивается дополнительный фактор аутентификации или доступ полностью блокируется. Чтобы предотвратить автоматическое распространение программы-вымогателя, политика будет требовать от каждого аккаунта с высоким или критическим уровнем риска пройти МФА на всех интерфейсах доступа, включая командные оболочки Powershell, CMD и протокол CIFS, предназначенный для совместного доступа к сетевым папкам.
Всякий раз, когда вирус будет пытаться заразить другую машину, политика запретит это соединение, если не будет предоставлен дополнительный фактор аутентификации от реального пользователя, чьи учетные данные были скомпрометированы. Это значит, что распространение программы-вымогателя будет остановлено, и она не просочится за пределы первоначально зараженной конечной точки.
Вывод: для предотвращения автоматического распространения вымогателя нужен особый подход к защите учетных записей
Автоматическое распространение — это наиболее опасный этап атаки вируса-шифровальщика, из-за которого они теперь представляют огромный риск для организаций. Благодаря унифицированной платформе защиты учетных записей Silverfort наконец-то можно охватить и проверить эту критическую слепую зону, что фактически повышает киберустойчивость организации к программам-вымогателям.
Чтобы увидеть Silverfort в действии, закажите демо по этой ссылке.