Захист від вірусів-шифрувальників за допомогою Check Point SandBlast Agent

Дев’яності роки, які багато хто згадує з жахом, коли викрадали людей, вимагали викуп, «кришували» організації, – начебто минули. Але якщо подивитися на останні новини, хоча б за минулий-поточний роки, то складається враження, що весь цей негатив (в еру стрімкого розвитку ІТ) з фізичного середовища перевтілився в цифрове. Тепер замість «братків» – хакери, а замість біт, кастетів і вогнепальної зброї з’явилась розумна самонавчальна цифрова зброя у вигляді вірусів-вимагачів (вірусів-шифрувальників). Тепер викрадається не сама людина, а його цифрова натура, причому вона навіть не викрадається, а просто вміло ховається на його ж пристроях. І від цього страждають не просто окремі користувачі, а й компанії в цілому. А відновлення даних коштує грошей. У документі The Next Cyber ​​Attack Can Be Prevented, опублікованому компанією Check Point, наводяться відомості про зростання загроз і шкоди, пов’язаних з кібератаками. Так станом тільки на травень 2017 року продуктами компанії вже було виявлено понад 17 мільйонів атак на тиждень, більше половини з яких були невідомі на момент виявлення і не могли бути виявлені класичною технологією, заснованою на сигнатурному аналізі. Клькість цих атак надалі продовжує зростати.

Мал.1 Зростання загроз та шкоди (збитків) від вірусів-вимагачів

Віруси-вимагачі з’явилися не так вже й недавно, їх історія налічує вже понад 20 років, протягом яких вони розвивалися і удосконалювалися. Але особливу увагу до себе вони залучили навесні 2017 року – гучним випадком з вірусом WannaCry, який вийшов на глобальний рівень. Зона його поразки налічувала понад 400 тисяч комп’ютерів по всьому світу, включаючи і держоргани декількох країн. Ця атака показала, наскільки сильно розвинулися віруси-вимагачі і якими складними і ефективними стали комп’ютерні хробаки, за допомогою яких вони поширюються.

Зростання загрози вірусів-вимагачів

2017 рік виявився одним з найбагатших за кількістю, масштабністю і величиною збитків від атак за допомогою вірусів-вимагачів. Раніше згаданий WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) шифрує майже все, що «погано лежить» – всі файли, що зберігаються на комп’ютері, і, відповідно, він вимагає викуп у біткоінах за їх розшифрування. Він виділяється масштабністю поширення і застосовуваними техніками – почавши своє поширення зранку 12 травня, вже ввечері з’явилися повідомлення про численні зараження та скоєнні хакерських атак на найбільші холдинги, на щастя ж Україні вдалося уникнути масового інфікування інформаційних систем державного сектора цим вірусом завдяки завчасному попередженню про розсилку з використанням шифрувальника WannaCrypt.

27 червня 2017 року низка українських компаній і банків зазнали хакерських атак від вірусу Petya (різновид – NotPetya). Він блокує запуск операційної системи і за відновлення роботи і розшифровку файлів вимагає викуп у розмірі 300 доларів в біткоінах. Вірус також паралізував роботу Кабінету Міністрів України і вивів з ладу електронний документообіг Чорнобильської атомної електростанції.

Його жертвами також були компанії по всьому світу (але все ж основними потерпілими стали компанії в Україні та Росії), збитки яких нараховувалися мільйонами доларів через цю кібератаку:

  • міжнародна служба доставки TNT Express (FedEx);
  • датський судноплавний гігант AP Moller-Maersk;
  • британська компанія споживчих товарів Reckitt Benckiser;
  • французький будівельний гігант Saint-Gobain;
  • постачальник мовних рішень Nuance Communications.

Лише у TNT Express (FedEx) збитки оцінювалися в 300 мільйонів доларів, але з перерахованих компаній про найвищу суму збитків (майже 400 мільйонів доларів) повідомила компанія Saint-Gobain.

Наступний вірус не змусив себе довго чекати: в жовтні 2017 вірус-шифрувальник Bad Rabbit атакував: одеський аеропорт, Мінінфраструктури, Київметрополітен, а також сервери декількох українських ЗМІ.

Цей вірус використовує легальне програмне забезпечення з відкритим вихідним кодом DiskCryptor, що застосовується для повнодискового шифрування. Як і в попередніх випадках, найбільше постраждали Росія і Україна. Як з’ясували експерти Group-IB, кібератаки вірусів-шифрувальників Bad Rabbit і NotPetya / ExPetr були організовані одним хакерським угрупуванням. Ці приклади показують, що віруси-вимагачі стали:

  • брати масовістю атак, блокуючи і шифруючи дані;
  • застосовувати для шифрування легальне програмне забезпечення;
  • використовувати для викупу біткоіни. Але навіть після оплати викупу деякі віруси і їх різновиди (WannaCry і Petya) НЕ розшифровували дані.

В цілому схема поширення досить проста і полягає у відправці на електронну адресу компанії листа, що містить посилання на шкідливий сайт або безпосередньо шкідливий файл. Для того щоб користувач запустив такий файл або перейшов по посиланню, лист зловмисниками може бути підготовлено спеціально під сферу діяльності компанії або імітувати листи з різних держустанов або банків. Хоча б одна людина точно перейде за посиланням або запустить файл (людський фактор – на це і розрахунок). А через існуючі вразливості вірус запуститься на комп’ютері користувача.

Як тільки це відбудеться, файли почнуть шифруватися, імітуючи при цьому, наприклад, який-небудь системний процес оновлення. Далі з комп’ютера вірус перебирається на сервер і інші комп’ютери компанії. Після шифрування відобразиться інструкція щодо вирішення проблеми з пропозицією придбання ключа для відновлення зашифрованих даних. Але навіть після оплати немає ніякої гарантії, що дані вдасться відновити. У зв’язку з цим не варто йти на поводу у вимагачів і платити викуп – в результаті будуть втрачені і дані і гроші.

Гарною підмогою для розвитку і поширення таких вірусів є анонімність зловмисників. Анонімності сприяє використання:

  • глобальної мережі серверів – Tor;
  • біткоіни – наймасштабнішої криптовалюти, в силу прозорості історії транзакцій для всіх користувачів мережі і анонімності власників гаманців в рамках системи.

Крім того, в більшості випадків такі віруси були зібрані як конструктори, з частин і модулів інших атак і вірусів – вони фактично перетворились в їх модифікацію. Це свідчить про те, що зловмисники не ламають голову над створенням нових програм – це складно і довго. Вони використовують доступні в вузьких колах інструменти для модифікації існуючих шкідників, отримуючи кожного разу на виході новий вірус.

І якщо через деякий час вдається знайти якесь рішення щодо усунення цього вірусу, то за цей же час зловмисники створюють вже не одну нову модифікацію. І отриманий шкідливий файл вже не можна буде виявити за допомогою стандартних антивірусів, які базуються на сигнатурному аналізі, так як в базах ще немає таких сигнатур.

Так яким же чином слід захищатися на тлі анонімності зловмисників і стрімкого розвитку вірусів?

Як захиститися від вірусів-вимагачів?

Останні атаки вірусів-вимагачів показали, що від них страждають навіть великі компанії, які не економлять на забезпеченні захисту своєї інформації. Так чому ж навіть компанії із збудованою в кращих традиціях системою захисту страждали від цього роду вірусів?

Якраз в традиційному підході до захисту і полягає основна проблема. У більшості організацій використовується зв’язка брандмауера і антивіруса, що розгортаються на периметрі мережі. Але всі ці засоби працюють з вже відомими «шкідниками». Отже, даний механізм не забезпечує належного рівня захисту навіть від інтернет-загроз, а є і такі канали поширення, як:

  • флеш-накопичувачі співробітників і партнерів компанії;
  • мобільні пристрої – особисті смартфони і ноутбуки;
  • інтернет-з’єднання за допомогою 3G або LTE;
  • незахищений Wi-Fi;
  • зашифровані канали – використання HTTPs-протоколу.

На допомогу може прийти принцип так званого ешелонованого захисту – спрямований на організацію декількох ліній (рівнів) оборони. При цьому на кожному рівні повинні застосовуватися відповідні технології захисту, що дозволяють боротися з атаками до, під час і після їх реалізації. Тільки так сьогодні можна протистояти сучасним загрозам, та й майбутнім теж. А оскільки початковою точкою поширення є комп’ютер недбайливого користувача, йому необхідно приділяти підвищену увагу.

Однією з реалізацій такого підходу до захисту є рішення Check Point SandBlast Agent, запропоноване компанією Check Point. Воно являє собою сукупність технологій компанії , які доповнюють один одного.

Компанії зупиняють свій вибір на саме цьому рішенні. Серед постраждалих від останніх атак вірусів-вимагачів немає жодної організації, що використовує рішення SandBlast Network (захист на рівні периметра) або SandBlast Agent від Check Point.

SandBlast Agent являє собою вдосконалений комплект технологій захисту робочих станцій. А по відношенню до розглянутої нами проблеми – боротьба з вірусами-вимагачами здійснюється агентом на декількох лініях оборони:

  • Більшість атак зупиняється ще до потрапляння на робочу станцію. Технологія Threat Emulation перехоплює всі файли, які завантажуються або копіюються на робочу станцію, і піддає їх динамічному аналізу (емуляції). Для того щоб не затримувати нормальну роботу користувача, на цей час йому відразу надається безпечна копія цього документа (результат роботи Threat Extraction), в якій видалено активний або потенційно небезпечний вміст. Звичайно, після закінчення перевірки буде доступний і оригінал, але в більшості випадків цього вже не потрібно – безпечна копія виглядає так само, і користувачеві її достатньо. Крім того, вбудований захист від фішингу дозволяє відсіяти небезпечні сайти, так що файл, який містить шкідливу начинку, теж не буде завантажений на комп’ютер.
  • Аналізується поведінка вірусу. Навіть такі досконалі технології, як Threat Emulation і Threat Extraction, не можуть гарантувати 100% безпеки, так що слід припускати, що певна частка загроз все ж може з’явитися на робочої станції. SandBlast Agent безперервно спостерігає за поведінкою системи і здатний виявити і зупинити підозрілу активність, будь то укорінення вірусу в системі, модифікація файлів або зв’язок з сервером хакера.
  • Автоматичне усунення наслідків і відновлення даних. SandBlast Agent містить технологію, яка спеціально захищає користувача від здирників (Anti-Ransomware). При будь-якій підозрілій модифікації файлу буде зроблена тимчасова резервна копія на випадок, якщо буде виявлено шифрувальник. При виявленні «шкідника» він буде не просто заблокований, а й будуть автоматично усунені всі наслідки: видалені файли вірусу, зупинені всі запущені вірусом процеси, повернений в початковий стан реєстр, відновлені зашифровані дані (тут і стане в нагоді копія файлів). Весь цей процес займає секунди, так що користувач навіть не встигне злякатися.
  • Коли атака зупинена і наслідки усунені, необхідно розслідувати інцидент, щоб зрозуміти, як вірус потрапив в систему, які проломи в обороні використав. Це важливо для запобігання наступної атаки. Модуль Forensic Analysis дозволяє побудувати детальні звіти щодо розвитку інциденту, де буде видно всі кроки вірусу. Ця технологія також дозволяє формувати реальні аналітичні звіти про інциденти на підставі безперервного збору даних, аналізу атаки і аналізу наслідків заражень.

Таким чином, SandBlast Agent не просто запобігає атаці, але і дозволяє провести аналіз і розслідування виявлених інцидентів. Це, в свою чергу, сприяє своєчасному вжиттю заходів щодо запобіганню повторення подібних ситуацій.

Варіанти поставки і розгортання SandBlast Agent

SandBlast Agent поставляється у вигляді наступних пакетів програм для їх подальшого розгортання:

  • Endpoint Complete Security.
  • SandBlast Agent Complete.
  • SandBlast Anti-Ransomware.
Таблиця 1. Відмінності програмних пакетів – в комплектації застосовуваних технологій захисту

SandBlast Agent може бути застосований на робочих станціях під управлінням операційних систем Windows 7/8/10 і Windows Server 2008 R2 / 2012/2012 R2. Відносно варіанту з розширенням для браузера Browser Extension – на даний момент підтримується Google Chrome, Internet Explorer і Firefox.

Віруси-вимагачі стають все більш винахідливими і все частіше проявляють себе на глобальному рівні. Їх складність і масовість будуть тільки рости, тому що цьому сприяють:

  • наявність глобальних мереж серверів з підвищеною анонімністю користувачів;
  • широке поширення криптовалютних платіжних систем, що забезпечують безпеку транзакцій і анонімність власників гаманців.

Останні атаки вірусів-вимагачів показали, що класичний традиційний підхід до захисту вже не забезпечує необхідного рівня захищеності і необхідний перехід на принцип ешелонованого захисту.

Наразі вже існують рішення, що забезпечують ешелонований захист, який здатний протистояти вірусам-здирникам. Одним з лідерів ринку, що пропонують подібні рішення, є компанія Check Point. Рішення компанії дозволяють практично зі 100% упевненістю протистояти таким вірусам. Про це свідчить відсутність в числі постраждалих організацій користувачів SandBlast Network або SandBlast Agent.

Check Point SandBlast Agent здатний не просто запобігти атакам, але і провести аналіз і розслідування виявлених інцидентів. А головне, цей агент дозволяє оперативно і автоматично відновити дані, які вірус намагався зашифрувати.

Компанія MO Group займається впровадженням програмних продуктів відомого ізраїльського бренда Check Point на українському ринку, що вже завоював довіру в українських компаніях. Наші спеціалісти з інформаційної безпеки  допоможуть Вам з інтеграцією та використанням даного програмного продукту, також проінформують щодо цін та терміну виконання роботи.

Замовити консультацію

Отримати додаткову інформацію Ви можете також за номером  +380 50 705 82 24 та +380 67 589 42 70

по електронній пошті sales@mogroup.com.ua або на нашому сайті.

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

Об авторе: Alyona

оставьте ответ

Ваш электронный адрес не будет опубликован.