UDV Group: новые реалии ransomware-атак

Виталий Рабец, директор ИТ департамента UDV Group рассказал о том, что ransomware-атаки на российский бизнес приобретают новые формы: злоумышленники все чаще используют репутационный шантаж, атаки через подрядчиков и сложные схемы психологического давления, а также объяснил, почему в первые часы после инцидента нельзя отключать системы без подготовки.

— Какие новые техники вымогателей вы наблюдали в последних атаках на российский бизнес (например, угроза DDoS-атакой, звонки партнёрам и клиентам, публикация данных в даркнете с аукционом)?

Не сказал бы, что техника новая, но она обретает дополнительную популярность. Речь о ситуации, когда злоумышленникам удалось получить хоть какие-то внутренние данные, даже не являющиеся важными, и они используют сам факт проникновения как способ воздействия на партнёров. Мол: «мы расскажем всем вашим партнёрам, что мы вас взломали». Это шантаж риском потери репутации. Лучший способ защиты от этого — рассказать о факте взлома самому, раньше, чем это сделают злоумышленники.

Также сейчас становится очень популярным способ взлома через дочерние компании или подрядчиков/аутсорсеров, которых «головная» компания пускает в свою сеть. Способ достаточно действенный, так как крупная компания обычно хорошо защищает свой периметр от внешних воздействий, но для подрядчиков или дочерних организаций делает «послабления», упрощающие доступ. В то же время сами подрядчики или «дочки» защищены слабо, и злоумышленники используют их как некий «шлюз», чтобы пробраться к крупной рыбе.

— Если отбросить стандартный совет про «бэкапы», какой класс защиты или конкретная мера, по вашему опыту, наиболее эффективно предотвращает распространение шифровальщика внутри сети после первоначального проникновения?

Лучшая защита от распространения любого вируса внутри сети — это строгое разграничение сетей по VLAN. Изоляция критически важных серверов и, в целом, сегментация. Также немаловажным является строгий контроль учётных записей и их доступов к файлам и ресурсам. Точкой входа для проникновения может быть компьютер рядового сотрудника, но если пользовательская сеть отрезана от сети с критичными данными, а доступы учётных записей строго ограничены, то это сильно усложнит распространение шифровальщика и, в целом, возможности злоумышленников для дальнейшего развития атаки.

Также очень важным является наличие систем анализа сетевого трафика (реклама нашего NTA). Такие системы способны обнаруживать аномалии в сети, попытки доступа к данным от сущностей, от которых таких попыток быть не должно. Также они способны в целом анализировать сеть и указывать на проблемные зоны и потенциальные дыры в структуре предприятия до того, как это станет «точкой входа» для злоумышленников.

— Каков пошаговый алгоритм действий в первые 24 часа для команды реагирования, помимо отключения систем? На что чаще всего не хватает времени или ресурсов, что усугубляет последствия?

Я бы сказал, что «отключение систем» — не совсем правильное действие. Системы нужно отключать постепенно и с умом. Отключение «всего сразу» может привести к потере важных данных и логов, которые хранятся в памяти и будут очень нужны для дальнейшего расследования инцидента. Первое и очень важное — выявить точку входа. Найти нулевого пациента, и именно его нужно изолировать в первую очередь. Параллельно, и не менее важно, остановить все процессы репликации данных. Все бэкапы, дампы и создание любых резервных копий нужно срочно прекратить. После этого необходимо сохранить все логи и сделать дампы важной для расследования информации. И только после этого стоит «отключать системы».

В первую очередь важно отключать системы именно после остановки скриптов и автоматизации репликаций, потому что после включения системы процесс репликации может заразить шифровальщиком все ваши бэкапы.

Далее уже процедура вполне стандартная — анализ логов и развёртывание полномасштабного расследования.

Немаловажно отметить, что процесс последующего восстановления системы из резервных копий тоже имеет определённые правила. Например, не стоит сразу восстанавливать критически важные данные, а лучше в первую очередь восстанавливать второстепенные системы, чтобы убедиться в «чистоте» и целостности бэкапов. Также важно восстанавливать систему не откатом, а именно полным восстановлением, чтобы не было шансов случайно оставить заражённые данные.

— Был ли у вас или ваших коллег опыт переговоров с вымогателями? Какие выводы или тактические приёмы можно из этого извлечь?

Опыт был. Самое важное — не поддаваться панике и не вестись на провокации. Злоумышленники в 100% случаев будут пугать вас тем, что захватили полный, стопроцентный контроль, что всё в их власти и что последствия ужасны и невообразимы. По факту же, в моём частном случае, это оказалось чистым блефом, а данные, к которым получили доступ хакеры, были неважные и совершенно не давали им никакого контроля над системой.

Добавлю, что во время переговоров со злоумышленниками важно тянуть время, отвечать лояльно, не провоцировать и прикидываться ничего не понимающей жертвой, чтобы усыпить бдительность злодеев настолько, насколько это возможно, в первую очередь — чтобы выиграть время на оценку масштабов проникновения и заражения.

— Какой самый неочевидный, но критически важный шаг при восстановлении инфраструктуры после ransomware-атаки, о котором часто забывают?

О нём я, наверное, уже писал выше — это определить порядок восстановления. Восстанавливать сервисы необходимо по порядку критичности, начиная с самых неважных. Об этом часто забывают, потому что самое критичное нужно для работы уже «прямо сейчас», и сотрудники не могут ждать простоя важных сервисов — всем нужно работать, ведь бизнес теряет деньги.

Думаю, сюда также стоит добавить полное и подробное документирование действий, которое в будущем может пригодиться при возможных юридических разбирательствах с заказчиками.