Захист від вірусів-шифрувальників за допомогою Check Point SandBlast Agent

  1. Вступ
  2. Зростання загрози вірусів-вимагачів
  3. Як захиститися від вірусів-вимагачів?
  4. Варіанти поставки і розгортання SandBlast Agent
  5. висновки

У статті ми постараємося відповісти на наболілі питання «Що сприяє поширенню вірусів-вимагачів?» І «Чому не працюють традиційні підходи до захисту інформації?». А також розглянемо один з продуктів від компанії Check Point - Check Point SandBlast Agent, що забезпечує високий рівень захисту від вірусів-вимагачів (вірусів-шифрувальників) для пристроїв і даних користувачів.

1. Вступ

2. Зростання загрози вірусів-вимагачів

3. Як захиститися від вірусів-вимагачів?

4. Варіанти поставки і розгортання SandBlast Agent

5. висновки

Вступ

Дев'яності роки, які багато хто згадує з жахом, коли викрадали людей, вимагали викуп, «кришували» організації, - начебто пройшли. Але якщо подивитися на останні новини, хоча б за поточний рік, то складається враження, що весь цей негатив (в еру стрімкого розвитку ІТ) з фізичної середовища перекочував в цифрову. Тепер замість «братків» - хакери, а замість біт, кастетів і вогнепальної зброї з'явилося розумне самонавчального цифрове зброю у вигляді вірусів-вимагачів (вірусів-шифрувальників). Тепер викрадається не сама людина, а його цифрова натура, причому вона навіть не викрадається, а просто вміло ховається на його ж пристроях. І від цього страждають не просто окремі користувачі, а компанії в цілому. А відновлення даних - коштує грошей. У документі The Next Cyber ​​Attack Can Be Prevented , Опублікованому компанією Check Point, наводяться відомості про зростання загроз і шкоди, пов'язаних з кібератаками. Так станом тільки на травень 2017 року продуктами компанії було виявлено понад 17 мільйонів атак на тиждень, більше половини з яких були невідомі на момент виявлення і не могли бути виявлені класичної технологією, заснованої на сигнатурному аналізі.

Малюнок 1. Зростання загроз і шкоди від вірусів-вимагачів

Віруси-вимагачі з'явилися не так вже недавно, їх історія налічує вже понад 20 років, протягом яких вони розвивалися і удосконалювалися. Але особливу увагу до себе вони залучили навесні цього року - гучним випадком з вірусом WannaCry, які вийшли на глобальний рівень (його ми вже розглядали в одній з наших статей ). Зона його поразки налічувала понад 400 тисяч комп'ютерів по всьому світу, включаючи і держоргани ряду країн. Ця атака показала, наскільки сильно розвинулися віруси-вимагачі і якими складними і ефективними стали комп'ютерні хробаки, за допомогою яких вони поширюються. У цій статті ми хочемо розповісти, що сприяє розвитку та поширенню таких вірусів і чи є адекватний спосіб захисту від них.

Зростання загрози вірусів-вимагачів

Цей рік, хоча він ще не закінчився, виявився одним з найбагатших за кількістю, масштабності і величиною збитків від атак за допомогою вірусів-вимагачів. Пропонуємо згадати ключові епізоди цього року.

Уже згаданий WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) шифрує майже все, що «погано лежить» - все що зберігаються на комп'ютері файли, і, відповідно, вимагає викуп у біткоіни за їх розшифровку. Він виділяється масштабністю поширення і застосовуються техніками - почавши своє поширення приблизно в 10 ранку 12 травня, вже ввечері з'явилися повідомлення про численні заражених і скоєнні хакерських атак на найбільші холдинги, в тому числі і на Сбербанк (див. Наведене на нашому сайті Особиста справа вимагача ).

Начебто травень - провісник періоду відпусток, спекотного літа. Однак для багатьох компаній це літо виявилося занадто спекотним, і посприяв цьому NotPetya (один з різновидів вірусу Petya). Вірус блокує запуск операційної системи і за відновлення роботи і розшифровку файлів вимагає викуп у розмірі 300 доларів в біткоіни. Його жертвами також були компанії по всьому світу (Але основними потерпілими стали компанії в Україні і Росії), збитки яких обчислювалися мільйонами доларів через цю кібератаки:

  • міжнародна служба доставки TNT Express (FedEx);
  • датський судноплавний гігант AP Moller-Maersk;
  • британська компанія споживчих товарів Reckitt Benckiser;
  • французький будівельний гігант Saint-Gobain;
  • постачальник мовних рішень Nuance Communications.

Тільки у TNT Express (FedEx) збитки оцінювалися в 300 мільйонів доларів, але з перерахованих компаній про найвищу сумі збитків (майже 400 мільйонів доларів) повідомила компанія Saint-Gobain.

У Росії впливу вірусу піддалися : «Роснефть», «Башнефть», Mars, Nivea і Mondelez International, телекомунікаційні компанії «Мегафон» і «Вимпелком», МВС і РЖД.

Наступний вірус не змусив себе довго чекати: жовтень 2017 - дуже схоже на жовтневу революцію 17-го із захопленням телеграфів і телефонів. Так і в жовтні 2017 вірус-шифрувальник Bad Rabbit атакував:

Цей вірус використовує легальне програмне забезпечення з відкритим вихідним кодом DiskCryptor, що застосовується для полнодіскового шифрування. Як і в попередніх випадках, найбільше постраждали Росія і Україна.

як з'ясували експерти Group-IB, кібератаки вірусів-шифрувальників Bad Rabbit і NotPetya / ExPetr були організовані однією хакерської угрупованням.

Ці приклади показують, що віруси-вимагачі стали:

  • брати масовістю атак, блокуючи і шифруючи дані;
  • застосовувати для шифрування легальне програмне забезпечення;
  • використовувати для викупу біткоіни. Але навіть після оплати викупу деякі віруси і їх різновиди (WannaCry і Petya) НЕ розшифровували дані.

В цілому схема поширення досить проста і полягає у відправці на електронну адресу компанії листа, що містить посилання на шкідливий сайт або безпосередньо шкідливий файл. Для того щоб користувач запустив такий файл або перейшов по посиланню, лист зловмисниками може бути підготовлено спеціально під сферу діяльності компанії або імітувати листи з різних держустанов або банків. Хтось так перейде або запустить файл (людський фактор - на це і розрахунок). А через існуючі вразливостей вірус запуститься на комп'ютері користувача.

Як тільки це відбудеться, файли починають шифруватися, імітуючи при цьому, наприклад, який-небудь системний процес оновлення. Далі з комп'ютера вірус перебирається на сервер і інші комп'ютери компанії, не забуваючи при цьому шифрувати дані і на них.

Після шифрування відобразиться інструкція щодо вирішення проблеми з пропозицією покупки ключа для відновлення зашифрованих даних. Але навіть після оплати немає ніякої гарантії, що дані вдасться відновити. У зв'язку з чим не варто йти на поводу у вимагачів і платити викуп - в результаті будуть втрачені і дані і гроші.

Гарною підмогою для розвитку і поширення таких вірусів є анонімність зловмисників. Анонімності сприяє використання:

  • глобальної мережі серверів - Tor;
  • біткоіни - наймасштабнішою криптовалюта, в силу прозорості історії транзакцій для всіх користувачів мережі і анонімності власників гаманців в рамках системи.

Крім того, в більшості випадків наступний вірус був зібраний, як конструктор, з найбільш проявили себе частин і модулів інших атак і вірусів - фактично перетворюючись в їх модифікацію. Це свідчить про те, що зловмисники не ламають голову над створенням якихось нових програм - це складно і довго. Вони використовують доступні в вузьких колах інструменти для модифікації існуючих зловредів, отримуючи кожного разу на виході новий вірус.

І якщо стосовно попередньої версії через деякий час вдається знайти якесь рішення, то за цей час зловмисники викочують вже не одну нову модифікацію. І отриманий шкідливий файл вже не можна буде виявити за допомогою стандартних антивірусів, які базуються на сигнатурному аналізі, так як в базах ще немає таких сигнатур.

Так яким же чином слід захищатися на тлі анонімності зловмисників і стрімкого розвитку вірусів?

Як захиститися від вірусів-вимагачів?

Останні атаки вірусів-вимагачів показали, що від них страждають навіть великі компанії, які не економлять на забезпеченні захисту своєї інформації. Так чому ж страждали навіть компанії із збудованою в кращих традиціях системою захисту?

Якраз в традиційному підході до захисту і полягає основна проблема (ми вже обговорювали ці питання в інтерв'ю з Олексієм Лукацький ). У більшості організацій використовується зв'язка брандмауера і антивіруса, що розгортаються на периметрі мережі. Але всі ці кошти працюють з вже відомими зловредів. Отже, даний механізм не забезпечує належного рівня захисту навіть від інтернет-загроз, а є і такі канали поширення, як:

  • флеш-накопичувачі співробітників і партнерів компанії;
  • мобільні пристрої - особисті смартфони і ноутбуки;
  • інтернет-з'єднання за допомогою 3G або LTE;
  • незахищений Wi-Fi;
  • зашифровані канали - використання HTTPs-протоколу.

На допомогу може прийти принцип ешелонованої захисту - спрямований на організацію декількох ліній (рівнів) оборони. При цьому на кожному рівні повинні застосовуватися відповідні технології захисту, що дозволяють боротися з атаками до, під час і після їх реалізації. Тільки так можна сьогодні протистояти сучасним загрозам, та й майбутнім теж. А так як початковою точкою поширення є комп'ютер недбайливого користувача, йому необхідно приділяти підвищену увагу.

Однією з реалізацій такого підходу до захисту є рішення Check Point SandBlast Agent, запропоноване компанією Check Point. Воно являє собою сукупність доповнюють один одного технологій компанії.

Ми зупинили свій вибір на розгляді саме цього рішення компанії, оскільки серед постраждалих від останніх атак вірусів-вимагачів немає жодної організації, що використовує рішення SandBlast Network (захист на рівні периметра) або SandBlast Agent від Check Point.

SandBlast Agent являє собою вдосконалений комплект технологій захисту робочих станцій. А по відношенню до розглянутій нами проблеми - боротьба з вірусами-вимагачами здійснюється агентом на декількох лініях оборони:

  • Більшість атак зупиняється ще до потрапляння на робочу станцію. Технологія Threat Emulation перехоплює всі файли, завантажувані або копіюються на робочу станцію, і піддає їх динамічному аналізу (емуляції). Для того щоб не затримувати нормальну роботу користувача, на цей час йому відразу надається безпечна копія цього документа (результат роботи Threat Extraction, про цю технологію ми писали в нашому огляді « Check Point SandBlast Threat Extraction: Як працює проактивний захист від експлойтів? »), В якій видалено активну або потенційно небезпечний вміст. Звичайно, після закінчення перевірки буде доступний і оригінал, але в більшості випадків цього вже не потрібно - безпечна копія виглядає так само, і користувачеві її досить. Крім того, вбудований захист від фішингу дозволяє відсіяти небезпечні сайти, так що файл, який містить шкідливу начинку, теж не буде викачаний.
  • Аналізується поведінка вірусу. Навіть такі досконалі технології, як Threat Emulation і Threat Extraction, не можуть гарантувати 100% безпеки, так що слід припускати, що певна частка відсотка загроз все ж може з'явитися на робочої станції. SandBlast Agent безперервно спостерігає за поведінкою системи і здатний виявити і зупинити підозрілу активність, будь то укорінення вірусу в системі, модифікація файлів або зв'язок з сервером хакера.
  • Автоматичне усунення наслідків і відновлення даних. SandBlast Agent містить технологію, спеціально захищає користувача від здирників (Anti-Ransomware). При будь-яку підозрілу модифікації файлу буде зроблена тимчасова резервна копія на випадок, якщо буде виявлено шифрувальник. При виявленні зловредів він не просто буде заблокований, а й будуть автоматично усунуті всі наслідки: видалені файли вірусу, зупинені всі запущені вірусом процеси, повернутий в початковий стан реєстру, відновлені зашифровані дані (тут-то і стане в нагоді копія файлів). Весь цей процес займає секунди, так що користувач навіть не встигне злякатися.
  • Коли атака зупинена і наслідки усунуті, можна відпочити, але розслаблятися рано. Необхідно розслідувати інцидент, щоб зрозуміти, як вірус потрапив в систему, які проломи в обороні використав. Це важливо для запобігання наступної атаки. Модуль Forensic Analysis дозволяє побудувати детальні звіти щодо розвитку інциденту, де буде видно всі кроки вірусу (приклад такого звіту про WannaCry представлений на малюнку нижче). Ця технологія також дозволяє формувати реальні аналітичні звіти про інциденти на підставі безперервного збору даних, аналізу атаки і аналізу наслідків заражень.

Малюнок 2. Звіт SandBlast Agent про WannaCry

Звіт SandBlast Agent про WannaCry

Таким чином, SandBlast Agent не просто запобігає атаки, але і дозволяє провести аналіз і розслідування виявлених інцидентів. Це, в свою чергу, сприяє своєчасному вжиттю заходів щодо запобігання повторенню подібних ситуацій.

Варіанти поставки і розгортання SandBlast Agent

SandBlast Agent поставляється у вигляді наступних пакетів програм для їх подальшого розгортання:

  • Endpoint Complete Security.
  • SandBlast Agent Complete.
  • SandBlast Anti-Ransomware.

Таблиця 1. Відмінності програмних пакетів - в комплектації застосовуваних технологій захисту

Можливості (технології захисту) Варіант поставки Endpoint Complete Protection Suite SandBlast AgentComplete SandBlast
Anti-
Ransomware Спосіб розгортання Endpoint Agent Endpoint Agent Endpoint Agent Спосіб управління SmartCenter SmartCenter SmartCenter Anti-Ransomware + + + Incident analysis & quarantine + + + Forensics report + + - Browser extension + + - Emulation & Extraction + + - Zero Phishing + + - Anti- Bot + + - Antivirus + - - Full Disk Encryption, Media Encryption + - - Firewall & VPN + - -

SandBlast Agent може бути застосований на робочих станціях під управлінням операційних систем Windows 7/8/10 і Windows Server 2008 R2 / 2012/2012 R2. Відносно варіанту з розширенням для браузера Browser Extension - в даний час підтримується Google Chrome, Internet Explorer і Firefox.

висновки

Віруси-вимагачі стають все більш винахідливими і все частіше проявляють себе на глобальному рівні. Їх складність і масовість будуть тільки рости, тому що цьому сприяють:

  • наявність глобальних мереж серверів з підвищеною анонімністю користувачів;
  • широке поширення кріптовалютних платіжних систем, що забезпечують безпеку транзакцій і анонімність власників гаманців.

Останні атаки вірусів-вимагачів показали, що класичний традиційний підхід до захисту вже не забезпечує необхідного рівня захищеності і необхідний перехід на принцип ешелонованої захисту.

В даний час вже існують рішення, що забезпечують ешелоновану захист, здатну протистояти вірусам-здирникам. Одним з лідерів ринку, що пропонують подібні рішення, є компанія Check Point. Рішення компанії дозволяють практично з 100% упевненістю протистояти вірусам-здирникам. Про це свідчить відсутність в числі постраждалих організацій користувачів SandBlast Network або SandBlast Agent.

Розглянутий нами в даній статті Check Point SandBlast Agent здатний не просто запобігти атакам, але і провести аналіз і розслідування виявлених інцидентів. А головне, цей агент дозволяє оперативно і автоматично відновити дані, які вірус намагався зашифрувати.

» І «Чому не працюють традиційні підходи до захисту інформації?
Так яким же чином слід захищатися на тлі анонімності зловмисників і стрімкого розвитку вірусів?
Як захиститися від вірусів-вимагачів?
Так чому ж страждали навіть компанії із збудованою в кращих традиціях системою захисту?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: