Поделиться через

Защита от программ-шантажистов в Azure

  • Статья

Программы-шантажисты и вымогательство являются высокой прибылью, низкой стоимостью бизнеса, которая оказывает негативное влияние на целевые организации, национальную/региональную безопасность, экономическую безопасность и здравоохранение и безопасность населения. То, что началось как простое, одно PC-шантажистов выросло, чтобы включить различные методы вымогательства, направленные на все типы корпоративных сетей и облачных платформ.

Чтобы обеспечить защиту клиентов в Azure от атак программ-шантажистов, корпорация Майкрософт инвестирует в безопасность наших облачных платформ и обеспечивает средства управления безопасностью, необходимые для защиты облачных рабочих нагрузок Azure.

С помощью собственных средств защиты от программ-шантажистов Azure и реализации рекомендаций, рекомендуемых в этой статье, вы принимаете меры, которые позиционирует вашу организацию для предотвращения, защиты и обнаружения потенциальных атак программ-шантажистов на ваших ресурсах Azure.

В этой статье описаны основные возможности Azure и средства защиты для атак программ-шантажистов и рекомендации по упреждающе использовать их для защиты ресурсов в облаке Azure.

Растущая угроза

Атаки программ-шантажистов являются одной из самых больших проблем безопасности, стоящих перед предприятиями сегодня. При успешном выполнении атак программ-шантажистов может отключить бизнес-базовую ИТ-инфраструктуру и вызвать разрушение, которое может оказать негативное влияние на физическую, экономическую безопасность или безопасность бизнеса. Атаки с применением программ-шантажистов нацелены на предприятия всех типов. Поэтому всем компаниям необходимо принимать профилактические меры для обеспечения защиты.

Последние тенденции по количеству атак вызывают тревогу. Хотя 2020 год не был удачным для атак на предприятия с применением программ-шантажистов, 2021 год начался с негативной тенденции. Атака на Colonial Pipeline (Colonial) 7 мая временно нарушила работу служб, обеспечивающих доставку бензина, дизельного топлива и авиакеросина. Атака Colonial остановила работу критически важной трубопроводной сети, по которой происходило снабжение населения восточных штатов США.

Исторически кибератаки рассматривались как сложный комплекс действий, нацеленных на определенные отрасли, так что представители других отраслей считали, что они в безопасности, и не задумывались об угрозах кибербезопасности, к которым нужно готовиться. Программ-шантажистов представляет собой серьезный сдвиг в этом ландшафте угроз, и он сделал кибератаки реальным и всеохватывающим опасностью для всех. Риск потерять доступ к зашифрованным файлам, за восстановление которого требуют выкуп, стал самым главным страхом для большинства руководителей.

Экономическая модель использования программ-шантажистов строится на том заблуждении, что для атак с их применением задействуется только вредоносное ПО. Однако в действительности для проведения таких атак требуется участие злоумышленника, атакующего сеть.

Во многих организациях затраты на восстановление с нуля после инцидента с применением программы-шантажиста перевешивают первоначально запрашиваемый выкуп. При слабом понимании характера угроз и принципов работы программ-шантажистов оплата выкупа может показаться хорошим решением, позволяющим быстро возобновить деятельность. Однако реальный ущерб часто наносится, когда киберпреступник похищает файлы для раскрытия или продажи, оставляя в сети "черные ходы" для будущих вредоносных действий, и эти риски сохраняются независимо от того, заплачен выкуп или нет.

Что такое программа-шантажист

Программа-шантажист — это вредоносное программное обеспечение, которое заражает компьютер и ограничивает доступ пользователя к зараженной системе или определенным файлам, чтобы вымогать у него деньги. После компрометации целевой системы обычно блокируется большинство взаимодействий и отображается оповещение на экране, обычно указывающее, что система заблокирована или что все их файлы были зашифрованы. Затем программа требует заплатить существенную сумму, чтобы разблокировать систему или расшифровать файлы.

Для успешного завершения атаки программы-шантажисты обычно используют слабые места или уязвимости в информационных системах или инфраструктурах организации. Атаки настолько очевидны, что это не занимает много расследования, чтобы подтвердить, что ваш бизнес был атакован или что инцидент должен быть объявлен. Исключением может быть спам с требованием выкупа в обмен на якобы компрометирующие материалы. Такие инциденты можно игнорировать, если только в сообщении не содержится специфическая информация.

Атаке может подвергнуться любая компания или организация, у которой есть ИТ-системы с данными. Хотя целью атак с применением программ-шантажистов могут быть отдельные пользователи, большинство таких атак направлены на предприятия. Атака Colonial, совершенная в мае 2021 года, привлекла большое общественное внимание, однако данные по использованию программ-шантажистов, подготовленные нашей командой по обнаружению и реагированию (DART), показывают, что энергетический сектор в принципе является одной из основных мишеней, наряду с финансовым сектором, здравоохранением и культурно-развлекательной сферой. И несмотря на постоянные обещания не атаковать больницы и медицинские компании во время пандемии, здравоохранение остается главной целью для программ-шантажистов, контролируемых человеком.

Круговая диаграмма, иллюстрирующая отрасли, предназначенные для программ-шантажистов

Как происходят атаки на ресурсы

Атакуя облачную инфраструктуру, злоумышленники часто атакуют несколько ресурсов, чтобы попытаться получить доступ к данным по клиентам или секретной информации компании. Модель цепочки нарушения облачной безопасности объясняет, как злоумышленники пытаются получить доступ к любому ресурсу в общедоступном облаке с помощью четырех этапов: внешнее воздействие, доступ, боковое смещение и действия.

  1. Внешнее воздействие заключается в том, что злоумышленники ищут возможности для получения доступа к вашей инфраструктуре. Например, они знают, что приложения для клиентов должны быть открыты для доступа со стороны добропорядочных пользователей. Эти приложения доступны в Интернете и поэтому уязвимы к атакам.
  2. Злоумышленники пытаются использовать уязвимость для получения доступа к общедоступной облачной инфраструктуре. Это может достигаться за счет скомпрометированных учетных данных пользователей, скомпрометированных экземпляров или неправильно настроенных ресурсов.
  3. На этапе бокового смещения злоумышленники определяют, к каким ресурсам у них есть доступ и на каком уровне. Успешные атаки на экземпляры предоставляют злоумышленникам доступ к базам данных и другим конфиденциальным сведениям. Затем злоумышленник ищет другие учетные данные. Данные, полученные из Microsoft Defender для облака, показывают, что при отсутствии средства безопасности, способного быстро уведомлять об атаках, для обнаружения нарушений в организациях требуется в среднем 101 день. Между тем, всего через 24–48 часов после нарушения злоумышленник обычно полностью контролирует сеть.
  4. Действия, выполняемые злоумышленником после бокового смещения, во многом зависят от ресурсов, к которым он смог получить доступ на этапе бокового смещения. Результатом таких действий могут быть кража данных, потеря данных или запуск других атак. Для предприятий средний размер финансового ущерба от потери данных в настоящее время приближается к 1,23 млн долл. США.

Блок-схема, показывающая, как атакуется облачная инфраструктура: экспозиция, доступ, боковое перемещение и действия

Причины успешных атак

Атаки с применением программ-шантажистов могут завершаться успешно по ряду причин. Жертвами таких атак часто становятся уязвимые предприятия. Ниже перечислены некоторые основные факторы успеха атак.

  • Атака увеличивается, так как больше предприятий предлагают больше услуг через цифровые торговые точки
  • Очень просто получить готовые вредоносные программы по модели "программы-шантажисты как услуга" (RaaS).
  • Возможность использовать криптовалюту для шантажных платежей открывает новые пути для эксплойтов
  • Расширение компьютеров и их использование на разных рабочих местах (местные школьные округа, отделения полиции, полицейские автомобили и т. д.), каждое из которых является потенциальной точкой доступа для вредоносных программ, что приводит к потенциальной атаке
  • Распространенность старых и устаревающих инфраструктурных систем и программного обеспечения.
  • Плохо налаженное управление исправлениями.
  • Устаревшие или старые операционные системы, близкие или не превышающие сроки окончания поддержки
  • Недостаток ресурсов для модернизации ИТ-среды.
  • Нехватка знаний.
  • Отсутствие квалифицированного персонала и чрезмерное доверие ключевых сотрудников.
  • Ненадежная архитектура безопасности.

Злоумышленники используют различные приемы, такие как атака методом подбора по протоколу удаленного рабочего стола (RDP), для использования уязвимостей.

Схема пловцов, иллюстрирующая различные методы, используемые злоумышленниками

Следует ли платить

Мнения о том, как лучше поступать, когда возникает такая неприятная ситуация, разнятся. Федеральное бюро расследования (ФБР) рекомендует жертвам не платить выкуп, а быть бдительными и принимать упреждающие меры для защиты данных, прежде чем произойдет атака. Они утверждают, что оплата не гарантирует, что заблокированные системы и зашифрованные данные освобождаются снова. ФБР говорит, что еще одна причина не платить заключается в том, что платежи кибер-преступников стимулируют их продолжать атаковать организации

Тем не менее, некоторые жертвы соглашаются на требования о выкупе даже несмотря на то, что восстановление доступа к системам и данным после этого не гарантируется. Такие организации идут на обдуманный риск в надежде быстро возобновить нормальную работу. Одним из доводов является сокращение косвенных расходов, например из-за снижения производительности, уменьшения дохода с течением времени, раскрытия конфиденциальных данных и возможного подрыва репутации.

Лучший способ предотвратить выплату выкупа — не падать жертвой, реализуя превентивные меры и имея насыщенность инструментов для защиты вашей организации от каждого шага, который злоумышленник принимает полностью или постепенно, чтобы взломать систему. Кроме того, возможность восстановления затронутых активов обеспечивает своевременное восстановление бизнес-операций. В облаке Azure имеется эффективный набор средств, охватывающих все этапы.

Каковы последствия для бизнеса

Влияние атаки программы-шантажиста на организацию трудно поддается количественной оценке. В зависимости от области и типа это влияние может быть многоаспектным:

  • потеря доступа к данным;
  • прерывание бизнес-операций;
  • финансовые убытки;
  • кража интеллектуальной собственности;
  • подрыв доверия клиентов и испорченная репутация.

Компания Colonial Pipeline выплатила около 4,4 млн долл. США, чтобы разблокировать свои данные. Сюда не входят затраты из-за простоя, потери продуктивности, упущенных продаж и возобновления работы служб. В более широком плане серьезные инциденты оказывают косвенное воздействие на множество других предприятий и организаций всех видов, включая местные городские службы. Финансовые последствия также очень серьезны. Согласно прогнозам корпорации Майкрософт, расходы на восстановление от атак программ-шантажистов в 2021 году достигнут 20 млрд долл. США.

Линейчатая диаграмма, показывающая влияние на бизнес

Следующие шаги

См.: Технический документ по защите Azure от атак программ-шантажистов.

Другие статьи в этой серии: