Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
То же самое можно сказать и о продуктах безопасности, ориентированных на внутреннюю сеть, — в некоторых случаях достаточно их правильно настроить, в других — необходимо их заменить. Кроме того, для них могут потребоваться дополнительные возможности мониторинга и дополнительный персонал, который, разумеется, нужно обучить.
Наконец, если имевшиеся резервные копии в итоге были удалены (как вы уже знаете, это довольно распространенная стратегия злоумышленников), организации следует подумать о защите резервного копирования — например, о внедрении правила 3–2–1, использовании отдельных учетных записей для доступа к серверам резервного копирования и реализации многофакторной аутентификации для любого типа доступа.
Это не весь список действий после инцидента, а лишь несколько примеров, чтобы помочь вам понять, что обычно делается на этом этапе.
Надеюсь, теперь вы лучше понимаете, как в целом выглядит типичный процесс реагирования на инциденты. Дополнительные сведения можно найти в «Руководстве по работе с инцидентами компьютерной безопасности», подготовленном NIST.
Выводы
В этой главе мы рассмотрели различные этапы процесса реагирования на инциденты, чтобы вы могли получить ясное представление об основных этапах борьбы с атаками программ-вымогателей. Мы продолжим изучать этот вопрос, чтобы вы смогли лучше ориентироваться в деталях.
Вы уже знаете, что киберразведка — очень важная часть процесса реагирования на инциденты, поэтому в следующей главе мы обсудим разные уровни аналитики и обратим особое внимание на атаки программ-вымогателей. Мы просмотрим открытый отчет об угрозах и извлечем из него разные виды данных, чтобы как следует разобраться, чем они отличаются.
02. Врага нужно знать в лицо: как действуют банды операторов программ-вымогателей
Глава 4
Киберразведка и программы-вымогатели
Киберразведка — очень важная часть реагирования на инциденты. Прочитав предыдущую главу, вы должны были получить четкое представление о текущей картине угроз и методах, используемых злоумышленниками. Теперь важно научиться быстро выполнять анализ и переходить к следующим этапам реагирования на инциденты.
Далее мы обсудим различные типы информации о киберугрозах: стратегическую, оперативную и тактическую. Практика всегда лучше теории, поэтому в нашем обсуждении мы разберем публично доступный отчет, из которого попробуем выделить различные типы аналитики.
Таким образом, в этой главе мы рассмотрим все типы данных о киберугрозах через призму программ-вымогателей:
Кто и почему — стратегическая информация о киберугрозах.
Как и где — оперативная информация о киберугрозах.
Что — тактическая информация о киберугрозах.
Стратегическая информация о киберугрозах
Стратегическая информация о киберугрозах обычно предназначена для лиц, принимающих решения: директора по информационной безопасности (Chief Information Security Officer, CISO), директора по информационным технологиям (Chief Information Officer, CIO), технического директора (Chief Technology Officer, CTO) и др. Она включает описание глобальных направлений деятельности и мотивов злоумышленников и дает общие ответы на вопросы «кто» и «почему». Эта информация обеспечивает CISO, CIO и других руководителей в сфере кибербезопасности техническими и тактическими знаниями и помогает им предвидеть, какие могут появиться новые тенденции в сфере угроз.
Таким образом, «кто» относится к злоумышленникам, нацелившимся на организацию, а «почему» — к их мотивации.
С точки зрения мотивов киберпреступники вполне предсказуемы, их основная цель — получить с жертвы деньги. Как правило, речь идет о весьма значительных суммах.
Другой важный момент — какие организации становятся мишенями злоумышленников. Например, некоторые операторы программ-вымогателей не атакуют больницы, государственные учреждения, ключевые инфраструктурные объекты и т. д. Это хорошо иллюстрирует пример операторов BlackMatter, которые запрещают своим пособникам атаковать определенные категории организаций (рис. 4.1).
Теперь давайте ознакомимся с открытым отчетом команды SentinelLabs «Атаки Hive. Анализ программ-вымогателей, управляемых человеком, нацеленных на здравоохранение» (Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare). Отчет доступен по ссылке: https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/.
Рис. 4.1. Раздел правил на веб-сайте программы-вымогателя BlackMatter11
И первый же важный стратегический факт заключается в том, что цель злоумышленников, использующих программу-вымогатель Hive, — учреждения здравоохранения. Да, некоторые операторы и их сообщники могут специализироваться на определенных областях бизнеса или отраслях, иногда — в конкретных странах. В качестве примера исследователи приводят больницы Memorial Healthcare System в Огайо. Описана атака с использованием программы-вымогателя, в результате которой организация была вынуждена перевести пациентов неотложной помощи из ряда своих больниц в другие учреждения. Злоумышленники прекрасно понимают, что предприятия отрасли здравоохранения — благоприятная среда, которая содержит большие объемы данных. В медицинской отрасли есть много точек входа, которые позволяют злоумышленникам проникать и перемещаться как им заблагорассудится. Если мы попробуем углубиться в этот аспект и проанализировать данные жертв, доступные на сайте утечек (DLS) злоумышленников, можно найти еще больше данных, связанных с атаками (рис. 4.2).
Поскольку список жертв не ограничивается организациями здравоохранения, анализ может дать более подробный обзор целей. Это позволит лицам, принимающим решения, получить ясное представление о том, реальна ли угроза для их бизнеса.
Рис. 4.2. Информация о жертве с DLS Hive
Кроме того, из отчета видно, что группа, стоящая за программой-вымогателем Hive, весьма активна. Она начала свою деятельность в конце июня 2021 г. и уже провела не менее 30 успешных атак. Этот факт также может помочь расставить приоритеты в оборонительной стратегии.
Давайте подробнее рассмотрим оперативные сведения о киберугрозах, которые можно извлечь из отчета.
Оперативная информация о киберугрозах
Оперативная информация о киберугрозах помогает понять возможности злоумышленников, дает представление об их инфраструктуре и, конечно же, о тактиках, техниках и процедурах. Этот вид информации позволяет нам узнать, «как» и «где», поэтому он ориентирован на аналитиков Центра управления безопасностью (Security Operation Center, SOC), специалистов по реагированию на инциденты, «охотников за угрозами» и т. д.
Как вы, возможно, уже поняли, ответ на вопрос «как» позволяет борцам со взломщиками собирать информацию о различных тактиках, техниках и процедурах преступников и помогает обнаружить и нейтрализовать их. Отвечая на вопрос «где», мы узнаем, где искать следы реализации различных тактик, техник и процедур, что позволяет нам применять упреждающий подход.
Давайте продолжим анализ отчета SentinelLabs о программе-вымогателе Hive и сосредоточимся на разделе «Технический анализ» (Technical analysis).
Одна из лучших структур, описывающая тактики, техники и процедуры (англ. tactics, techniques, and procedures, сокр. TTP), — MITRE ATT&CK®.
MITRE ATT&CK® представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак. Она состоит из следующих основных частей.
Тактики — тактические цели нарушителей, такие как получение первоначального доступа к целевой сети.
Техники — общие определения средств, которые злоумышленники