Атаки Maze: бэкапов уже недостаточно, нужны новые способы защиты

Несколько лет назад для защиты от вымогателей, шифрующих данные, хватало резервного копирования. Сейчас же методы злоумышленников стали более продуманными и изощренными. Не полагаясь на массовые фишинговые кампании, хакеры реализуют дорогостоящие целевые атаки на корпоративную ИТ-инфраструктуру и пытаются дважды получить с жертвы выкуп в криптовалюте: за расшифровку данных и за сохранение конфиденциальности. В случае отказа платить информация размещается в сетях общего пользования.

Автор: Александр Коновалов, технический директор Varonis в России

Скрытая угроза

Идея шантажировать компании раскрытием приватных сведений не нова. Авторы шифровальщика, заразившего ИТ-системы транспортного агентства Сан-Франциско, использовали ее еще в 2016 году. На новый уровень этот метод незаконного извлечения денег вывела группировка Maze в 2019 году. Сначала преступники разместили в сети около 700 МБ данных охранного предприятия Allied Universal, а потом создали сайт со списком пострадавших компаний. Много шума наделала история с файлами администрации города Пенсакола (Флорида, США), а в начале нынешнего года от хакеров группировки пострадали компании Medical Diagnostic Laboratories и Southwire.

Довольно быстро у Maze появились последователи: Sodinokibi, Nemty и BitPyLock. Группировка продолжает работу и список ее жертв постоянно пополняется. Пострадали компании Pitney Bowes, VT San Antonio Aerospace (VT SAA), а на прошлой неделе злоумышленники опубликовали приватные данные LG Electronics и Xerox. Вероятнее всего их ИТ-инфраструктуры были скомпрометированы с использованием уязвимости CVE-2019-19781, которая присутствует в некоторых версиях Citrix Gateway, Citrix Application Delivery Controller (ADC) и Citrix SD-WAN WANOP. Специалисты по безопасности обнаружили проблему в конце прошлого года, т.е. взлом мог быть осуществлен достаточно давно.

В шифровальщики нового типа включают средства удаленного управления зараженными системами, к тому же злоумышленники перешли на целевые атаки. Неизвестно, где и когда хакеры проникают в системы, а самое главное — непонятно, как долго они там хозяйничают. Атаки могут происходить через дни, недели и даже месяцы после проникновения в корпоративную ИТ-инфраструктуру, а в случае их прекращения нельзя быть уверенным, что преступники покинули скомпрометированную сеть.

Новые стратегии злоумышленников

Раньше целевые атаки хакеров были преимущественно разовыми акциями: быстро найти уязвимость, быстро проникнуть в систему и быстро уйти, пока департамент безопасности не успел отреагировать. Maze и подобные ей группировки используют совершенно иную стратегию, делая ставку на долговременное присутствие в скомпрометированной ИТ-инфраструктуре.

Операторы Maze продолжали похищать данные VT San Antonio Aerospace (VT SAA) и после обнаружения атаки: когда шло расследование, они выложили в общий доступ отчет ИТ-отдела об инциденте.

Методы проникновения варьируются от жертвы к жертве, при этом на начальном этапе проводится разведка, включающая поиск уязвимостей с помощью технических средств, а также методов социального инжиниринга. Осуществляются фишинговые рассылки и кража учетных данных пользователей, в том числе грубыми методами вроде подбора паролей. Задача преступников – найти лазейки и создать плацдарм для вредоносной активности. Затем они будут все глубже и глубже внедряться в ИТ-системы жертвы, никак себя не проявляя. Когда инфраструктура поражена достаточно сильно, злоумышленники переходят к активным действиям, однако программы-вымогатели нового типа не шифруют файлы сразу — они продолжают захватывать системы, крадут данные и оставляют лазейки на будущее. Только потом информация шифруется и выдаётся сообщение с требованием выкупа.

Меры противодействия

Представители бизнеса серьезно подходят к вопросам информационной безопасности, но и схемы хакеров не перестают эволюционировать. Если раньше защититься от обычных шифровальщиков было относительно несложно — их ошеломляющий успех объяснялся в основном безалаберностью жертв, то сегодня повышение осведомленности пользователей, своевременное обновление антивирусных пакетов и даже резервное копирование компанию-жертву уже не спасут.

Чтобы предотвратить инцидент, необходимы комплексные организационные и технические меры. Неизвестно, где и когда будет нанесен удар, поэтому для защиты от программ-вымогателей нового типа активно используется поведенческий анализ.

На начальном этапе атаки могут помочь традиционные системы обнаружения и предотвращения вторжений, но преступники с ними хорошо знакомы и предпринимают меры для маскировки. Если они все же проникли в сеть, потребуются специализированные средства. В первую очередь нужно обнаружить аномальную активность учётных записей в службах каталогов, на файловых серверах, и попытки скрытого соединения с управляющими серверами. Вымогатели похищают (и шифруют) большие объемы данных, а такого рода действия всегда оставляют следы.

Под угрозой оказываются и привилегированные учетные записи, с помощью которых можно контролировать инфраструктуру и получать несанкционированный доступ к информации. Для их дополнительной защиты также потребуются специальные средства, чтобы найти, в частности, неизвестно откуда взявшиеся аккаунты с администраторскими привилегиями. Важно отслеживать и аномалии в поведении обычных пользователей: обращение к не требующимся для работы ресурсам, работа с ресурсами сети в неурочное время и тому подобные признаки.

Например, Varonis в своей платформе использует схему, позволяющую выявить и пресечь активность вымогателей нового типа на каждом этапе проникновения в ИТ-системы жертвы. Для предотвращения вторжения Varonis строит ассоциации между пользователями, устройствами и ресурсами, а затем отслеживает любые аномалии: обращения к файлам и папкам, аутентификации с нестандартных для учётной записи компьютеров, попытки доступа к иным системам, DNS-запросы и многое другое. Собирается и анализируется множество метаданных, и если злоумышленники оставят хоть какие-нибудь следы, они будут найдены, и вредоносная активность может быть остановлена.

Бизнес выделяет на борьбу с угрозами немалые деньги и строит комплексные многоуровневые системы защиты. Помогают они далеко не всегда, поскольку ИТ-инфраструктура современной компании слишком сложна, чтобы в ней не оказалось пригодных к эксплуатации уязвимостей. Важно понимать, что обеспечение информационной безопасности — это непрерывный процесс, позволяющий адекватно реагировать на актуальные вызовы. Не существует «серебряной пули», способной спасти от всех угроз раз и навсегда. Если преступные группировки стали использовать более изощренные методы, защита также должна становиться все более сложной. Сделать это можно, только внедрив комплексные средства контроля, способные обнаружить разные виды злоумышленников — от случайных инсайдеров, до хакеров, а также продвинутых угроз, обеспечивающих постоянное скрытое присутствие в инфраструктуре. Стоят они недешево, но в случае успешной атаки вымогателей ущерб будет намного выше.