Техники, тактики и процедуры шифровальщиков

Глубокий анализ современных шифровальщиков-вымогателей позволяет разработать универсальные методы противодействия им.

Техники, Тактики и Процедуры шифровальщиков-вымогателей

Эксперты «Лаборатории Касперского» провели глубокий анализ тактик, техник и процедур восьми самых распространенных шифровальщиков-вымогателей — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Сравнивая методы и инструменты злоумышленников на разных стадиях атаки, они пришли к выводу, что многие группировки в общем-то действуют примерно по одним и тем же схемам. Что позволяет создать эффективные универсальные контрмеры, позволяющие надежно защитить инфраструктуру компании от шифровальщиков.

Полный отчет с детальным анализом каждой техники и примерами ее использования можно найти в документе Common TTPs of modern ransomware groups. В нем можно найти и правила детектирования вредоносных техник в формате SIGMA.

Отчет предназначен в первую очередь для аналитиков центров мониторинга (SOC), экспертов Threat Hunting и Threat Intelligence, а также специалистов по реагированию на инциденты и по их расследованию. Однако наши исследователи также собрали в отчете и лучшие практики по противодействию шифровальщиком-вымогателям из различных источников. Будет нелишне повторить основные практические рекомендации по защите корпоративной инфраструктуры на этапе предотвращения вторжений и на нашем блоге.

Предотвращение вторжений

Идельный вариант — остановить атаку шифровальщика до того, как угроза проникнет внутрь корпоративного периметра. Уменьшить риск вторжения помогут следующие меры:

  • Фильтрация входящего траффика. Политики фильтрации должны работать на всех граничнх устройствах — роутерах, файерволах, IDS-системах. Не следует забывать про фильтрацию почты от спама и фишинга. Разумно использовать песочницу для проверки почтовых вложений.
  • Блокирование вредоносных вебсайтов. Следует ограничивать доступ к заведомо вредоносным веб-сайтам. Например, при помощи внедрения перехватывающих прокси-серверов. Также можно использовать потоки данных Threat Intelligence для того, чтобы поддерживать списки актуальных угроз.
  • Использование Deep Packet Inspection (DPI). Решение класса DPI на уровне гейтвея позволит проверять трафик на предмет вредоносов.
  • Блокирование вредоносного кода. Использование сигнатур для блокировки зловредов.
  • Защита Отключите RDP везде, где это возможно. Если без RDP не обойтись, помещайте системы с открытым портом RDP (3389) за файервол и разрешайте доступ к ним только через VPN.
  • Многофакторная аутентификация. Используйте мультифакторную аутентификацию, надежные пароли и политики автоматической блокировки учетной записи на всех точках, к которым возможет удаленный доступ.
  • Списки разрешенных подключений. При помощи аппаратных файерволов разрешайте подключение только с доверенных IP-адресов.
  • Закрывайте известные уязвимости. Своевременно устанавливайте патчи для уязвимостей в системах удаленного доступа и устройствах с прямым подключением к интернету.

В отчете также можно найти практические советы по защите от эксплуатации, горизонтального распространения по корпоративной сети, а также рекомендации по противодействию утечкам информации и по подготовке к инциденту.

Советы