Массовые операции против вымогательского ПО

Вымогательское ПО стало настоящей головной болью для современных компаний, имеющих даже минимальную информатизацию процессов и ИТ парк. А прошедший 2020 год расширил изобретательность киберпреступников в механизмах монетизации. В связи с этим мировое ИБ сообщество активизировалось в своих попытках решить проблему вымогательского ПО не только на уровне защиты конкретной жертвы, но и на более системном уровне.
В январе ИБ экспертам удалось провести еще несколько успешных операций:

• Усилиями Европола и Евроюста была отключена инфраструктура ботнета Emotet – банковский троян, использующийся как для кражи банковских данных, так и для загрузки вредоносного ПО следующих этапов: трояна QakBot, загружающего вымогателей ProLock, Egregor, трояна Trickbot, загружающего вымогатели Ryuk, Conti и др. Интересно, что через захваченную инфраструктуру вредоносного ПО запланирована координированная рассылка модулей для его устранения с компьютеров жертв.
• Правоохранительным органам Болгарии и США удалось заблокировать доступ к ресурсам шифровальщика Netwalker в Tor-сети, а также привлечь к суду одного из операторов вредоносного ПО и конфисковать криптовалюту. Netwalker представляется как услуга Ransomware-as-a-Service и целится в основном в крупные и средние бизнес-структуры, включая частные компании, госструктуры, вузы и школы и медицинские учреждения. Внедрение обычно происходит через незащищенный RDP сервис с использованием различных уязвимостей.
  

Действия силовиков приостановят вредоносную активность кибер-преступников, связанных с упоминаемым ПО. Однако, напомним, что операторы вымогательского ПО не так просты. Например, блокирование С&С серверов Trickbot осенью 2020 г., усилиями организации FS-ISAC, а та­кже Microsoft Defender, Lumen, NTT, ESET и Symantec, привело к эволюции атакующих и вредоносного ПО: появилась новая управляющая инфраструктура, новые методы обфускации и новая функциональность на уровне UEFI/BIOS.
Поэтому пренебрегать защитой от данного вида угроз нельзя, тем более что финансовые риски успешных атак реальные и исчисляемые. Важно использовать полученные знания при построении необходимого и достаточного комплекса мер для снижения рисков успешной атаки вымогательским ПО, а именно использовать

• средства защиты узлов с механизмами анализа аномалий в действиях ПО – EDR системы.
• механизмы детектирования и блокирования соединений с известной инфраструктурой управления вымогательским ПО и ботнетами – NGFW решения с функциями IPS и блокирования C&C серверов, системы NTA.
• средства мониторинга и анализа инцидентов – XDR, SOC, TI системы. Своевременное устранение «тихого» ботнет агента может остановить будущее заражение и уничтожение данных на первичном этапе внедрения.
  

В портфеле группы компаний Angara присутствую лучшие представители всех озвученных решений. И что более важно, широкий опыт использования их для различных бизнес-инфраструктур: от небольших организаций разных сфер бизнеса, до крупных банков, телеком и отраслевых компаний.
По всем вопросам о решениях и услугах можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.