Готовы ли вы к атаке программы-вымогателя?

Программы-вымогатели – это разновидность вредоносного ПО, которое шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты. Пользователям показаны инструкции о том, как оплатить сбор за получение ключа дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых злоумышленникам в биткойнах.

Одной из наиболее распространенных систем доставки является фишинговый спам – вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять. После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ. Некоторые более агрессивные формы программ-вымогателей используют бреши в безопасности для заражения компьютеров без необходимости обманывать пользователей.

Есть ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Начните с защитных мер, которые помогут защитить вашу сеть от программ-вымогателей и свести к минимуму их распространение в случае проникновения. Помните, что вымогатели могут получить доступ к сети различными способами, включая электронную почту, поэтапную загрузку и уязвимости веб-систем и даже USB-накопители – поэтому важно использовать несколько уровней защиты.

Сделайте эти шаги, чтобы снизить риск

Вот несколько шагов, которые помогут защитить вашу организацию от программ-вымогателей и улучшить защиту от всевозможных атак:

Сканируйте и фильтруйте электронную почту, прежде чем она попадет к вашим пользователям. Самый простой способ запретить сотрудникам нажимать на ссылку с программой-вымогателем в электронном письме - это сделать так, чтобы письмо никогда не приходило в их почтовый ящик. Это означает использование сканирования содержимого и фильтрации электронной почты, которые должны предотвратить множество случаев фишинга и мошенничества с программами-вымогателями, прежде чем они действительно достигнут сотрудников.

Регулярно обновляйте свою операционную систему, чтобы уменьшить количество уязвимостей, которые можно использовать. Сканирование уязвимостей и своевременное исправление имеют важное значение. Все исправления безопасности должны быть применены ко всем системам как можно скорее.

Не устанавливайте программное обеспечение и не предоставляйте ему административные привилегии, если вы точно не знаете, что это такое и что оно делает.

Примите меры для уменьшения атак со сбором учетных данных. Скомпрометируя инсайдерские учетные записи, киберпреступники получают хорошие возможности для проведения и расширения атаки программ-вымогателей. Используйте многофакторную аутентификацию, чтобы злоумышленникам было намного сложнее получить и использовать украденные учетные данные.

Установите антивирусное программное обеспечение для обнаружения вредоносных программ, таких как программы-вымогатели и программное обеспечение из белого списка, чтобы в первую очередь предотвратить запуск неавторизованных приложений. Убедитесь, что это защитное программное обеспечение обновлено. Многие антивирусные пакеты теперь предлагают функции обнаружения программ-вымогателей или надстройки, которые пытаются определить подозрительное поведение, характерное для всех программ-вымогателей: шифрование файлов. Эти приложения отслеживают ваши файлы на предмет неожиданного поведения, такого как странное новое программное обеспечение, пытающееся зашифровать файлы, и стремятся предотвратить заражение. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

Сегментация сети может предотвратить распространение программ-вымогателей туда, где они могут нанести значительный ущерб. Некоторые программы-вымогатели будут пытаться перейти с начальной точки взлома на другие ПК, сетевые диски и серверы. Сегментация может отгородить драгоценности короны.

Убедитесь, что у вас есть мониторинг сети и конечных точек, который может обнаруживать заражение программами-вымогателями и обеспечивать раннее предупреждение. Системы могут включать в себя систему управления информацией и событиями безопасности (SIEM), которая способна объединять и анализировать несколько потоков данных для повышения прозрачности в организации. Эти продукты могут дать вам актуальное представление о вашей сети и должны помочь вам определить виды аномалий трафика, которые могут указывать на то, что вы были взломаны хакерами. Если вы не видите, что происходит в сети, вы не сможете остановить атаку.

Помните: многие нарушения происходят из-за сторонних уязвимостей. Убедитесь, что вы проводите анализ рисков любых новых или существующих поставщиков, которые касаются сетевых систем.

Создавайте резервные копии файлов часто и автоматически! Наличие безопасных и актуальных резервных копий всей критически важной для бизнеса информации – жизненно важная защита. Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одной, гораздо менее значительным. Крайне важно, чтобы резервные копии были изолированы и не подвергались воздействию в случае атаки. Кроме того, резервные копии следует периодически проверять, чтобы гарантировать быстрое и легкое восстановление данных.

Убедитесь, что у вас есть план реагирования на инциденты. План восстановления, охватывающий все типы аварийных ситуаций, должен быть стандартной частью бизнес-планирования и включать ответ на программы-вымогатели. Это не только технический ответ – очистка ПК и переустановка данных из резервных копий – но и более широкий бизнес-ответ, который может потребоваться. Следует подумать о том, как объяснить ситуацию клиентам, поставщикам и прессе. Подумайте, нужно ли уведомлять регулирующие органы, или вам следует вызывать полицию или страховщиков. Недостаточно иметь документ. Вам также необходимо проверить сделанные вами предположения, потому что некоторые из них будут ошибочными. Для реагирования на атаки программ-вымогателей требуются продуманные процедуры реагирования на инциденты, которые регулярно отрабатываются, чтобы каждый член команды знал свои обязанности. Это включает участие ИТ,

Убедитесь, что у вас есть проверенный план действий в чрезвычайных ситуациях для критически важных коммуникационных платформ и операционных систем. Любой простой может негативно повлиять на организацию.

Обучение безопасности пользователей может значительно снизить риск совершения сотрудниками ошибок, которые могут привести к атаке программ-вымогателей. Убедитесь, что «человеческий брандмауэр» в вашей организации достаточно обучен, чтобы обнаруживать и предупреждать ИТ о потенциальных атаках.

Рассмотрите возможность привлечения третьей стороны для независимой оценки ваших мер безопасности. Внешние эксперты привносят вторую группу глаз и актуальные знания, полученные в результате противодействия атакам во многих компаниях и во многих вертикалях. Независимый эксперт может выявить критические проблемы, которые облегчат создание более надежной программы обеспечения конфиденциальности и безопасности.

Подумайте, прежде чем платить

И последний совет: подумайте, прежде чем платить программе-вымогателю. Создатели программ-вымогателей – преступники. Даже если вы заплатите, нет гарантии, что ваш компьютер или файлы будут расшифрованы. Более того, выплата выкупа только поощрит злоумышленников. В свете этой проблемы Управление по контролю за иностранными активами Министерства финансов США («OFAC») недавно предупредило компании, что они могут столкнуться с штрафами и потенциальными санкциями, если они заплатят киберпреступникам.

Атака программы-вымогателя может нарушить бизнес-операции, вывести критическую инфраструктуру из строя и нанести значительный ущерб бренду организации. Но есть способы подготовить вашу организацию к предотвращению, обнаружению и быстрому реагированию на программы-вымогатели.

Anti-ransomware checklist

Настоятельно рекомендую проверить себя и если какие-то пункты не выполняются, исправить немедленно!

ЛОКАЛЬНО, НА ПК

Контрольный список для защиты от программ-вымогателей:

• Я не храню важные данные только на своем компьютере.
• У меня есть 2 резервные копии моих данных: на внешнем жестком диске и в облаке — Dropbox/Google Drive и т. д.
• Dropbox/Google Диск/OneDrive и т. д. приложения на моем компьютере по умолчанию не включены. Я открываю их только один раз в день, чтобы синхронизировать свои данные, и закрываю их, как только это будет сделано.
• Моя операционная система и программное обеспечение, которое я использую, обновлены, включая последние обновления безопасности.
• Для повседневного использования я не использую учетную запись администратора на своем компьютере. Я использую гостевую учетную запись с ограниченными правами.
• Я отключил макросы в пакете Microsoft Office — Word, Excel, Power Point и т. д.

BROWSER

• Я удалил из своих браузеров следующие плагины: Adobe Flash, Adobe Reader, Java и Silverlight. Если мне абсолютно необходимо их использовать, я настраиваю браузер так, чтобы он спрашивал меня, хочу ли я активировать эти плагины при необходимости.
• Я изменил настройки безопасности и конфиденциальности в моих браузерах для повышения защиты.
• Я удалил устаревшие плагины и надстройки из своих браузеров. Я сохранил только те, которые использую ежедневно, и постоянно обновляю их до последней версии.
• Я использую блокировщик рекламы, чтобы избежать обработки потенциально вредоносной рекламы.

ПОВЕДЕНИЕ В СЕТИ

• Я никогда не открываю спам или письма от неизвестных отправителей.
• Я никогда не загружаю вложения из спама или писем от неизвестных отправителей.
• Я никогда не нажимаю ссылки в спаме или подозрительных письмах.

ANTI-RANSOMWARE SECURITY TOOLS

Я использую надежный платный антивирус, который включает модуль автоматического обновления и сканер в реальном времени.