Ransomware: математический аппарат на службе зла. Способы защиты

Всем салют! Это снова Илья Борисов из антивирусной лаборатории Positive Technologies. 

В прошлой статье мы подробно рассмотрели известные (и не очень) программы-вымогатели (aka шифровальщики) — как они работают, из чего состоят, разобрали векторы атак с их использованием. Самое время поговорить о том, как от них защищаться. 

Защита от киберугроз, в том числе от атак шифровальщиков, начинается с построения безопасной экосистемы. Ее техническую основу составляют взаимосвязанные продукты разных классов: песочницы, антивирусы, системы защиты конечных точек (EDR), NGFW. Каждый из продуктов на разных этапах атаки имеет реальную возможность распознать угрозу типа ransomware, остановить ее или передать сигнал о необходимости начать расследование.

Важно упомянуть: при попытке атаки с помощью ransomware, вывести из строя средства защиты — приоритетная цель для злоумышленника. Ниже разберем каждый класс по отдельности.

Sandbox

Атаки с использованием шифровальщиков наиболее явно демонстрируют необходимость в защитных средствах песочниц. Похищение информации, получение скрытого доступа к управлению устройством тоже критически опасны для многих компаний, но эти действия, как правило, обратимы и прерываемы и в некоторых ситуациях не наносят большого ущерба бизнес-процессам. А шифровальщик может мгновенно вывести из строя как отдельное пользовательское устройство, так и инфраструктуру целой организации, если шифрование совмещено с функциональностью сетевого червя. Поэтому важно предотвратить попадание такого ВПО в сеть и на рабочие станции.

Каким образом среда для автоматического предварительного запуска ПО в виртуальной среде обеспечивает полную защиту от шифровальщиков? Рассмотрим на примере нашей песочницы — PT Sandbox. Если в ходе запуска программы в песочнице во множестве директорий появились файлы со странными расширениями, то, скорее всего, все важные документы были зашифрованы. С уверенностью можно сказать, что анализируемая программа — ransomware, и выдать соответствующий вердикт (такая же логика может сработать при анализе ВПО класса wiper, но это нестрашно: главное, что файл будет признан вредоносным).

Таким образом, основное преимущество песочниц при защите от шифровальщиков — возможность обнаружить вредоносные образцы по результатам проверки в виртуальной среде, без необходимости прерывать работу анализируемого файла. Это делает процесс очень простым и эффективным.

Помимо описанного выше метода (базового и самого эффективного) PT Sandbox включает в себя проверку файла антивирусными средствами, средствами анализа поведения, а также проверку сетевого трафика, полученного в виртуальной машине. Это позволяет обнаружить даже те образцы вредоноса, которые не являются в полной мере работоспособными.

Антивирус

Следующим важным элементом безопасной экосистемы выступают классические антивирусы, например MaxPatrol EPP. У этого класса решений есть точечные сигнатурные детекты: информация о вредоносном файле уже содержится в базах — и антивирус не позволит ему выполниться в системе.

Далее, как только новый образец (особенно такой опасной разновидности, как шифровальщик) попадает в антивирусную лабораторию, аналитики ищут присущие ему шаблоны поведения. На основе таких шаблонов делаются более широкие эвристические или поведенческие детекты — они позволяют выявить модификации исходного вредоносного файла и тем самым усложнить жизнь злоумышленникам.

Еще одним инструментом детектирования в антивирусах выступают технологии эмуляции. В процессе выполнения кода в изолированной виртуальной среде антивирус может выявить действия, однозначно указывающие на поведение вредоноса или на какие-либо подозрительные техники, скрывающие назначение файла. Более подробно работу файловых антивирусов мы описали в статье на сайте Anti-malware.ru.

EDR-решение

Для обнаружения вредоносной активности на конечных точках и реагирования также применяются решения класса endpoint detection and response (EDR). В отличие от антивируса, EDR-система в режиме реального времени собирает события от запущенных процессов, объединяет и анализирует их, после чего применяет правила для выявления нежелательных изменений и явно вредоносной активности без привязки к низкоуровневому коду.

Преимущество продуктов класса EDR, помимо возможности отследить изменение множества файлов, заключается в том, что они способны определить конкретные изменения, явно или косвенно указывающие на атаку, и за счет автореагирования прервать ее на раннем этапе. К таким изменениям относятся отключение или удаление бэкапов, запуск подозрительных процессов, отключение механизмов защиты операционной системы.

Необходимо упомянуть, что решения класса EDR часто имеют отдельную функциональность для защиты от вредоносов. Примером такой функциональности могут выступать ловушки — специально созданные самим EDR-продуктом файлы с определенным расширением, которые захочет зашифровать шифровальщик. Для пользователя эти файлы, как правило, незаметны. Если будет совершена попытка что-то сделать с ловушкой, то сработают защитные механизмы, а процесс — виновник события (который «захочет» взаимодействовать с файлом) будет тщательно проверен.

Система класса NDR (NTA), NGFW

Защиту сети обеспечивают два типа решений: продукты для анализа сетевого трафика — системы класса NDR (NTA), например PT Network Attack Discovery — и файрволы (NGFW). Система класса NDR (NTA) нацелена на анализ внутренних взаимодействий и поведения пользователей, в то время как NGFW «смотрит» на периметр и проактивно его защищает.

В сетевом поведении, свойственном шифровальщикам, можно выделить следующие активности:

• Отправка или получение криптографических ключей (характерная особенность активности вредоносного ПО).

• Получение информации о геолокации (обращение к ip-api.com и другим адресам).

• Регистрация зараженного устройства.

• Кража файлов, информации.

• Загрузка обоев рабочего стола.

Вышеописанное поведение успешно детектируется сигнатурами в PT NAD, PT NGFW.

Для взаимодействия с управляющими серверами шифровальщик в основном использует протоколы TCP и HTTP (HTTPS).

Средства резервного копирования данных

Изначально средства резервного копирования данных задумывались как инструменты для сохранения, дублирования и безопасного переноса информации. Однако при правильном использовании этот инструмент может полностью нивелировать последствия атаки шифровальщика.

Важно понимать, что не во всех случаях даже при правильном развертывании инструментов резервного копирования можно добиться полного восстановления зашифрованных данных. Например, если их объем очень большой и сами данные постоянно изменяются, то та дельта, которая возникнет при откате к резервной копии, может уже не представлять ценности. Кроме того, если злоумышленник смог захватить информационную систему целиком, с высокой долей вероятности он попытается удалить резервные копии.

Тем не менее резервное копирование остается основной опцией при успешной атаке с помощью шифровального ПО. Чем-то вроде стандарта можно считать принцип 3-2-1. Он означает, что у организации должно быть как минимум три копии данных, две из которых хранятся на разных физических носителях, а одна — изолирована от сети или вынесена в облако. Для эффективной реализации принципа 3-2-1 также требуется разграничить сегменты сети и настроить политику управления правами доступа.

Но что, если есть понимание, что атака происходит здесь и сейчас и не все файлы зашифрованы? На этот случай существуют инструменты динамического резервного копирования. Они позволяют отслеживать изменения в файловой системе и за счет инкрементного копирования могут в любой момент откатить зашифрованные файлы на хосте к исходному состоянию.

Нетехнические меры

• Применение практик безопасной разработки

• Построение безопасной инфраструктуры

• Обучение сотрудников

• Использование проприетарных, национальных решений

К нетехническим мерам относятся те, которые не нацелены напрямую на противодействие конкретным видам атак, но могут повысить общий уровень защищенности информационной системы.

Практики безопасной разработки

Последние несколько лет наблюдается рост числа уязвимостей, выявленных в популярных информационных системах и их компонентах: в операционных системах, программном обеспечении и в любых других программно-аппаратных комплексах. Злоумышленники активно пользуются уязвимостями как для определения векторов атак, так и для повышения привилегий и отключения средств защиты. В качестве превентивного средства для борьбы с возникновением уязвимостей сформировались практики безопасной разработки.

В 2024 году практики были обновлены и зафиксированы в ГОСТ Р 56939 — 2024 «Разработка безопасного программного обеспечения».

Безопасная инфраструктура

Еще один подход, позволяющий снизить риски успешных атак на компанию, — организация безопасной инфраструктуры. Он включает в себя построение безопасной архитектуры сетей, обеспечение защиты центров обработки данных и серверов с помощью наложенных средств.

Что подразумевается под безопасной архитектурой сетей:

• Эшелонированная защита. Создание нескольких барьеров. Сбой в работе одного не приводит к компрометации всей системы.

• Принцип наименьших привилегий. Предоставление пользователям только минимально необходимых прав доступа.

• Нулевое доверие. Проверка каждого запроса, независимо от его источника.

• Наличие демилитаризованной зоны. Изоляция публичных серверов от внутренней сети.

• Защита конечных точек. Использование EDR-решений для мониторинга хостов.

К наложенным средствам защиты информации относятся описанные ранее антивирусы, песочницы, EDR-системы и сетевые решения класса NTA (NDR) и NGFW.

Правильно построенная безопасная архитектура поможет выиграть время для реагирования или вовсе не даст злоумышленнику возможность продвинуться в атаке.

Обучение сотрудников

Хорошая профилактика — периодическое обучение сотрудников основам ИБ. Такой подход позволяет снизить уровень угроз для информационных систем. Дополнительно департамент информационной безопасности может проводить внутренний аудит, в том числе рассылая «фишинговые» письма сотрудникам и проверяя соответствие паролей корпоративным требованиям.

Как правило, обучение включает в себя:

• Настройку рабочего места, в том числе удаленного.

• Противодействие фишингу, психологическим приемам.

• Создание надежных паролей.

• Организацию взаимодействия с коллегами в социальных сетях и с личных устройств.

• Защиту данных и организацию доступа к ним.

Проприетарные и национальные решения

Проприетарные и национальные решения имеют преимущества перед решениями с открытым исходным кодом в плане повышения уровня информационной безопасности. Во многих организациях и государственных структурах есть внутренние правила, запрещающие использование открытого программного обеспечения.

Преимущества проприетарных систем как механизмов повышения защищенности информационной системы:

• Бо́льшая надежность и уровень глубины тестирования, чем у open-source-решений.

• Наличие технической поддержки и гарантий безопасности. Важный аспект — это оперативное закрытие выявленных уязвимостей со стороны разработки.

• Бо́льшая устойчивость к анализу механизмов эксплуатации уязвимостей за счет закрытого кода.

• Понятные бесшовные интерфейсы для взаимодействия с другими компонентами сети.

Преимущество национальных систем как механизмов повышения защищенности информационной системы:

• Защита от скрытых уязвимостей, отсутствие закладок и независимость от обновлений, поддерживаемых иностранными вендорами.

• Соответствие всем требованиям регуляторов.

• Бо́льшая устойчивость к анализу механизмов эксплуатации уязвимостей за счет закрытого кода.

• Бо́льшая надежность и уровень глубины тестирования, чем у open-source-решений.

• Контроль запуска и распространения приложений: если для того, чтобы запуститься, вредонос должен изначально попасть в магазин приложений или получить сертификат подписи, то угроза может быть выявлена еще на этом этапе.

Все указанные выше решения позволяют косвенным образом снизить риск заражения информационных систем шифровальщиком.

Юридическая защита

Другой нетехнической мерой защиты может выступать киберстрахование, которое направлено на предоставление страховых услуг в сфере информационной безопасности. Оно предполагает:

• покрытие издержек при утечке данных;

• защиту от претензий клиентов;

• защиту от атак, целью которых является выкуп.

Мера защиты помогает выполнить требования регуляторов и снизить киберриски при работе с контрагентами.

Услуги страхования при атаках шифровальщиков разделяются на следующие: выплату выкупа, услуги переговорщиков, восстановление ИТ-систем, компенсацию за простой. Но и здесь все не так просто. Подобное страхование имеет достаточное количество узких мест:

• Требования к средствам технической защиты.

• Требования к уровню организации департамента информационной безопасности и протоколам реагирования на киберугрозы.

• Требования к организации процессов резервного копирования.

• Участие в тестировании на проникновение, наличие багбаунти-программ.

• Требования к надежности контрагентов во избежание компрометации с их стороны.

• Определение граничных случаев.

Последний пункт особенно интересен. Чаще всего он связан с требованиями и запретами со стороны государственных органов (к примеру, на выплату выкупа может быть наложен мораторий). Кроме того, могут существовать ограничения, касающиеся перечня и характеристик группировок, атаки которых покрываются страховкой.

AI меняет правила игры

Развитие технологий искусственного интеллекта привело к появлению огромного количества как инструментов для проведения атак, так и средств защиты от них. Но этим дело не ограничилось, и ИИ-технологии сами стали предметом и инструментом атак.

AI как инструмент атакующего

Еще задолго до того, как ИИ начал использоваться в кибератаках, появилась база знаний MITRE ATT&CK — в ней описаны тактики и техники злоумышленников. Однако с ростом применения AI-технологий для подготовки и непосредственного проведения атак, а также с появлением отдельного вектора нападения на AI-сервисы и ML-модели потребовалось создать отдельную базу знаний для подходящих тактик и техник. Ей и стала ATLAS Matrix.

Зачем злоумышленнику пытаться придумывать убедительное фишинговое письмо, если ту же самую задачу нейросеть GPT сможет решить за несколько секунд, генерируя не только текст, но и создавая поддельные файлы с соответствующей информацией? Сюда относятся инструменты, связанные с некоторым элементом социальной инженерии, а также:

🔻 атаки на LLM с целью обхода ограничений и получения защищаемой информации;

🔻 воздействие на базы данных RAG для расширения дальнейших атак;

🔻 злонамеренное использование прав доступа у AI-помощников;

🔻 атаки на API AI-сервисов и многое другое.

Но как AI влияет именно на атаки шифровальщиков?

🔹 Reconnaissance (AML.TA0002)
Помощь в сборе информации о цели (краулинг социальных сетей, корпоративных сайтов) для выявления уязвимых мест и точек входа.

🔹 Phishing (AML.T0052)
Подготовка материалов для таргетированного фишинга — от поддельных писем до дипфейков.

🔹 Defense Evasion (AML.TA0007)
Изменение исходного кода ransomware для обхода антивирусных инструментов, основанных на сигнатурах. Сюда же относится подготовка средств атаки за счет генерации кода AI.

🔹 Lateral Movement (AML.TA0015)
Автоматизация и автономность. AI-агенты могут перемещаться по сетям, находить критически важные данные и выполнять шифрование без участия человека.

В ближайшее время из-из сокращения времени между возникновением идеи и ее реализацией стоит ожидать появления новых разработок и подходов к проведению атак с использованием искусственного интеллекта.

Другая сторона медали

Несколько наивно полагать, что бывают плохие или хорошие технологии: AI скорее можно сравнить с обоюдоострым мечом. Те сильные стороны искусственного интеллекта, которые помогают атакующему, могут быть также эффективно использованы для защиты.

Уже устоявшаяся технология для антивирусных средств защиты — поиск сходств исполняемых вредоносных файлов на основе кластеризации — во многих случаях способна нивелировать усилия по изменению исходного кода. Дополнительно она покрывает те случаи, когда злоумышленник не применяет AI, а использует более традиционные подходы.

Аналогичная ситуация с фишингом. Технологии на основе искусственного интеллекта способны выявлять фишинговые письма. Но этим борьба с фишингом не ограничивается: отдельные нейросети способны определять, написано ли письмо с использованием ИИ-моделей, не ставя вопрос о его вредоносности. Сюда же относятся технологии для выявления клонов сайтов, используемых для кражи учетных данных.

Еще одно перспективное направление использования ИИ в ИБ — выявление аномалий в сетевом трафике и поведении пользователя. Искусственный интеллект способен обнаруживать угрозы безопасности: вторжения, активность вредоносного ПО и утечки данных.

Таким образом, быстрые темпы развития AI-технологий, очевидно, могут привести к усилению старых и появлению новых механизмов обнаружения атак.

Текущие тренды

Давать прогнозы достаточно сложно, но попытаться экстраполировать текущие тренды вполне уместно.

Что изменится:

✅ Шифровальщики будут еще чаще использоваться в атаках на инструменты виртуализации, средства резервного копирования, ML-модели и базы данных RAG.

✅ Шифровальщики, в том числе распространяемые по модели RaaS, будут разрабатываться как компоненты, используемые на заключительном шаге атаки. Снизится вероятность получить их с фишинговыми письмами.

✅ Сохранится тренд на автономную работу, в том числе с использованием соответствующих AI-агентов, для автоматизации шифрования данных в информационной системе.

✅ Схемы, где из-за ошибки в разработке шифровальщика можно восстановить зашифрованные файлы, будут возможны только при использовании нейрослопов.

✅ Операторы шифровального ПО все реже будут полагаться на API операционной системы, все чаще — на сторонние библиотеки.

✅ Вырастет число форков для доступных в открытых источниках шифровальщиков.

✅ Вырастет спрос на средства динамического бэкапирования данных.

✅ Соблюдение практик безопасной разработки, практик построения безопасной инфраструктуры станет обязательным требованием со стороны регуляторов.

✅ Будет продвигаться киберстрахование в ИТ-сфере.

✅ Хактивизм как потенциальный метод атаки сохранится из-за мировой политической нестабильности.

✅ Будут побиты рекорды по суммам выкупов.

✅ Продолжится внедрение AI-технологий в продукты для детектирования.

✅ Продолжится рост числа атак:

• с использованием AI-агентов;

• на AI-агенты — с целью шифрования дальнейшей атаки ransomware;

• в которых ransomware используется для уничтожения данных (со стороны APT-группировок).

Что из этого сбудется, покажет лишь время. А наша задача здесь и сейчас — совершенствовать методы борьбы с данной угрозой.

Что-то меняется, а что-то остается неизменным

В ходе рассмотрения примеров семейств шифровальщиков возникало чувство, будто по части шаблона действий они достигли некоего плато в своем развитии.

Если смотреть с точки зрения пользовательских файлов, то атаки, нацеленные на шифрование документов формата DOC, PDF-файлов, на базы данных как были, так и продолжаются. Да, добавились файлы средств виртуализации и файлы, связанные с AI, но остальное будто бы больше заточено под профиль конкретных атакуемых жертв.

Используемые алгоритмы шифрования также будто бы устоялись в виде небольшой группы: для симметрии — AES, ChaCha, RC4 и Salsa20, для асимметрии — RSA и X25519.

Есть понимание, что с высокой вероятностью шифроваться будут все сетевые диски, а директория операционной системы останется нетронутой.

Тот же LockBit, один из самых известных шифровальщиков, не остановится на пятой версии. Ведь пока бизнес авторов шифровальщиков приносит им деньги, будут и последующие обновления.

Здесь хочется сказать, что атаки с использованием шифровального ПО будто бы стали более зрелыми. Невольно приходит на ум аналогия с шахматной партией: злоумышленник продумывает, как он будет пытаться обойти средства защиты, а средства защиты определяют, какие ходы будет совершать злоумышленник. И для злоумышленника победа одной партии все еще может окупить десять проигранных. Вопрос лишь в том, кто кого переиграет.

Заключение

В статье мы с коллегами попытались дать всесторонний взгляд на проблему атак с использованием шифровального ПО. Нам хотелось показать пересечения взглядов с разных перспектив, дать возможность увидеть технические детали, которые спрятаны за бинарными структурами или находятся вне фокуса для большинства.

Атаки с использованием шифровальщиков остаются наиболее финансово выгодными для злоумышленников. Однако они же и наиболее понятны для защиты и реагирования: уже созданные средства защиты помогают выстроить безопасную экосистему и успешно противостоять современным угрозам.

В подготовке статьи участвовали специалисты антивирусной лаборатории Positive Technoligies: Евгений Бечкало, Шаих Галиев, Александр Лаухин, Виталий Самаль, Валерий Слезкинцев, Кирилл Шамко.