Крупные компании не застрахованы от программ-вымогателей!

Директор по информационной безопасности в целом

Дэвид Бартон, директор по информационной безопасности, привнес в Stellar Cyber ​​более 20 лет опыта работы на руководящих должностях в области безопасности в различных отраслях, включая телекоммуникации, здравоохранение, разработку программного обеспечения, финансы и правительство. До Stellar Cyber ​​он был главным операционным директором 5Iron. До 5Iron он три года проработал в должности директора по информационной безопасности Forcepoint, отвечая за безопасность информации и физических активов Forcepoint в глобальном масштабе. Бартон потратил три года на создание и руководство международной командой безопасности в Hireright, защищающей данные своих клиентов и интеллектуальную собственность. До этого он почти восемь лет проработал директором по информационной безопасности в компании AT&T / Cingular, расположенной в Атланте, штат Джорджия, где он руководил усилиями по защите более 80 миллионов абонентов беспроводной связи. В качестве группового менеджера по операциям безопасности и проектированию в Sprint / Nextel он руководил всеми действиями по обеспечению безопасности, касающимися разработки приложений, архитектуры баз данных и корпоративной политики, а также соответствия требованиям аудита, в дополнение к созданию команды безопасности мирового класса. Бартон имеет степень магистра делового администрирования в Университете Миссури в Канзас-Сити, степень бакалавра в области управленческих информационных систем в колледже Симпсон и сертификат CISSP.

По данным Bleeping Computer, программа-вымогатель-лабиринт поразила очень крупную компанию, предоставляющую ИТ-услуги. https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/?fbclid=IwAR3-qjIf_1ca2PA6L83YKxDAIqxF20DgxkSKQgy5SrqC_-kwJ2bZvnjf-2k.

В прошлом это вредоносное ПО получало распространение с использованием различных методов: комплектов эксплойтов с помощью попутных загрузок, подключения к удаленному рабочему столу (RDP) со слабыми паролями, имитации электронной почты и спама. В большинстве случаев, когда доставляется фишинговое письмо, пользователь нажимает на ссылку, затем разрешает запуск макроса и, в конечном итоге, устанавливает вредоносный файл. После установки программа-вымогатель-лабиринт начинает шифровать критически важные данные на зараженной машине. Во время процесса шифрования программа-вымогатель также эксфильтрует данные на сервер в Интернете. Когда оба этих процесса завершены, пользователю предъявляется требование выкупа и метод восстановления зашифрованных данных.

В 2011 году Lockheed Martin приписали идею убийственной цепи кибербезопасности. Цепочка уничтожения кибербезопасности, как задумано, систематизирует угрозы по категориям, а также меры безопасности, которые могут быть развернуты в этих категориях для снижения этих рисков. Если мы применим kill-chain к программе-вымогателю Maze, мы увидим следующее:

1. Фишинговое письмо в категории доставки должно было быть обнаружено коммерческими инструментами защиты электронной почты.
2. Вредоносные файлы (kepstl32.dll, memes.tmp и maze.dll) из категории доставки должны были быть обнаружены вредоносными программами, а также другими антивирусными средствами. Обратите внимание, что в этом случае конечный пользователь должен разрешить запуск макроса. Осведомленность пользователей по-прежнему важна для защиты от атак такого типа!
3. После включения макросов вредоносная программа обращается к файловому серверу и загружает дополнительные вредоносные программы. Это должно было быть обнаружено в категории командования и управления, а также в категории доставки. Эти категории обычно защищаются инструментами информации об угрозах, инструментами вредоносного ПО и инструментами для хоста.
4. Создаются новые файлы, и начинается процесс шифрования файлов. Это создание файла и последующее шифрование должны быть отнесены к категории действий и кражи и защищены такими инструментами, как информация об угрозах, обнаружение аномалий процессов, брандмауэры и вредоносные инструменты.

Что не было учтено в цепочке кибер-убийств, так это прогресс машинного обучения и ИИ. Применение этих инструментов к данным в каждой категории цепочки уничтожения улучшает нашу способность обнаруживать аномальное поведение в каждой категории, а также улучшает смягчение последствий в каждой категории за счет корреляции обнаружений.

Компания Stellar Cyber ​​стремится использовать наши Open XDR Платформа для обнаружения, оповещения и реагирования на подобные действия. Наш всеобъемлющий сбор данных в сочетании с передовыми методами обработки данных и машинным обучением предоставляет нам множество возможностей для обнаружения подобных атак на всех этапах кибератаки. Если атака пропущена на одном этапе, мы обнаружим ее на другом. После обнаружения мы можем автоматически принимать меры против этих аномальных действий. Применив нашу технологию к программе-вымогателю Maze, мы потенциально сможем обнаружить и нейтрализовать ее следующими способами:

1. Наше обнаружение фишинга оценит вредоносный URL-адрес и снизит его риск.
2. RDP-соединения будут оцениваться, предупреждаться и автоматически устраняться при возникновении аномальных входов в систему.
3. Упомянутые выше вредоносные файлы были бы оценены нашим вредоносным инструментом и устранены.
4. Если бы эти файлы прошли проверку на наличие вредоносного ПО, датчик сервера обнаружил бы изменение поведения (т. Е. Новый процесс, порожденный новым подключением к файловому серверу в Интернете).
5. Если файл-дроппер прошел оценку датчика вредоносного ПО и сервера, вызов файлового сервера в Интернете можно было бы смягчить на сетевом уровне. Платформа Stellar Cyber ​​могла бы сигнализировать сетевым брандмауэрам о блокировке целевого сервера.
6. Новые загрузки файлов могли быть обнаружены и смягчены датчиком сервера или оценкой вредоносного ПО.
7. Процесс шифрования будет обнаружен датчиком сервера и применены методы смягчения, чтобы предотвратить / остановить продолжение процесса.
8. Наконец, процесс эксфильтрации будет обнаружен сетевым уровнем, датчиком хоста и информацией об угрозах.

Программы-вымогатели - это огромная индустрия. Резервное копирование и установка исправлений необходимы, но не менее важны и глубинная защита. Если вы не защищаете свою среду на различных этапах цепочки уничтожения, вам следует подумать об этом. Если вам сложно реализовать эти концепции из-за того, что у вас слишком много инструментов, которые не взаимодействуют друг с другом, позвоните нам. Мы можем помочь!