Прошло 2 недели с кибератаки на трубопроводы США, по горячим следам написаны заметки, прошли обсуждения в соцсетях.
Думаю, кибератака на Colonial Pipeline и её последствия теперь станет основным примером на конференциях по безопасности АСУТП, затмив собой Stuxnet, хотя утверждается, что «на данный момент нет признаков того, что сети операционных технологий компании были непосредственно затронуты программой-вымогателем».
Но софт, который использовался для кибератаки, никуда не исчез, а, главное, остался криминальный бизнес, основанный на таких киберинструментах:
«DarkSide - это ransomware-как-услуга (RaaS) - разработчики ransomware получают часть доходов от киберпреступников, которые его распространяют (т.н. "филиалы"). По данным из открытых источников, с августа 2020 года участники DarkSide атаковали несколько крупных, высокодоходных организаций, что привело к шифрованию и краже конфиденциальных данных. Группа DarkSide публично заявила, что предпочитает нападать на организации, которые могут позволить себе заплатить большой выкуп, вместо больниц, школ, некоммерческих организаций и правительств [3],[4].
Согласно сообщениям из открытых источников, участники DarkSide ранее были замечены в получении первоначального доступа с помощью фишинга и эксплуатации доступных удаленно учетных записей и систем, инфраструктуры виртуальных рабочих столов (VDI) (Phishing [T1566], Exploit Public-Facing Application [T1190], External Remote Services [T1133]).[5],[6]
Участники DarkSide также были замечены в использовании протокола удаленного рабочего стола (RDP) для поддержания стойкости [TA0003].[7].
Получив доступ, DarkSide-актеры устанавливают DarkSide ransomware для шифрования и кражи конфиденциальных данных (Data Encrypted for Impact [T1486]). Затем они угрожают публично обнародовать данные, если не будет выплачен выкуп. [8],[9]
В DarkSide ransomware используется шифрование Salsa20 и RSA.[10].
Действующие лица DarkSide в основном используют The Onion Router (TOR) для командования и управления (C2) [TA0011] (Proxy: Multi-hop Proxy [1090.003]). [11],[12] Действующие лица также были замечены в использовании Cobalt Strike для C2.[13]».
Я привёл цитаты из оповещения «DarkSide Ransomware: лучшие практики предотвращения сбоев в работе бизнеса в результате атак Ransomware» (Alert AA21-131A), выпущенного Cybersecurity & Infrastructure Security Agency (CISA) 11 мая.
В нём CISA и FBI (ФБР):
отмечают, что речь идёт о криминальном бизнесе (т.е. не просто о вирусах-вымогателях, случайно попавших или целенаправленно внесённых в систему);
призывают владельцев и операторов активов критической инфраструктуры (critical infrastructure, не путайте с КИИ!) проявить повышенную осведомленность и выполнить рекомендации, перечисленные в разделе "Смягчающие меры", включая:
- внедрение надежной сегментации сети между ИТ- и ОТ-сетями;
- регулярное тестирование средств (систем) ручного управления;
- внедрение мер резервного копирования, регулярного тестирования и изоляции резервных копий от сетевых соединений.
Утверждают, что эти меры помогут повысить функциональную устойчивость предприятий, снизив их уязвимость к ransomware и риск «серьезной деградации бизнеса» в случае воздействия ransomware.
Посмотрим подробнее, что именно они предлагают
- Внедрите программу обучения пользователей и имитацию атак для фишинга, чтобы отучить пользователей посещать вредоносные веб-сайты или открывать вредоносные вложения, а также закрепить соответствующие реакции пользователей на фишинговые письма.
- Включите мощные фильтры спама, чтобы предотвратить попадание фишинговых писем к конечным пользователям. Фильтруйте электронные письма, содержащие исполняемые файлы, чтобы они не попадали к конечным пользователям.
- Фильтруйте сетевой трафик, чтобы запретить входящие и исходящие соединения с известными вредоносными IP-адресами. Предотвращение доступа пользователей к вредоносным веб-сайтам путем внедрения списков блокировки URL-адресов и/или списков разрешений.
- Установите антивирусное ПО для регулярного сканирования сетевых ИТ-активов с использованием актуальных сигнатур. Используйте стратегию инвентаризации активов на основе рисков, чтобы определить, как сетевые активы ОТ идентифицируются и оцениваются на наличие вредоносного ПО.
- Своевременно обновляйте программное обеспечение, включая операционные системы, приложения и микропрограммы на сетевых активах ИТ. Рассмотрите возможность использования централизованной системы управления исправлениями; используйте стратегию оценки на основе рисков, чтобы определить, какие сетевые активы и зоны ОТ должны участвовать в программе управления исправлениями.
- Требуйте (внедрите, обеспечьте) многофакторную аутентификацию для удаленного доступа к сетям ОТ и ИТ.
- Ограничьте доступ к ресурсам по сети, особенно путем ограничения RDP. После оценки рисков, если RDP считается необходимым для работы, ограничьте исходные источники и требуйте многофакторной аутентификации.
- Убедитесь, что учетные записи пользователей и процессов ограничены с помощью политик использования учетных записей, контроля учетных записей пользователей и управления привилегированными учетными записями. Организуйте права доступа на основе принципов наименьших привилегий и разделения обязанностей.
- Обеспечьте предотвращение несанкционированного выполнения путем:
- Отключения макросов из файлов Microsoft Office, передаваемых по электронной почте. Рассмотрите возможность использования программы Office Viewer для открытия файлов Microsoft Office, передаваемых по электронной почте, вместо полных приложений пакета Microsoft Office.
- Внедрения списка разрешенных приложений, который позволяет системам выполнять только программы, известные и разрешенные политикой безопасности. Внедрите политики ограничения программного обеспечения (SRP) или другие средства контроля, чтобы предотвратить выполнение программ из распространенных мест расположения вымогательского ПО, таких как временные папки, поддерживающие популярные интернет-браузеры или программы сжатия/декомпрессии, включая папку AppData/LocalAppData.
- Отслеживания (мониторинга) и/или блокировки входящих соединений с узлов выхода Tor и других служб анонимизации с IP-адресами и портами, для которых внешние соединения не ожидаются (например, кроме шлюзов VPN, почтовых портов, веб-портов).
- Развёртывания сигнатуры для обнаружения и/или блокирования входящих соединений с серверов Cobalt Strike и других инструментов эксплуатации.
- Внедрите и обеспечьте надежную сегментацию сети между ИТ и ОТ сетями, чтобы ограничить возможность противника переключиться на ОТ сеть, даже если ИТ сеть скомпрометирована. Определите демилитаризованную зону, которая исключает нерегулируемую связь между сетями ИТ и ОТ.
- Организуйте ОТ-активы в логические зоны с учетом критичности, последствий и оперативной необходимости. Определите допустимые каналы связи между зонами и разверните средства контроля безопасности для фильтрации сетевого трафика и мониторинга связи между зонами. Запретить прохождение протоколов промышленной системы управления (ICS) через ИТ-сеть.
- Определите взаимозависимость сетей ОТ и ИТ и разработайте обходные пути или средства ручного управления для обеспечения изоляции сетей ИКС, если соединения создают риск для безопасной и надежной работы процессов ОТ.
- Регулярно тестируйте планы действий в чрезвычайных ситуациях, такие как ручные средства управления, чтобы критически важные для безопасности функции могли быть сохранены во время кибер-инцидента.
- Убедитесь, что сеть ОТ может работать на необходимой мощности, даже если сеть ИТ скомпрометирована.
- Регулярно тестируйте ручные средства управления, чтобы критически важные функции могли продолжать работать, даже если ICS или OT-сети будут отключены.
- Внедряйте регулярные процедуры резервного копирования данных как в ИТ-, так и в ОТ-сетях. Процедуры резервного копирования должны проводиться часто и регулярно. Процедуры резервного копирования данных также должны учитывать следующие передовые методы:
- Убедитесь, что резервные копии регулярно тестируются.
- Храните резервные копии отдельно. Резервные копии должны быть изолированы от сетевых соединений, которые могут способствовать распространению программ-вымогателей. Важно, чтобы резервные копии хранились в автономном режиме, поскольку многие разновидности программ-вымогателей пытаются найти и зашифровать или удалить доступные резервные копии. Сохранение текущих резервных копий в автономном режиме очень важно, поскольку если сетевые данные будут зашифрованы с помощью ransomware, ваша организация сможет восстановить системы до прежнего состояния. Лучше всего хранить резервные копии на отдельном устройстве, к которому нельзя получить доступ из сети, например, на внешнем жестком диске.
- Поддерживайте регулярно обновляемые "золотые образы" критически важных систем на случай, если их придется восстанавливать. Это подразумевает поддержание "шаблонов" образов, включающих предварительно настроенную операционную систему (ОС) и соответствующие программные приложения, которые могут быть быстро развернуты для восстановления системы, например, виртуальной машины или сервера.
- Сохраняйте резервное оборудование для восстановления систем в случае, если восстановление основной системы не является предпочтительным. Аппаратное обеспечение, более новое или более старое, чем основная система, может создать проблемы с установкой или совместимостью при восстановлении из образов.
- Храните исходный код или исполняемые файлы. Восстановление из образов системы более эффективно, но некоторые образы не будут корректно устанавливаться на различное оборудование или платформы; в таких случаях поможет наличие отдельного доступа к необходимому программному обеспечению.
В оповещении приведены следующие рекомендуемые действия в случае, если организация всё же пострадала от ransomware:
- Изолируйте зараженную систему. Отключите зараженную систему от всех сетей, отключите беспроводную связь, Bluetooth и любые другие возможные сетевые устройства, интерфейсы. Убедитесь, что все общие и сетевые диски отключены (как проводные, так и беспроводные).
- Выключите другие компьютеры и устройства. Выключите и изолируйте (т.е. отключите от сети) зараженный компьютер (компьютеры). Выключите и изолируйте любые другие компьютеры или устройства, которые работали в одной сети с зараженным компьютером (компьютерами) и не были полностью зашифрованы вымогательским ПО. По возможности соберите и защитите все зараженные и потенциально зараженные компьютеры и устройства в определенном месте, четко обозначив все компьютеры, которые были зашифрованы. Отключение питания и разделение зараженных компьютеров и компьютеров, которые не были полностью зашифрованы, может позволить специалистам восстановить частично зашифрованные файлы. (Советы о том, как сделать компьютер более безопасным перед повторным подключением к сети, см. в разделе "Перед подключением нового компьютера к Интернету").
- Защитите свои резервные копии. Убедитесь, что данные резервного копирования находятся в автономном режиме и безопасны. По возможности сканируйте данные резервного копирования антивирусной программой, чтобы убедиться в отсутствии вредоносных программ.
- Обратитесь к документу «AA20-245A: Технические подходы к обнаружению и устранению вредоносной активности для получения дополнительной информации о передовой практике реагирования на инциденты» (Объединенный совет по кибербезопасности:).
Многие российские компании также публикуют рекомендации по защите от вирусов-шифровальщиков, которые в целом, не вдаваясь в детали их реализации, совпадают.
Отметим те, которые не вошли в вышеописанные рекомендации от CISA/FBI:
- политика BYOD
- регулярная оценка защищенности сети, в т.ч. с привлечением внешних экспертов
- применение систем защиты от целенаправленных атак,
а также то, что про разделение (сегментацию) говорится только на уровне ИТ и ОТ.
Также в оповещении не рекомендуют платить вымогателям, хотя широко известны случаи таких выплат, в том числе при заражении ИТ-систем ряда городов США, да и в случае с Colonial Pipeline опубликована информация, что вымогателям было выплачено 4,4 млн. долларов США, а всего группировка Dark Side могла получить 90 млн. долларов США с 47 атакованных компаний.
В любом случае, само по себе изучение и разовое выполнение рекомендаций и инструкций не обеспечит достаточного уровня защищенности, они должны стать частью единой системы управления безопасностью, выполняться и контролироваться квалифицированным персоналом.