Готовы ли поставщики средств бэкапа отреагировать на смену поведения ransomware?

Хорошо известно, что для того чтобы уберечься от атак типа ransomware требуются качественные резервные копии данных, однако современные программы-вымогатели изменили тактику, отдавая предпочтение распространению вредоносного кода, а не шифрованию, что резко увеличивает объем восстановительной работы, пишет на портале ComputerWeekly главный технический евангелист компании Druva Кертис Престон.

Атаки программ-вымогателей ставят перед двумя очень непривлекательными вариантами выбора: выполнить одно полное восстановление, при котором теряется большое количество данных, или сотни и тысячи отдельных восстановительных процедур, чтобы вернуть среду к нормальному состоянию. Причина, почему два этих варианты неудачные, заключается в том, что вымогательское ПО научилось менять свое поведение и это представляет собой особую проблему в плане восстановления данных.

Типичная атака ransomware состоит из четырех фаз: заражение, распространение, шифрование и обнаружение. Фазу заражения достаточно легко понять: это момент, когда в вашей среде заражается первый компьютер. Обычно это происходит потому, что кто-то открыл в э-почте письмо, которое не следовало открывать, или зашел на сайт, на который не следовало заходить. Первоначальная часть вредоносной программы устанавливается на компьютер и обращается к командно-контрольным серверам (C&C/C2), чтобы получить указания о том, что делать.

Исторически так сложилось, что эти серверы указывали вредоносной программе немедленно приступить к фазе шифрования. После этого она начинала шифровать как можно больше файлов, особенно недавно измененные и важные системные файлы. Цель заключалась в том, чтобы как можно быстрее повредить систему, а затем отправить сообщение о выкупе, пока вредоносная программа продолжает шифровать другие данные.

Однако многие современные варианты ransomware сменили тактику, отдавая предпочтение распространению, а не шифрованию. Если один компьютер в вашей среде заражен, скорее всего, ему будет отдана команда заразить другие системы, а не шифровать файлы, так как последнее приведет к обнаружению вредоносной программы. Для заражения других систем она будет использовать такие распространенные инструменты, как RDP, NFS или SMB. Она даже может нацелиться на конкретные системы, например, серверы для бэкапов. Если ransomware сможет заразить их и вывести из строя, шансы на выплату выкупа возрастут в геометрической прогрессии.

Одновременно с попытками заразить остальную часть дата-центра программа-вымогатель может начать шифровать файлы, к которым редко обращаются. Это могут быть, например, архивные файлы, поскольку вероятность того, что кто-то получит к ним доступ, относительно мала. Как и на этапе распространения, на этапе шифрования приоритетным является охват как можно большего количества файлов, прежде чем кто-то поймет, что они заражены.

Важно понимать, что фазы расширения и шифрования проходят одновременно и могут занять несколько недель. Если вымогательское ПО остается незамеченным, оно может выполнять эти действия в течение нескольких месяцев. Недавнее исследование Mandiant, дочерней компании FireEye, показало, что среднее время типичной атаки составляет 24 дня. В течение всего этого времени вымогатель может шифровать файлы на нескольких компьютерах.

Почти все продукты для резервного копирования и восстановления ведут себя одинаково: восстановление выполняется для одной временной точки. Но если вы можете восстановить каталог только на один момент времени, то как восстановить сотни файлов, которые были изменены во многих каталогах в течение многих недель? Кроме того, помните, что для того, чтобы оправиться от последствий атаки вымогателя, необходимо восстановить сервер до состояния до момента заражения.

После того как вы избавились от ransomware, типичная процедура восстановления требует удаления всех зашифрованных файлов, возможно даже всех файлов определенного каталога или файловой системы. Затем нужно восстановить все файлы. Восстанавливать зашифрованные файлы (или вредоносное ПО) не имеет смысла, поэтому вам нужно восстановить каталог или файловую систему на момент времени, непосредственно предшествующий атаке ransomware.

Здесь перед вами встает дилемма. Оставить ли каталог в том виде, в котором он был до заражения (отбросив всю работу, проделанную с тех пор), или попытаться определить все зашифрованые файлы и восстановить каждый из них на момент, когда он был зашифрован? Представьте, насколько сложно это будет сделать в сотнях каталогов и подкаталогов, изменения в которые вносились в течение многих дней или недель.

Многим продуктам защиты данных придется искать пути решения этой проблемы. Если предложить клиенту выполнить сотни восстановлений, чтобы вернуть свой каталог в нормальное состояние, это только увеличит его стимул заплатить выкуп. Все согласны с тем, что выплата выкупа только вовлекает жертву в непрерывный цикл мошеннических действий, поэтому эту проблему необходимо решать. Поэтому настало время обратиться к своему поставщику продуктов резервного копирования и спросить его, как бы он решил эту проблему. Даже если он ответит: «Мы понятия не имеем», лучше узнать об этом сейчас, чем обнаружить в разгар атаки.