Выход из лабиринта: краткое руководство по защите от вымогателей Maze

С конца 2019 года MAZE Ransomware стал печально известен своим шифрованием, кражей данных и последующей продажей украденных данных. Несколько других причин его популярности - это уникальные цели и требования выкупа.

С момента своего появления в мае 2019 года участники MAZE нацелены на несколько секторов, среди которых наиболее значительными являются здравоохранение и исследования, которые хранят конфиденциальные данные - государственные и частные фирмы также являются горячими целями для этого вымогателя. Во многих случаях злоумышленники выдавали себя за правительственные учреждения или поставщиков безопасности, которые просили пользователей открыть вложения в электронных письмах / на веб-сайтах - в некоторых случаях компьютеры-жертвы были взломаны уже задолго до фактических атак вымогателей. Требования о выкупе со стороны группы Maze варьируются в зависимости от данных, полученных из скомпрометированной сети (жертва) и платежеспособности жертвы. Эти требования были в основном в биткойнах от нескольких сотен до нескольких миллионов долларов.

В Maze использовались электронные письма, RDP и наборы эксплойтов, такие как Fallout EK, Spelevo EK, в которых использовались некоторые уязвимости в Adobe Flash player и Internet Explorer (например, CVE-2018-8174, CVE-2018-4878 и CVE-2018-15982). Хотя это прошлые случаи, теперь есть вероятность, что актеры MAZE могут использовать другие векторы для проведения новой волны атак.

Вот типичное примечание выкупа, используемое Maze Ransomware. Это примечание выкупа сбрасывается в каждой зашифрованной папке.

Записку с требованием выкупа

 

После успешной атаки, если жертва не отвечает на требования о выкупе, противники либо публикуют зашифрованные данные, либо продают их на подпольных форумах.

Продукты Quick Heal оснащены технологиями многоуровневого обнаружения, такими как IDS / IPS, сканирование ДНК, сканирование электронной почты, BDS, защита веб-страниц и запатентованное обнаружение программ-вымогателей. Этот многоуровневый подход к безопасности помогает нам эффективно защищать наших клиентов от Maze Ransomware и других известных, неизвестных угроз.

 

Меры предосторожности:

Распространенными векторами заражения, используемыми Maze Ransomware, являются фишинговые электронные письма с вложениями MS Office и поддельные / фишинговые веб-сайты с добавлением наборов эксплойтов. Поэтому мы советуем нашим конечным пользователям проявлять осторожность при обработке писем из неизвестных источников, загрузке вложений MS Office, включении макросов и переходе по подозрительным ссылкам.

Вот несколько дополнительных рекомендаций, которые помогут свести к минимуму поверхность атаки и возможное повреждение ИТ-инфраструктуры.

 

Патч ОС и программного обеспечения:

• Держите вашу операционную систему и другое программное обеспечение обновленным. Обновления программного обеспечения часто включают исправления для недавно обнаруженных уязвимостей безопасности, которые могут быть использованы злоумышленниками.
• Применяйте исправления и обновления для таких программ, как Microsoft Office, Java, Adobe Reader, Adobe Flash и обозреватели Интернета, таких как Internet Explorer, Chrome, Firefox, Opera и т. Д., Включая подключаемые модули браузера
• Всегда обновляйте программное обеспечение безопасности (антивирус, брандмауэр и т. Д.), Чтобы защитить свой компьютер от новых версий вредоносных программ.
• Не загружайте взломанные / пиратские программы, так как они рискуют проникнуть в ваш компьютер с помощью вредоносных программ.
• Избегайте загрузки программного обеспечения с ненадежных P2P или торрент-сайтов. В большинстве случаев они содержат вредоносное программное обеспечение

 

Пользователи и привилегии:

• Аудит «Локальных / Доменных пользователей» и удаление / отключение нежелательных пользователей.
• Измените пароли ВСЕХ учётных записей пользователей и установите уникальные сложные пароли (включая буквы в ЗАГЛАВНОМ и строчном регистре, цифры и специальные символы, которые никогда ранее не использовались). Однако плохим примером будут распространённые пароли, такие как P@ssw0rd, Admin@123# и т. д.
• Установите политику истечения срока действия пароля и блокировки учетной записи (в случае ввода неправильного пароля).
• Не назначайте права администратора пользователям.
• Везде, где возможно, включите многофакторную аутентификацию, чтобы гарантировать, что все входы в систему являются законными.
• Не входите в систему как администратор, если это не является строго необходимым.
• Старайтесь не просматривать, не открывать документы и не выполнять другие обычные рабочие операции, входя в систему как администратор.

 

Отключить макросы для Microsoft Office:

• Не включайте «макросы» или «режим редактирования» по умолчанию при выполнении документа, особенно для вложений, полученных по электронной почте. Многие вредоносные программы зависят от ваших действий по включению макросов.
• Рассмотрите возможность установки Microsoft Office Viewers - эти приложения для просмотра позволяют вам видеть, как выглядят документы, даже не открывая их в Word или Excel. Что еще более важно, программа просмотра вообще не поддерживает макросы, поэтому это снижает риск непреднамеренного включения макросов.

 

Обновляйте антивирусное программное обеспечение и подписи:

• С точки зрения безопасности, безусловно, полезно поддерживать антивирус и другие средства защиты на основе сигнатур в актуальном состоянии.
• Хотя одних лишь защит на основе сигнатур недостаточно для обнаружения и предотвращения сложных атак с использованием программ-вымогателей, предназначенных для обхода традиционных средств защиты, они являются важным компонентом комплексной системы безопасности.
• Современная антивирусная защита может защитить вашу организацию от известных вредоносных программ, которые были замечены ранее и имеют существующую и распознанную подпись.
• Тщательно и разумно реагируйте на предупреждения, выдаваемые системой обнаружения на основе поведения и системами защиты от программ-вымогателей. Предпочитать блокировать / запрещать неизвестное приложение, обнаруженное этими системами.

Репрезентативное изображение запроса User Decision из эвристических модулей обнаружения

 

Безопасный просмотр:

• Всегда обновляйте свой браузер
• Старайтесь не загружать пиратские / взломанные носители или программное обеспечение с таких сайтов, как торренты.
• Блокируйте всплывающие окна с рекламой в браузере.
• Всегда проверяйте, посещаете ли вы настоящий сайт, проверяя адресную строку браузера. Фишинговые сайты могут отображать контент, похожий на настоящий.
• Добавьте в закладки важные сайты, чтобы не стать жертвой фишинга.
• Не передавайте свои данные, такие как имя, контактный номер, идентификатор электронной почты, учетные данные сайта социальной сети для любого неизвестного сайта.
• Не устанавливайте расширения в браузерах, о которых вы не полностью осведомлены. Ищите подражающие веб-страницы и не позволяйте никакой подсказке на неизвестной веб-странице, которую вы посещаете. Избегайте посещать веб-сайты загрузки программного обеспечения

 

Сетевые и общие папки:

• Сохраняйте надежные и уникальные пароли для учетных записей и сетевых ресурсов.
• Отключите ненужное, поделитесь админом. то есть admin $. Разрешить доступ к общим данным в соответствии с требованием
• Проверьте доступ к RDP и отключите его, если не требуется. В противном случае установите соответствующие правила, чтобы разрешить доступ только с определенных и предполагаемых хостов.
• Злоумышленники почти во всех случаях используют скрипты PowerShell для эксплуатации уязвимости, поэтому отключите PowerShell в сети. Если PowerShell нужен вам для внутреннего использования, попробуйте заблокировать подключение PowerShell.exe к общему доступу.
• Проверьте систему шлюза и проверьте, нет ли неправильной конфигурации. (Например, выполнена неправильная переадресация, если таковая имеется)
• Используйте VPN для доступа к сети, вместо того чтобы открывать RDP для Интернета.
• Создайте отдельную сетевую папку для каждого пользователя при управлении доступом к общим сетевым папкам и отключите, если в этом нет необходимости.
• Не храните общее программное обеспечение в исполняемом виде.

 

Сделайте резервную копию ваших данных и файлов:

• Крайне важно, чтобы вы постоянно создавали резервные копии важных файлов, предпочтительно используя хранилище с воздушным зазором [которое физически изолировано от незащищенных сетей]. Включите автоматическое резервное копирование, если это возможно, для ваших сотрудников, чтобы вам не приходилось полагаться на них, чтобы они сами выполняли регулярное резервное копирование.
• Защитите все резервные копии с помощью уникального сложного пароля (упомянутого в разделе «Пользователи и привилегии»).
• Всегда используйте комбинацию онлайн и оффлайн резервного копирования.
• Если ваш компьютер заражен вымогателем, ваши файлы могут быть восстановлены из автономной резервной копии, как только вредоносная программа была удалена.
• Не храните автономные резервные копии, подключенные к вашей системе, так как эти данные могут быть зашифрованы при ударе вымогателей.

 

Безопасность электронной почты:

• Усиление безопасности электронной почты для обнаружения вредоносных вложений
• Включите многофакторную аутентификацию, чтобы убедиться, что все входы в систему законны
• Установите политику истечения срока действия пароля и блокировки учетной записи (в случае ввода неправильного пароля)
• Не открывайте вложения и ссылки в письме, отправленном неизвестным, неожиданным или нежелательным источником. Удалите подозрительные электронные письма, полученные из неизвестных источников, особенно если они содержат ссылки или вложения. Киберпреступники используют методы социальной инженерии, чтобы обманом заставить пользователей открывать вложения или переходить по ссылкам, которые ведут на зараженные веб-сайты.
• Всегда включайте защиту электронной почты вашего антивирусного программного обеспечения

 

Ограничьте доступ тем, кто в этом нуждается:

• Чтобы минимизировать потенциальное влияние успешного атака ransomware В случае атак на вашу организацию убедитесь, что пользователи имеют доступ только к той информации и ресурсам, которые необходимы для выполнения их задач. Этот шаг значительно снижает вероятность горизонтального распространения атаки программ-вымогателей по всей вашей сети. Противодействие атаке программ-вымогателей на одну пользовательскую систему может быть непростой задачей, но последствия атаки на всю сеть значительно серьезнее.

 

Обучить сотрудников:

• Обучайте сотрудников распознавать потенциальные угрозыНаиболее распространёнными методами заражения, используемыми программами-вымогателями, по-прежнему остаются спам и фишинговые письма. Зачастую бдительность пользователей позволяет предотвратить атаку до её совершения. Уделите время информированию пользователей и убедитесь, что, если они заметят что-то необычное, они немедленно сообщат об этом вашим службам безопасности.

 

Эксперты по предмету: Джаеш Кулкарни, Умар Хан | Лаборатории быстрого восстановления безопасности