Журнал "Information Security/ Информационная безопасность" #4, 2021

лишних кликов. Большинство стандарт- ных решений класса Sandbox можно ловко обойти такими приемами. 2. Ссылки, которые становятся опас- ными спустя некоторое время после доставки. Например, письмо, отправ- ленное в четыре утра, содержит абсо- лютно безобидную с точки зрения систе- мы защиты ссылку. К моменту, когда сотрудник доберется до работы, она уже будет ждать его во входящих и содержать вредоносную нагрузку. Сюда можно добавить такие техники, как ссыл- ки в документах разных форматов, мно- жественный редирект, сервисы сокра- щения ссылок и т.п. 3. Пароли к архивам, спрятанные, например, в теле письма, названии или содержании другого вложения, в соседнем письме, другом архиве и т.п. Человеку сразу становится понятно, как получить доступ, а вот для обычных систем защиты подобный подход проблематичен. 4. Игры со временем. Сюда относятся вредоносные нагрузки с отложенным временем запуска, проверка и ожидание наступления определенного момента в системном времени, привязка запуска к действиям пользователя, растянутым во времени, и т.п. 5. Проверка окружения на реальность. Тут у атакующих целый арсенал воз- можных проверок: в нашей практике они смотрели на наличие недавних фай- лов в MS Word, проверяли историю браузера, смотрели на количество и качество файлов на рабочем столе и многое другое, не говоря уже о стан- дартных проверках разрешения экрана, системных параметров и т.д. 6. Проверка пользовательской актив- ности. Вредоносное ПО из писем часто ожидает определенных действий поль- зователя, например движений мышки, переключений между окнами, ввода с клавиатуры. Иногда атакующие просят совершить конкретные действия, нажать в конкретное место экрана. Как защититься? Компания Group-IB разработала два технологических решения. 1. Полностью автоматизированный и бесплатный тест Trebuchet 1 для проверки текущей защищенности почтовой систе- мы организации от более 40 различных технических векторов доставки вредо- носного кода, используемых злоумыш- ленниками. Тест разработан на основе изучения многочисленных угроз и техник In-the-Wild, исследованных специалиста- ми Group-IB в рамках более чем 70 тыс. часов реагирования на реальные атаки клиентов по всему миру. 2. Продукт Atmosphere 1 – инновацион- ная защита электронной почты от серь- езных целевых атак, в том числе от пер- вичных атак преступных групп, которые занимаются шифрованием и выкупом. Функциональность Atmosphere осно- вана на собственной разработке Group- IB – системе Polygon. Важным отличием этой технологии является полномас- штабная детонация каждого вложения. Каждый файл максимально полно отра- батывается в виртуальной среде, при этом моделируется, как атака будет складываться внутри зараженного ком- пьютера. Atmosphere анализирует текст, ссылки, вложения, зашифрованные объ- екты и эффективно противостоит акту- альным техникам обхода детектирова- ния. В случае выявления атаки собира- ется глубокая аналитика, выполняется атрибуция, выявляются действительно сложные целевые атаки, а не только веерные рассылки. Стоит отметить, что большинство облачных песочниц на сегодняшний день используют одинаковые для всех кли- ентов шаблоны виртуальных машин, свойства которых выглядят абсолютно ненатурально для атакующих. Хакеры не новички в своем деле! Если они хотят заразить российскую компанию, офис которой находится в Ростове или Москве, они, несомненно, проверят гео- локацию IP-адреса, установленные язы- ковые настройки, настроенное соедине- ние с известным доменом и даже назва- ния хостов и учетных записей на досто- верность. Atmosphere на данный момент единственное решение, которое дает возможность подстраивать все перечис- ленные свойства, позволяя сделать вир- туальную среду неотличимой от реаль- ного корпоративного окружения. И имен- но поэтому технология Atmosphere рабо- тает эффективно, исключая возмож- ность обхода защиты. Помимо работы в реальном времени, Atmosphere выполняет постоянный рет- роспективный анализ, повторно скачивая ранее недоступные или предварительно помеченные безопасными ссылки, пере- проверяя таким образом контент для обнаружения скрытых угроз. Внедрение Облачная инфраструктура Atmosphere автоматически масштабируется и готова принимать новых клиентов практически в реальном времени. Внедряется Atmosphere очень просто, и защитить почтовую систему можно в тече- ние считанных минут: облачная инфра- структура разворачивается автоматиче- ски, а настройка производится через про- стой пошаговый диалог за четыре клика. Интеграция выполняется по схеме изме- нения MX-записей доменного имени. Решение Atmosphere включено в реестр российского ПО и полностью соответствует требованиям регуляторов в части локализации хранения данных: обработка и хранение информации осу- ществляются исключительно в серти- фицированных ЦОД на территории Рос- сийской Федерации. Для еще более эффективного реагирования на выявлен- ные угрозы Atmosphere интегрируется с API популярных облачных платформ, что позволяет автоматически удалять вредоносные письма, выявленные рет- роспективным анализом. Заключение Возможно, вы считаете, что почта и так хорошо защищена и никакой дополнительной функциональности для этого не требуется. Но пересмотрите еще раз статистику ущерба от шифро- вальщиков, а потом пройдите бесплат- ный тест защищенности 2 вашей элек- тронной почты. Тесты построены на реальных кейсах: попытках хищения денежных средств, доступа к конфиден- циальной информации, остановки биз- нес-процессов и вымогательства – тест повторяет первичный вектор реальных атак, начавшихся с электронной почты. И если вам придет хотя бы одно пись- мо с неизменным вложением или ссыл- кой из нашей автоматизированной систе- мы, значит, существует реальный вектор атаки на вашу электронную почту. Конеч- но, зная о тесте, вы сами не откроете это письмо, не перейдете по подозри- тельной ссылке и не запустите сомни- тельное вложение. Но можете ли вы поручиться, что так же сознательно поступит условный секретарь или другой сотрудник? l • 31 ТЕХНОЛОГИИ www.itsec.ru Ключевые выводы отчета Group-IB “Программы-вымогатели 2020/2021” На сегодняшний день операторов программ-вымогателей гораздо больше интересует размер организации, чем то, к какой индустрии она относится. Атаки на крупные корпоративные сети позволяют получать максимально возможный выкуп. Это означает, что крупные компании, как, например, Garmin, Canon, Cam- pari, Capcom и Foxconn (которые были успешно атакованы в 2020 г.), теперь постоянно будут находиться в зоне риска. Успешное получение выплат побуждает злоумышленников выдвигать все более высокие требования. Выкуп в размере сотен тысяч долларов уже стал обыденным явлением, однако, похоже новой реальностью становится требование миллионов долларов. Эксперты Group-IB установили, что среди всех операторов шифровальщиков наиболее крупные выкупы требовали группы Maze, DoppelPaymer и RagnarLocker, запрашивавшие суммы от $1 млн до $2 млн. Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.group-ib.ru/atmosphere.html 2 https://trebuchet.gibthf.com/ На правах рекламы