Ловушка для обманщика: как поймать вредонос на «живца»

Польская компания REDTEAM.PL обнаружила активную кампанию вымогательского ПО Black Kingdom. Для атаки хакеры используют известную уязвимость ПО Pulse Secure VPN, программная коррекция (патч) для которой существует, но, судя по успешности атак, не многие пользователи успели вовремя установить это обновление. 

Что в этой новости более интересно – обнаружить атаку и получить образец вымогательского ПО Black Kingdom удалось благодаря системе Honeypot («горшочек с медом» – англ.). Это класс систем, предназначенный для обмана злоумышленников и пассивной ловли вредоносного ПО в специализированные ловушки.

Ловушка представляет собой либо аналогичный корпоративным, либо хуже защищенный ресурс, доступный в Интернете. Он попадает в спектр обнаруженных хакерской разведкой информационных систем и становится объектом атаки одним из первых. Так  происходит заражение ресурса и, соответственно, раннее обнаружение вредоносного ПО аналитиками ИБ и присутствия атаки в системе. Из обнаруженного образца безопасники получают информацию о векторах распространения, используемых уязвимостях и сами индикаторы компрометации. Кроме того, ресурс может располагать ложными данными о привилегированных записях и других системах и таким образом сдерживать реальное заражение.

Системы Honeypot сейчас представлены более широким классом решений – Deception, имеющим гораздо большие возможности реализации, масштабирования и автоматизации. В том числе, функция присутствия не только на периметре, но и внутри сети, что позволяет создать целую систему ложных целей. Современные решения класса Deception могут подделывать не только Windows/Linux/Mac-устройства и сетевое оборудование, но и банкоматы и POS-устройства, SCADA-устройства, базы данных, корпоративные приложения Oracle, SAP и даже SWIFT-инфраструктуры.

Группа компаний Angara активно работает с этими решениями и рекомендует следующих производителей:

• TrapX DeceptionGrid,

• Illusive Networks.

Напоминаем, что при заражении вымогательским ПО платить вымогателям не имеет смысла. Таким образом вы только подстегиваете его на дальнейшую деятельность. Восстановить файлы удается редко, и ключи, как правило, у хакеров уже не хранятся. 

Некоторые антивирусные аналитики, например «Лаборатории Касперского», периодически разрабатывают дешифраторы для популярных вирусов-шифровальщиков. А лучшим методом защиты данных от утери является их резервное копирование.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах