На днях самая крупная производственная компания Португалии Energias de Portugal (EDP) – транснациональный холдинг распределения и сбыта электроэнергии и природного газа – пострадал от вымогательского ПО Ragnar Locker.
У компании украдено более 10 Тб коммерческой информации. В обмен на сохранение приватности данных злоумышленники требуют выкуп в размере 1580 биткоинов, что составляет порядка $11 млн. По известным данным, пострадали некоторые сотрудники компании, которых злоумышленники пытались запугать последствиями от лица компании по результату обнаруженных утечек. В такой ситуации для сотрудника крайне важно оперативно привлекать отдел безопасности к случившемуся инциденту.
Компания EDP сообщила, что никакие системы критической инфраструктуры не повреждены, производственные процессы приходят в норму. К расследованию привлечены официальные лица властей.
Известно также, что вымогатель Ragnar Locker распространился через ПО удаленного управления (remote management software, RMM) ConnectWise или Kaseya, используемое MSP провайдером для избежания блокирования.
Ragnar Locker – это вымогатель, работающий на предположительно англоговорящих вариациях Windows ОС, которые были замечены впервые в декабре 2019 года. Известно, что на данный момент вирус выключает себя на компьютерах с раскладкой языка стран СНГ. На английской раскладке продолжается вредоносное действие:
- останавливаются сервисы антивирусов, резервного копирования, работы баз данных и почтовых клиентов, чтобы их данные можно было зашифровать (с именами: vss, sql, memtas, mepocs, Sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya и др).
- происходит передача файлов пользователя на серверы злоумышленника в Интернет,
- появляется угрожающее сообщение о публикации всех данных и с требованием оплаты, чаще всего в биткоинах, цитата текста: «Вы можете вернуть свои файлы, заплатив выкуп. Нам нужны только деньги, никаких других интересов, это чистый бизнес. Если вы решите не платить – данные будут публично опубликованы».
Это достаточно классическая модель поведения вирусов-вымогателей. Они, как правило, являются исполняемыми файлами, распространяемыми либо через фишинговые письма, либо через загрузчики (Downloader), либо зараженными архивами или дистрибутивами (как в данном случае). Попадая в сеть, вирусы чаще всего исследуют ее и размножаются внутри сети, после чего совершают вредоносные действия.
Эксперты группы компаний Angara рекомендуют использовать основные механизмы защиты от распространения вымогателей:
-
Антивирусная проверка входящего трафика (mail, web и др.), проверка на фишинг и спам. По возможности с использованием анти-APT решений (Sandbox).
-
Активная антивирусная защита ПК с функцией блокирования подозрительных действий. Использование EDR решений для обнаружения более широкого спектра вредоносного ПО и неизвестного ранее вредоносного ПО. Кроме того, для некоторых старых версий вымогателей известны механизмы восстановления систем. Компания «Лаборатория Касперского» разрабатывает и консолидирует инструменты восстановления на своем ресурсе noransom.kaspersky.com.
-
Установка обновлений операционных и прикладных систем, в первую очередь критических и обновлений безопасности.
-
Сегментация и анализ горизонтального трафика предприятия. Таким образом возможно снизить поверхность атаки. Использование средств поведенческого анализа трафика.
-
Резервное копирование важных данных. Регулярная проверка корректности процедуры восстановления. Одну из копий рекомендуется хранить на внешних устройствах (ленты, внешние хранилища и т.д).
-
Обучение сотрудников оперативно сообщать о компрометации почтовых и других учетных данных. Они могут быть использованы для рассылки вредоносного контента.