Виправлення наслідків програм вимагачів за допомогою Pure SafeMode
Використовуйте знімки SafeMode ™ від Pure Storage®, щоб захистити ваші дані.
Програми-вимагачі (коли зловмисник приховано шифрує ваші файли та вимагає оплати, щоб їх розшифрувати або розблокувати) можуть бути згубними для організацій. Втрата ваших даних та грошовий вплив – не єдині проблеми; у багатьох випадках атака призводить до повного припинення діяльності компанії на кілька днів і потрапляння в центр уваги громадськості з небажаних причин. Також може бути пошкоджена ваша ділова репутація та цінність бренду . В результаті атаки вимагачів на Garmin в минулому році час простою тривав майже п’ять днів, і хоча сума викупу невідома, за оцінками, вона становить близько 10 мільйонів доларів.
Що таке Ransomware?
У першій половині 2020 року кількість глобальних звітів про програми-вимагачі зросла на 715% у порівнянні з минулим роком, згідно Threat Landscape Report за 2020 рік, проведеним Bitdefender. Оскільки все більше людей працюють віддалено та змінилося ділове середовище через глобальну пандемію, кіберзлочинці скористались цією можливістю. Програми-вимагачі вражають всі галузі, від технологій, страхування, нафти та газу до вищої освіти. У 2019 році понад 500 шкіл постраждали від дій шифрувальних програм. Створення програм-вимагачів це великий бізнес, і жертви стають дедалі більшими, тому їм доводиться платити непомірно великі суми, щоб повернутися до звичних справ. Багато людей не знають, що програмне забезпечення для атак вимагачів є таким же широкодоступним, як і комерційне програмне забезпечення. Його можна легко завантажити та придбати, нерідко коли частина виграшу від атаки дістається розробнику. Зловмисники не повинні бути особливо обізнаними або досвідченими. Це можуть бути невдоволені мінімально кваліфіковані працівники, що мають доступ до критичної інфраструктури. Зі швидким завантаженням із Даркнету, вони можуть розпочати атаку вимагача перед тим, як їхні облікові записи співробітників будуть заблоковані.
Як SafeMode захищає критичні дані
Давайте розглянемо два приклади потенційної атаки, якщо припустимо, що зловмисник отримав права адміністратора на FlashArray.
- Зловмисник шифрує томи та викорінює оригінали. У цьому випадку оригінальні томи знищуються. Коли том «знищений», він знаходиться в спеціальній області FlashArray, де він видаляється з інвентарю томів, але все ще існує в кошику для викорінення (eradication bucket). У цьому кошику за замовчуванням встановлений 24-годинний таймер, коли об'єкти можуть бути відновлені або остаточно знищені. Якщо зловмисник також остаточно викорінив (eradicate) томи, то всі дані зникнуть, і тепер ви підпорядковуєтесь вимогам зловмисників . Простими словами, коли ввімкнено SafeMode, зловмисник не може видалити дані томів з корзини знищення, навіть маючи права адміністратора. У нашому прикладі тут зловмисник може викорінити томи, оскільки SafeMode не ввімкнено.
- Зловмисник шифрує томи та викорінює усі знімки в додаток до томів: у цьому випадку є точки відновлення, до яких можна повернутися у вигляді знімків. Однак зловмисник знищив та викорінив їх, тому відновитися нема з чого. Це стало можливим, оскільки, як і в прикладі 1, зловмисник викорінив знімки через те, що SafeMode не був увімкнений.
У обох сценаріях увімкнення SafeMode запобігає викоріненню будь-якого тому або знімка поки йде відлік таймера викорінення, який змінюється на вашу вимогу. Якщо для таймера викорінення встановлено 14 днів, дані необхідні для відновлення критично важливих служб, будуть повністю захищені протягом двох тижнів. SafeMode не тільки заважає навіть найбільш привілейованим обліковим записам користувачів викорінювати томи та знімки, але і робить знімки FlashArray непорушними (незмінні). Використання SafeMode зі знімками завжди забезпечить гарантовану точку відновлення після атаки .
Як відновитися після атаки вимагачів
Переглядаючи наші приклади, якщо SafeMode було ввімкнено в прикладі №1, ви змогли б викорінити зашифровані томи зловмисника, а потім відновити свої томи миттєво, і повернутися до стану коли томи були незашифровані. У прикладі №2 процес той самий. Ви можете викорінити зашифровані томи зловмисника, але відновити їх за допомогою знімків. Оскільки зловмисник не міг викорінити знімки, вони залишались доступними для відновлення. Для обох прикладів було б критично важливим дослідити вектор атаки та вжити заходів по запобіганню повторного виникнення загрози.
Висновок
SafeMode – це проста функція без додаткових витрат, яка запобігає незворотній втраті даних через помилки адміністратора або кібератаки програм вимагачів . Це працює завдяки запобіганню викорінення об'єктів протягом заданих часових рамок. У випадку нападу, замість того, щоб страждати від болючих і дуже публічних простоїв лише для того, щоб заплатити викуп, ви просто видаляєте зашифровані зловмисником дані і миттєво відновлюєте ваші дані з відповідних знімків зроблених раніше. Щоб увімкнути це, потрібно лише зателефонувати в службу підтримки, встановити контакти відповідальних осіб та налаштувати тривалість таймера. Ці три кроки дадуть вам просту, проактивну перемогу до того, як відбудеться лихо.
Якщо ви хочете детальніше ознайомитися з рішенням SafeMode та боротьбою з програмами вимагачами, запрошуємо вас на вебінар який буде проводитися 31 березня о 10:00.