Лекция Лады Антиповой «Программы-вымогатели и операторы: вымогатели для самых маленьких» вошла в блок Threat.Zone программы конференции OFFZONE 2024. Эксперт Angara Security рассказала о первопричинах заражения штаммами программ-вымогателей, действиях злоумышленников на постэксплуатационном этапе, дала рекомендации по расследованию и мерам восстановления.
«Рост активности программ-вымогателей наблюдается из года в год, и они остаются большой головной болью для любого бизнеса, — констатировала Лада Антипова. — При этом рекомендации по противодействию им и расследованию инцидентов будут похожими как для небольшого, так и для крупного бизнеса».
На конференции Лада Антипова разобрала с аудиторией примеры разных программ-вымогателей: некоторые из них пропадают с радаров специалистов по кибербезопасности буквально после нескольких атак, а некоторые остаются на более долгий срок. Так, программа LokiLocker/BlackBit использует скомпрометированные службы удаленного доступа в качестве первоначального доступа, для взаимодействия с жертвой использует электронную почту и мессенджер, а по истечении 30-дневного срока выплаты выкупа уничтожает все данные в скомпрометированной системе. Другой пример — вымогатель DcHelp — в качестве программы использует легитимное программное обеспечение DiskCryptor и предлагает своим атакованным жертвам приобрести пароли к зашифрованным хостам. Еще один тип вымогателей использует уязвимые публично доступные приложения и собственную программу M0r0k. Эксперт Angara Security продемонстрировала подробные схемы хакерских атак с участием программ-вымогателей и прокомментировала этапы действий киберпреступников. Также она дала коллегам базовые рекомендации по противодействию вымогателям: включать расширенный аудит, выделять DMZ для защиты внутренней сети от внешних сетевых угроз, вести сложную парольную политику и использовать везде двухфакторную аутентификацию, следить за бэкапами и обновлениями.
«Скорее всего, вы сразу поймете, как именно распространялся шифровальщик или откуда атакующие пришли на этот хост, что будет хорошим стартом. А можете сразу и еще пару техник захватить. И да, не стесняйтесь использовать любые удобные для вас инструменты для проактивного поиска», — прокомментировала Лада Антипова первые шаги по расследованию инцидентов с программами-вымогателями.
Threat.Zone, в рамках программы которой состоялось выступление Angara Security, стало новой зоной конференции OFFZONE. Участникам этой зоны докладов рассказывали об инструментах атакующих и анализе действия отдельных группировок, здесь же состоялась панельная дискуссия о ландшафте угроз в России в 2024 году.
Михаил Сухов выступил в рамках основной зоны докладов Main Track для опытных специалистов с лекцией уровня Hard. Руководитель отдела анализа защищенности Angara Security показал, как выглядят компоненты FreeIPA и какие уязвимости могут в них скрываться.
«FreeIPA все чаще встречается в отечественных инфраструктурах. Частично это связано с импортозамещением, ведь в связи с принятием закона о переходе на отечественный софт на объектах КИИ к 2025 году многие российские компании стали активно использовать FreeIPA как альтернативу. Но вместе с переходом возникают и вопросы о механизмах атак и стратегиях защиты», — сказал Михаил Сухов.
В рамках доклада на OFFZONE 2024 эксперт Angara Security предложил коллегам рассмотреть несколько сценариев атак на FreeIPA и их детектирование. Он также порекомендовал ряд мер по повышению безопасности и устойчивости FreeIPA к различным видам атак и обеспечению надежной защиты инфраструктуры.
За два дня конференцию OFFZONE 2024 посетили 4000 гостей, 124 эксперта выступили с 98 докладами. Посетители могли поучаствовать и в интерактивных событиях: кейс-стади, мозговых штурмах, симуляциях, викторинах, спортивном хакинге.