Как защитить сервер от шифровальщика: практические шаги

На серверах хранятся критически важные данные, от которых зависит работа компании. Именно поэтому серверы часто становятся главной мишенью для шифровальщиков, способных за считаные минуты парализовать бизнес. Рассказываем, как защищать серверную инфраструктуру, какие меры помогут минимизировать риски и сохранить данные в безопасности.

Вирусы-шифровальщики: как они работают и почему это угроза

Шифровальщики — это вредоносные программы, которые шифруют данные на зараженных устройствах и блокируют к ним доступ. После заражения злоумышленники требуют выкуп за расшифровку устройства. 

Серверы — ключевая цель для шифровальщиков, потому что на них хранится информация, без которой бизнес не может работать. Это базы данных клиентов, финансовые отчеты, документы. Например, если серверы логистической компании выйдут из строя, это приведет к задержкам в доставке товаров, убыткам, потере репутации и клиентов.

Шифровальщики проникают на серверы через уязвимости в программном обеспечении, слабые пароли или фишинговые письма. Например, сотрудник может открыть вложение в письме, которое выглядит как документ или счет. Этого достаточно, чтобы вирус попал в систему.

После проникновения вредоносная программа начинает искать важные файлы: документы, базы данных, резервные копии. Она шифрует их с помощью сложных алгоритмов, таких как AES или RSA. Без ключа декодировать данные почти невозможно.

Существует несколько типов шифровальщиков, например:

• WannaCry. Этот шифровальщик использовал уязвимость в Windows. Он заразил сотни тысяч компьютеров по всему миру, включая больницы и государственные учреждения.
• LockBit 3.0. Это одна из самых современных версий шифровальщика LockBit. Она блокирует доступ к данным и угрожает их опубликовать, если жертва не заплатит выкуп. LockBit 3.0 активно используется в атаках на корпоративные сети, что делает его одной из самых опасных угроз. 
• Mimic. Этот шифровщик стал известен благодаря своей способности маскироваться под легитимные запросы в системе. Mimic часто используют в атаках на крупные организации, где критически важно быстрое восстановление данных.

Шифровальщики остаются одной из самых опасных киберугроз. По данным компании F6, количество атак с использованием программ-вымогателей в России в 2024 году увеличилось на 44% по сравнению с 2023 годом. В мире также растет число инцидентов, связанных с шифровщиками, особенно в корпоративном секторе.

Чаще всего злоумышленники атакуют крупные компании, готовые платить большие суммы для восстановления данных и предотвращения остановки бизнеса. Среди самых уязвимых сфер:

• здравоохранение — больницы, медицинские центры;
• финансовый сектор — банки, страховые компании;
• промышленные предприятия;
• государственные учреждения.

Эти отрасли привлекают киберпреступников высокой критичностью данных и готовностью жертв платить выкуп для минимизации ущерба.

Как злоумышленники атакуют серверы: основные способы проникновения

Злоумышленники используют разные методы для атак на серверы. Их цель — найти слабые места и получить доступ к данным. Вот основные способы, которые они применяют:

• Эксплуатация уязвимостей в RDP и SMB. Эти протоколы часто становятся мишенью для атак. Злоумышленники ищут серверы с открытыми портами RDP или SMB и используют уязвимости в этих протоколах для проникновения. Например, уязвимость EternalBlue позволяла хакерам удаленно выполнять код на серверах с неправильно настроенным SMB.
• Брутфорс-атаки и слабые учетные данные. Это метод, при котором хакеры пытаются подобрать пароль к учетной записи, перебирая возможные комбинации. Если на сервере используются простые или стандартные пароли, такие как admin123 или password, хакеры могут легко получить доступ к серверу.
• Эксплуатация уязвимостей в операционных системах, таких как Windows или Linux. Например, уязвимость CVE-2021-34527 (PrintNightmare) позволяла получать права администратора на серверах с Windows.
• Незакрытые или неправильно настроенные порты. Открытые порты на сервере — это как незапертые двери в дом. Злоумышленники сканируют сеть на наличие таких портов и используют их для проникновения. Например, если порт 3389 (RDP) открыт для всех, хакеры могут попытаться подключиться к серверу и получить контроль над ним.
• Отсутствие антивирусной защиты или ее неправильная настройка. Если на сервере нет антивируса или он настроен неправильно, это облегчает задачу взлома. Хакеры могут загрузить вредоносное ПО, не опасаясь, что его обнаружат. Например, шифровальщик LockBit часто проникает на серверы, где антивирусная защита отключена или не обновлена.

Чтобы защитить серверы, важно понимать, как работают эти атаки. Также нужно своевременно закрывать уязвимости, использовать сложные пароли, регулярно обновлять ПО и правильно настраивать антивирусную защиту.

Как защитить серверную инфраструктуру от шифровальщиков

Защита серверов от шифровальщиков требует комплексного подхода, который включает как технические, так и организационные решения.

Резервное копирование и хранение копий в изолированной среде. Регулярное создание резервных копий позволяет восстановить данные в случае их зашифровки.

Следуйте нескольким простым правилам:

• В идеале делайте резервные копии каждый день. Для критически важных данных, таких как базы данных или финансовые системы, копии следует делать каждые несколько часов.
• Храните резервные копии в изолированной среде, недоступной для злоумышленников. Для этого можно использовать облачные хранилища с ограниченным доступом.
• Раз в месяц тестируйте восстановление данных из резервных копий, чтобы убедиться, что они работают корректно. Например, восстановите небольшую часть данных и проверьте их целостность.
• Определите, какие данные нужно восстановить в первую очередь и сколько времени это займет. Разработайте план восстановления данных и регулярно его обновляйте. Это поможет минимизировать время простоя в случае атаки.

Мы в mClouds используем для резервного копирования сервис Veeam. С помощью единой консоли вы можете настроить быстрое и надежное копирование всей информации — от одного файла до целого сервера.

Копии создаются по расписанию, которое можно настроить в зависимости от ваших потребностей — ежедневно, еженедельно или в реальном времени. В случае атаки шифровальщика вы можете быстро восстановить данные из резервной копии, минимизировав время простоя.

Бэкапы хранятся в надежном ЦОД уровня Tier III с возможностью шифрования данных перед загрузкой.

Ограничение доступа к серверам и многофакторная аутентификация. Протокол удаленного рабочего стола (RDP) — один из основных векторов атак для шифровальщиков. Чтобы защитить серверы, необходимо ограничить доступ и усилить аутентификацию.

• Разрешите подключение к RDP только с доверенных IP-адресов. Например, используйте VPN для удаленного доступа к серверам.
• Добавьте дополнительный уровень защиты, требующий не только пароль, но и код из приложения, такого как Google Authenticator, или СМС. Это значительно усложнит задачу злоумышленникам, даже если они получат доступ к учетным данным.
• Регулярно проверяйте логи доступа к серверам через RDP, чтобы выявить подозрительные активности.

Настройка межсетевых экранов и сегментация сети. Межсетевые экраны (файрволы) помогают контролировать входящий и исходящий трафик, блокируя нежелательные соединения.

• Проверьте, какие порты открыты на серверах, и закройте те, которые не используются. Например, порт 3389 (RDP) должен быть закрыт, если удаленный доступ не требуется.
• Разрешите доступ только к необходимым службам, таким как HTTP/HTTPS, SSH или FTP. Остальные порты должны быть заблокированы.
• Создайте виртуальные локальные сети (VLAN) для разделения серверов, рабочих станций и IoT-устройств. Выделите отдельные VLAN для серверов баз данных, веб-серверов и устройств пользователей. Тогда, если шифровальщик проникнет в сегмент с пользовательскими устройствами, он не распространится на серверы баз данных благодаря изоляции VLAN.

Сегментация сети не только ограничивает распространение шифровальщиков, но и упрощает мониторинг и управление сетью. Если в одном сегменте обнаружена подозрительная активность, вы сможете быстро изолировать его, не затрагивая остальную сеть.

Установка антивирусной защиты. Современные антивирусы, такие как Kaspersky Endpoint Security, способны обнаруживать и блокировать шифровальщики на ранних стадиях.

Для комплексной защиты предлагаем воспользоваться антивирусной защитой серверов от mClouds. Услуга включает установку и настройку антивирусного ПО на ваших серверах. Антивирус работает в фоновом режиме, сканируя файлы и процессы на наличие вредоносного ПО. Защита легко интегрируется с существующей инфраструктурой и поддерживает различные операционные системы, включая Windows и Linux.

Что делать, если сервер уже зашифрован: шаги к восстановлению

Если ваш сервер стал жертвой атаки шифровальщика, важно действовать быстро, чтобы минимизировать ущерб и восстановить данные. Первое, что нужно сделать, — это изолировать зараженные серверы, чтобы предотвратить дальнейшее распространение вредоносного ПО по сети.

1. Немедленно отключите зараженный сервер от сети. Это можно сделать через настройки сети — например, заблокировав доступ через межсетевой экран. Изоляция сервера предотвратит распространение шифровальщика на другие устройства и серверы.
   
   
2. Определите, какой именно шифровальщик атаковал вашу систему. Для этого используйте сервисы, такие как No More Ransom или ID Ransomware. Загрузите образец зашифрованного файла, и платформа определит тип программы.
   
   У некоторого вредоносного ПО есть уязвимости, которые позволяют восстановить данные без оплаты выкупа. Кроме того, знание типа шифровальщика поможет специалистам по кибербезопасности выбрать правильную стратегию восстановления.
   
   
3. Если у вас есть резервные копии данных, используйте последнюю копию, которая была создана до атаки. Убедитесь, что резервные копии хранятся в изолированной среде и не затронуты шифровальщиком.
   
   
4. Если резервные копии отсутствуют, проверьте, доступны ли теневые копии (Volume Shadow Copy Service). Если шифровальщик не успел их удалить, есть шанс восстановить данные.
   
   
5. Если вы не смогли вернуть данные, обратитесь к профессионалам. Они проведут анализ зараженной системы, попытаются расшифровать данные и помогут восстановить работоспособность серверов. Кроме того, вы получите рекомендации по предотвращению подобных атак в будущем.

mClouds поможет не стать жертвой шифровальщиков

Защита серверов от шифровальщиков требует комплексного подхода: от предотвращения атак до быстрого восстановления в случае инцидента. Важно не только минимизировать уязвимости, но и быть готовым к оперативному реагированию.

Если вам нужна надежная защита ИТ-инфраструктуры и данных, обращайтесь в mClouds. Наши эксперты помогут вам выбрать оптимальное решение для защиты вашей компании от шифровальщиков и других киберугроз.