Що таке Програми-вимагачі

Вимагайте FIDO2-апаратні ключі або passkeys на VPN, RDP, Citrix, VDI і адмін-консолях. SMS і push-MFA падають перед фішинговими комплектами на кшталт EvilProxy і MFA-fatigue. Вторгнення в Change Healthcare і MGM обидва почалися на акаунтах, де сильне MFA було відсутнє або могло бути обійдене через скидання хелпдеску. CISA Binding Operational Directive 22-09 і спільне керівництво StopRansomware обидва вказують phishing-resistant MFA як контроль із найбільшим впливом.

Підтримуйте три копії даних, на двох носіях, з однією поза майданчиком, однією незмінною або офлайн і нулем помилок при останньому перевіреному відновленні. Тестуйте повне відновлення стека щомісяця, включно з контролерами домену та системами ідентичності, не лише з файловими розшаруваннями. Sophos виявив, що організації з тестованими бекапами відновилися за медіанних 4 дні проти 16 без них. Уникайте бекапів, що ділять облікові дані з продакшеном; афіліати цілять у бекап-консолі в перші 24 години перебування.

Ізолюйте Active Directory, провайдерів ідентичності, бекап-інфраструктуру, OT-мережі й «коронні діаманти» за сегментованими зонами з явними allow-правилами. Вимкніть допоміжні засоби латерального руху на кшталт SMBv1, безконтрольного делегування Kerberos і широких прав PsExec. CISA Zero Trust Maturity Model і керівництво Microsoft Tier-0 мапують поетапний підхід. Сегментація не зупиняє вторгнення, але суттєво звужує радіус ураження, коли зловмисник усередині.

Розгортайте сучасну EDR- чи XDR-платформу на кожному endpoint і сервері, включно з гіпервізорами і ESXi-хостами, у які Akira і BlackCat зараз цілять напряму. Тюньте під патерни living-off-the-land: Cobalt Strike beacons, Rclone-екфільтрація, vssadmin shadow-copy deletion і сплески перейменування файлів. CrowdStrike, SentinelOne, Microsoft Defender for Endpoint і Sophos Intercept X — усі поставляють фічі роллбеку, що відновлюються від обмеженого шифрування. Без 24×7 SOC-покриття медіанні 5 днів перебування стають 50.

Усуньте постійні права Domain Admin і cloud-admin. Використовуйте privileged access workstation, зберігайте облікові дані у CyberArk, BeyondTrust або Azure PIM і вимагайте схвалення плюс MFA для кожного підвищення. Енфорсіть Microsoft Tier-0 захист: LAPS, Protected Users, restricted admin mode і credential guard. Більшість подій ransomware, що сягають стадії контролера домену, провалилися саме на цьому контролі.

Підпишіться на каталог CISA Known Exploited Vulnerabilities і патчте перелічені баги в межах федерально-узгоджених таймлайнів (зазвичай 14-21 день). Edge-пристрої (фаєрволи, VPN-концентратори, file-transfer сервери, RMM-платформи) — найризиковіша поверхня; CVE для MOVEit, Citrix Bleed, Fortinet та Ivanti Connect Secure всі стали векторами первинного доступу ransomware протягом днів від розкриття. Ведіть SBOM, щоб експозицію до нового CVE можна було знайти за години.

Розглядайте сторонніх SaaS-вендорів, MSP і ланцюги постачання ПЗ як частину поверхні атаки. Вимагайте докази SOC 2 Type II, SLA з повідомлення про порушення і least-privilege scope на кожному B2B-зʼєднанні. Проводьте огляди ризиків третіх сторін щодо постачальників, найімовірніших для хостингу впливу ransomware: payroll, провайдери ідентичності, MSP, file-transfer платформи, EHR. Інциденти Kaseya, MOVEit і Change Healthcare всі прокотилися через клієнтські середовища, бо вендорські контролі були слабким місцем.

Пишіть runbooks для топ-сценаріїв ransomware (шифрування у продакшені, вимагання виключно даними, подвійне шифрування + leak-сайт) і репетируйте їх щокварталу. Включіть юридичних радників, OFAC-санкційний скринінг перед будь-якою сплатою, таймінг повідомлення регулятора, залучення carrier кіберстрахування і шаблони комунікації для клієнтів. Дослідження IBM 2024 виявило, що організації з тестованим IR-планом і IR-командою заощадили 2,66 мільйона доларів на breach. Рішення, ухвалені під 72-годинним відліком, гірші за рішення, відрепетировані заздалегідь.

Більшість ransomware заходить через людину, не через пакет. Тренуйте кожного співробітника на фішингу, callback-фішингу, голосовій імперсонації, MFA-fatigue, соціальній інженерії хелпдеску і рефлексі репортингу інцидентів. Reporting rate (як швидко підозрілий лист доходить до SOC) — найсильніший провідний індикатор стійкості. Загальне щорічне e-learning не змінює поведінку; це роблять hands-on симуляції, що ставлять співробітника всередину приводу зловмисника.