Правительственные агентства предупреждают о сложных, высокоэффективных программах-вымогателях


Всплеск «сложных, высокоэффективных» атак программ-вымогателей побудил Агентство кибербезопасности и безопасности инфраструктуры США (CISA), Национальный центр кибербезопасности Великобритании (NCSC) и Австралийский центр кибербезопасности выпустить совместный бюллетень о методах, которые используется киберпреступниками для атак на предприятия и организации.

Реагируя на атаки программ-вымогателей на широкий спектр секторов промышленности, включая оборону, финансовые услуги, ИТ, здравоохранение, образование, энергетику, благотворительность и местные органы власти, агентства предупреждают, что тактика и методы программ-вымогателей «продолжали развиваться в 2021 году».

В совместном бюллетене агентства утверждают, что субъекты угрозы программ-вымогателей демонстрируют «растущую технологическую изощренность», которая представляет «возрастающую угрозу программ-вымогателей для организаций во всем мире».

По данным органов кибербезопасности США, Великобритании и Австралии, в 2021 году тремя основными первоначальными векторами заражения программами-вымогателями были:

  • Фишинговые письма
  • Эксплуатация протокола удаленного рабочего стола (RDP) с помощью украденных учетных данных или грубой силы
  • Эксплуатация уязвимостей программного обеспечения

Как только злоумышленник получает возможность войти в сеть или выполнить код на устройстве, программа-вымогатель часто будет развернута. К сожалению, вполне вероятно, что эти векторы заражения останутся популярными из-за возросшего уровня удаленной работы, что расширило возможности для удаленных атак и, как говорится в отчете, «заставило защитников сети изо всех сил пытаться идти в ногу с рутинным обновлением программного обеспечения».

Кроме того, в 2021 году бизнес программ-вымогателей стал все более профессиональным благодаря более широкому использованию операций Ransomware-as-a-Carrier (RaaS), некоторые из которых даже предлагают жертвам круглосуточную поддержку без выходных в попытке ускорить выплату выкупа.

И, как хорошо задокументировано, злоумышленники побуждали предприятия открывать свои кошельки, угрожая утечкой украденных конфиденциальных данных, если требования не будут выполнены.

По мнению CISA, NCSC и Австралийского центра кибербезопасности, поскольку бизнес-модель программ-вымогателей продолжает приносить большую финансовую отдачу, атаки станут более частыми. В то же время использование модели RaaS затруднило окончательную идентификацию киберпреступников, стоящих за конкретной атакой, поскольку может существовать сложная сеть разработчиков, фрилансеров и аффилированных лиц.

Интересно, что власти в Соединенных Штатах и ​​Австралии говорят, что они стали свидетелями отказа от групп вымогателей, нацеленных на более крупные организации, такие как Colonial Pipeline и JBS Meals, в пользу жертв среднего размера. Это может быть результатом действий, предпринятых властями США в середине 2021 года для пресечения деятельности операторов программ-вымогателей, причастных к громким атакам.

Несмотря на некоторые успехи правоохранительных органов, общая картина, нарисованная в бюллетене, является мрачной: в 2021 году группы программ-вымогателей усилили свое влияние за счет:

  • Нацеливание на плохо защищенную облачную инфраструктуру для кражи данных, шифрования информации и, в некоторых случаях, для отказа в доступе к системам резервного копирования.
  • Ориентация на поставщиков управляемых услуг (MSP) с одновременным воздействием на всех клиентов MSP.
  • Атака на промышленные процессы путем воздействия на подключенные бизнес-системы или разработки кода для вмешательства в критически важную инфраструктуру.
  • Атака на цепочку поставок программного обеспечения и использование ее в качестве метода доступа к нескольким жертвам посредством единой первоначальной компрометации.
  • Ориентация на организации в праздничные и выходные дни, когда они могут иметь большее влияние и меньше персонала ИТ-поддержки, чтобы справиться с чрезвычайными ситуациями.

Для получения дополнительной информации и советов о том, как снизить угрозу программ-вымогателей, обязательно ознакомьтесь с Совместными рекомендациями по кибербезопасности, выпущенными CISA, NCSC и Австралийским центром кибербезопасности.


Примечание редактора: Мнения, выраженные в этой статье приглашенного автора, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

https://cyberxhack.org/