Ускоренные атаки программ-вымогателей вынуждают целевые компании ускорить реагирование



Злоумышленники-вымогатели за последний год предприняли ряд дополнительных шагов, которые привели к сокращению циклов заражения и полезной нагрузки, что потребовало от компаний более быстрого реагирования на потенциальное вредоносное поведение.

В своем «Отчете о ландшафте киберугроз за 2022 год», опубликованном на этой неделе, Deep Intuition сообщила, что ее данные показывают, что выполнение, сохранение и повышение привилегий были тремя основными действиями злоумышленника, как это определено инфраструктурой MITRE ATT&CK, предполагая, что злоумышленники сосредоточились на первоначальных действиях. проникновение и выполнение полезной нагрузки в отличие от обширного бокового перемещения. Кроме того, согласно отчету, более широкое внедрение программы-вымогателя как услуги (RaaS), которая легко доступна в Даркнете, привело к увеличению количества обнаруженных угроз программ-вымогателей на 15%.

Ландшафт угроз будет чрезвычайно коварным в ближайшие месяцы, особенно в связи с эскалацией киберопераций из-за войны России с Украиной, что делает оборонительную маневренность очень важной, говорит Шимон Орен, вице-президент по исследованию угроз и разведке AI для Deep Intuition.

«Это означает, что профилактика важнее, чем когда-либо», — говорит он. «Для определенных типов атак, если у вас нет правильной позы и вы не сможете очень быстро обнаружить и исправить ситуацию, вы будете уязвимы, и ущерб уже будет нанесен».

Правила программ-вымогателей
Кибератаки и инциденты в настоящее время являются главной проблемой для бизнеса в 2022 году, а программы-вымогатели являются главной угрозой: согласно недавно опубликованному Барометру рисков Allianz за 2022 год, 57% бизнес-специалистов считают всплеск программ-вымогателей своей главной проблемой. Семь из 10 финансовые фирмы пострадали от атаки программы-вымогателя, при этом средний размер выкупа превысил 91 000 долларов, хотя 70% фирм готовы или отказались платить выкуп, согласно Egress, фирме по кибербезопасности, специализирующейся на внутренних угрозах.

Программа-вымогатель стала эндемической угрозой для большинства компаний. По словам Тони Пеппера, генерального директора и соучредителя компании, чтобы снизить риск, компаниям необходимо укрепить свою сеть, процессы и сотрудников.

«Лучший совет — в первую очередь не допустить проникновения злоумышленников, — говорит он. — Усложнить им доступ именно по электронной почте, поскольку подавляющее большинство вредоносных программ доставляется с помощью фишинговых писем. Внедрите правильную технологию для обнаружения этих атак и убедитесь, что у ваших сотрудников есть инструменты и обучение для обнаружения попыток фишинга».

Однако большинство компаний сосредоточены на снижении общего бизнес-риска, а не на конкретных угрозах кибербезопасности. В то время как 83% компаний тратят средства на защиту от фишинга, 72% поддерживают политику киберстрахования, 64% нанимают сторонних юристов и 55% вкладывают средства в судебно-медицинские расследования, согласно отчету о взглядах руководителей на фишинг, опубликованному Egress. .

Прибыль на инвестиции
Для злоумышленников все дело в возврате инвестиций, поражая организации, которые могут позволить себе платить за многочисленные атаки. В настоящее время тройное вымогательство, состоящее из шифрования данных, кражи данных и использования атаки типа «отказ в обслуживании», является излюбленным методом принуждения компаний к оплате. По словам Ротема Салинаса, старшего исследователя вредоносных программ в CyberArk, до тех пор, пока доходы превышают затраты, программы-вымогатели будут продолжаться.

«Окупаемость программ-вымогателей очень высока — как для отдельных лиц, так и для организаций, — поэтому я не ожидаю снижения количества атак», — говорит он.

Злоумышленники определенно становятся все более изощренными в способах запутывания своих вредоносных программ, что затрудняет их обнаружение. Тем не менее, идет ли атакующий к быстрой, эффективной атаке или к более медленному и незаметному распространению, зависит от мотивов и целей злоумышленника.

В любом случае защита должна быть сосредоточена на укреплении информационно-технологической среды, предотвращении атаки и автоматизации первоначального реагирования, потому что в противном случае злоумышленник либо быстро заразит другие системы, либо выполнит полезную нагрузку, говорит Орен из Deep Intuition. По его словам, чем больше компаний смогут замедлить атакующего, тем лучше.

«Надежная профилактика имеет решающее значение», — говорит Орен. «Есть много атак, которые вы не сможете поймать на самом раннем этапе, а если вы этого не сделаете, то игра окончена — эффект достигнут. Поэтому нужно гораздо больше внимания уделять более ранние этапы цепочки убийств».

Кроме того, по словам Салинаса из CyberArk, благодаря большему опыту, сосредоточенному на предоставлении программ-вымогателей как услуги, и множеству утекших кодовых баз, позволяющих разработчикам вредоносных программ опираться друг на друга, программы-вымогатели будут продолжать становиться все более изощренными и быстро развиваться. В ходе недавнего анализа просочившейся информации о группе вымогателей Conti исследователи CyberArk нашли информацию о том, как работает группа, а также исходный код некоторых вредоносных программ и инструментов, используемых группой.

«Теперь, когда исходный код Conti [has been] утечки, вполне вероятно, что в ближайшем будущем будут обнаружены новые варианты вредоносного ПО», — говорит он.

Согласно «Отчету о ландшафте киберугроз 2022 года» Deep Intuition, Conti является четвертым по распространенности штаммом программ-вымогателей. Семейства вредоносных программ STOP и REvil составляют подавляющее большинство программ-вымогателей, обнаруженных фирмой.

https://cyberxhack.org/