Шифровальщики переживают что-то вроде возрождения. В 2018 году количество обнаружений подобного рода вредоносных программ упало, в то время как другие кибер-угрозы такие как показали существенный рост. Впрочем, в первом квартале 2019 года атаки шифровальщиков против компаний .
Самым ярким доказательством этого возрождения стала серия против местных органов власти в США. Балтимор, Лейк-Сити, Картерсвилл, Линн… Эта новая тенденция целевых шифровальщиков поразила также и деловой мир: поразила 22000 конечных устройств в 40 странах мира.
Массовая кампания в Техасе
Утром 16 августа 2019 года скоординированной атаки шифровальщиков. Хотя власти Техаса не уточнили, какие именно шифровальщики использовались злоумышленниками во время атаки, но они сообщили, что 22 атаки пришли из одного и того же источника. Кибер-преступники потребовали выкуп в размере 2,5 миллионов долларов США.
Представитель Департамента информационных ресурсов штата Техас (DIR) заявил, что «полученные доказательства указывают на то, что атаки исходили от одного и того же источника. Расследование происхождения атаки продолжается, но в настоящее время первоочередное внимание уделяется реагированию и восстановлению».
На данную атаку отреагировали со стороны DIR, Центра по обеспечению операций безопасности техасского университета Texas A&M University System, Департамента общественной безопасности Техаса, а также других аварийных и военных ведомств. К 23 августа все пострадавшие подразделения перешли от реагирования и оценки последствий к восстановлению своих систем.
Теперь же DIR планирует провести последующие встречи с пострадавшими местными органами власти для обеспечения усилий по восстановлению своих систем. Насколько известно в DIR, .
Как им удалось атаковать так много учреждений и ведомств?
Чтобы выполнить атаку такого масштаба против большого количества правительственных органов, злоумышленникам потребовалась передовая техника: (в переводе с английского, буквально – «Путешествие по островам»). Island hopping подразумевает, что кибер-преступники проникают в сети небольших компаний (например, маркетинговые или рекрутинговые агентства), которые предоставляют услуги для потенциальных жертв, являющихся конечными целями будущей атаки. Затем они используют их, чтобы получить доступ к более крупным организациям.
В случае со штатом Техас, техника island hopping стала возможной в силу того, что многие пострадавшие муниципалитеты использовали одинаковое программное обеспечение и одного и того же поставщика ИТ-систем. Мэр одного из пострадавших городов Гари Хайнрих пояснил, что кибер-преступники воспользовались данной ситуацией, чтобы атаковать местные органы власти.
В целом, более мелкие компании, как правило, имеют более уязвимые системы, что значительно упрощает использование техники island hopping. Проникнув в систему, злоумышленники пользуются доверием, которое существует между компаниями, чтобы достичь своей реальной цели.
Данный метод не является чем-то новым, и он становится все более популярным и распространенным. По данным ряда источников, , осуществляемых в наши дни, используют технику island hopping. И речь идет не только о вредоносных программах, которые используются кибер-преступниками для проведения подобного рода атак. Одним из самых популярных векторов проникновения являются IoT-устройства (Интернет вещей), поскольку они обычно оснащены менее надежными средствами безопасности.
Какое будущее у атак шифровальщиков?
, что скоординированные атаки подобно той, что мы видели недавно в Техасе, могут стать будущим сценарием развития атак шифровальщиков в целом. Это первая атака такого рода, когда инциденты были скоординированы, т.е. это не была серия разрозненных атак на каждый из органов власти. Чаще всего злоумышленники проводят массированные сканирования сетей и поиск открытых RDP-соединений на уязвимых серверах для выполнения разрозненных атак.
Тем не менее, в данном случае очевидно, что нападавшие ориентировались на одну конкретную цель, и атаковали ее весьма целенаправленно.
Защитите вашу компанию от island hopping
Через три недели после инцидента , что более половины пострадавших учреждений вернулись к нормальной работе. Впрочем, это означает, что до сих пор осталось достаточно много государственных учреждений, которые не в состоянии нормально выполнять свои ежедневные операции. Чтобы помочь предотвратить еще один инцидент, DIR опубликовал серию рекомендаций:
- Разрешить подключение к программному обеспечению удаленного доступа только из сети поставщика
- Использовать двухфакторную авторизацию на инструментах удаленного администрирования
- Блокировать входящий трафик с exit-узлов Tor.
- Блокировать исходящий сетевой трафик на Pastebin.
Последней мерой, которую предлагает DIR, является использование решений по обнаружению атак на конечные устройства и реагированию на них класса Endpoint Detection and Response ( EDR ) для обнаружения запуска необычных процессов через PowerShell . сочетает технологии традиционной антивирусной защиты и безопасности конечных устройств (EPP) и EDR с сервисом 100% классификации запущенных процессов. Это означает, что решение способно обнаруживать любые подозрительные процессы и аномальные модели поведения и останавливать их выполнение прежде, чем они могут привести к реальным проблемам в вашей организации.
Хотя шифровальщики на слуху уже много лет, а их популярность переживала взлеты и падения, все равно они всегда представляют собой серьезную угрозу. Более того, подобный случай лишний раз доказывает, что кибер-преступники всегда будут использовать самые передовые методы для осуществления своих атак шифровальщиками. Вот почему вы никогда не должны позволять себе снижать уровень безопасности, если речь идет о защите вашей компании от данной кибер-угрозы.
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
