12 мая эксперты «Лаборатории Касперского» большой отчет об эволюции атак с шифрованием данных и последующим вымогательством. В статье прежде всего уделяется внимание организации этого криминального бизнеса и рассматриваются атаки на крупные компании. Одним из явных трендов года стала охота преступных группировок за «крупной дичью» — сравнительно большими организациями, способными выплатить серьезный выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных новостей об атаках на бизнес, включая такие громкие события, как атака на компанию Colonial Pipeline.
Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.
Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.
Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.
Что еще произошло
Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:
- деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой.
- технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках.
- Неподтвержденная официально , согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам.
- движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide.
Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной , предложенной еще в 1967 году ( The Register, исследовательская ). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.
Предложен передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.
MSI о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.
