Четыре способа проникновения программ-вымогателей в ваши системы

Четыре способа проникновения программ-вымогателей в ваши системы

Атаки программ-вымогателей продолжают расти. Согласно данным исследовательской компании Kroll, вот четыре возможных варианта начала первоначальной атаки.

Влияние программ-вымогателей продолжает расти. Согласно данным глобальной исследовательской компании Kroll, программы- вымогатели были самой распространенной проблемой безопасности, с которой   ей приходилось бороться в 2020 году, в то время как на атаки программ-вымогателей приходилось  более одной трети всех случаев до сентября  .

Почти в половине (47%) случаев использования программ-вымогателей, расследованных Kroll, банды использовали открытый протокол удаленного рабочего стола, инструмент, который использовался многими компаниями для помощи сотрудникам в работе из дома, но который может также дать злоумышленникам возможность проникнуть внутрь, если он не защищен должным образом. 

Более четверти (26%) случаев были связаны с фишинговыми сообщениями электронной почты, и меньшее количество случаев использовало определенные эксплойты уязвимостей (17%), включая, но не ограничиваясь, Citrix NetScaler CVE-2019-19781 и Pulse VPN. CVE-2019-11510.

Как вымогатели проникают в организации?

Kroll сказал, что в этом году особенно сильно пострадали три сектора: профессиональные услуги, здравоохранение, а также технологии и телекоммуникации. Это  контрастирует с недавними данными IBM  , которые предполагают, что больше всего пострадают производство, сектор профессиональных услуг и правительство.

По данным Kroll, Ryuk, Sodinokibi и Maze были тремя основными вариантами программ-вымогателей, вызывающих проблемы в 2020 году, составляя 35% всех кибератак. Программа-вымогатель имеет тенденцию циклически проходить периоды активности, прежде чем снова затихнет, поскольку разработчики работают над ее обновлением, прежде чем вернуться к действию.

Многие варианты программ-вымогателей в настоящее время воруют копии корпоративных данных и угрожают опубликовать их: в частности, путем загрузки от 100 до 1 ТБ конфиденциальных данных для максимального давления с целью выплаты выкупа. Kroll сказал, что 42% его случаев с известным вариантом программы-вымогателя были связаны с группой программ-вымогателей, которые активно извлекают и публикуют данные о жертвах. 

В некоторых случаях вымогатели отказывались выполнять обещания удалить данные после уплаты первого выкупа и требовали второй платеж.  Maze утверждает, что учетные данные, полученные от жертв, отказавшихся платить, будут использоваться для атак против партнеров и клиентов жертв, в то время как один из клиентов здравоохранения Kroll обнаружил, что злоумышленники отправляли электронные письма непосредственно своим пациентам. угрожая раскрыть личные данные о здоровье.

Помимо программ-вымогателей, компрометация деловой электронной почты (BEC) остается главной угрозой для организаций и была задействована в 32% случаев, после чего последовал несанкционированный доступ к системам.

Девон Акерман, руководитель службы реагирования на инциденты в Kroll North America, сказал: «В 2020 году мы наблюдаем предсказуемый всплеск кибератак, поскольку пандемия COVID-19 дала злоумышленникам больше возможностей. Продолжающаяся эволюция программ-вымогателей создатели постоянно меняют цели для тех, кто пытается защитить данные и системы, поэтому бдительность должна оставаться в верхней части списка дел, которые необходимо сделать для ИТ-директора ».

Возможно, лучший способ защитить вашу организацию от атак — это усложнить бандам программ-вымогателей возможность получить начальный доступ, что означает принятие необходимых мер безопасности. Это включает в себя блокировку любого ненужного доступа по протоколу RDP, защиту всего удаленного доступа с помощью надежной двухфакторной аутентификации, обеспечение того, чтобы все программное обеспечение было исправлено и обновлено, а также обеспечение обучения персонала обнаружению фишинговых писем. 

Также рекомендуется иметь актуальные резервные копии, не подключенные к корпоративной сети.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только